作者：STANFORD BLOCKCHAIN CLUB. 编译：Cointime：QDD.

引言

未来是多链的。对可扩展性的追求将以太坊引向了滚动解决方案。转向模块化区块链重新引发了对应用链的关注。在地平线上，我们听到了应用特定滚动解决方案、第三层解决方案和主权链的传闻。但这一切都以碎片化为代价，当前的桥梁在功能上常常受到限制，并依赖于受信任的签名方来提供安全性。

互联网3.0中互连的最终形态会是什么样子？我们相信，桥梁最终会演变为跨链消息传递或“任意消息传递”（Arbitrary Message Passing，简称AMP）协议，以解锁新的用例，允许应用程序在源链和目标链之间传递任意消息。我们还将看到“信任机制景观”崛起，构建者在易用性、复杂性和安全性方面做出各种权衡。

每个AMP解决方案都需要两个关键能力：

1. 验证：在目标链上验证源链消息的有效性。

2. 存活性：从源链到目标链的信息传递能力。

不幸的是，100%无需信任的验证是不现实的，用户需要信任代码、博弈论、人类（或实体）或其组合，具体取决于验证是在链上还是链下进行的。

在本文中，我们将根据所使用的信任机制和集成架构，将整体互操作性景观进行垂直和水平划分。

信任机制：

1. 信任代码和数学：对于这些解决方案，存在着可以由任何人验证的链上证明。这些解决方案通常依赖于轻客户端，以验证源链在目标链上的共识或验证源链在目标链上的状态转换的有效性。通过零知识证明可以使轻客户端的验证更加高效，以压缩离线的任意长计算，并在链上提供简单的验证来证明计算。

2. 信任博弈论：当用户/应用程序必须信任第三方或一组第三方来保证交易的真实性时，就存在额外的信任假设。通过无许可网络结合经济激励和乐观安全等博弈论，可以使这些机制更加安全。

3. 信任人类：这些解决方案依赖于大多数验证者的诚实或传递不同信息实体的独立性。除了信任两个交互链的共识外，还需要对第三方的信任。这里只涉及参与实体的声誉。如果足够多的参与实体认为交易是有效的，那么它就被视为有效。

重要的是要注意，所有解决方案在一定程度上都需要对代码和人类的信任。任何有缺陷的代码解决方案都可能被黑客利用，并且每个解决方案在设置、升级或维护代码库时都有一定的人为因素。

集成架构：

1. 点对点模型：需要在每个源链和每个目标链之间建立专用通信渠道。

2. 中心枢纽模型：需要与中央枢纽建立通信渠道，该中央枢纽可连接所有与该枢纽连接的其他区块链。

点对点模型在规模化方面相对较困难，因为每个连接的区块链都需要成对的通信渠道。对于具有不同共识和框架的区块链来说，开发这些通道可能具有挑战性。然而，如果需要，可以采用混合方法，例如使用跨链通信协议（IBC）通过中心枢纽进行多跳路由，从而消除了直接点对点通信的需求，但在安全性、延迟和成本方面引入了更多的复杂性。

信任代码和数学

为了只依赖代码/数学进行信任假设，可以使用轻客户端来验证源链在目标链上的共识。轻客户端/节点是一种连接到完整节点以与区块链交互的软件。目标链上的轻客户端通常存储源链区块头（按顺序），这足以验证交易。类似地，源链上的离链代理（如中继器）监视事件，生成加密包含证明，并将它们与区块头一起转发到目标链上的轻客户端。由于轻客户端按顺序存储区块头，它们能够验证交易，因为每个区块头都包含用于证明状态的 Merkle 根哈希。以下是此方法的关键特点概述：

安全性

在轻客户端初始化过程中引入了信任假设。创建新轻客户端时，它会使用特定高度上的区块头进行初始化。然而，提供的区块头可能是错误的，有可能通过伪造的区块头来欺骗轻客户端。一旦轻客户端初始化完成，就不再引入进一步的信任假设。然而，值得注意的是，此初始化过程依赖于一种较弱的信任假设，因为任何人都可以进行验证。此外，中继器的连续性也是一个信任假设，因为它负责传输信息。

实现

轻客户端的实现取决于验证所需的密码学原语的可用性。如果连接的是同一类型的链，即它们共享相同的应用框架和共识算法，那么双方的轻客户端实现将是相同的。例如，所有基于 Cosmos SDK 的链都使用 Inter-Blockchain Communication（IBC）协议。另一方面，如果连接的是两种不同类型的链，如不同的应用框架或共识类型，则轻客户端的实现将有所不同。一个例子是 Composable Finance，它正在努力通过 IBC 实现 Cosmos SDK 链与 Polkadot 生态系统的 Substrate 的连接。这需要在 Substrate 链上添加 Tendermint 轻客户端，并在 Cosmos SDK 链上添加一个“强大”的轻客户端。最近，他们通过 IBC 在 Polkadot 和 Kusama 之间建立了第一个连接。

挑战

资源密集性是一个重大挑战。在所有链上运行成对的轻客户端可能很昂贵，因为区块链上的写入是昂贵的。此外，无法在具有动态验证者集的链上运行轻客户端，例如以太坊。

可扩展性是另一个挑战。轻客户端的实现基于链的架构而有所不同，这使得在规模化和连接不同生态系统时变得困难。

代码利用是一个潜在的风险，因为代码中的错误可能导致漏洞。一个例子是2022年10月的BNB链漏洞，揭示了影响所有启用IBC的链的关键安全漏洞[1]。

为了解决在所有链上运行成对的轻客户端的成本和实际性问题，替代方案如零知识（ZK）证明提供了一种消除对第三方信任的方法。

零知识证明作为对第三方信任的解决方案

可以利用ZK证明来验证源链上的状态转换在目标链上的有效性。与其在链上执行整个计算，不如只在链上执行计算的验证，而将实际计算过程放在链下进行。这种方法相比重新运行原始计算，可以更快速和更省气。一些例子包括 Polymer Labs 的 Polymer ZK-IBC 和 Succinct Labs 的 Telepathy。Polymer正在开发支持多跳的IBC，以增强连通性，并减少所需的成对连接数量。

该机制的关键方面包括：

安全性

zk-SNARKs的安全性依赖于椭圆曲线，而zk-STARKs依赖于哈希函数。zk-SNARKs可能需要一个可信的设置过程，其中创建用于验证中使用的证明的初始密钥。销毁设置事件的密钥保密是至关重要的，以防止通过伪造验证进行交易。一旦可信的设置完成，就不再引入进一步的信任假设。此外，新的ZK框架（如Halo和Halo2）完全消除了对可信设置的需求。

实现

存在各种ZK证明方案，如SNARK、STARK、VPD和SNARG，目前最广泛采用的是SNARK。不同的SNARK证明框架，如Groth16、Plonk、Marlin、Halo和Halo2，在证明大小、证明时间、验证时间、内存需求以及对可信设置的需求方面存在权衡。还出现了递归ZK证明，允许将证明工作负载分布在多台计算机上，而不是一台计算机上。为了生成有效性证明，必须实现以下核心原语：验证验证者使用的签名方案、将验证者公钥的证明包含在存储在链上的验证者集合承诺中，以及跟踪验证者集合，这些集合可能经常发生变化。

挑战

在zkSNARKs中实现各种签名方案需要实现域外算术和复杂的椭圆曲线运算，这并不简单，可能需要根据链的框架和共识为每个链实现不同的实现。审计ZK电路是一项具有挑战性和容易出错的任务。开发人员需要熟悉像Circom、Cairo和Noir这样的领域特定语言，或者直接自己实现电路，这两者都可能具有挑战性，并可能降低采用速度。如果证明时间和工作量非常高，只有具有专用硬件的专门团队可能能够处理，这可能导致集中化。更长的证明生成时间还会导致延迟。类似于增量可验证计算（IVC）的技术可以优化证明时间，但其中很多仍处于研究阶段，等待实施。更长的验证时间和工作量将增加链上的成本。

信任博弈理论

基于博弈理论的互操作性协议可以根据它们如何激励参与实体的诚实行为，大致分为两个类别：

第一类是经济安全，其中多个外部参与者（如验证者）合作达成对源链更新状态的共识。为了成为验证者，参与者需要质押一定数量的代币，如果发生恶意活动，代币可能会被削减。在无许可设置中，任何人都可以累积质押并成为验证者。此外，验证者遵循协议的经济激励以区块奖励的形式提供，确保对诚实行为的经济动机。然而，如果潜在的可盗取金额超过质押金额，参与者可能会串通起来窃取资金。使用经济安全机制的协议的例子有Axelar和Celer IM。

第二类是乐观安全，其中的解决方案基于只有少数区块链参与者是诚实的并遵循协议规则的假设。在这种方法中，单个诚实的参与者可以作为担保。例如，最优解决方案允许任何人提交欺诈证据。虽然有经济激励，但诚实的观察者可能会错过欺诈交易。乐观的 Roll-up 也采用了这种机制。Nomad和ChainLink CCIP是使用乐观安全的协议的例子。就Nomad而言，观察者能够证明欺诈，尽管他们在撰写本文时处于白名单状态。ChainLink CCIP计划利用由去中心化预言机网络组成的反欺诈网络来监视恶意活动，尽管CCIP的反欺诈网络的实施尚未可知。

安全性

就安全性而言，这两种机制都依赖于验证者和观察者的无许可参与，以确保博弈理论的有效性。在经济安全机制中，如果质押金额低于潜在的可盗取金额，资金更容易受到攻击。另一方面，在乐观安全机制中，如果没有人提交欺诈证据，或者权限观察者遭到破坏或删除，少数信任的假设可能会被利用。相比之下，经济安全机制在维护安全性方面不太依赖活跃性。

实施

就实施而言，一种方法涉及具有自己验证者的中间链。在这种设置中，一组外部验证者监视源链，并在检测到调用时达成对交易有效性的共识。一旦达成共识，他们会在目标链上提供证明。验证者通常需要质押一定数量的代币，如果检测到恶意活动，则可能会被削减。使用这种实施方法的协议的例子包括Axelar Network和Celer IM。

另一种实施方法涉及使用离链代理。离链代理用于实现类似乐观 Roll-up 的解决方案。在预定义的时间窗口内，这些离链代理被允许提交欺诈证据并在必要时撤销交易。例如，Nomad依赖于独立的离链代理来中继头部和密码学证明。另一方面，ChainLink CCIP计划利用其现有的预言机网络来监控和证明跨链交易。

优势和挑战

博弈论 AMP 的一个关键优势是资源优化，因为验证过程通常不发生在链上，从而降低资源需求。此外，这些机制具有可扩展性，因为共识机制对于各种类型的链保持不变，并且可以轻松扩展到异构区块链。

这些机制也面临一些挑战。如果大多数验证者串通一气，信任假设可能会被利用来窃取资金，这就需要使用二次投票和欺诈证据等对策。此外，基于乐观安全的解决方案在最终性和活跃性方面引入了复杂性，因为用户和应用程序需要等待欺诈窗口以确保交易的有效性。

信任人类

需要信任人类实体的解决方案也可以大致分为两个类别：

1. 声誉安全：这些解决方案依赖于多重签名实施，其中多个实体验证并签署交易。一旦达到最低阈值，交易被视为有效。这里的假设是大多数实体是诚实的，如果这些实体中的大多数在特定交易上签署，那么它就是有效的。其中一些例子包括Multichain（Anycall V6）和Wormhole。智能合约漏洞仍然有可能被利用，正如2022年初Wormhole的黑客攻击所证明的那样。

2. 独立性：这些解决方案将整个消息传递过程分为两个部分，并依赖不同的独立实体来管理这两个过程。这里的假设是这两个实体彼此独立，不会串通。LayerZero就是一个例子。块头可以由去中心化的预言机按需传输，交易证明通过中继器发送。如果证明与块头匹配，则交易被视为有效。虽然证明匹配依赖于代码/数学，但参与者需要相信这些实体能够保持独立。在LayerZero上构建的应用程序可以选择他们的预言机和中继器（或托管自己的预言机/中继器），从而限制了个别预言机/中继器串通的风险。最终用户需要相信LayerZero、第三方或应用程序本身是独立运行预言机和中继器，并且没有恶意意图。

在这两种方法中，参与的第三方实体的声誉会减少恶意行为的动机。它们通常是验证者和预言机社区中受人尊敬的实体，如果它们表现恶意，就会面临声誉后果和对其其他业务活动的负面影响。

超越信任假设：AMP 解决方案的其他考虑因素

在考虑 AMP 解决方案的安全性和可用性时，我们还需要考虑基本机制以外的细节。由于这些是可以随时间改变的移动部分，因此我们没有将它们包含在总体比较中。

代码完整性

最近的黑客攻击利用了代码错误，凸显了可靠的审计、漏洞赏金和多样化的客户端实现的需求。如果所有验证者（在经济/乐观/声誉安全中）运行相同的客户端（用于验证的软件），这将增加对单个代码库的依赖性，并降低客户端的多样性。例如，以太坊依赖于多个执行客户端，如geth、nethermind、erigon、besu、akula。多种语言的多个实现可能会增加多样性，没有任何客户端主导网络，从而消除潜在的单点故障。拥有多个客户端还可以帮助提高活跃性，如果少数验证者/签名者/轻客户端因特定实现中的漏洞/攻击而关闭，其他客户端仍然可用。

设置和可升级性

用户和开发者需要了解验证者/观察者是否可以以无许可的方式加入网络，否则信任将被选择的许可实体所隐藏。智能合约的升级也可能引入错误，从而导致攻击或甚至可能改变信任假设。可以实施不同的解决方案来减轻这些风险。例如，在当前的实例化中，Axelar 网关可以根据线下委员会的批准进行升级（4/8 阈值），然而，Axelar 在不久的将来计划要求所有验证者集体批准对网关的任何升级。Wormhole 的核心合约是可升级的，通过 Wormhole 的链上治理系统进行管理。LayerZero依赖于不可变的智能合约和不可变的库，以避免任何升级，但可以推出新的库，使用默认设置的 dApp 将获得更新的版本，手动设置版本的 dApp 需要将其设置为新版本。

最大可提取价值（MEV）

不同的区块链通过一个共同的时钟同步，并且具有不同的最终性时间。因此，目标链上的执行顺序和时间可能因链而异。在跨链世界中，对于 MEV 的明确定义是具有挑战性的。它在活跃性和执行顺序之间引入了权衡。有序的通道将确保消息的有序传递，但如果一个消息超时，通道将关闭。另一个应用程序可能更希望无需排序，但不会影响其他消息的传递。

源链最终性

理想情况下，AMP 解决方案应该在从源链传输状态信息到一个或多个目标链之前等待源链达到最终性。这将确保源链上的块几乎不可能被逆转或更改。然而，为了提供最佳的用户体验，许多解决方案提供即时的消息传递，并对最终性相关的信任假设。在这种情况下，如果源链在消息传递和桥接资金之后发生状态回滚，可能会出现资金被双重消费等情况。AMP 解决方案可以通过多种方法来管理此风险，例如对于不同的链使用不同的最终性假设，根据链的去中心化程度来权衡速度和安全性。利用 AMP 解决方案的桥接可以在源链达到最终性之前对可以桥接的资产数量设定限制。

趋势和未来展望

可定制和可增加的安全性

为了更好地满足不同的用例，AMP 解决方案受到激励以提供更多的开发灵活性。Axelar引入了一种方法，用于消息传递和验证的可升级性，而无需更改应用层逻辑。HyperLane V2引入了模块，允许开发者从经济安全、乐观安全、动态安全和混合安全等多个选择中进行选择。CelerIM除了经济安全外，还提供了额外的乐观安全。许多解决方案在传输消息之前会等待源链上的预定义最低区块确认数。LayerZero允许开发者更新这些参数。我们预计一些 AMP 解决方案将继续提供更多的灵活性，但这些设计选择需要一些讨论。应用程序是否能够配置其安全性，程度如何，以及如果应用程序采用次优设计架构会发生什么？用户对安全性背后基本概念的认识可能变得越来越重要。最终，我们预见 AMP 解决方案的聚合和抽象，可能以某种组合或“增加”的安全性形式。

"信任代码和数学"机制的成熟

在理想的最终目标中，所有跨链消息将通过使用零知识证明来最小化信任。我们已经看到了这种转变的出现，例如 Polymer Labs 和 Succinct Labs 等项目。Multichain 还发表了一个名为 zkRouter 的白皮书，通过 ZK 证明实现互操作性。随着最近宣布的 Axelar 虚拟机，开发者可以利用 Interchain Amplifier 来无需许可地建立与 Axelar 网络的新连接。例如，一旦强大的轻客户端和以太坊状态的 ZK 证明开发完成，开发者可以轻松地将它们集成到 Axelar 网络中，以替换或增强现有的连接。Celer Network 宣布了名为 Brevis 的 ZK 跨链数据证明平台，使 dApp 和智能合约能够访问、计算和利用多个区块链上的任意数据。Celer 利用 ZK 轻客户端电路实现了一个用户可见的资产 zkBridge，将以太坊 Goerli 和 BNB Chain 测试网之间进行桥接。LayerZero在其文档中谈到了将来添加新的优化证明消息库的可能性。像 Lagrange 这样的新项目正在探索从多个源链聚合多个证明的可能性，而 Herodotus 通过 ZK 证明使存储证明成为可能。然而，这种过渡需要时间，因为这种方法在依赖不同共识机制和框架的区块链之间很难扩展。

ZK 是一种相对较新和复杂的技术，难以审计，并且目前的验证和证明生成成本不是最优的。我们认为从长远来看，为了在区块链上支持高度可扩展的跨链应用程序，许多 AMP 解决方案可能会将可信的人类实体与可验证的软件结合起来，原因如下：

1. 通过审计和漏洞赏金，可以将代码利用的可能性降至最低。随着时间的推移，随着它们的历史作为安全性证明，信任这些系统将变得更容易。

2. 生成 ZK 证明的成本将会降低。随着对 ZKP、递归 ZK、证明聚合、折叠方案和专门硬件的更多研发，我们预计证明生成和验证的时间和成本将大幅降低，使其成为一种更具成本效益的方法。

3. 区块链将更加友好于 ZK。将来，zkEVM 将能够对执行的有效性提供简洁的证明，并且基于轻客户端的解决方案将能够轻松验证源链的执行和共识。在以太坊的最终阶段，还计划“将一切都转换为 zk-SNARK”，包括共识。

人类、声誉和身份证明

像 AMP 解决方案这样的复杂系统的安全性不能仅通过单一框架来封装，需要多层解决方案。例如，除了经济激励之外，Axelar 还实施了二次投票机制，以防止投票权力集中在节点子集中并促进去中心化。其他人类、声誉和身份的证明也可以补充设置和权限的机制。

结论

在 Web3 开放精神的基础上，我们可能会看到多种方法共存的未来。实际上，应用程序可以选择使用多个互操作性解决方案，要么是冗余方式，要么是允许用户在权衡的情况下混搭使用。点对点的解决方案可能在“高流量”路线之间优先考虑，而枢纽和辐射模型可能在链的长尾中占主导地位。最终，塑造互连的 Web3 的地貌取决于我们作为用户、构建者和贡献者的社区。