Bool Network：跨鏈橋中的六邊形戰士_BOO

作者：MiddleX，LayerBaseLabsAdvisor

隨著多鏈格局的發展，跨鏈橋已成為Web3領域的重要基礎設施，無論公鏈格局如何演變，此消彼長，跨鏈始終是不變的剛需。對于Dapp項目方而言，他們需要將自身業務范圍盡可能擴展到更多鏈上，從單鏈Dapp發展為全鏈Dapp；對于公鏈項目方而言，大家都有動力去橋接比特幣和以太坊，為自己的生態導入資產和流量；對于加密用戶而言，也希望讓自己的加密資產能以去中心化的方式游走于不同的鏈上，而不再依賴于中心化交易所。

然而，跨鏈橋作為鏈間“運鈔車”，卻屢遭“搶劫”。過去兩年，主流跨鏈橋項目幾乎無一例外的被黑客光顧。在各類型加密安全事故中，跨鏈橋事故以將近20億美元的損失金額高居榜首。解決跨鏈橋安全問題，為這輛目前“敞篷”著的“運鈔車”加裝護甲迫在眉睫。

如何破局？

總體來看，跨鏈橋的安全事故分類兩類：一類是合約代碼漏洞導致，比如缺乏代幣合約地址驗證，導致攻擊者偽造的假幣存入事件沒有被過濾，再比如缺乏訪問控制，導致驗證者集名單被篡改；另一類是驗證節點串謀，盜取私鑰，進而盜取跨鏈橋鎖倉資金，亦或鑄造假幣向LP搶劫。

前者的主要原因是跨鏈橋代碼庫尚未成熟，這類問題隨著行業經驗的積累會慢慢減少。后者的主要原因則是跨鏈橋在設計層面的固有缺陷。

跨鏈橋本質上解決的是一條鏈如何知道另一條鏈上的事件的問題。這個問題分為兩個方面，一是傳遞，二是驗證。在跨鏈橋中，任何人都可以傳遞跨鏈事件，關鍵是目標鏈如何驗證該事件在源鏈上真實發生。

根據驗證機制的不同，跨鏈橋被分為原生驗證(NativelyVerified)、本地驗證(LocallyVerified)、外部驗證(ExternallyVerified)三種類型。

原生驗證是指目標鏈的全體驗證人對源鏈的事件進行共識驗證，一般是通過在目標鏈上部署源鏈的輕客戶端實現的。該輕客戶端不斷保存和更新源鏈的區塊頭，進而對源鏈的事件執行SPV驗證。

聲音 | 媒體：G7國家部長一致認為需要迅速應對Facebook的Libra:路透社援引知情法國官員消息稱，本周三在法國舉行的七國集團（G7）財政部長和央行行長會議上，與會部長一致認為，在Facebook計劃推出加密貨幣Libra后，需要應對新興的數字貨幣。此次會議“很大程度上的共識是，需要迅速行動”。[2019/7/18]

本地驗證是指交易對手對交易直接進行驗證，也稱點對點驗證。典型的范式是基于哈希時間鎖的原子交換。由于交易雙方的經濟利益是對抗的，因此不存在合謀的可能性。

外部驗證是指引入一組外部的見證者來負責驗證跨鏈消息，外部的見證者集對跨鏈事件進行共識簽名，目標鏈驗證該簽名后即認為該事件可信。

原生驗證成本較高，主要體現在兩點，一是鏈上驗證成本高，鏈上運行輕客戶端，并對事件執行SPV驗證都會消耗大量的Gas，二是兼容新鏈的開發成本高，每兼容一條新鏈，就需要開發至少一對輕客戶端。隨著ZK敘事的崛起，目前市面上有通過ZK技術改進原生驗證的方案，可以有效緩解上述成本，但無論如何優化，鏈上至少還是需要驗證一個ZK證明，開銷大約為500kGwei，與外部驗證僅需驗證一個簽名(21kGwei)不可同日而語。因此原生驗證在跨鏈橋的價格競爭中無法占據優勢，且無法實現真正意義上的“全鏈”。

本地驗證曾經被Celer、Connext等知名項目采用，但這些項目無一例外，已改弦更張，不再使用本地驗證。原因是本地驗證的交易體驗極差，無論如何優化，始終需要用戶至少操作兩次(發起交易、解鎖哈希鎖)，如果交易對手中途離線，或故意不成交，還會導致用戶的資金被卡住。除此之外，本地驗證僅適用于資產跨鏈，無法擴展至任意消息跨鏈。

外部驗證實現成本較低，跨鏈開銷低，可以輕松適配多鏈，且支持任意消息跨鏈，目前它是大多數跨鏈橋項目采用的方案。但外部跨鏈橋由于引入新的信任假設，而帶來潛在的串謀風險。外部驗證型跨鏈橋大多采用MPC(安全多方計算)技術，對私鑰進行分片，讓每個外部驗證節點掌握一個分片。

聲音 | 亞馬遜高管：亞馬遜暫無“發幣”打算，Facebook在當下推出Libra步子邁得太大:據Cointelegraph消息，亞馬遜支付（Amazon Pay）副總裁Patrick Gaulthier在《財富》2019年Brainstorm Finance活動上表示，在當前的環境下，Facebook推出的這種價值轉移系統（即Libra）步子邁得太大了。Gaulthier稱：“這是很新穎，但也是投機的；在亞馬遜，我們目前并不真的想涉足投機業務”，只會考慮在數年后討論創建自己的加密貨幣。[2019/6/20]

相比普通的MutiSig(多簽)技術，MPC技術具有普適性更強(對鏈采用的簽名方案沒有要求)、驗證成本更低(鏈上僅需驗證一個單獨的簽名)、方便移交簽名權限(僅需刷新分片，無需變更地址)等優勢，但這并不改變外部驗證的中心化實質，不能杜絕串謀。

那么究竟使用什么樣的跨鏈方案，能在不犧牲跨鏈橋性能、可擴展性、通用性的前提之下，消弭串謀風險，改善跨鏈橋的安全性呢？

BOOLNetwork的方案

BOOLNetwork是由LayerBaseLabs推出的跨鏈橋產品。LayerBaseLabs在跨鏈領域研究了近4年時間，期間推出了一些最小可行性產品，但由于這些產品不夠完善，始終未推廣至大范圍使用。近期，LayerBaseLabs推出了基于動態隱藏委員會(DHC)的跨鏈橋：BOOLNetwork，這一方案被認為足夠完美，因此準備在公眾面前亮相。

BOOLNetwork的跨鏈方案在MPC技術的基礎上融合了ZK技術和TEE技術，將外部驗證者集改造為一個不可知、不自知的動態隱藏委員會，實現了高度的抗串謀屬性，進而實現了高度的安全性。

我們用一個例子來說明什么是“動態隱藏會員會”。

假設你是一名將軍，統領1000名士兵，奉命守衛50個糧倉，你將如何安排你的士兵呢？

動態 | Facebook稱正在瑞士研發區塊鏈技術 而非加密貨幣:據TechWeb.com消息，Facebook在日內瓦成立了一家新金融科技公司Libra Networks，提供包含區塊鏈相關服務。有報道稱該公司主要負責進行Facebook加密貨幣的研發，其加密貨幣將與美元掛鉤。Facebook拒絕對其在瑞士的加密貨幣計劃發表評論并稱其為“區塊鏈相關研究”。這家瑞士公司由愛爾蘭的Facebook Global Holdings II擁有，將專注于開發用于貨幣相關功能的軟件和硬件，如支付、區塊鏈、分析、大數據和身份管理。[2019/5/18]

假設所有糧倉都是同等重要的，那么將1000名士兵分成50個20人小隊，每個小隊分別負責駐守一個糧倉便是最好的安排。

但分兵把守帶來一個隱患，如果某一個小隊超過半數的士兵串謀，那么對應的糧倉就可能失守，也就是說如果一個小隊中有11名士兵串謀，就可能背叛你，搶奪糧倉。

這是你不能容忍的，為了阻止這種串謀，保證糧倉的安全，你可以采取這樣的辦法：

動態：每天對所有士兵進行重新分組，重新劃分小隊，這樣每個士兵所守衛的糧倉和他的隊友都將不固定；

隱藏：蒙上士兵的眼睛，讓他們不知道自己守衛的是哪個糧倉，也不知道自己的隊友是誰。

這樣下來，叛變的士兵將不知道和誰去串謀。即便有事先約定好的叛變者，他們也無法控制、無法得知叛變者是否在同一小隊。

假設要保證串謀大概率成功，叛變者必須串謀你整個1000人隊伍當中的大多數才可以。這無疑難如登天。通過“動態”和“隱藏”的方式，你讓每一個小隊的可靠性都達到了整個隊伍的水平。

這正是BOOLNetwork采用的方案。

TEE——為每個士兵蒙上眼睛

BOOLNetwork要求網絡中的節點必須使用TEE設備參與跨鏈事件的驗證。BOOLNetwork是完全開放準入的，任何擁有TEE設備的主體都可以通過質押$BOOL成為驗證節點。

動態 | Facebook將Coinbase廣告列入白名單:Coinbase聯合創始人Brian Armstrong今日在其社交媒體配圖稱：“今年早些時候Facebook禁止了加密貨幣廣告的發布。我們（Coinbase）現在已經被加入白名單之列，將會向更多的用戶介紹開放式的金融體系。”[2018/7/21]

TEE全稱為可信執行環境(TrustedExecuteEnvironment)，它是給定設備上運行的與主操作系統隔離的計算環境，就像一塊飛地(Enclave)，這種隔離是通過硬件強制實現的。在TEE中運行程序的過程是隱蔽的，外界不可感知，也不可干預。這會讓黑客攻擊無從下手。

TEE可以運行具有高安全性的應用程序，例如生物特征認證，安全支付管理等。在我們日常生活中，TEE并不陌生，手機上的指紋驗證就是在TEE中運行的。這樣可以保證其他手機應用在使用指紋驗證結果的同時無法獲取指紋信息。

在跨鏈事件的驗證過程中，外部驗證節點需要進行共識簽名，這時，私鑰不得不暴露在網絡中，極易成為黑客攻擊的目標。2022年3月AxieInfinity官方橋RoninBridge遭遇的攻擊和2022年6月份Harmony公鏈官方橋HorizenBridge遭遇的攻擊，正是橋節點私鑰被黑客獲取導致的。將TEE用于保管私鑰分片，執行共識簽名，將大大提升安全性，避免私鑰被黑客獲取。在此基礎上，BOOLNetwork要求TEE節點之間的所有通訊也完全加密，這樣一來，黑客也無法從節點之間的通訊內容中截獲任何信息。

RingVRF——讓士兵隨機輪崗

BOOLNetwork被設計為了一個創建跨鏈橋的工具，支持任意第三方在其上創建跨鏈橋，當某第三方在BOOLNetwork上創建跨鏈橋時，需要先創建DHC(動態隱藏會員會)，假設該第三方希望自己創建的跨鏈橋支持10條鏈，那么就需要創建10個DHC，每條鏈對應一個DHC，所有向該鏈發送的跨鏈消息都由該DHC負責驗證。

現場|Google與Facebook工程師邀請Hotnode CEO到訪宣講:金色財經現場報道，在節點資本硅谷見面會上，Google與Facebook工程師聽了Hotnode的介紹后，邀請Hotnode CEO Andy Wang到谷歌和facebook 宣講，Andy Wang欣然接受邀請并表示近期將赴Google與Facebook宣講。[2018/6/28]

每有一個第三方通過BOOLNetwork創建跨鏈橋，就會產生若干個DHC，隨著BOOLNetwork上創建的跨鏈橋不斷增加，可能會有成千上萬個DHC。第三方可以設置DHC的簽名閾值，常見的簽名閾值有5-of-9、13-of-19、15-of-21。

需要注意的是，每個DHC中的成員并不是固定的，而且是不斷輪換的，每個Epoch會洗牌一次。基于ZK技術，BOOLNetwork開發了RingVRF協議，可以完全隨機的為每一個DHC分配成員。

RingVRF會為DHC成員生成一個ZKproof，這個ZKproof代表了成員的臨時身份，DHC成員都是用臨時身份去相互識別和相互通信，從而合作完成某項工作(比方說進行MPC門限簽名)；這樣做保證了DHC成員無論對外，還是彼此之間，都是匿名的。

同一個Epoch內，不同的DHC中的TEE節點可能會重疊，也可能有部分TEE節點沒有進入任何一個DHC而被閑置，這些情況都是被允許的，但RIngVRF在概率層面，會賦予每個TEE節點完全均等的機會。

總之，通過動態隱藏委會員機制，BOOLNetwork構建了一個牢不可破的黑箱。如果一個TEE節點處于工作狀態，任何人(包括節點運營者本人、其他節點、外部攻擊者)都無從知道該節點的運行狀態，該節點在哪一個DHC？與哪些其他節點在同一個DHC？進行了哪些共識通訊？簽名了哪些消息？都無從知曉。這就是前文所述的“不可知”、“不自知”。在這樣的前提下，只要BOOLNetwork網絡自身是安全的，那么每一個動態隱藏會員就是安全的。若要保證攻擊大概率成功，攻擊者必須掌握BOOLNetwork中的大多數節點。但由于運行在TEE中的程序是不可篡改的，攻擊者只能做到讓網絡宕機，無法盜取網絡中的資產。

如何評估一個跨鏈方案

盡管安全性是跨鏈橋最迫切要解決的問題，但安全性卻不是評價跨鏈橋的唯一標準。如果為了解決一個問題，創造了一個新的問題，那就不是在真正解決問題。

LayerBaseLabs很早就研究過各種基于輕客戶端的擴容方案，包括ZKClient的方案。ZKClient的基本原理是通過ZK技術給輕客戶端擴容，把區塊頭的驗證和對源鏈事件的SPV驗證放到鏈下，生成一個ZK證明提交到鏈上，鏈上僅需驗證該ZK證明即可等效于驗證區塊頭和源鏈事件，這種方案雖然足夠安全，但其鏈上的Gas消耗依舊高昂，其次，鏈下的ZK電路和鏈上的輕客戶端在工程實現上都比較復雜，這可能導致更容易出現代碼層面的漏洞，從而影響跨鏈橋的安全性。

此外，為了避免每一條鏈都必須部署其他所有鏈的輕客戶端，這種方案往往不得不引入一個中繼鏈(見下圖)，而中繼鏈的存在將使得原本一步可以完成的跨鏈消息傳遞過程不得不拆分成兩步，導致跨鏈消息傳遞的Latency(延遲)增加。

現在業內鼓吹ZKClient技術的人很多，甚至聲稱ZKClient是跨鏈橋的終極解。我們想說的是，技術不是用來作秀，更不是用來趕時髦的，而是用來真正解決問題的，ZKClient制造的問題遠比它解決的問題更多。

我們也研究了LayerZero的所謂的UltralLightClient方案，LayerZero將輕客戶端放到鏈下預言機里運行，從而解決鏈上Gas開銷的問題，但你把驗證的職責從目標鏈的驗證人手里移交給了鏈下預言機，那就不再是原生驗證，而是外部驗證，對鏈下預言機是有安全假設的。至于LayerZeroLabs的聲稱的：“Relayer和預言機相互獨立”的安全前提，在現實中根本不存在，L2BEATLabs的攻擊實驗已經證實了這一點。

我們也注意到了Nomad、Celer所采用的樂觀驗證方案，通過在外部驗證的基礎上，增加一個挑戰者的角色，可以成功的將m-of-n的安全性提升至1-of-n，這種方案雖然構思精巧，但代價是30min左右的延遲，這個延遲會導致該方案的適用范圍受限。

我們還發現AvalancheBridge的設計很酷，它采用TEE節點作為外部驗證者來驗證跨鏈事件，并通過極簡的合約設計實現了高效和廉價的跨鏈體驗。但我們也看到，AvalancheBridge盡管可以安全的保管私鑰，防范外部攻擊者，卻無法防范禍起蕭墻，也就是內部TEE節點之間的串謀攻擊。

最終，我們提出了當前的BOOLNetwork的動態隱藏委員會的方案，從安全角度講，可以做到防止外部黑客攻擊的同時，防止內部串謀，從性能和體驗方面，BOOLNetwork的跨鏈體驗沒有在外部驗證的基礎上做任何犧牲，與外部驗證橋保持同一水平。

評估一個跨鏈橋，我們認為應該在不可能三角的基礎上，擴充為六個方面進行綜合評估，分別是成本(Cost)、速度(Speed)、安全性(Security)、可用性(Liveness)、通用性(Generality)、可擴展性(Scarablity)。

成本：跨鏈的成本主要在于鏈上的Gas成本，BOOLNetwork的一次跨鏈消息驗證的費用實際上只有一個單次簽名的驗證，和外部驗證橋在同一水平；

速度：這里我們只評估跨鏈橋本身的Latency，不考慮鏈本身的最終性問題。在這點上，由于沒有多余的鏈上與鏈下計算，也沒有中繼鏈的設計(中繼鏈會導致冗余的二階驗證)，BOOLNetwork的跨鏈速度也可以達到極限水平；

安全性：我們已經充分探討了，BOOLNetwork可以做到外防攻擊、內防串謀。*

可用性：簡單來說就是別宕機。BOOLNework會讓每個DHC在創建時配備一個或多個備份DHC，以防止某個DHC內超過半數TEE節點離線時導致的可用性問題。

通用性：不僅要支持資產跨鏈，也要支持任意消息跨鏈，這點BOOLNetwork也滿足。

可擴展性：能否快速支持新鏈。BOOLNetwork僅需部署一組簡單的合約即可支持一條新鏈(1人月的開發工時即可完成)，現在我們已完成了對全部主流區塊鏈的支持。此外，BOOLNetwork不受鏈圖靈完備性的限制，可以在不增加新的信任假設的前提下，支持BTC等非圖靈完備的鏈。

可以說，BOOLnetwork是跨鏈橋中的六邊形戰士。

值得一提的是，BOOLNetwork的技術方案論文已經被密碼學領域的頂級期刊IEEETIFS收錄(鏈接)，這代表著密碼學界對BOOLNetwork技術方案的認可。

未來發展方向

BOOLNetwork目前提供的是一個安全的跨鏈橋搭建平臺，任何第三方都可以基于BoolNetwork創建全鏈應用。BOOLNetwork將成為全鏈應用最堅實的底層支撐。

我們換個視角看，BOOLNetwork本質上是搭建了一個去中心化的簽名機，該簽名機不止可以用于驗證鏈上的消息，也可以用于驗證鏈下的消息，這意味著BOOLNetwork會成為一個安全可靠的全鏈預言機。此外，BOOLNetwork搭建的去中心化TEE網絡，未來還可提供隱私計算服務。

Tags：BOOBOOLWORORKBitbook GamblingBOOL幣Data Delivery NetworkBellevue Network

芝麻開門交易所下載