跨链消息传递与共享流动性:LayerZero v2、Hyperlane 和 IBC 3.0 的安全模型

像 LayerZero v2、Hyperlane 和 IBC 3.0 这样的互操作性协议,正成为多链 DeFi 生态系统的关键基础设施。它们各自采用不同的方法来实现跨链消息传递和共享流动性,并拥有独特的安全模型:
- LayerZero v2 – 使用去中心化验证者网络 (DVN) 的证明聚合模型
- Hyperlane – 通常使用多签验证者委员会的模块化框架
- IBC 3.0 – 在 Cosmos 生态系统中采用信任最小化中继器的轻客户端协议
本报告将分析每种协议的安全机制,比较轻客户端、多重签名和证明聚合的优缺点,并探讨它们对 DeFi 可组合性和流动性的影响。我们还将审视当前的实现方式、威胁模型和采用水平,最后展望这些设计选择如何影响多链 DeFi 的长期可行性。
领先跨链协议的安全机制
LayerZero v2:通过去中心化验证者网络 (DVN) 实现证明聚合
LayerZero v2 是一个全链消息传递协议,强调模块化、应用可配置的安全层。其核心思想是让应用程序通过一个或多个独立的去中心化验证者网络 (DVN) 来保护消息,这些网络共同为跨链消息提供证明。在 LayerZero 的证明聚合模型中,每个 DVN 本质上是一组验证者,可以独立验证消息(例如,通过检查区块证明或签名)。应用程序可以要求来自多个 DVN 的聚合证明,才能接受一条消息,从而形成一个阈值“安全堆栈”。
默认情况下,LayerZero 提供了一些开箱即用的 DVN——例如,一个由 LayerZero Labs 运营的 DVN,它使用 2/3 多签验证;以及一个由 Google Cloud 运行的 DVN。但关键是,开发者可以混合搭配 DVN:例如,有人可能要求一个 “1 of 3 of 5” 的配置,这意味着一个特定的 DVN 必须签名,外加其他 5 个 DVN 中的任意 2 个。这种灵活性允许将不同的验证方法(轻客户端、zk 证明、预言机等)组合成一个聚合证明。实际上,LayerZero v2 将 v1 的超轻节点模型(依赖于一个中继器 + 一个预言机)推广为跨 DVN 的 X-of-Y-of-N 多签聚合。应用程序在每条链上的 LayerZero 端点合约只有在所需 DVN 群体为该消息写入有效证明后,才会传递消息。
安全特性: LayerZero 的方法是信任最小化的,只要所需集合中至少有一个 DVN 是诚实的(或者一个 zk 证明是有效的,等等)。通过让应用程序将自己的 DVN 作为必需的签名者,LayerZero 甚至允许应用程序否决任何未经其团队验证者批准的消息。这可以显著增强安全性(以中心化为代价),确保任何跨链消息在没有应用程序签名的情况下都无法执行。另一方面,开发者可以选择一个更去中心化的 DVN 群体(例如,15 个独立网络中的 5 个)以获得更强的信任分布。LayerZero 称之为“应用拥有的安全”:每个应用通过配置其 DVN 来选择安全性、成本和性能之间的权衡。所有 DVN 的证明最终都由不可变的 LayerZero 端点合约在链上验证,从而保留了一个无需许可的传输层。缺点是,安全性仅与所选的 DVN 一样强大——如果配置的 DVN 相互勾结或被攻破,它们可能会批准欺诈性的跨链消息。因此,每个应用程序都有责任选择稳健的 DVN,否则将面临较弱的安全风险。
Hyperlane:采用模块化 ISM 的多签验证者模型
Hyperlane 是一个互操作性框架,其核心是一个链上的链间安全模块 (ISM),该模块在消息传递到目标链之前对其进行验证。在最简单(也是默认)的配置中,Hyperlane 的 ISM 使用一个多重签名验证者集:一个由链下验证者组成的委员会对源链发出的证明(通常是所有出站消息的默克尔根)进行签名,并且在目标链上需要达到一个签名阈值。换句话说,Hyperlane 依赖于一个需许可的验证者群体来确认“消息 X 确实在链 A 上发出”,这类似于区块链的共识,但在桥接层面。例如,Wormhole 使用 19 个守护者和 13/19 的多签机制——Hyperlane 的方法在精神上是相似的(尽管 Hyperlane 与 Wormhole 不同)。
一个关键特性是,Hyperlane 在协议层面没有一个单一的内嵌验证者集。相反,任何人都可以运行验证者,不同的应用程序可以部署具有不同验证者列表和阈值的 ISM 合约。Hyperlane 协议提供了默认的 ISM 部署(带有一组由团队引导的验证者),但开发者可以自由地为他们的应用自定义验证者集甚至安全模型。事实上,Hyperlane 支持多种类型的 ISM,包括一个结合多种验证方法的聚合 ISM,以及一个根据消息参数选择 ISM 的路由 ISM。例如,一个应用可以要求 Hyperlane 多签和一个外部桥(如 Wormhole 或 Axelar)都进行签名——通过冗余实现更高的安全标准。
安全特性: Hyperlane 多签模型的基础安全性来自于其大多数验证者的诚实。如果达到阈值(例如,8 个中的 5 个)的验证者相互勾结,他们可以签署一条欺诈性消息,因此信任假设大约是 N-of-M 多签信任。Hyperlane 正在通过与 EigenLayer 再质押集成来解决这一风险,创建了一个经济安全模块 (ESM),要求验证者投入可被罚没的质押 ETH 以惩罚不当行为。这个“主动验证服务 (AVS)”意味着,如果一个 Hyperlane 验证者签署了一条无效消息(即实际上不在源链历史中的消息),任何人都可以在以太坊上提交证明来罚没该验证者的质押。这通过经济上抑制欺诈行为,显著增强了安全模型——Hyperlane 的跨链消息变得由以太坊的经济权重保障,而不仅仅是验证者的社会声誉。然而,一个权衡是,依赖以太坊进行罚没会引入对以太坊活性的依赖,并假设欺诈证明能够及时提交。在活性方面,Hyperlane 警告说,如果没有足够的验证者在线以满足阈值,消息传递可能会停止。该协议通过允许灵活的阈值配置来缓解这个问题——例如,使用更大的验证者集,以便偶尔的停机不会使网络停滞。总的来说,Hyperlane 的模块化多签方法提供了灵活性和可升级性(应用选择自己的安全模型或组合多个来源),但代价是增加了对验证者集的信任。这是一个比真正的轻客户端更弱的信任模型,但随着最近的创新(如再质押抵押品和罚没),它在实践中可以接近类似的安全保证,同时更容易在多条链上部署。
IBC 3.0:采用信任最小化中继器的轻客户端
在 Cosmos 生态系统中广泛使用的链间通信协议 (IBC) 采取了一种根本不同的方法:它使用链上轻客户端来验证跨链状态,而不是引入一个新的验证者集。在 IBC 中,每对链都建立一个连接,其中链 B 持有链 A 的轻客户端(反之亦然)。这个轻客户端本质上是另一条链共识的简化副本(例如,跟踪验证者集签名或区块哈希)。当链 A 向链 B 发送消息(一个 IBC 数据包)时,一个中继器(一个链下参与者)将一个证明(数据包的默克尔证明和最新的区块头)带到链 B。然后,链 B 的 IBC 模块使用链上轻客户端来验证该证明在链 A 的共识规则下是否有效。如果证明通过(即数据包已在 A 链的最终区块中提交),消息将被接受并传递到 B 链的目标模块。本质上,链 B 直接信任链 A 的共识,而不是一个中介—— 这就是为什么 IBC 通常被称为信任最小化的互操作性。
IBC 3.0 指的是该协议的最新演进(大约在 2025 年),它引入了性能和功能升级:用于降低延迟的并行中继、用于特定用例的自定义通道类型,以及用于读取远程状态的链间查询。值得注意的是,这些都没有改变核心的轻客户端安全模型——它们增强了速度和功能。例如,并行中继意味着多个中继器可以同时传递数据包以避免瓶颈,从而在不牺牲安全性的情况下提高活性。链间查询 (ICQ) 允许链 A 上的合约向链 B 请求数据(并附带证明),然后由 A 链上 B 的轻客户端进行验证。这扩展了 IBC 的能力,从代币转移到更通用的跨链数据访问,仍然以经过验证的轻客户端证明为基础。
安全特性: IBC 的安全保证与源链的完整性一样强大。如果链 A 拥有诚实的多数(或配置的共识阈值),并且链 B 上 A 的轻客户端是最新的,那么任何被接受的数据包必须来自 A 链上的一个有效区块。无需信任任何桥接验证者或预言机——唯一的信任假设是两条链的原生共识和一些参数,如轻客户端的信任期(超过该期限旧的区块头会过期)。IBC 中的中继器不必被信任;它们无法伪造有效的区块头或数据包,因为这些都无法通过验证。最坏的情况下,一个恶意或离线的中继器可以审查或延迟消息,但任何人都可以运行中继器,所以只要至少有一个诚实的中继器存在,活性最终是可以实现的。这是一个非常强大的安全模型:默认情况下是去中心化和无需许可的,反映了链本身的属性。其权衡在于成本和复杂性——在另一条链上运行一个轻客户端(特别是高吞吐量链的轻客户端)可能会消耗大量资源 (存储验证者集变更、验证签名等)。对于使用 Tendermint/BFT 的 Cosmos SDK 链来说,这个成本是可控的,IBC 非常高效;但要集成异构链(如以太坊或 Solana),则需要复杂的客户端实现或新的密码学技术。事实上,通过 IBC 桥接非 Cosmos 链的进展较慢——像 Polymer 和 Composable 这样的项目正在研究轻客户端或 zk 证明,以将 IBC 扩展到以太坊等其他链。IBC 3.0 的改进(例如,优化的轻客户端、支持不同的验证方法)旨在降低这些成本。总而言之,IBC 的轻客户端模型提供了最强的信任保证(完全没有外部验证者)和稳固的活性(假定有多个中继器),但代价是更高的实现复杂性和对所有参与链都必须支持 IBC 协议的限制。
比较轻客户端、多重签名和证明聚合
每种安全模型——轻客户端 (IBC)、验证者多签 (Hyperlane) 和聚合证明 (LayerZero)——都有其独特的优缺点。下面我们从关键维度对它们进行比较:
安全保证
-
轻客户端 (IBC): 通过将链上验证锚定到源链的共识,提供最高的安全性。没有新的信任层;如果你信任源区块链(例如 Cosmos Hub 或以太坊)不会双出块,你就可以信任它发送的消息。这最大限度地减少了额外的信任假设和攻击面。然而,如果源链的验证者集被破坏(例如,在 Tendermint 中超过 ⅓ 或在 PoS 链中超过 ½ 的验证者作恶),轻客户端可能会被喂入一个欺诈性的区块头。在实践中,IBC 通道通常建立在经济安全的链之间,并且轻客户端可以设置参数(如信任期和区块最终性要求)来降低风险。总的来说,信任最小化是轻客户端模型最强的优势——每条消息都有其有效性的加密证明。
-
多签验证者 (Hyperlane 及类似桥): 安全性取决于一组链下签名者的诚实度。一个典型的阈值(例如,⅔ 的验证者)必须对每个跨链消息或状态检查点进行签名。好处是,通过足够多的信誉良好或有经济质押的验证者,这可以变得相当安全。例如,Wormhole 的 19 个守护者或 Hyperlane 的默认委员会必须集体勾结才能攻破系统。缺点是这引入了一个新的信任假设:除了链本身,用户还必须信任桥的委员会。这在一些黑客攻击中已被证明是失败点(例如,如果私钥被盗或内部人员勾结)。像 Hyperlane 的再质押 ETH 抵押品这样的举措为该模型增加了经济安全性——签署无效数据的验证者可以在以太坊上被自动罚没。这使得多签桥在安全性上更接近区块链(通过经济惩罚欺诈),但它仍然不如轻客户端那样信任最小化。简而言之,多签在信任保证方面较弱:它依赖于一小部分人的多数,尽管罚没和审计可以增强信心。
-
证明聚合 (LayerZero v2): 这在某种程度上是一个中间地带。如果一个应用程序将其安全堆栈配置为包含一个轻客户端 DVN 或一个 zk 证明 DVN,那么对于这些检查,其保证可以接近 IBC 级别(数学和链共识)。如果它使用一个基于委员会的 DVN(如 LayerZero 的 2/3 默认 DVN 或一个 Axelar 适 配器),那么它就继承了该多签的信任假设。LayerZero 模型的优势在于你可以独立地组合多个验证者。例如,同时要求“一个 zk 证明有效”和“Chainlink 预言机说区块头是 X”和“我们自己的验证者签名”可以极大地减少攻击可能性(攻击者需要同时攻破所有这些)。此外,通过允许应用强制要求自己的 DVN,LayerZero 确保在没有应用同意的情况下,任何消息都不会执行(如果这样配置的话)。弱点在于,如果开发者选择了一个宽松的安全配置(为了更低的费用或更快的速度),他们可能会削弱安全性——例如,使用一个由未知方运行的单一 DVN 将类似于信任单个验证者。LayerZero 本身是无偏见的,将这些选择留给应用开发者,这意味着安全性仅与所选的 DVN 一样好。总而言之,证明聚合可以提供非常强的安全性(甚至比单个轻客户端更高,通过要求多个独立的证明),但如果配置不当,也可能导致弱设置。它很灵活:应用可以为高价值交易提高安全性(例如,要求多个大型 DVN),并为低价值交易降低安全性。
活性与可用性
-
轻客户端 (IBC): 活性取决于中继器和轻客户端保持更新。积极的一面是任何人都可以运行中继器,因此系统不依赖于一组特定的节点——如果一个中继器停止工作,另一个可以接替。IBC 3.0 的并行中继通过不将所有数据包序列化到一条路径上,进一步提高了可用性。在实践中,IBC 连接非常可靠,但在某些情况下活 性可能会受到影响:例如,如果长时间没有中继器发布更新,轻客户端可能会过期(例如,如果信任期在没有更新的情况下过去),然后通道会为了安全而关闭。然而,这种情况很少见,并且可以通过活跃的中继器网络来缓解。另一个活性考虑因素是:IBC 数据包受源链最终性的影响——例如,在 Tendermint 中等待 1-2 个区块(几秒钟)是标准做法。总的来说,只要至少有一个活跃的中继器,IBC 就能提供高可用性,并且对于已确认的区块,延迟通常很低(秒级)。这里没有像多签中那样验证者群体离线的概念;区块链自身的共识最终性是主要的延迟因素。
-
多签验证者 (Hyperlane): 如果验证者集很小,活性可能是一个弱点。例如,如果一个桥有 5/8 的多签,而 4 个验证者离线或无法联系,跨链消息传递就会停止,因为无法满足阈值。Hyperlane 文档指出,验证者停机可能会导致消息传递停止,具体取决于配置的阈值。这部分解释了为什么选择更大的委员会或更低的阈值(以牺牲安全性为代价)来提高正常运行时间。Hyperlane 的设计允许在需要时部署新的验证者或切换 ISM,但这种变更可能需要协调/治理。多签桥的优势在于,一旦收集到阈值签名,确认通常很快——无需在目标链上等待源链的区块最终性,因为多签证明本身就是最终性。在实践中,许多多签桥在几秒钟内就能签名和中继消息。因此,对于某些链,延迟可以与轻客户端相当甚至更低。瓶颈在于验证者速度慢或地理分布广泛,或者涉及任何手动步骤。总而言之,多签模型在大多数时候可以具有高活性和低延迟,但它们存在活性风险集中在验证者集——如果太多验证者崩溃或它们之间发生网络分区,桥实际上就宕机了。
-
证明聚合 (LayerZero): 这里的活性取决于每个 DVN 和中继器的可用性。一条消息必须从所需的 DVN 收集签名/证明,然后被中继到目标链。好的一面是DVN 独立运作——如果一个 DVN(在一组 DVN 中)宕机但不是必需的(只是“M of N”的一部分),只要满足阈值,消息仍然可以继续。LayerZero 的模型明确允许配置群体以容忍一些 DVN 故障。例如,一个“2 of 5”的 DVN 集可以处理 3 个 DVN 离线而协议不停止。此外,因为任何人都可以扮演最终的执行者/中继器角色,消息传递没有单点故障——如果主中继器失败,用户或其他方可以带着证明调用合约(这类似于 IBC 中的无需许可的中继器概念)。因此,LayerZero v2 通过不将系统绑定到一个中间人,力求实现抗审查性和活性。然而,如果必需的 DVN是安全堆栈的一部分(比如一个应用要求自己的 DVN 始终签名),那么该 DVN 就是一个活性依赖:如果它离线,消息将暂停,直到它恢复或安全策略被更改。总的来说,证明聚合可以配置得非常稳健(通过冗余的 DVN 和任何方中继),使得所有验证者同时宕机的可能性很小。权衡是,联系多个 DVN 可能会引入更多的延迟(例如,等待多个签名),相比于单个更快的多签。但这些 DVN 可以并行运行,许多 DVN(如预言机网络或轻客户端)可以快速响应。因此,LayerZero 可以实现高活性和低延迟,但具体性能取决于 DVN 的设置方式(有些可能会等待源链的几个区块确认等,这可能会为了安全而增加延迟)。