根據(jù)區(qū)塊鏈安全公司 CipherTrace 2021 年 7 月發(fā)布的加密貨幣犯罪報告顯示，2020 年，DeFi 協(xié)議遭到攻擊涉及金額約 1.29 億美元；2021 年前 7 個月，DeFi 協(xié)議遭到攻擊涉及金額便上升至 3.61 億美元。隨后的 8 月，在 34 分鐘里，黑客又成功從跨鏈協(xié)議 Poly Network 盜走價值 6.1 億美元的加密資產(chǎn)。

這是 DeFi 歷史上涉案金額最大的一筆盜竊案，雖然事后黑客歸還了大部分資產(chǎn)，但是 DeFi 是否安全以及代碼即法律的現(xiàn)實性變得更像是薛定諤問題。只有遭到攻擊、資產(chǎn)被盜，才能判斷協(xié)議不安全。DeFi 協(xié)議中，跨鏈協(xié)議又屬于重災區(qū)。公開數(shù)據(jù)顯示，近兩個月，DeFi 領域發(fā)生了 19 起安全事故，跨鏈協(xié)議占 6 起，涉及了 Poly Network、Anyswap、ChainSwap 等協(xié)議。

選擇使用哪一個跨鏈橋和判斷跨鏈橋的安全性成為了 DeFi 用戶的下一個難題。

跨鏈協(xié)議的不可能三角

區(qū)塊鏈的不可能三角已經(jīng)是老生常談的話題了。在區(qū)塊鏈系統(tǒng)中，無法同時達到高擴展性、去中心化和安全性三者。對于公鏈而言，擴展性的重要程度或許排在首位。正如以太坊創(chuàng)始人 Vitalik 所表示的，擴展性也許是排在第一位的問題，擴展性問題已經(jīng)成為很多系統(tǒng)的墳墓。但是，對于 DeFi 協(xié)議，尤其是具有大量沉淀資金的跨鏈應用而言，安全性或許才是最值得重視的。

作為 DeFi 中重要的一環(huán)，跨鏈應用應該更加注重安全，在去中心化和高擴展性上進行一定的妥協(xié)。就如因穩(wěn)定幣兌換自動自動做市項目 StableMagnet Finance（SMAG）跑路而選擇報警的 L 所表示，目前去中心化世界的發(fā)展仍處于相當早期，有太多的課題有待探索完善，如果盲目推崇去中心化極端主義以及徹底的「代碼即法律」，不會帶來真正的發(fā)展與未來。

Kava Swap 便是一個以安全為核心的跨鏈流動性中心。Kava Swap 是基于 Kava 公鏈搭建的 DeFi 基礎設施、跨鏈橋以及跨鏈自主 AMM 做市協(xié)議。

跨鏈橋由于流程復雜，涉及到眾多公鏈和多個合約之間的交付。因此容易在不同的地方出現(xiàn)漏洞。如 Poly Network 與跨鏈資產(chǎn)橋 ChainSwap 都是因為合約漏洞被攻擊。而多鏈路由 AnySwap 則是因為跨鏈私鑰管理問題遭受攻擊。

因為流程復雜，Kava Swap 在正式啟動前經(jīng)歷了內部審計、外部審計以及公開測試。并且，根據(jù)公開披露的信息，Kava Swap 將進行 4 次迭代以實現(xiàn)所有完整的功能。在第一個版本的 Kava Swap 中，將添加 BTC、BNB、KAVA 等較為主流的代幣池，并通過鏈上投票選擇添加新代幣；在第二個版本中，Kava Swap 將把功能打包至 Kava API 之中，方便用戶整合和交易；在第三個版本中，幣安智能鏈（BSC）與以太坊之間的智能流動性橋將啟動；在第四個版本，智能自主交易功能和額外的生態(tài)跨鏈橋也將啟動。

在資金的安全上，Kava Swap 通過使用傳統(tǒng)交易平臺「冷錢包」與「熱錢包」相互配合的方式進行。「冷錢包」用于存放大額資產(chǎn)，「熱錢包」用于短期小額資產(chǎn)的流轉。截止發(fā)稿，Kava 與 Binance 鏈安全跨鏈超過 15 億美元資產(chǎn)。同時，社區(qū)發(fā)起了 Kava 61 號提案，一旦獲得通過，將提供價值 10 萬美元 SWP 用于獎勵交易大賽用戶，目前已有 80.84 萬枚 KAVA 支持提案。

跨鏈沒有最優(yōu)，只有最合適的方案

Vitalik 在為 R3 所寫的《跨鏈互操作性》報告中闡述了三種跨鏈方案，公證人機制、側鏈/中繼器模式、哈希鎖定。目前，除了以上三種方案之外，較為主流的還有分布式私鑰控制以及多技術混合機制。

律動根據(jù)《跨鏈互操作性》以及公開資料對目前較為主流的跨鏈機制進行了總結：

從性能對比來看，每一種跨鏈方案都有自己的優(yōu)點和不足，公證人機制需要多名可信第三方公證人，容易導致過于中心化問題。同時，公證人機制和側鏈/中繼模式在安全性和交易速度上都比較低，容易遭到攻擊。哈希鎖定則是在發(fā)展上具有較大的局限性，雖然支持跨鏈資產(chǎn)抵押，但是無法進行跨鏈資產(chǎn)轉移，并且不支持直接使用預言機。當然，哈希鎖定在實現(xiàn)上較為容易和安全性高，因此更適合項目的使用。

此前被盜 6.1 億美元的 Poly Network 在設計上使用了中繼器模式，從而實現(xiàn)了異構鏈跨鏈。注重協(xié)議安全的 Kava Swap 這是在設計上偏向于哈希鎖定。不同之處在于，Kava Swap 用戶擁有跨鏈與否的準許權限，當進行跨鏈操作時，需要用戶在自己的錢包上進行簽名確認跨鏈。

哈希鎖定最早出現(xiàn)于 2013 年，并于比特幣閃電網(wǎng)絡首先應用。哈希鎖定的本質是一種智能合約。在 Kava Swap 系統(tǒng)中，每一條 Kava Swap 支持的公鏈都有一個 deputy 錢包，資金的出入都需要經(jīng)過 deputy 錢包的許可。

假設用戶想要將資產(chǎn)從 Binance Chain 跨至 Kava 上，資產(chǎn)將會在 Binance Chain 鎖定。如果在截止時間前未收到密碼，將資產(chǎn)退還用戶。同時，deputy 向 Kava 公鏈發(fā)送消息，用戶鎖定了 X 枚代幣，如果在截止時間發(fā)送解鎖密碼，將在 Kava 鏈上發(fā)送等額代幣給用戶。用戶在 Kava 鏈上接收到代幣的同時，deputy 向 Binance Chain 發(fā)送消息，永久鎖定 X 枚代幣。從 Kava 跨至 Binance Chain 則相反。

作為用戶，該選什么跨鏈協(xié)議？

上文提到的各種跨鏈方案和設計最終都離不開用戶的使用。作為用戶，除了使用體驗的區(qū)別之外，便是對資產(chǎn)安全的關心。須知安全性在提升的同時，黑客也在不斷研究漏洞。

根據(jù)律動 BlockBeats 統(tǒng)計，近期遭受攻擊的 DeFi 協(xié)議中，除了少數(shù)幾個協(xié)議之外，極少能夠從資產(chǎn)損失中恢復。

7 月 4 日，基于 Polkadot 區(qū)塊鏈的跨鏈交易協(xié)議 RAI Finance 發(fā)文稱，因 ChainSwap 智能合約漏洞，與其連接的 RAI 訪問和支付權限地址被黑客攻擊和盜用，帳戶中被盜 RAI 總額達 290 萬枚。ChainSwap 以 50% USDC 和 50% 平臺代幣 ASAP 的方式進行賠付。截止發(fā)稿，RAI 和 ASAP 價格皆恢復至被攻擊前的水平。

7 月 12 日，Anyswap 多鏈路由 v3 版本遭到攻擊，損失約 240 萬 USDC 和 551 萬 MIM。Anyswap 提供了全額賠償，并于 48 小時填充了流動性。截止發(fā)稿，Anyswap 的鎖倉量、交易量并沒有因為黑客攻擊而受到影響，反而有所上升。

觀察代幣價格、生態(tài)系統(tǒng)能夠快速從被攻擊中快速恢復的協(xié)議，不難發(fā)現(xiàn)都具備一個特點，團隊反應迅速并對受害用戶進行賠付。

作為去中心化應用，遭受攻擊是平臺與用戶都不愿意發(fā)生的事情，然而并無法完全杜絕。因此在發(fā)生之前便考慮好事件發(fā)生后的預案是每一個團隊都應該進行的。Kava Swap 在創(chuàng)立之初便通過社區(qū)治理成立了一個金額高達 1000 萬美元的 SAFU 基金。當用戶遭遇漏洞、黑客、清算失敗等因技術問題而產(chǎn)生的資金損失后，可獲得相應的補償。

在巨額資產(chǎn)被盜的背景下，跨鏈應用正處于一片質疑聲中。這是正?，F(xiàn)象，正如世界是螺旋上升一般，DeFi、跨鏈也是如此。不過，在上升路上，選擇一個正確的協(xié)議便顯得更加重要。

參考資料：

《Chain Interoperability》

《區(qū)塊鏈跨鏈技術發(fā)展及應用研究綜述》

《Kava Concepts》

*律動 BlockBeats 提示各位投資者防范追高風險，本文所提觀點不構成任何投資建議。

--更多區(qū)塊鏈行業(yè)信息，歡迎掃碼訪問官網(wǎng)--