撰文:2077 Research 編譯:Glendon,Techub News
如果你尚未閱讀《如何使跨鏈代幣重新具有可互換性》系列的第一部分,建議優(yōu)先查閱——該部分詳細(xì)分析了跨鏈代幣失去可互換性的根本原因及其引發(fā)的系統(tǒng)性挑戰(zhàn)。在第二部分中,我們將聚焦 ERC-7281 這一創(chuàng)新標(biāo)準(zhǔn),該方案通過重構(gòu)跨鏈代幣轉(zhuǎn)移機(jī)制,增強(qiáng)可靠性,并為發(fā)行方提供更精細(xì)的治理權(quán)限。
前文已系統(tǒng)探討了多種解決跨鏈代幣可互換性問題的技術(shù)路徑,并解決非原生鏈上流通的原生代幣的非標(biāo)準(zhǔn)版本,所帶來的流動性碎片化和用戶體驗不佳的問題,具體包括:
通過標(biāo)準(zhǔn) Rollup/側(cè)鏈橋接協(xié)議在目標(biāo)鏈上鑄造原生代幣的標(biāo)準(zhǔn)版本;
依托第三方跨鏈服務(wù)在目標(biāo)鏈上生成原生代幣的標(biāo)準(zhǔn)版本;
由代幣發(fā)行方自主運(yùn)營的標(biāo)準(zhǔn)橋接服務(wù),在目標(biāo)鏈上實(shí)現(xiàn)標(biāo)準(zhǔn)跨鏈代幣鑄造。
上述方案均有其優(yōu)缺點(diǎn)。因此,ERC-7281 (又稱 xERC-20 )的設(shè)計哲學(xué)在于融合各個方案的優(yōu)勢,為期望實(shí)現(xiàn)跨鏈部署代幣的協(xié)議構(gòu)建更全面、高效且可擴(kuò)展的解決方案,并在保障安全性、主權(quán)完整與用戶體驗的情況下取得突破性平衡。
什么是 ERC-7281?ERC-7281:主權(quán)跨鏈代幣是一項提案,旨在創(chuàng)建代幣的標(biāo)準(zhǔn)版本,使它們能夠與不同跨鏈協(xié)議鑄造的代幣實(shí)現(xiàn)兼容與互換。該標(biāo)準(zhǔn)通過擴(kuò)展 ERC-20 接口引入以下核心功能:
鑄造和銷毀標(biāo)準(zhǔn) ERC-20 代幣的功能;
代幣持有者的治理權(quán)限:1.授權(quán)指定跨鏈橋提供商執(zhí)行跨鏈轉(zhuǎn)移時的代幣鑄造/銷毀操作;2.為每個授權(quán)的跨鏈橋提供商設(shè)置動態(tài)鑄造/銷毀限額(例如對中心化跨鏈設(shè)置較小的限制,為更安全的協(xié)議設(shè)置更高的限制)。
鑒于 ERC-7281 與 ERC-20 代幣標(biāo)準(zhǔn)存在細(xì)微的技術(shù)差異,標(biāo)準(zhǔn)制定者將其命名為「xERC-20」。想要系統(tǒng)性了解 ERC-20 代幣標(biāo)準(zhǔn)基礎(chǔ)架構(gòu)的讀者,可參閱 OpenZeppelin 發(fā)布的技術(shù)指南。
本質(zhì)上,每個 ERC-20 代幣合約通過實(shí)現(xiàn)標(biāo)準(zhǔn)接口管理全局代幣供應(yīng)量,記錄地址持倉數(shù)據(jù),同時包含代幣授權(quán)管理、流通總量查詢、地址余額獲取等基礎(chǔ)功能。
ERC-7281 代幣標(biāo)準(zhǔn)在 ERC-20 標(biāo)準(zhǔn)之上新增了一項可選的「Lockbox」合約模塊——作為封裝合約(功能類似于 WETH 合約),Lockbox 合約可以通過熟悉的鑄造和銷毀機(jī)制將傳統(tǒng) ERC-20 代幣轉(zhuǎn)換為 xERC-20 代幣版本。這一設(shè)計也使得 ERC-7281 能夠向后兼容缺乏銷毀/鑄造接口且不可升級的現(xiàn)有 ERC-20 代幣合約。
根據(jù)第一部分的分析框架,ERC-7281 可歸類為一種「信任代幣發(fā)行方+信任(獲批的)跨鏈橋提供商」的跨鏈代幣鑄造范式。其核心優(yōu)勢在于:
跨鏈部署的 ERC-7281 代幣完全由發(fā)行方控制(區(qū)別于多數(shù)需讓渡主權(quán)的跨鏈代幣方案)
發(fā)行方仍然面臨獲批跨鏈橋遭遇安全事故的風(fēng)險,但他們可通過手動選擇和限制授權(quán)跨鏈橋提供商來進(jìn)行管理。
本報告重點(diǎn)探討的關(guān)鍵突破在于:代幣發(fā)行方可對指定跨鏈橋提供商的鑄造/銷毀額度實(shí)施動態(tài)調(diào)控,從而精確校準(zhǔn)跨鏈安全事件的風(fēng)險暴露。此外,ERC-7281 支持多跨鏈橋提供商白名單機(jī)制,允許不同提供商跨鏈鑄造同一標(biāo)準(zhǔn)代幣,有效降低發(fā)行方對單個提供商的路徑依賴。
這兩個功能使 ERC-7281 相較于傳統(tǒng)方法有了顯著改進(jìn),有助于促進(jìn)協(xié)議代幣的跨鏈橋接,并對用戶、互操作性基礎(chǔ)設(shè)施提供商(尤其是聚合器)和應(yīng)用程序開發(fā)人員產(chǎn)生積極的二階效應(yīng)。下文將深入解析技術(shù)規(guī)范細(xì)節(jié),并系統(tǒng)評估實(shí)施 ERC-7281 的潛在優(yōu)勢與缺點(diǎn)。
根據(jù) ERC-7281 標(biāo)準(zhǔn),項目需部署符合「IXERC20 接口」的新型 ERC20 兼容代幣合約。跨鏈橋提供商在源鏈上銷毀用戶存入的代幣后,可在目標(biāo)鏈為其鑄造等量代幣。鑄造過程中,系統(tǒng)會檢查代幣數(shù)量是否超出該橋的鑄造限額,若通過驗證則更新代幣總供應(yīng)量及跨鏈橋鑄造限額。
對于現(xiàn)有的 ERC-20 代幣,我們需采用 Lockbox 邏輯:跨鏈橋提供商將用戶存入的 ERC-20 代幣轉(zhuǎn)移至 Lockbox 合約完成封裝,轉(zhuǎn)化為 xERC-20 代幣。Lockbox 隨后授權(quán)提供商鑄造等量的 xERC-20 代幣。
目標(biāo)鏈上的橋鑄造的 xERC-20 代幣使用「burn() 函數(shù)」在源鏈上銷毀,此過程確保代幣銷毀數(shù)量不超過橋的銷毀限制。橋的傳輸層將銷毀消息中繼到目標(biāo)鏈,目標(biāo)鏈的跨鏈橋合約驗證消息后并向該鏈上的用戶地址鑄造等量的 xERC-20 代幣。
反之,為了將代幣跨鏈回源鏈,跨鏈橋提供商會在目標(biāo)鏈上銷毀 xERC-20 代幣,并提供用戶的地址和代幣數(shù)量。銷毀收據(jù)由傳輸層中繼到源鏈。如果銷毀消息得到驗證,跨鏈橋提供商會在源鏈上為用戶執(zhí)行 xERC-20 代幣的鑄造與銷毀操作。待代幣合約確認(rèn)銷毀憑證,用戶即可取回原始 ERC-20 代幣。源鏈銷毀操作同步減少代幣總供應(yīng)量及跨鏈橋銷毀限額。
重點(diǎn)是,xERC-20 合約在技術(shù)層面支持無需憑證驗證的鑄造操作。雖然本文描述的是標(biāo)準(zhǔn)驗證流程,但代幣發(fā)行方可自主選擇是否將未實(shí)施跨鏈消息驗證或采用新型驗證機(jī)制的跨鏈橋納入白名單。最終決策權(quán)取決于發(fā)行方的風(fēng)險承受能力。
setBridgeLimits 函數(shù)是一個受保護(hù)的函數(shù),僅代幣合約所有者可調(diào)用。此函數(shù)允許設(shè)置橋接合約的地址,并指定跨鏈橋可以為用戶鑄造限制(mintingLimit)和銷毀限制(burningLimit)的最大代幣數(shù)量。所有者可動態(tài)調(diào)整限制,靈活應(yīng)對跨鏈橋提供商的安全態(tài)勢變化。例如:
當(dāng)發(fā)現(xiàn)跨鏈橋的基礎(chǔ)設(shè)施存在漏洞時,可調(diào)低 mintingLimit 以控制風(fēng)險敞口;
相反,若跨鏈橋方完成安全升級,則可提升鑄造限額。
xERC-20 標(biāo)準(zhǔn)還包括檢查獲準(zhǔn)處理代幣的跨鏈橋的銷毀和鑄造限制的功能。「mintingMaxLimitOf」返回跨鏈橋可以鑄造的最大代幣數(shù)量,而「burningMaxLimit」則返回跨鏈橋在指定時間內(nèi)可以銷毀的最大代幣數(shù)量。此外,這些函數(shù)還顯示跨鏈橋在達(dá)到預(yù)設(shè)限制之前可以銷毀和鑄造的剩余代幣數(shù)量。
該設(shè)計對跨鏈橋聚合器至關(guān)重要——若某跨鏈橋在源鏈/目標(biāo)鏈觸及銷毀或鑄造限額,將導(dǎo)致交易延遲甚至失敗。因此,聚合器傾向于將請求路由到可用限額充足且支持目標(biāo)交易量的跨鏈橋上。
xERC-20 代幣接口標(biāo)準(zhǔn)中定義的「Bridge」結(jié)構(gòu)體包含「burningParams」與「mintingParams」(xERC-20 代幣速率限制函數(shù)的參數(shù)控制橋接器在預(yù)定義時間內(nèi)可以銷毀和鑄造多少個代幣)。「maxLimit」定義代幣鑄造和銷毀的最大限制,并以預(yù)定義的速率(ratePerSecond)每秒增加。
此處我們要解決一個可能引起混淆的問題:「maxLimit」(為銷毀和鑄造限制設(shè)置)是在特定時間范圍內(nèi)對鑄造和銷毀操作的限制,即在預(yù)設(shè)時間窗口內(nèi)根據(jù)預(yù)定義閾值限制鑄造和銷毀的速率限制。「currentLimit」定義跨鏈橋可以鑄造或銷毀多少,并以預(yù)定義的速率增加。相比之下,「maxLimit」定義跨鏈橋每天可以鑄造或銷毀代幣的數(shù)量。
銷毀和鑄造參數(shù)主要與代幣所有者相關(guān)(與跨鏈橋提供商關(guān)系較小)。但是,最大和當(dāng)前限制參數(shù)對于用戶和跨鏈橋提供商而言都是重要的考慮因素。例如,當(dāng)前限制可能會影響用戶在多大程度上可以放心地使用跨鏈協(xié)議橋接,而不會在目標(biāo)鏈接收 xERC-20 代幣時遇到延遲。
初始的 ERC-20 代幣未指定增加和減少代幣供應(yīng)的功能(早期代幣經(jīng)濟(jì)學(xué)多采用固定總量模型)。因此,并非每個 ERC-20 代幣都具有鑄造和銷毀功能。由于 ERC-7281 使用了當(dāng)前大多數(shù)跨鏈橋青睞的鑄造和銷毀機(jī)制,所以需要通過 Lockbox 與 ERC-20 代幣實(shí)現(xiàn)向后兼容。
在原始標(biāo)準(zhǔn)中(即項目部署實(shí)現(xiàn) IXERC20 接口的新代幣合約),跨鏈橋提供商只需調(diào)用 mint() 即可在目標(biāo)鏈上為用戶鑄造代幣(在源鏈上鎖定存款后)。 Lockbox 合約借鑒 WETH 封裝合約設(shè)計,它實(shí)現(xiàn)了一個 deposit() 函數(shù),用于將相應(yīng)的 ERC-20 代幣存入 Lockbox,并實(shí)現(xiàn)了一個 withdraw() 函數(shù),用于跨鏈橋提供商在遠(yuǎn)程鏈上銷毀包裝代幣后解鎖 ERC-20 代幣。
這一標(biāo)準(zhǔn)中重點(diǎn)介紹的前兩種錯誤類型(「IXERC-20Lockbox_NotNative」和「IXERC-20Lockbox_Native」)發(fā)生在用戶嘗試將代幣存入錯誤的 Lockbox 合約時。Lockbox 可以是原生的(也可以是非原生的),具體取決于它支持的代幣類型。
原生 Lockbox 保管原生代幣,即用于向驗證者支付 Gas 費(fèi)用的代幣。具有原生 Lockbox 以將其包裝成 xERC-20 代幣的代幣典型示例是 ETH:將 ETH 包裝成 xERC-20 代幣需要調(diào)用 Lockbox 的 depositNative() 函數(shù)并存入 ETH 以接收與 ERC 7281 兼容的 ETH 代幣版本。
非原生 Lockbox 可以保管 ERC-20 代幣,如 USDC、DAI、WETH、USDT 等。例如,要將 USDC 鑄造為 xERC-20 代幣,用戶需要在鎖定 USDC 后在 Lockbox 合約上調(diào)用 deposit()。使用 ETH 調(diào)用 deposit() 會導(dǎo)致這些資金被永久鎖定,因為非原生 Lockbox 合約只能包裝和解包 ERC-20 代幣。此外,使用 ERC-20 代幣調(diào)用 depositNative() 會產(chǎn)生類似的結(jié)果,因為原生 Lockbox 合約旨在使用原生代幣,而不是 ERC-20 代幣。
如此一來,通過將標(biāo)準(zhǔn)的 ERC-20 代幣包裝成具有鑄幣/銷毀支持的 xERC-20 代幣,Lockbox 為標(biāo)準(zhǔn)提供了重要的兼容性層。但是,在某些情況下,例如將其他跨鏈解決方案集成到 xERC-20 中,僅使用 Lockbox 并返回包裝的代幣是不可行的。由于這個原因,項目可能會實(shí)施適配器合約。
如果跨鏈協(xié)議無法識別 xERC?20 代幣固有的操作(鑄造/銷毀、事件日志記錄等),則應(yīng)用層可以構(gòu)建適配器合約。這些合約可充當(dāng)自動包裝器和解包器,有效地將 ERC?20 批準(zhǔn) + 調(diào)用(call)行為轉(zhuǎn)換為 xERC?20 標(biāo)準(zhǔn)所需的更細(xì)致的鑄造/銷毀方案。
這是必要的,因為許多跨鏈協(xié)議(例如 Chainlink 的 CCIP)仍然針對傳統(tǒng)的 ERC?20 行為進(jìn)行了優(yōu)化。適配器合約可以通過實(shí)現(xiàn)以下邏輯來彌補(bǔ)這種兼容性差距:它將代幣存入 Lockbox 以在源鏈上生成 xERC?20 版本,然后在目標(biāo)鏈上收到消息后,觸發(fā)退出機(jī)制以恢復(fù)為標(biāo)準(zhǔn)資產(chǎn)。
這一流程確保了用戶最終收到的是一致的標(biāo)準(zhǔn)代幣,而不會受到 xERC-20 底層支持的封裝機(jī)制的影響。這樣一來,適配器可以使協(xié)議與非 xERC-20 標(biāo)準(zhǔn)的跨鏈橋無縫集成,并增加它們支持的可互操作解決方案的范圍。
從總體上看,ERC-7281 有四大目標(biāo):
1.可互換性:將代幣從其原生鏈橋接到另一條(L1/L2)鏈的用戶,應(yīng)始終在目標(biāo)鏈上收到跨鏈代幣的標(biāo)準(zhǔn)版本。出于前面解釋的原因(例如流動性分散和代幣可組合性差),在非原生鏈中流通同一代幣的多個非可互換版本是有問題的。創(chuàng)建 ERC-20 標(biāo)準(zhǔn)的最初愿景是確保以太坊上的代幣,在應(yīng)用和以太坊基礎(chǔ)設(shè)施之間具有可互換性和無縫互操作性。然而,在采用以 rollup 為中心的擴(kuò)展路線圖后,出現(xiàn)了缺乏原子可組合性的問題,并且許多不同域的創(chuàng)建降低了這些可互換性屬性。xERC-20 允許將各種跨 rollup 橋的流動性聚合為統(tǒng)一的多 rollup 代幣標(biāo)準(zhǔn),從而恢復(fù)以太坊的初始愿景。
2.安全性:為了降低交易對手風(fēng)險,代幣發(fā)行方需具備自主選擇權(quán),基于對跨鏈橋提供商安全基礎(chǔ)設(shè)施的評估,擇優(yōu)接入多個提供商。同時,發(fā)行方需建立有效風(fēng)險隔離機(jī)制——當(dāng)部分橋接服務(wù)商遭遇安全事件時,其影響范圍應(yīng)被嚴(yán)格限制,避免單一攻擊導(dǎo)致協(xié)議總鎖倉價值(TVL)全面崩盤。
3.零流動性依賴的跨鏈代幣冷啟動:協(xié)議 DAO 不應(yīng)被迫將大量(資金)資源用于引導(dǎo)跨鏈代幣的流動性,作為多鏈擴(kuò)展計劃的一部分。基于流動性的跨鏈不僅不利于用戶體驗,而且隨著支持鏈數(shù)量的迅速增加,項目方在流動性提供激勵方面的支出可能變得不可行。
4.代幣發(fā)行方的主權(quán)控制:發(fā)行方應(yīng)繼續(xù)控制在非原生鏈上鑄造的協(xié)議代幣的標(biāo)準(zhǔn)版本。解決不可替代跨鏈代幣的問題,不應(yīng)以讓渡代幣控制權(quán)為代價(尤其是控制總供應(yīng)量,配置鑄造和銷毀機(jī)制等管理方面)。
接下來,我們將進(jìn)一步擴(kuò)展這些目標(biāo),以了解 ERC-7281 為協(xié)議和社區(qū)帶來了哪些好處。
ERC-7281 解決了各種路徑依賴問題。路徑依賴可以是特定于鏈的(例如,從以太坊跨鏈到 Arbitrum 再跨鏈到 Optimism 的 ETH,與從以太坊跨鏈到 Optimism 再跨鏈到 Arbitrum 的 ETH 存在差異),或特定于橋的(例如,通過 Celer 從以太坊跨鏈到 Optimism 的 ETH,與通過 Connext 從以太坊跨鏈到 Optimism 的 ETH 也不相同)。
路徑依賴雖具有安全價值,但嚴(yán)重?fù)p害跨鏈用戶體驗與可組合性。以跨鏈 DEX 場景為例,用戶若需向 Optimism 和 Arbitrum 的流動性池同時注資,將因鏈間資產(chǎn)表征差異(如 opETH 與 arbETH)而無法實(shí)現(xiàn)自動化操作。
ERC-7281 通過引入 xERC-20 代幣 徹底消除該問題。無論用戶跨鏈次數(shù)或使用何種跨鏈橋提供商,xERC-20 始終保持可互換特性。例如:
用戶無需撤回至以太坊鏈,即可將 Arbitrum 的封裝 USDT 轉(zhuǎn)移至 Optimism;
跨鏈橋提供商銷毀 Arbitrum 鏈的 xERC-20 代幣后,可以在 Optimism 鑄造等量代幣;
目標(biāo)鏈代幣價值始終錨定 Lockbox 內(nèi)的原生資產(chǎn)儲備,維持 1:1 剛性兌付。
值得注意的是,ERC-7281 實(shí)現(xiàn)了類似 Circle CCTP(跨鏈傳輸協(xié)議)的標(biāo)準(zhǔn)代幣部署優(yōu)勢,卻無需協(xié)議方集中托管跨鏈資產(chǎn)。其核心價值在于:
流動性聚合:圍繞協(xié)議代幣的標(biāo)準(zhǔn)版本形成統(tǒng)一市場,提升 DeFi 應(yīng)用效用;
運(yùn)營成本削減:避免為同一資產(chǎn)的不同版本創(chuàng)建分割化市場。
xERC-20 被稱為「主權(quán)跨鏈代幣」,因為代幣發(fā)行方不必鎖定使用特定選項來鑄造代幣的標(biāo)準(zhǔn)版本,并在跨鏈部署中保留對跨鏈代幣設(shè)計和管理的控制權(quán)。ERC-7281 是「通過第三方橋鑄造標(biāo)準(zhǔn)代幣」與「通過代幣發(fā)行方控制的橋鑄造標(biāo)準(zhǔn)代幣」之間的混合體,它將主權(quán)、用戶體驗和去中心化相結(jié)合。
使用 ERC-7281 跨鏈部署代幣的項目,可以通過多個橋鑄造原生代幣的標(biāo)準(zhǔn)版本,而不會遇到同一原生資產(chǎn)的不可互換包裝版本,導(dǎo)致用戶體驗受損的問題。此類項目還保留了與代幣發(fā)行者類似的對代幣跨鏈部署的控制級別,代幣發(fā)行者運(yùn)行內(nèi)部基礎(chǔ)設(shè)施來管理域之間標(biāo)準(zhǔn)代幣的轉(zhuǎn)移,因為 xERC-20 代幣合約和 Lockbox(跨鏈橋用于為用戶鎖定、鑄造和銷毀代幣)由項目部署和控制。
這一被低估的功能,在某一知名項目在其主鏈上發(fā)行原生代幣的情況下非常有用,尤其是當(dāng)來自其他生態(tài)系統(tǒng)的用戶出于不同原因希望接觸該代幣,但不想在其原生鏈上持有時。
在這一情況下,該項目沒有能力或意愿為每條鏈運(yùn)行內(nèi)部跨鏈基礎(chǔ)設(shè)施,以確保跨鏈代幣之間 1:1 的兼容性,也不想將其代幣的控制權(quán)交給不一定與協(xié)議及其社區(qū)保持一致的第三方。而在實(shí)施跨鏈治理時,這種情況會成為一個考慮因素,允許使用跨鏈代幣進(jìn)行投票,同時在原生鏈上進(jìn)行投票統(tǒng)計;擁有跨鏈代幣控制權(quán)的非一致跨鏈橋提供商成為協(xié)議治理的瓶頸。
出于上述原因,收益耕作協(xié)議 Beefy 采用了 xERC-20 標(biāo)準(zhǔn)。正如該項目的跨鏈橋文檔所述,ERC-7281 為該項目提供了更多跨鏈代幣選項(在主要跨鏈橋合作伙伴遭受黑客攻擊后,這一選項變得必不可少),并提供了對跨鏈機(jī)制設(shè)計的更精細(xì)控制。在 Beefy 的案例中,ERC-7281 的白名單功能使該協(xié)議能夠選擇各種跨鏈合作伙伴,并在橋接 mooBIFI 代幣時為用戶提供在速度、去中心化、成本和安全性方面進(jìn)行優(yōu)化的不同選項。
基于流動性的橋通常青睞于有財務(wù)能力為流動性激勵提供資金的項目——由于代幣發(fā)行方希望在流動性提供者(LP)激勵上花費(fèi)較少,并提供不錯的跨鏈橋用戶體驗,因此流動性對于使用標(biāo)準(zhǔn) L1/L2 橋接的協(xié)議來說成為最關(guān)鍵的因素。這也延伸到跨鏈橋聚合器對跨鏈橋提供商的選擇,可以說這使得新的跨鏈服務(wù)(即使那些擁有安全基礎(chǔ)設(shè)施的服務(wù))更難與更成熟的跨鏈協(xié)議競爭。
ERC-7281 通過消除基于流動性的跨鏈需求來解決這個問題。無需鑄造和將非標(biāo)準(zhǔn)代幣兌換為標(biāo)準(zhǔn)代幣,任何規(guī)模的橋都可以被批準(zhǔn)在目標(biāo)鏈上鑄造項目的代幣。由于代幣發(fā)行方希望最大限度地減少跨鏈?zhǔn)〉娘L(fēng)險,因此更多協(xié)議可能會開始更加關(guān)注跨鏈橋的安全性設(shè)計,而不是優(yōu)先關(guān)注流動性。
這激勵了開放競爭,因為它變成了「讓最安全的橋獲勝」而不是「讓流動性最強(qiáng)的橋獲勝」的情況;這種開放競爭可以采取跨鏈橋在流動性/安全性之外的其他功能上進(jìn)行競爭的形式(例如費(fèi)用、API/SDK、應(yīng)用集成等)。這些功能從一開始就更容易融入應(yīng)用程序,因為它們主要取決于開發(fā)團(tuán)隊的專業(yè)知識;相比之下,流動性和跨鏈數(shù)量更難啟動,需要業(yè)務(wù)發(fā)展、資金、行業(yè)聯(lián)系、營銷等多種因素的結(jié)合。
ERC-7281 引入了代幣鑄造和銷毀的可配置速率限制,這極大改善了與非原生鏈上鑄造標(biāo)準(zhǔn)代幣的第三方跨鏈協(xié)議合作的風(fēng)險狀況。若合作跨鏈橋提供商遭遇黑客攻擊或入侵,攻擊者所能造成的最大損害相當(dāng)于受損橋的限制額度。如果代幣發(fā)行者謹(jǐn)慎選擇速率限制參數(shù),對某一跨鏈橋的孤立攻擊,對于協(xié)議償付能力的影響可能降至最低。
此外,為每個跨鏈橋配置速率限制還可以改善協(xié)議 DAO 的風(fēng)險評估過程。采用 ERC-7281 使風(fēng)險評估更具動態(tài)性。項目仍需對跨鏈橋提供商進(jìn)行盡職調(diào)查,以選擇合適的速率限制屬性;然而,風(fēng)險評估時間線可以縮短。項目方無需花費(fèi)數(shù)月時間分析多個跨鏈橋以選擇一個,而是可以選擇多個跨鏈橋提供商,并根據(jù)安全評估設(shè)置不同的鑄造限制。然后,代幣發(fā)行方可以進(jìn)行安全審查,以確定是否增加或減少選定跨鏈橋合作伙伴的鑄造限制,或從某一跨鏈橋撤回鑄造權(quán)(例如,作為對黑客攻擊或漏洞披露的回應(yīng))。
ERC-7281 還降低了那些希望采用跨鏈橋安全技術(shù),但又不愿完全采用某項技術(shù)的項目所面臨的阻礙,除非該技術(shù)經(jīng)過實(shí)戰(zhàn)測試并被社區(qū)嚴(yán)格審查(即創(chuàng)新者的困境)。假設(shè)跨鏈橋提供商提出了一種據(jù)稱可以大大改善安全保障的新基礎(chǔ)設(shè)施。在這種情況下,協(xié)議可以通過為橋分配有限的鑄幣權(quán)并隨著對擬議系統(tǒng)設(shè)計信心的增強(qiáng),而逐步增加橋的鑄幣限額來進(jìn)行「試水」。
就像消除流動性相關(guān)的擔(dān)憂一樣,在分配鑄幣權(quán)之前,消除協(xié)議對跨鏈橋技術(shù)堆棧 100% 信任的需要,可以在新進(jìn)入者和老玩家之間創(chuàng)造平等的競爭——老玩家有動力迭代更好的安全方法,因為代幣發(fā)行方現(xiàn)在可以靈活地撤回鑄幣權(quán)并重新分配給較小的項目,而后者則表現(xiàn)出對安全和去中心化的更高承諾。
同時,這也消除了與第三方跨鏈橋合作的協(xié)議面臨的另一個風(fēng)險因素:盡管跨鏈橋安全中的漏洞和問題,被披露和發(fā)現(xiàn)的速度很快,但選定的跨鏈橋提供商仍可能停止在安全方面進(jìn)行創(chuàng)新,因為它知道代幣發(fā)行方無法執(zhí)行懲罰措施(例如,快速遷移到另一個跨鏈橋提供商),執(zhí)行此類活動的難度很大。
由于基于流動性的橋接定價不可預(yù)測,今天構(gòu)建需要將代幣通過任意數(shù)量的鏈進(jìn)行路由的復(fù)雜應(yīng)用工作流程十分困難。例如,一個從以太坊(Ethereum)→Linea→Base的橋接聚合器有兩個選擇:
由于基于流動性的跨鏈橋定價不可預(yù)測,如今構(gòu)建需要通過任意數(shù)量的鏈路由代幣的復(fù)雜應(yīng)用工作流程非常困難。例如,從以太坊 → Linea → Base 的跨鏈橋聚合器有兩個選項:
設(shè)置滑點(diǎn)容忍參數(shù),并根據(jù)用戶在每條鏈上將收到的最小代幣數(shù)量(取決于跨鏈消息到達(dá)每層時可用的流動性數(shù)量)執(zhí)行跨鏈路由定價;
不設(shè)置滑點(diǎn)容忍參數(shù),如果一條或多條鏈上收到的代幣數(shù)量低于預(yù)期數(shù)量,則創(chuàng)建邏輯以獲取鏈上流動性(例如通過 DEX)。
相比之下,通過檢查允許鑄造特定代幣的跨鏈橋的 mintingLimit 和 burningLimit,橋聚合器可以預(yù)先知道跨鏈交易中每個域中應(yīng)該有多少代幣。
誠然,在交易廣播和交易到達(dá)某一域之間的時間段內(nèi),跨鏈橋可能會達(dá)到 maxLimit ——這意味著用戶無法在目標(biāo)鏈上收到標(biāo)準(zhǔn)代幣。但出于以下原因,ERC-7281 在這方面仍然是一種改進(jìn):
如果跨鏈橋提供商在交易進(jìn)行過程中達(dá)到 mintingLimit,則跨鏈交易將被暫停,并在速率限制參數(shù)調(diào)整后重試。與當(dāng)今的流動性橋不同,用戶不會收到標(biāo)準(zhǔn)代幣的專有包裝版本。
跨鏈橋聚合器對于跨鏈交易何時執(zhí)行,以及預(yù)期代幣數(shù)量具有更高的可預(yù)測性。由于 mintingLimit 和 burningLimit 配置為使用區(qū)塊作為時間度量(如速率限制參數(shù)部分所示),因此很容易計算跨鏈橋何時會再次開始鑄造和銷毀代幣;相較之下,預(yù)測跨鏈橋中的流動性何時會增加則無異于玩「俄羅斯輪盤賭」。
流動性的不可預(yù)測變化也意味著重試跨鏈交易定價的不可預(yù)測性。假設(shè)一個跨鏈橋聚合器(或另一個應(yīng)用)根據(jù)跨鏈橋流動性池中代幣對的當(dāng)前價格(此價格基于總池流動性)對跨鏈交換進(jìn)行報價。然而,由于池流動性急劇下降,交易無法執(zhí)行。假設(shè)交易被暫停并在稍后重試。在這種情況下,應(yīng)用開發(fā)人員無法知道先前的報價是否仍然準(zhǔn)確,或者流動性是否會達(dá)到用戶首次提交交易時的相同水平。
而跨鏈 xERC-20 代幣不受流動性變動的影響,因此用戶可以確信跨鏈交易不會產(chǎn)生滑點(diǎn)——即使它們不會立即執(zhí)行。
跨鏈橋聚合器并不是唯一從這種可組合性改進(jìn)中受益的聚合器;任何跨鏈應(yīng)用程序都可以利用 xERC-20 代幣的可互換性來創(chuàng)建更吸引人的應(yīng)用程序。
而由于路徑依賴問題,目前想要實(shí)現(xiàn)這一點(diǎn)并不容易。假設(shè)開發(fā)人員希望從以太坊跨鏈 ETH,在 Arbitrum DEX 上開設(shè)借貸頭寸,并使用利潤在 Optimism 上購買 NFT,然后再跨鏈回以太坊。在此過程中,開發(fā)人員必須確保與這些鏈上的跨鏈橋提供商集成,因為用戶無法輕松地交換專有版本。而當(dāng)項目采用 xERC-20 后其跨鏈代幣具有可替代性,情況就發(fā)生變化了。
此工作流程與前面描述的代幣發(fā)行方跨鏈橋類似,以 Circle CCTP 為例:
Circle 的跨鏈傳輸協(xié)議讓用戶可以擁有統(tǒng)一的、標(biāo)準(zhǔn)的 USDC 代幣版本,而不會被困在不同鏈的生態(tài)系統(tǒng)中。所有跨鏈傳輸都通過其協(xié)議使用銷毀和鑄造方案進(jìn)行處理。
不過,CCTP 是一個中心化協(xié)議,Circle 的運(yùn)營商是唯一被授權(quán)銷毀和鑄造其 USDC 代幣的實(shí)體,但 xERC-20 卻可以通過允許具有各種安全機(jī)制的多個實(shí)體操作跨鏈傳輸來消除信任風(fēng)險。
ERC-7281 還可以加速以太坊以 rollup 為中心的路線圖,讓項目有信心在新型 EVM L2 上部署代幣,而這些新的 EVM L2 可能缺乏現(xiàn)有 L2 鏈的強(qiáng)大安全性。例如,第 0 階段 rollup 的標(biāo)準(zhǔn)橋不太安全,因為以太坊 L1 不保證橋的安全性。代幣項目可以通過向標(biāo)準(zhǔn)橋授予有限的鑄幣權(quán)并在 rollup 進(jìn)入第 1 階段后增加鑄幣限制,來逐步向此類鏈進(jìn)行部署。
此過程可以持續(xù)到 L2 達(dá)到第 2 階段(rollup 的去中心化和安全性達(dá)到最高階段)。通過這種機(jī)制,協(xié)議可以以風(fēng)險最小化的方式部署在新推出的鏈上,這有利于以太坊生態(tài)系統(tǒng),因為它使新的 L2 更容易引導(dǎo)代幣流動性和應(yīng)用程序,同時鼓勵項目方在 rollup 設(shè)計領(lǐng)域進(jìn)行更多創(chuàng)新。
雖然 ERC-7281 對于協(xié)議而言極具吸引力,但 DAO 可能會因為管理 xERC-20 代幣而產(chǎn)生的巨大運(yùn)營成本而猶豫是否采用。DAO 項目團(tuán)隊必須承擔(dān)大量的運(yùn)營開銷來管理各種部署中的 xERC-20 代幣。
Gerard Persoon 在《管理大量鏈上的跨鏈代幣》一文中列出了從 ERC-20 遷移到 xERC-20 后,協(xié)議必須執(zhí)行的一次性和重復(fù)性任務(wù)的不完整清單:
一個提議的解決方案是,DAO 將與管理跨鏈 xERC-20 代幣相關(guān)的一些任務(wù)外包給第三方服務(wù),但這僅僅是在一種人力資源成本與雇用服務(wù)成本之間進(jìn)行權(quán)衡。
假設(shè)一個協(xié)議之前使用內(nèi)部基礎(chǔ)設(shè)施管理跨鏈代幣(例如,為每條鏈部署單獨(dú)的代幣合約,并控制鑄造和銷毀)。在這種情況下,ERC-7281似乎并不是一個根本性的改變。然而,那些習(xí)慣于將核心跨鏈基礎(chǔ)設(shè)施的管理外包給跨鏈橋開發(fā)團(tuán)隊的項目會發(fā)現(xiàn),額外的工作量令人擔(dān)憂。
管理 xERC-20 代幣會給協(xié)議和社區(qū)成員帶來不可忽視的管理成本增加。例如,跨鏈橋限制需要積極監(jiān)控和評估跨鏈橋的安全性,以便根據(jù)這些信息調(diào)整鑄造限制,而關(guān)于跨鏈橋限制(或鑄造權(quán)的撤銷/分配)的決策可能需要 DAO 投票(如果此類決策需要頻繁做出,DAO 成員可能會感到投票疲勞)。
不過,這不應(yīng)被視為對 ERC-7281 的價值判斷。每個項目都有不同的風(fēng)險狀況、長期目標(biāo)和資源——這些因素共同決定了采用 ERC-7281 的長期利益是否大于短期和持續(xù)的成本。
例如,較小的項目可能發(fā)現(xiàn)管理發(fā)行 xERC-20 代幣的成本更高,并選擇使用像 Axelar 的 ITS(跨鏈代幣服務(wù))或 Wormhole 的 NTT(原生代幣轉(zhuǎn)賬)這樣的托管多鏈代幣跨鏈服務(wù)。而更成熟的項目可能有資源來管理發(fā)行 xERC-20 代幣的運(yùn)營成本,并可能認(rèn)為 ERC-7281 所提供的控制權(quán)值得承擔(dān)管理跨鏈代幣的額外開銷。
對于沒有鑄造/銷毀接口或無法通過升級代幣合約以使用 IERC20,并且已經(jīng)在非原生鏈上流通了原生代幣的標(biāo)準(zhǔn)版本的項目而言,遷移到 xERC-20 代幣是一個漫長且需要大量協(xié)調(diào)的過程,并涉及復(fù)雜的參與者網(wǎng)絡(luò),包括代幣持有者、交易所(DEX 和 CEX)、合作伙伴橋以及與傳統(tǒng) ERC-20 代幣集成的各種應(yīng)用程序。即使這部分工作已經(jīng)完成,協(xié)議仍然需要承擔(dān)將 ERC-20 解包為 xERC-20 以完成遷移過程的成本。
正如 ERC-7281 標(biāo)準(zhǔn)討論中所解釋的那樣,現(xiàn)有代幣需要鎖定在 Lockbox 中,以便為用戶鑄造包裝好的 xERC-20。不過,舊版 ERC-20 的淘汰可能在不久之后發(fā)生,并且涉及另一個長期的過程,即圍繞凍結(jié)新(舊版)ERC-20 代幣鑄造的時間表與社區(qū)進(jìn)行溝通。再次強(qiáng)調(diào),從協(xié)議的角度來看,這可能是值得的——盡管收益也可能不足以證明協(xié)調(diào)整個生態(tài)系統(tǒng)遷移到與協(xié)議代幣兼容的 xERC20 版本的成本是合理的。
使用 ERC-7281 在多個域上管理 xERC-20 代幣需要監(jiān)督該協(xié)議的 DAO 進(jìn)行積極治理。這包括設(shè)置鑄造限制等參數(shù)、升級 Lockbox 合約以及暫停鑄造或銷毀代幣。這些決策具有敏感性,應(yīng)由 DAO 管理,以避免因閉門決策而承擔(dān)責(zé)任。
ERC-7281 旨在讓協(xié)議控制這些決策,而不是第三方跨鏈橋。這很有必要,因為 DAO 已經(jīng)在其原生鏈上管理代幣,因此將治理擴(kuò)展到其他鏈上的代幣,對于尋求這種控制的協(xié)議和社區(qū)來說是合理的。然而,一些協(xié)議可能由于擔(dān)心治理和穩(wěn)定性而不想擁有這種額外的 DAO 控制。
例如,Lido 面臨著治理問題的審查,增加對代幣管理的控制會增加治理接管的風(fēng)險。如果一個項目將所有 ERC-20 代幣整合到一個 Lockbox 中,并由 DAO 進(jìn)行管理,那么治理攻擊可能會產(chǎn)生廣泛的影響。攻擊者可以控制 Lockbox 并引入一個沒有鑄造限制的惡意跨鏈橋提供商,從而使其他鏈上的 xERC-20 代幣變得一文不值。
這種情況與 Multichain 漏洞相似,多方計算(MPC)簽名基礎(chǔ)設(shè)施中的漏洞使黑客能夠破壞保管以太坊和 Dogecoin 上原生代幣的主要 Multichain 地址——這些代幣支持在非原生鏈(如 Fantom 和 Moonriver)上鑄造的代幣,從而產(chǎn)生了「多米諾骨牌效應(yīng)」,導(dǎo)致其他地方的項目因以太坊和狗狗幣上 Multichain 智能合約受到攻擊而遭受損失。
當(dāng)代幣由具有代幣治理或中心化實(shí)體的協(xié)議發(fā)行時(例如 Circle 的 USDC 或 CZKC 穩(wěn)定幣),ERC-7281 才符合要求。然而,如果協(xié)議最大限度地去中心化且缺乏正式治理,那么它的價值就不大——Liquity 的 LUSD 穩(wěn)定幣就是一個難以與 xERC-20 標(biāo)準(zhǔn)兼容的代幣示例。
xERC-20 代幣要求實(shí)體決定特定參數(shù),例如鑄造和銷毀限制,并做出是否將某些跨鏈橋提供商列入白名單等決定。這意味著 xERC-20 代幣的存在需要持續(xù)治理。對于希望隨著時間的推移將協(xié)議的關(guān)鍵組件(例如 DAO 的代幣合約)去中心化的項目,這可能會引發(fā)問題并使去中心化計劃復(fù)雜化。
上文已提及路徑依賴的工作原理,以及它為何能確保影響鏈 A 的漏洞不會影響鏈 B,或鏈 A 上的橋 A 的漏洞不會影響鏈 B 上的橋 B。ERC-7281 標(biāo)準(zhǔn)消除了路徑依賴,這帶來了好處,但同時也引發(fā)了安全性方面的權(quán)衡問題。
由于不同跨鏈橋提供商鑄造的代幣在跨鏈間具有可互換性,跨鏈橋中可用的最大流動性,不再代表跨鏈橋漏洞對代幣發(fā)行方可能造成的最大影響。ERC-7281 標(biāo)準(zhǔn)的作者建議,基于代幣發(fā)行方可用于補(bǔ)償欺詐鑄造損失的金額,為跨鏈橋提供商設(shè)定一個速率限制;盡管如此,從回顧的角度來看,所選的速率限制可能過于保守。
如果一個具有高限制的跨鏈橋遭到攻擊,其影響可能十分顯著,甚至影響到使用其他鑄造相同代幣的跨鏈橋的用戶。所以,協(xié)議可以通過將鑄造權(quán)分配給多個跨鏈橋來降低風(fēng)險(因此,與其他跨鏈橋相比,一個跨鏈橋提供商所能鑄造的代幣數(shù)量就不會過大),但通過這種方式來規(guī)避風(fēng)險可能會降低效率,因為每個跨鏈橋都需要 DAO 團(tuán)隊進(jìn)行獨(dú)立評估,并且與更多跨鏈橋進(jìn)行協(xié)調(diào),這樣又會增加上文提到的管理成本。
另外,由 DAO 管理的 Lockbox 合約也可能會在發(fā)生治理攻擊時引入不利的傳染效應(yīng)。而即使有安全的 DAO 治理,代幣主鏈上的原生/非原生 Lockbox 合約中的錯誤也會導(dǎo)致同樣多的問題。相比之下,由于金庫合約(跨鏈橋提供商的 Lockbox 合約等同物)僅持有通過相應(yīng)跨鏈橋橋接的代幣,這一問題得到了緩解,因為一個提供商的金庫合約中的漏洞也只會影響到在該跨鏈橋中存入代幣的用戶。
ERC-7281 標(biāo)準(zhǔn)帶來的額外管理工作還會影響使用項目 xERC-20 代幣的應(yīng)用程序開發(fā)人員和服務(wù)提供商。跨鏈橋聚合器需要跟蹤 xERC-20 代幣與其對應(yīng)的 Lockbox 合約之間的映射關(guān)系,以防止垃圾郵件代幣和欺騙攻擊等問題。雖然這些映射的注冊表可能有所幫助,但在不承擔(dān)中心化風(fēng)險或使 xERC-20 采用者面臨威脅的情況下建立這樣的注冊表具有挑戰(zhàn)性。
風(fēng)險來自攻擊者可能會將惡意合約添加到代幣注冊表中,并誘騙用戶和開發(fā)人員將代幣發(fā)送到錯誤的地址。這可能會導(dǎo)致 L2 和 L1 網(wǎng)絡(luò)上發(fā)生代幣盜竊事件。交易所也面臨著類似的挑戰(zhàn),因為偽造的代幣可能會引發(fā)嚴(yán)重問題,如代幣行為異常,這與經(jīng)過審核的標(biāo)準(zhǔn)代幣不同。
ERC-7281 標(biāo)準(zhǔn)為不可互換跨鏈代幣問題提供了一個令人信服的解決方案,并提供了增強(qiáng)用戶體驗、去中心化、安全性和代幣跨鏈設(shè)計靈活性的功能。其中一些特性直接影響以 rollup 為中心的路線圖的可行性,使 xERC-20 標(biāo)準(zhǔn)成為以太坊 L2 生態(tài)系統(tǒng)的關(guān)鍵基礎(chǔ)設(shè)施。
當(dāng)前,包括 Hyperlane、Omni、Sygma、Router Protocol 和 Everclear 在內(nèi)的多個跨鏈橋領(lǐng)域的關(guān)鍵參與者已承諾采用 ERC-7281 標(biāo)準(zhǔn),這表明該提案受到了廣泛關(guān)注。甚至一些已有代幣跨鏈機(jī)制的成熟代幣發(fā)行方(如 Circle )也對 ERC-7281 標(biāo)準(zhǔn)表現(xiàn)出興趣,以解決未經(jīng)批準(zhǔn)的代幣對用戶和開發(fā)者造成的挑戰(zhàn)。值得一提的是,對于關(guān)注 ERC-7281 標(biāo)準(zhǔn)討論或希望集成 xERC-20 的開發(fā)人員而言,以太坊魔術(shù)師聯(lián)盟(Fellowship of Ethereum Magicians)和?xERC-20 網(wǎng)站,以及?xERC-20 發(fā)射臺(用于聚合創(chuàng)建、監(jiān)控和管理 xERC-20 代幣的工具)將是重要的信息來源和工具。
喜來順財經(jīng)
