外部跨链桥 vs Rollup 的安全委员会

管理跨链传输很复杂，大多数 token 发行者（理所当然地）决定将这项工作委托给外部提供商。有很多例子：Wormhole、Chainlink CCIP、Axelar、LayerZero、Hyperlane。这些提供商为了将 token 发送到目的地，首先需要铸造它。这就在原始发行者之外创建了额外的实体，这些实体可以随意增加 token 的供应量，或者阻止 token 被桥接回来，从而导致资金损失（即 rug 你）。

不要被 Near Intents 等意图协议所迷惑，认为它们一定能绕过这些实体。虽然它们确实允许你在目的地获得 token 而无需铸造，但如果你收到的 token 不是目的链的“原生”token，那么就必须有人铸造它，而且你很可能依赖于你没有清楚看到的另一个桥。例如，如果你使用 Across 进行桥接，你可能会获得一个由 LayerZero 铸造的 token，从而继承了它的风险，即使你在桥接操作期间根本没有接触 LayerZero。一般来说，如果一个 token 存在，就必须有人铸造它。

这些协议中的大多数通过“验证器网络”、“守护者”或“证明者”来铸造 token。实际上，它们与简单的多重签名通常没有区别。与所有多重签名一样，安全性和活跃性之间存在权衡：如果阈值太低，那么签署恶意消息所需的不诚实实体就越少；如果阈值太高，那么导致活跃性失败（即不签署有效消息）所需的不诚实实体就越少。在这种情况下，我们说我们依赖于“诚实多数”，并且该协议在存在不诚实少数的情况下会失败，这可能会导致安全性或活跃性失败，具体取决于阈值。做得比依赖具有诚实多数的中介机构更好是很难的。主要问题是，一条链通常无法看到另一条链上发生的事情，并且在没有依赖可信中介机构告诉你实际发生的情况的情况下，验证某人在一条链上发送了一定数量的 token，并且需要在另一条链上铸造相同数量的 token 是很困难的。事实证明，如果你设计一条链，使其能够原生可见另一条链，并且该链得到充分验证，并且你验证了你的状态，那么你可以拥有一个不依赖于任何委员会的桥。我不会在本文中解释 rollups 是如何工作的，我只想提醒大家，rollups 的整个目标正是设计不需要依赖诚实多数来从外部获取 token 的链。虽然这对于 Stage 2 rollups 来说可能是显而易见的，但有些人认为，如果存在安全委员会，即具有立即升级 rollup 能力的有些多样化的多重签名，那么 rollup 资产的安全性就等同于非 rollup 桥提供商管理的资产。

许多现有的 rollups 都是 Stage 1，并且可以由安全委员会立即升级。绿色或红色的人代表“走开测试”，即在没有所有许可的操作员（甚至少数人）的情况下，是否可以进行交易和退出。

Stage 1 是精确定义的，因此 rollup 桥接的资产仅依赖于安全委员会的诚实少数假设，这意味着不诚实的大多数需要既不诚实地导致安全或活跃性失败，而诚实少数就足以阻止它。再次强调，这只有在默认情况下，资产的铸造和解锁不依赖于任何实体，并且所有消息都得到充分验证的情况下才有可能实现。安全委员会应该只在那里保护免受 bug 的影响，不像其他外部桥那样主动验证任何消息，因此不受在决定阈值时存在的安全性与活跃性之间权衡的影响。因此，安全委员会可以承担更高的阈值，因此在不影响活跃性的情况下，至少在没有 bug 的情况下，具有更好的安全性。

Bug 是一个大问题。阅读 https://vitalik.eth.limo/general/2025/05/06/stages.html 。当然，最终目标仍然是 Stage 2，甚至不需要诚实少数的假设。与此同时，我们不应忘记，Stage 1 rollups 已经可以提供比外部桥更好的保证。

• 原文链接： x.com/donnoh_eth/status/...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～