区块见闻 区块见闻
Ctrl+D收藏区块见闻
首页 > KuCoin > 正文

BRI:解析 Tokenbridge 工作原理及如何保证可靠性和安全性_RIDGE

作者:

时间:

前段时间,AxieInfinity的底层区块链网络RoninNetwork失窃6亿美金,直到用户无法从跨链桥RoninBridge提款后盗窃案才被发现。跨链桥的资产安全问题再次引发热议。

事后,SkyMavisCOOAlexsanderLarsen表示,“RoninBridge被攻击不是因为智能合约存在漏洞,而与社会工程和人为错误有关”。AxieInfinity的投资方AnimocaBrands联合创始人YatSiu曾在采访中提到,“如果一座桥梁能够铸造代币,那它就像铸造机一样……桥梁是权威,但如果它们设计不当或存在漏洞,就会对生态系统构成巨大风险。”

本文我们具体聊聊Tokenbridge的工作原理以及如何保证可靠性和安全性。

一、Tokenbridge的特性和模型

在ethereum生态中,tokenbridge允许用户在两条链上传输数据,并且提供了快速和安全的链接。tokenbridge作为主链和侧链之间的桥梁,对于资产和数据的转移起到了决定性的作用。

孙宇晨:计划在Curve上引入stUSDT池,共同保护去中心化生态系统:据官方消息,日前,去中心化交易平台(DEX) Curve Finance 遭受黑客攻击事件,引发了市场对整个去中心化金融领域(DeFi)的广泛担忧。对此,波场TRON创始人、火币Huobi全球顾问委员会成员孙宇晨在推特宣布,在 Curve 上引入 stUSDT 池,以帮助恢复其流动性。孙宇晨称,”作为坚定的合作伙伴,我们将继续致力于在需要时(为Curve)提供支持,以扩大用户利益。我们的目标是共同为社区赋能,打造去中心化的金融”。

昨日,孙宇晨就在推特上表态支持陷入危机中的Curve。他表示,“Curve 是区块链行业必不可少的 DeFi 基础设施。我们与受影响的团队和用户同在。作为一个社区,让我们支持并加强安全措施,保护我们的去中心化生态系统”。[2023/8/1 16:11:56]

1.链与网络的定义

Native:本地链是一个快速并且便宜的网络,所有收集validator的bridge操作都在native这一侧执行。

币安完成WOO Network(WOO)于Arbitrum One网络集成:金色财经报道,据官方消息,币安现已完成WOO Network(WOO)于Arbitrum One网络的集成,并开放WOO Network(WOO)代币于Arbitrum One网络的充值、提现业务。请在WOO Network(WOO)数字货币充值页面选择Arbitrum One网络 ,以取得WOO充值地址。[2023/7/4 22:16:57]

Foregin:这边可以是任何链,但通常是指以太坊的主网。

ERC20:在ERC20-ERC20bridge模式中,ERC667作为ERC20的实现可以在NativeSide端被创建和销毁。

2.BridgeModes

bridge可以被配置成多种网络方式。当前支持的方式包括Native-to-ERC20?模式,ERC20-to-ERC20模式,ERC20-to-Native模式和AMB模式。

ERC20toERC20:?兼容的ERC20token被锁在foreignnetwork,同时在native边创建erc20token;当从navtive向foregin转移时,erc677token被销毁,erc20token被unlock。

苏州将发放1亿元数字人民币购车补贴:金色财经报道,苏州市将于2023年6月1日-7月31日,面向全市开启“燃擎未来,惠动一夏——2023苏州汽车消费嘉年华”购车补贴活动,资金规模高达1亿元。购车价格(以机动车销售统一发票上含税价为准,下同)10万元(含)至30万元以内的,购车并审核通过后给予一次性3000元数字人民币补贴;30万元(含)以上的,购车并审核通过后给予一次性5000元数字人民币补贴。[2023/5/31 11:50:46]

ERC20toNative:coins被锁在foregin边,同时在native边创建erc20token。xDai用的是这种模式。

AMBBridge:在两个链之间可以传递任意的数据。例如,允许传输nfttoken以及它们的metadata。

3.Bridge?Components

bridge也包括一些组件,内容如下:

tokenbridge:监听事件,发送交易去授权资产传输;

声音 | ADVFN总裁:谷歌搜索指数表明比特币即将走出阴霾:据Bitcoinist报道,ADVFN总裁Clem Chambers近日表示:比特币投资者最艰难的时刻已经开始走向结束。他通过数据比对发现,谷歌上比特币的搜索指数明显高于特朗普和泰勒斯威夫特。他指出,最近四个月的观察显示,比特币的搜索量与数字货币的市场市值同步。比特币的谷歌搜索指数近期仍然在上升,这可能意味着某些机会。[2018/8/5]

bridgeuiapplication:在链之间传输tokens和coins的dappgui工具;

bridgemonitor:?检查余额和未处理的events的工具;

bridgedeploymentplaybooks:可选的playbook。对于远程部署,可以管理tokenbridge的配置;

bridgesmartcontract:管理bridge的validator,收集签名和确认资产传递和丢弃。

为了方便理解,我们看一个usercase:

分析 | 市场普跌 BTC走出独立行情:据TokenInsight 数据显示,反映区块链行业整体表现的TI指数北京时间7月24日9时报808.01点,较昨日同期上涨4.77点,涨幅0.59%。通用平台指数TIG报752.83点,较昨日同期下跌17.11点,跌幅2.22%。市值前十的通证仅BTC上涨。另据监测显示,BTC人气热度冷却,增速下跌至0.009%(昨日0.09%),官网流量较上周同期下降5.3%,全球转账数较上周同期小幅上升至20.6万(上周18.7万)。BCtrend分析师认为,BTC价格上涨速率高于人气上升速率约120%,短期调整需求加大。技术分析方面,独立分析师Tommy认为,市场普跌,BTC受潜在利好影响走出独立行情,然而始终没有站上7800美元。预计BTC本轮直接在此突破的概率很低,请投资者切勿追涨,注意风险。[2018/7/24]

这个ERC20-to-ERC20模式的tokenbridge,展现了用户如何在主链和侧链直接相互转账。具体流程如下:

1.用户通过交易所购买了需要的tokens;

2.用户把购买的token锁在foreginbridge的智能合约里面,同时这个event会通过tokenbridge进行传递,在nativebridgecontract中会创建erc677标准的token,同时发送到用户账号上;

3.用户通过sidechain提供的dapp,使用dapp;

4.用户想把sidechain的资产转移回主链,通过燃烧erc677的token,tokenbridge把消息传递到foreignbridgecontract,智能合约解锁token;

5.用户把解锁后的token,通过交易所卖掉。

tokenbridge的基本定义,概念,流程都介绍完成了,那么如何去管理一个tokenbridge呢?包括对于tokenbridge的升级,维护,配置等等。这里就需要介绍tokenbridge中的角色。

二、TokenBridgeRoles

tokenbridge上的管理员负责bridge的安全,升级和智能合约的部署。管理员的操作都是通过多签名来确保安全的。???

AdministrativeGroupsandRoles

管理员负责管理bridge的智能合约,并负责validator的管理。管理员分为以下三个组:

1.GroupA-负责管理validator的集合

添加或者删除validators;对于validators设置最小所需要的签名数量。?2.GroupB-负责管理bridge的参数

对于user和validators设置每日限制;设置每个transaction的min和max的限制;设置gasprice的fallback;设置终止阈值。?3.GroupC-管理升级

智能合约的升级;解锁funds。

ValidatorsRoles

提供100%的正常时间用于传递transactions;

在nativeside监听UserRequestForSignatures的事件,并签署一个批准对于传递的资产在foreignside;在nativeside监听CollectedSignatures。一旦收集到了足够的签名,传输所有收集到签名给foreginside;在foreignside监听UserRequestForAffirmationorTransfer事件并对于资产从foregin到native,发送一个准许给nativeside。validator的主要作用一方面是监听两边的时间,另外一方面对于交易的传递做校验和传递。

Ronin被盗事件中,攻击者就是通过控制验证节点的方式盗取资产。Ronin链有9个验证节点,存、取加密资产需要9个验证者签名中的5个。攻击者设法控制了SkyMavis的4个Ronin验证器,另一个被控制的是由AxieDAO运行的第三方验证器。SkyMavis是AxieInfinity的开发商。

了解了跨链桥的工作机制后,对于如何规避Ronin事件类似的跨链桥安全问题的再度发生,从社会工程的角度,我们有以下几点思考:

跨链桥项目要关注签名验证节点的安全性,确保敏感信息安全存储;如果跨链桥项目的签名是在线下进行的,网络必须更新签名的安全策略,关闭相关的服务模型,同时要考虑签名账户地址被泄漏的风险;验证签名不仅要采取多重签名的方式,还要确保多签事实上属于执行隔离,签名内容的验证过程必须独立进行。

UserRoles

这里就不做过多解释了,主要就是在主链和侧链之间发起资产传递的请求。

三、Component-Monitor

tokenbridgemonitor的主要作用是识别tokenbridgeoracle过程中出现的数据不一致和异常情况。monitor从tokenbridgecontract获取数据以及bridge中的transation,分析他们的健康状态,并通过Json的数据格式展现出来。

四、总结

我们从另外一个视角分享了sidechain和mainchain的关系,在两条链中资产和数据的传输是通过tokenbridge来保证的:

tokenbridge通过权限角色模型并借助多签的方式,管理bridge的角色和配置;validators负责两边transaction的确认和传输;monitor负责监控数据的一致性和异常情况。但是这也暴露了一个问题,tokenbridge的管理权限在admin手中,而admin使用是通过多签的方式保证安全的,是一种弱中心化的管理方式。所以,对于admin私钥安全性的管理就成为整个tokenbridge最核心的安全问题。

标签:IDGRIDGEBRIBRIDGEBridgeCoinPoly BridgeSkyBridgerBridge Network

KuCoin热门资讯
COIN:CoinGecko Q1 行业报告:DeFi 总市值下降 5.4%,只有跨链桥和衍生品增长_VCOIN

市场概况 总市场规模兜兜转转又回到年初,市值维持在1.9万亿美元FTMOKBUNI跌出前三十,FTTETCWAVES挤入,市场Q1交易量没啥波动前五币种平均跌幅9%,只有BTC.

NFT:一文读懂NFT借贷项目,孰优孰劣?_NFD

随着NFT生态情绪变得火热,涌现出大批优质项目,越来越多的人开始寻求在不出售NFT的情况下利用NFT,NFT借贷绝对是最近几周最火热的一个领域.

ETH:走出大厂,All in Web 3_NFTSOL价格

撰文&采访:0x5willows面对三月上旬中概股史无前例的一泻千里,纵是财大气粗的互联网大厂也坐不住了,Web2大厂频繁传出裁员消息.

NFT:Chainalysis报告:谁在持有和投资 NFT?_ECOIN

作为加密行业里最热门的一个垂直领域,NFT在2021年出现了爆炸性增长,随着进入2022年,整个市场开始趋于平稳.

LANC:Terra与Avalanche两大创始人对话:平行宇宙的交汇_WEB

当Terra这个庞大的金融帝国开始迅速向外扩张,原生Stablecoin的稳定性愈发重要。在宣布引入比特币作为UST储备金后,创始人DoKwon在4月8日宣布AVAX也将成为UST的储备金,同L.

PLOT:EARNCRAFT,一个真正去中心化的元界_PLOT币

什么是EARNCRAFT我的世界EARNCRAFT,是一款打金游戏。是第一款集成游戏内区块链交易的PlaytoEARN游戏,一个真正去中心化的元界,Earncraft是一个社区驱动的Minecr.