菜单
文章 Web3

2.DeFi-Introduction to Blockchain Technology

beautifulremi

beautifulremi

• 阅读本文需 61 分钟

区块链的四层模型

1. Consensus Layer (共识层)

这是整个区块链系统的信任基石。在一个没有中央机构的去中心化网络里,所有参与者(节点)必须通过一种方式,就交易的顺序和有效性达成一致意见。共识层就是用来解决这个问题的。

  • 核心功能: 确保所有节点账本的一致性和安全性。
  • 工作方式: 通过特定的算法(即共识协议),如工作量证明 (PoW) 或权益证明 (PoS),来决定由谁来创建下一个区块(记账),并让网络中的其他节点验证和接受这个结果。
  • 可以理解为: 区块链世界的“法律”或“投票规则”,它定义了如何达成有效且可信的协议。它是最底层、最根本的规则。

2. Compute Layer (计算层 / 区块链计算机)

在共识层提供的信任基础上,计算层负责实际“做事”。它执行交易和智能合约代码。

  • 核心功能: 处理和执行指令,更新区块链的状态(State)。“状态”可以理解为所有账户余额和智能合约数据的集合。
  • “Blockchain Computer” (区块链计算机) 的含义: 这个比喻非常贴切。像以太坊(Ethereum)这样的区块链,其目标就是成为一台“世界计算机”。网络中的每一个完整节点都会运行一个虚拟机(如EVM - 以太坊虚拟机),并独立执行相同的代码,得出相同的结果。这确保了计算过程的去中心化和可验证性。
  • 可以理解为: 计算机的“CPU和内存”。它接收来自应用层的指令(智能合约代码),进行运算,并把结果写入账本(状态)。

3. Applications (应用层 / DApps, 智能合约)

这一层定义了区块链“能做什么”。它包含了所有具体的业务逻辑和应用程序。

  • 核心组成:
    • 智能合约 (Smart Contracts): 这是部署在计算层之上、可自动执行的程序代码。它们是去中心化应用的“后端逻辑”,定义了应用的规则和功能(例如,一笔去中心化金融交易的规则、一个数字收藏品的所有权转移条件等)。
    • DApps (Decentralized Applications / 去中心化应用): 这是一个完整的应用,通常由前端用户界面和后端的智能合约组成。用户通过DApp与区块链上的功能进行交互。
  • 可以理解为: 运行在电脑操作系统上的各种“软件程序”。例如,去中心化交易所Uniswap、借贷协议Aave等,它们的核心逻辑都由运行在应用层的智能合约构成。

4. User Facing Tools (面向用户的工具 / 云服务器)

这是用户直接接触和交互的层次。尽管后端(计算层、应用层)是去中心化的,但用户通常需要一个友好的界面来使用它们。这个界面很多时候是构建在传统的互联网技术之上的。

  • 核心功能: 提供用户界面(UI)和用户体验(UX),将复杂的技术细节封装起来,让普通用户也能轻松使用DApps。
  • “Cloud Servers” (云服务器) 的含义: DApp的“前端”部分——也就是你看到的网站或手机App界面——通常是托管在中心化的云服务器(如Amazon AWS, Google Cloud)上的。这些前端通过API连接到区块链网络(即下面的计算层),从而实现与智能合约的交互。钱包插件(如MetaMask)也是这一层的关键工具。
  • 可以理解为: 软件的“用户界面”或“客户端”。它是在你手机或浏览器上运行的部分,是通往去中心化世界的入口。

共识层的性质

1. Persistence (持久性)

  • once added, data can never be removed.*
  • 这就是我们常说的不可篡改性 (Immutability)。当一笔交易或数据被打包进区块并连接到链上后,它就会被永久地记录下来。想要修改或删除历史数据是极其困难的,几乎不可能实现。这为数据提供了强大的信任保证。
  • 说明: 在某些区块链(如比特币)中,最终性是概率性的。一个区块被篡改的可能性随着其后连接的区块越多而呈指数级下降。因此,虽然理论上不是100%绝对不可能,但在实践中,经过几个区块确认后的数据就可以被认为是永久性的、不可移除的。

2. Consensus (共识性)

  • all honest participants have the same data.**
  • 解释: 这是“共识”一词的直接体现。网络中所有遵守协议规则的、“诚实”的节点,最终都会拥有完全一致的账本副本。正是因为大家手中的数据一模一样,才建立起了全网的信任。
  • 说明:网络中可能出现临时分叉 (Temporary Forks)。比如,在很短的时间内,两个不同的矿工都找到了一个有效的区块。这时网络中会暂时存在两个版本的链。但共识协议有内置的规则(例如比特币的“最长链原则”)来解决这种冲突,最终所有诚实的节点都会收敛到同一个版本的链上。所以,他们是“最终”会拥有相同的数据,而不是在每一瞬间都完全同步。

3. Liveness (活性 / 可用性)

  • honest participants can add new transactions.
  • 解释: 这个特性保证了区块链系统是“活的”、能够持续运行的。只要网络中还有诚实的参与者在工作(例如,矿工在挖矿、验证者在验证),那么新的、合法的交易就能被处理并添加到链上。系统不会因为某些节点的离线或攻击而完全停滞。它确保了网络的可用性和抗审查性。

4. Open(?) (开放性)

  • 原文: anyone can add data (任何人都可以添加数据)
  • 解释: 这个特性描述了谁有权限向这个数据结构中写入数据。
  • 关于问号 (?) 的说明: 这里的问号非常关键,因为它表明“开放性”并非所有区块链的通用属性
    • 对于公有链 (Public Blockchains) 如比特币和以太坊,这个特性是成立的。任何人都可以自由加入网络,提交交易,参与记账。
    • 但对于联盟链 (Consortium Blockchains)私有链 (Private Blockchains),这个特性不成立。在这类链中,只有经过预先授权和许可的节点才能写入数据,网络是“许可制 (Permissioned)”的,而非完全开放。这个问号正是为了点出这种差异。

计算层的性质

1. 规则由公开的程序来强制执行

  • 原文: Rules are enforced by a public program (public source code) ⇒ transparency: no single trusted 3rd party
  • 解释: DApp的所有规则和业务逻辑(例如,转账条件、投票规则、游戏胜负判断等)都写在智能合约代码里。最关键的是,这个智能合约的源代码是公开的,任何人都可以去查阅和审计。
  • ⇒ 这带来了“透明性 (transparency)”: 因为代码是公开的,所以不存在信息不对称。你不需要去相信某个公司或中介口头承诺的规则,你可以直接检查代码来确认规则到底是什么。这消除了对单一可信第三方 (trusted 3rd party) 的依赖。整个系统如何运作是完全透明的,就像一本公开的法律条文,一切按“法”办事,而这里的“法”就是代码。

2. DApp程序由区块创建者来执行

  • 原文: The DAPP program is executed by the parties who create new blocks ⇒ public verifiability: everyone can verify state transitions
  • 解释: 当用户与DApp交互(例如,发起一笔交易)时,执行这个智能合约代码的不是某个中心化的服务器,而是网络中负责创建新区块的参与者(在PoW中是矿工,在PoS中是验证者)。
  • ⇒ 这带来了“公开可验证性 (public verifiability)”: 当一个区块被创建并广播到全网时,它不仅包含了交易数据,也包含了执行这些交易后产生的状态转换 (state transitions) 结果(例如,账户A的余额减少,账户B的余额增加)。网络中的任何其他节点都可以独立地重新执行一遍相同的交易,来验证这个状态转换结果是否正确。如果结果不一致,这个新区块就会被拒绝。这意味着计算结果可以被公开地、被每一个人验证,确保了执行过程的公正和准确。

区块链的密码学原语

密码学哈希加密函数

哈希函数可以将任意长度的数据(如一笔交易、一个区块)转换成一个固定长度的、独一无二的字符串,我们称之为“哈希值”或“摘要”。作为密码学加密哈希函数,它需要有一些性质:

1. 原像抗性 (Pre-image Resistance)

  • 定义: 对于一个已知的哈希值 H,在计算上是不可行的(即极其困难),去找到一个原始输入 M,使得 Hash(M) = H
  • 简单来说: 你无法通过哈希值逆向推导出原始数据。
  • 重要性: 这是哈希函数最根本的安全性。例如,系统存储用户密码时,存储的是密码的哈希值。即使数据库泄露,攻击者也无法从哈希值直接得到用户的原始密码。

2. 第二原像抗性 (Second Pre-image Resistance)

  • 也称为:弱抗碰撞性 (Weak Collision Resistance)
  • 定义: 对于一个已知的输入 M1,在计算上是不可行的,去找到另一个不同的输入 M2,使得 Hash(M1) = Hash(M2)
  • 简单来说: 你无法伪造一个与给定文件内容不同、但哈希值相同的新文件。
  • 重要性: 这保证了数字签名的有效性。当你对一份合同文件进行签名时,你实际上是对合同的哈希值进行签名。如果这个性质被攻破,就意味着有人可以伪造一份内容完全不同、但哈希值相同的假合同,并附上你的有效签名,从而欺骗你。

3. 碰撞抗性 (Collision Resistance)

  • 也称为:强抗碰撞性 (Strong Collision Resistance)
  • 定义: 在计算上是不可行的,去找到任意两个不同的输入 M1M2,使得 Hash(M1) = Hash(M2)
  • 简单来说: 你几乎不可能找到任何一对能产生相同哈希值的不同数据。
  • 与“弱抗碰撞性”的区别:
    • 弱抗性是给你一个固定的输入,让你找另一个输入与之碰撞。
    • 强抗性是不给你任何限制,让你自由地寻找任意一对能碰撞的输入。显然,强抗性的难度要求更高。
  • 重要性: 这是最高级别的安全保证。如果一个哈希函数连强抗碰撞性都满足,那么它通常也满足前两个性质。它确保了哈希值可以作为任何数据的独一无二的“数字指纹”。

数字签名

数字签名就是手写签名在数字世界中的对应物,但它通过密码学提供了远超手写签名的安全性。它的目标是实现以下三点:

  1. 身份验证 (Authentication): 确认消息或数据的发送者确实是他/她所声称的那个人。
  2. 数据完整性 (Integrity): 确保数据在传输过程中没有被篡改、删除或添加任何内容。
  3. 不可否认性 (Non-repudiation): 发送者事后无法否认自己发送过该数据。这个签名是独一无二的,只有他能签出来。整个过程分为两部分:签名(由发送方完成)和验证(由接收方完成)。

【准备工作】

  • 发送方 (Alice): 拥有一对自己的密钥:私钥A (保密) 和 公钥A (公开)。
  • 接收方 (Bob): 拥有发送方Alice的公钥A

签名过程 (由Alice操作)

  1. 计算哈希 (Hashing): Alice首先将要发送的原始数据(比如一份PDF合同)通过一个哈希函数(如SHA-256)进行计算,得到一个简短且唯一的“数据摘要”(Digest)。
    • 为什么要先哈希? 因为原始数据可能非常大(几GB的视频),而非对称加密速度很慢。对简短的哈希值进行操作,远比对整个文件操作要高效得多。
  2. 加密哈希 (Signing): Alice使用她自己的私钥A,对上一步生成的“数据摘要”进行加密。这个加密后的结果,就是数字签名
    • 关键点: 这里是用私钥进行加密。这是整个机制的核心,意味着这个操作只有Alice能完成。
  3. 发送数据: Alice将原始数据数字签名这两部分内容一起发送给Bob。
    • 注意:通常原始数据本身是明文发送的,数字签名的目的不是隐藏数据内容,而是验证身份和完整性。如果需要隐藏内容,可以对数据再进行一次加密。

验证过程 (由Bob操作)

  1. 分离数据: Bob收到Alice发来的包,将其中的原始数据数字签名分离开。
  2. 解密签名,得到“摘要A”: Bob使用他预先存好的Alice的公钥A,对收到的数字签名进行解密。
    • 如果能成功解密,就得到了一个哈希值,我们称之为“摘要A”。
    • 这一步本身就证明了这个签名确实是由Alice的私钥A所签署的,因为只有对应的公钥才能解开它。这就是身份验证
  3. 计算哈希,得到“摘要B”: Bob对收到的原始数据,使用与Alice完全相同的哈希函数(如SHA-256)进行计算,也得到了一个哈希值,我们称之为“摘要B”。
  4. 对比摘要: Bob对比“摘要A”和“摘要B”。
    • 如果 A == B: 签名有效!这说明:
      1. 身份已确认:签名确实来自Alice(因为只有她的公钥能解开)。
      2. 数据完整:收到的原始数据在传输过程中没有被任何改动。因为哪怕只改动一个字节,计算出的“摘要B”也会与“摘要A”完全不同。
    • 如果 A != B: 签名无效!要么这个签名不是Alice签的,要么数据在传输过程中被篡改了。

在选择消息攻击下的存在性不可伪造性 (EUF-CMA)

首先,我们把这个长长的术语拆成三个部分来理解:

  1. 选择消息攻击 (Chosen-Message Attack): 这描述了攻击者所拥有的强大能力
  2. 存在性 (Existential): 这定义了攻击者需要达成的最低伪造目标
  3. 不可伪造性 (Unforgeability): 这是我们希望签名方案最终实现的安全属性

一个数字签名方案的EUF-CMA安全性是通过一个假想的“游戏”来定义的。如果没有任何攻击者能以不可忽略的概率“赢得”这个游戏,那么我们就称这个方案是安全的。

游戏流程如下:

阶段一:设置 (Setup)

  1. 挑战者运行密钥生成算法 Gen(),创建一对密钥 (pk, sk)
  2. 挑战者将公钥 pk 公开,并发送给攻击者。挑战者自己秘密保留私钥 sk

阶段二:查询 (Query Phase) - 体现“选择消息攻击”

  1. 现在,攻击者可以发挥他的能力。他可以向挑战者发起多次“签名查询”。
  2. 在每次查询中,攻击者可以自由选择他想签名的任何消息 m₁, m₂, m₃, ...
  3. 挑战者会扮演一个“签名预言机” (Signing Oracle) 的角色:收到攻击者发来的消息 mᵢ 后,挑战者会用自己的私钥 sk 对其进行签名,生成签名 σᵢ = Sign(sk, mᵢ),然后将签名 σᵢ 返回给攻击者。
  4. 攻击者可以重复这个过程很多次,从而收集到大量他自己选择的消息和其对应的有效签名 (m₁, σ₁), (m₂, σ₂), ...

阶段三:伪造 (Forgery Phase)

  1. 在进行了足够多的查询之后,攻击者需要交出他的“作品”:一个伪造的消息-签名对 (m*, σ*)

游戏的胜利条件

攻击者要“赢得”这个游戏,他交出的 (m*, σ*) 必须同时满足以下两个条件:

  1. 验证通过 (Verification Succeeds): 这个伪造的签名必须是有效的。也就是说,Verify(pk, m*, σ*) 的结果必须是 'accept'
  2. 消息是全新的 (Message is New): 消息 m* 不能是攻击者在第二阶段查询过的任何一个消息。即 m* ∉ {m₁, m₂, m₃, ...}。如果攻击者只是原样返回一个他之前查询过的签名,那是没有意义的。

EUF-CMA 安全性的正式定义

一个数字签名方案被称为在选择消息攻击下具有存在性不可伪造性 (EUF-CMA Secure),当且仅当:

对于任何一个计算能力在合理范围内的(专业的说法是“概率多项式时间”)攻击者,其赢得上述游戏的概率可以忽略不计的 (negligible)

“可以忽略不计”在密码学中是一个严格的数学概念,意味着这个成功概率比任何多项式的倒数还要小,在实践中可以认为趋近于零。

三类数字签名方案

1. RSA 签名 (RSA signatures)

这是最早、最著名的公钥密码系统之一,其安全性基于大整数分解的困难性

  • not used in blockchains (不在区块链中使用): 这是关于RSA在区块链领域应用的一个关键结论。
    • 原因: 它的long sigs and public keys (≥256 bytes) (签名和公钥很长)。在区块链中,每一个字节的数据都需要被网络中的所有节点存储和处理,因此空间效率至关重要。RSA签名的长度(通常为2048位或更长,即256字节以上)相对于其他方案来说太大了,会造成区块链的“臃肿”,降低效率。
  • fast to verify (验证速度快): 虽然它的签名和密钥很长,但其验证过程的计算相对较快,这是它的一个优点,但在区块链场景下,空间效率的优先级更高。

2. 离散对数签名 (Discrete-log signatures)

这个家族的签名方案,其安全性基于离散对数问题 (Discrete Logarithm Problem) 的困难性,尤其是在椭圆曲线 (Elliptic Curve) 上的变体,即ECDLP。

这是当前区块链世界的绝对主力

  • SchnorrECDSA: 这是该家族中两个最著名的成员。
    • ECDSA (Elliptic Curve Digital Signature Algorithm): 这是比特币 (Bitcoin)以太坊 (Ethereum)(合并前的主力)目前正在使用的签名算法。它已经经过了时间的考验,被证明是安全可靠的。
    • Schnorr 签名: 长期以来被认为在理论上比ECDSA更优越(例如,它没有延展性问题,且更易于聚合)。比特币通过Taproot升级已经引入了Schnorr签名。
  • short sigs (48 or 64 bytes) and public keys (32 bytes) (短签名和短公钥): 这是它们被区块链广泛采用的核心原因。与RSA相比,它们的签名和公钥非常紧凑(例如公钥仅32字节),极大地节省了区块链的存储空间,提高了整体效率。

3. BLS 签名 (BLS signatures)

这是一个更现代的签名方案家族,由 Boneh, Lynn, 和 Shacham 三位密码学家提出。它正被许多新一代区块链所采用。

  • 48 bytes: 首先,它同样是一个非常紧凑的签名方案。
  • aggregatable (可聚合的): 这是BLS签名最核心、最具革命性的特性。
    • 含义: 它可以将多个不同的签名聚合成一个单独的、短小的签名
    • 例子: 假设一个区块需要1000个验证者签名确认。如果使用ECDSA,区块中需要包含1000个独立的签名。但如果使用BLS,这1000个签名可以被聚合成一个大小仅为48字节的签名。
    • 意义: 这对于需要大量验证者达成共识的PoS(权益证明)区块链(如Ethereum 2.0,即现在的以太坊共识层)来说是颠覆性的。它极大地减少了需要存储和传输的数据量,显著提升了网络的可扩展性。
  • easy threshold (易于实现门限签名): 这是“可聚合性”带来的一个优势。实现“n个签名者中只需t个签名即可生效”(t-of-n)的门限签名方案,在BLS下变得非常简单和高效。
  • 应用实例: Ethereum 2.0, Chia, Dfinity 等现代区块链项目都采用了BLS签名来实现其共识机制。

以太坊扩容

问题

当前主流区块链技术面临的一个最根本、最严峻的挑战——可扩展性问题。因为区块链的速度成本始终是一个很大的问题,举个例子:

  • 比特币 (Bitcoin): can process about 5 (Tx/sec)
    • 作为第一个区块链,比特币网络大约每秒只能处理5笔交易。这是一个非常低的数字。
  • 以太坊 (Ethereum): can process about 20 (Tx/sec)
    • 以太坊作为第二代区块链的代表,性能有所提升,但大约也只能处理每秒20笔交易。
    • 导致结果:高昂且不稳定的交易费
      • 这条注释揭示了低速度带来的直接后果:高昂且不稳定的交易费。因为区块链的处理能力(区块空间)是有限的公共资源,当很多人都想用它时,就会形成“拥堵”。用户为了让自己的交易能被矿工或验证者优先打包,就必须支付更高的手续费(“油费”或Gas Fee)。这种竞价模式导致手续费在网络繁忙时会飙升到几十美元甚至更高。
  • Visa网络 (The visa network): can process up to 24,000 (Tx/sec)
    • 这是一个用来做对比的“参照物”。作为一个中心化的全球支付网络,Visa的处理能力峰值可以达到每秒24,000笔交易。
    • 这个差距很大,显示了像比特币和以太坊这样的去中心化网络,在处理速度上与传统的中心化系统存在着成千上万倍的差距。

扩容方案简述

1. 更快的共识 (Faster consensus) - 链上扩容 (Layer 1)

这是最直接的一种思路:直接提升主区块链(Layer 1)本身的处理能力

  • 工作原理: 通过设计更高效的共识算法(例如从工作量证明PoW转向权益证明PoS,或采用新的共识机制),来缩短区块产生的时间,或者增大每个区块可以容纳的交易数量。
  • 例子: Solana, Polkadot, Avalanche 等新一代公链,它们的设计目标就是实现比以太坊高得多的交易速率(TPS),因此常被称为“高性能公链”。
  • 权衡之处: 这种方案通常需要在“区块链不可能三角”(去中心化、安全性、可扩展性)中做出权衡。一些批评者认为,部分高性能公链为了追求速度,可能在一定程度上牺牲了网络的去中心化程度(例如,对验证节点的硬件要求极高,导致只有少数实体能参与)。

2. 支付通道 (Payment channels) - 链下扩容

这是一种将大量交易转移到链下(Off-chain)处理的方案。

  • 工作原理: 两个用户可以在主链上“锁定”一笔资金,从而在他们之间建立一个私密的“支付通道”。之后,他们可以在这个通道内进行无数次即时的、几乎零成本的交易,而无需将每一笔交易都广播到主链上。只有当他们决定关闭通道时,最终的资金结算结果才会被提交到主链上进行一次性确认。
  • 例子: 闪电网络 (Lightning Network) 是比特币最著名的支付通道方案。
  • 适用场景: 非常适合高频次、小额度的点对点支付。但对于复杂的多方智能合约交互,它的通用性不如其他方案。

3. Layer 2 方案 (Layer 2 approaches) - 链下扩容

这是目前最受关注,特别是对于以太坊生态而言最主流的扩容方向。其核心思想是:在主链(Layer 1)之外再构建一个“第二层”网络,将大量的计算和交易转移到Layer 2执行,然后只将最终的“结果”或“证明”提交回安全的Layer 1

这里有两种两种主要的Rollup技术:

  • zkRollup:
    • 工作原理: 它将数千笔链下交易打包,然后为这一整批交易的合法性生成一个密码学有效性证明 (validity proof),即我们之前讨论的 zk-SNARK。它把这个小小的证明提交到主链,主链只需验证这个证明即可,无需重新执行每一笔交易。
    • 特点: 安全性高,因为提交到主链的数据都经过了密码学的严格证明。
  • Optimistic Rollup:
    • 工作原理: 它“乐观地”假设所有链下交易都是有效的,直接将交易数据批次提交到主链。但它设置了一个“挑战期”(例如一周)。在此期间,任何人如果发现这批交易中存在欺诈行为,都可以提交“欺诈证明 (fraud proof)”来挑战并撤销这笔交易。
    • 特点: 技术实现相对简单,兼容性好。但资金从Layer 2提取回主链时需要等待挑战期结束,时效性稍差。

4. 侧链 (Sidechains)

  • 工作原理: 侧链是一条独立的、与主链并行的区块链。它有自己的共识机制、区块和安全性。通过一个“跨链桥 (bridge)”,用户可以将资产从主链转移到侧链上进行各种操作(通常速度更快、费用更低),之后再通过桥将资产移回主链。
  • 例子: Polygon PoS 是以太坊生态中最著名的侧链之一。
  • 与Layer 2的关键区别: 侧链不继承主链的安全性。侧链的安全由其自身的验证者节点负责。如果侧链的验证者作恶,用户的资产可能会面临风险。而Layer 2(如Rollups)的设计目标是继承主链的全部安全性,即便Layer 2的运营者作恶,用户的资金也依然安全并可以从主链上取回。

支付通道

支付通道是一种非常聪明的链下扩容方案,旨在解决区块链(尤其是像比特币这样以支付为主要场景的链)上交易速度慢、手续费高的问题。它的核心思想是:绝大多数交易都是我们两个人之间的私下行为,没有必要让全世界的节点都知道和记录。我们只在“开始记账”(打开通道)和“最终结算”(关闭通道)时,才需要上链(On-chain)去麻烦主区块链。

整个过程可以分为三个关键阶段:打开通道、链下交易、关闭通道。我们以Alice和Bob为例:

1. 打开通道 (Channel Opening) - 一次链上交易

  • 操作:
    1. Alice和Bob首先需要共同创建一个“多重签名地址”(Multisig Address)。这个地址像一个共享保险箱,需要他们两个人的“钥匙”(私钥)同时授权才能动用里面的资金。
    2. 然后,Alice和Bob各自向这个共享地址存入一笔资金作为“押金”或“预付款”。例如,Alice存入1个比特币,Bob也存入1个比特币。这个存入资金的操作是一笔链上交易,会被记录在主区块链上。
  • 结果:
    • 一个由Alice和Bob共同控制的、总金额为2比特币的支付通道被打开了。
    • 他们都有了各自的初始余额:Alice 1 BTC, Bob 1 BTC。

2. 链下交易 (Off-chain Transactions) - 无数次即时交易

通道打开后,Alice和Bob现在可以在这个通道内进行无限次的交易,而这些交易完全不上链

  • 操作:
    1. 场景: Alice想向Bob支付0.1 BTC。
    2. 更新账本: Alice会创建一个更新余额的“承诺交易”(Commitment Transaction),内容是:“现在Alice的余额是0.9 BTC,Bob的余额是1.1 BTC”。然后Alice用自己的私钥对这个新状态进行签名,并发给Bob。
    3. 双方确认: Bob收到后,也用自己的私钥签名,表示同意这个新状态。现在他们双方都持有了一份经过两人共同签名的、代表最新余额的“账本页”。旧的“账本页”(Alice 1, Bob 1)就作废了。
    4. 继续交易: 接下来,Bob想向Alice支付0.3 BTC。他们会重复上述过程,创建并共同签署一份更新的“账本页”,显示余额为:“Alice 1.2 BTC, Bob 0.8 BTC”。
  • 结果:
    • 他们可以来回进行成百上千次这样的交易。
    • 每一笔交易都几乎是即时的,因为不需要等待区块确认。
    • 每一笔交易的手续费几乎为零,因为它不消耗主链的任何资源。
    • 每一笔交易都是私密的,只有Alice和Bob知道交易细节。

3. 关闭通道 (Channel Closing) - 一次链上交易

当Alice和Bob决定不再交易,或者某一方想取出自己的资金时,他们可以关闭通道。

  • 操作:
    1. 双方将他们手中持有的、最新一份经过共同签名的“承诺交易”(代表最终余额的账本)广播到主区块链上。
    2. 主链网络验证这个最终状态的签名是有效的。
    3. 验证通过后,共享地址中的资金会按照这个最终状态分配给Alice和Bob。例如,按照最后的余额,1.2 BTC会退回到Alice的个人地址,0.8 BTC会退回到Bob的个人地址。
  • 结果:
    • 支付通道被关闭
    • 尽管他们在通道内可能进行了上千次交易,但在主区块链上,从头到尾只留下了两条记录:一次是打开通道的交易,一次是关闭通道的交易。

HTLC逻辑和时间锁

HTLC 的全称是 哈希时间锁定合约 (Hashed TimeLock Contract)。它规定了一笔支付只有在满足两个条件的情况下才能被接收方领取:

  1. 条件一(哈希锁): 接收方必须在规定时间内出示一个秘密(密码学上称为“原像” Preimage)。
  2. 条件二(时间锁): 如果接收方未能在规定时间内出示秘密,这笔钱将自动退还给发送方。

这个机制解决了在多方(彼此不信任)之间转移资金时的信任问题,确保了交易的原子性 (Atomicity)——要么整个支付路径上的所有环节都成功,要么就全部失败回滚,不会出现中间人骗钱跑路的情况。

1. 哈希锁 (Hashlock)

哈希锁是用来确保“一手交钱,一手交货”中的“货”的。

  • 工作原理:
    1. 最终收款人(比如Carol)先生成一个随机的秘密数据,我们称之为“原像” (Preimage)。
    2. Carol对这个“原像”进行哈希运算,得到一个哈希值 (Hash)
    3. Carol将这个哈希值(而不是原像本身)告诉最初的付款人(比如Alice)。
    4. Alice在付款时,会设立一个哈希锁条件:“我把钱付给中间人Bob,但Bob必须出示能产生这个哈希值的那个原像,才能拿走这笔钱。”
  • 它的作用:
    • 作为“收据”或“提货码”: 谁能出示正确的“原像”,谁就能拿走这笔钱。
    • 保证价值传递: 在支付网络中,这个“原像”本身就是传递的“价值”或“信息”。当中间人Bob为了拿到Alice的钱,就必须先从下一个人(Carol)那里获得这个“原像”。这个过程保证了支付链条的顺利进行。

2. 时间锁 (TimeLock)

时间锁是用来防止意外的“安全绳”或“退款保证”。

  • 工作原理:
    • 在设立HTLC时,付款人会设置一个过期时间(例如,24小时后,或者144个区块后)。
    • 如果在个截止时间到来之前,收款人没能提供正确的“原像”来解锁哈希锁,那么这笔交易就会失效。
    • 交易失效后,付款人就可以凭借时间锁的条款,将自己锁定的资金原路退回
  • 它的作用:
    • 防止资金被永久锁定: 如果支付路径上的某个中间节点掉线或者不合作,时间锁可以确保资金不会被永远卡住,最终能安全地退还给付款人。
    • 驱动支付链条: 在多跳支付中,时间锁的设置是逐级递减的,这迫使每个中间节点必须在自己的“退款期限”到来之前,尽快从下一个节点那里获取“原像”来完成交易。

HTLC在交易通道中的应用

我们用经典的“Alice → Bob → Carol”支付路径来理解HTLC的完整逻辑。

场景: Alice想通过中间人Bob,向Carol支付0.1 BTC。

  1. 准备阶段:
    • Carol (最终收款人) 生成一个秘密原像 R,并计算出其哈希 H = Hash(R)
    • Carol把哈希 H 发送给Alice。
  2. 建立HTLC链条:
    • Alice → Bob: Alice向Bob发起一笔0.1 BTC的HTLC支付。
      • 哈希锁条件: Bob必须提供能匹配哈希H的原像R才能拿钱。
      • 时间锁条件: 期限为 2天。如果2天内Bob没提供R,钱退还给Alice。
    • Bob → Carol: Bob为了从Alice那里赚钱,他用自己的资金向Carol发起一笔0.1 BTC的HTLC支付。
      • 哈希锁条件: Carol必须提供能匹配同一个哈希H的原像R**才能拿钱。
      • 时间锁条件: 期限为 1天。这个时间必须比Alice给他的时间短,这样他才有足够的时间窗口去操作。
  3. 解锁和结算(多米诺骨牌效应):
    • Carol解锁: Carol知道原像R,她向Bob出示R,成功拿到了Bob支付的0.1 BTC。
    • 秘密传递: 在这个过程中,Bob也学到了原像R
    • Bob解锁: Bob立刻用刚刚学到的原像R,去向Alice要求解锁他应得的0.1 BTC。由于R是正确的,并且还在2天的有效期内,Bob成功拿到了钱。

最终结果: Alice的钱通过Bob顺利地付给了Carol。整个过程是“原子”的:要么Carol拿到钱,然后Bob也拿到钱;要么如果Carol不提供秘密,过了1天后Bob的钱退回,过了2天后Alice的钱也退回,谁都没有损失。Bob作为中间人,无法卷款跑路。

闪电网络 (Lightning Network)

单个支付通道只能在两个人之间使用。当成千上万个这样的通道和HTLC支付连接在一起时,一个强大的支付网络就形成了。闪电网络就是将成千上万个这样的支付通道连接起来,形成一个巨大的网络。

这个支付网络就是一个由大量相互连接的、独立的支付通道所组成的第二层网络 (Layer 2 Network)。它允许任何网络中的参与者,通过一个或多个中间节点,向另一个没有直接通道连接的参与者进行支付,并且整个过程依然保持了支付通道的即时、低成本和无需信任的特性。

你可以通过网络中的其他节点作为“中介”,与一个你没有直接建立通道的人进行交易。例如,Alice想给Carol付款,但她只和Bob有通道,而Bob和Carol有通道。那么Alice的付款就可以通过Bob进行路由,从 Alice → Bob → Carol,整个过程同样是即时且低成本的。它的主要特征包括:

  1. 可路由性 (Routability): 支付可以像互联网数据包一样,在网络中寻找最优路径进行传递。
  2. 原子性 (Atomicity): 整个支付路径上的所有环节,要么全部成功,要么全部失败回滚。这由HTLC保证。
  3. 极高的可扩展性: 将绝大多数交易都移到了链下,主链只负责最终的“仲裁”和“结算”,从而可以支持海量的交易。
  4. 低廉的费用: 中间节点(路由节点)可以收取非常小额的路由费,远低于主链的交易费。
  5. 增强的隐私: 中间节点只知道自己的上一跳和下一跳是谁,而不知道整条支付路径的起点和终点,保护了用户的隐私。

Rollup扩容

Rollup 是一种区块链的第二层(Layer 2)扩容协议。其核心设计是:在主区块链(Layer 1)之外执行交易计算,但将每笔交易的压缩数据发布回 Layer 1,从而完整地继承 Layer 1 的安全保证。

“Rollup”这个词的字面意思是“卷起”或“汇总”。它将成百上千笔 Layer 2 上的交易“卷”成一个单独的、经过压缩的批次(Batch),然后将这个批次作为一笔交易提交到 Layer 1。

其根本目标是,在不牺牲 Layer 1 网络所提供的去中心化和安全性的前提下,大幅提升交易吞吐量(TPS)并显著降低单笔交易的成本。引入Rollup后,原先单一的、所有活动都在同一层发生的“单体式区块链(Monolithic Blockchain)”架构,演变成了一个职责分离的“模块化(Modular)”或“双层(Two-Tier)”架构。

双层链

Layer 1: 主链

在Rollup架构中,主链的角色发生了根本性转变。它不再是主要的执行层(Execution Layer),而是演变成了更底层的核心枢纽,主要承担以下三个职责:

  1. 结算层 (Settlement Layer):
    • 作为最终的信任根和“最高法院”。它负责处理并最终确认由Layer 2提交的状态根(State Root),并作为解决争议(如在Optimistic Rollup中的欺诈证明)的仲裁场所。
  2. 数据可用性层 (Data Availability Layer):
    • 主链负责存储由Rollup提交的、经过压缩的交易数据。这是Rollup安全性的关键,因为它保证了任何人都可以访问这些数据,从而独立地验证Layer 2的状态,或者在Layer 2运营者作恶时强制取回自己的资产。
  3. 共识层 (Consensus Layer):
    • 主链继续提供整个系统的核心安全保障,通过其自身的共识机制(如PoS)来保证所有已发布数据的不可篡改性和最终性。

Layer 2: Rollup链

这是用户直接交互、性能极高的执行层(Execution Layer)

  1. 状态维护 (State Maintenance): Layer 2拥有自己独立的状态(所有账户和合约的集合),这个状态通过一个状态根来表示。
  2. 交易执行 (Transaction Execution): 所有用户的交易都在这一层被接收、排序并快速执行。用户可以体验到极快的确认速度(通常在1-2秒内)和低廉的交易费用。

在这个双层架构中,每个参与方都有明确的职责:

Rollup中的参与方

1. 用户 (Users)

  • 交互对象改变: 用户将其交易直接提交给Layer 2的节点或API,而不是Layer 1的内存池(Mempool)。
  • 体验提升: 享受到即时的交易反馈和比Layer 1低几个数量级的交易成本。
  • 信任根基: 用户的资产安全最终由Layer 1保障。他们需要通过与Layer 1上的Rollup合约交互来进行存入(Deposit)和提款(Withdrawal)等关键操作。

2. Rollup运营者 (Operator) / 定序器 (Sequencer)

这是Layer 2网络中的核心服务提供者,负责处理链下事务。

  • 接收和排序交易: 从用户那里收集交易,并确定它们的执行顺序。
  • 执行状态转换: 按照既定顺序执行交易,更新Layer 2的状态,并计算出新的状态根。
  • 生成批次和证明:
    • 将一批交易压缩打包(Batching)。
    • 根据Rollup的类型生成证明:
      • zk-Rollup: 生成一个有效性证明(Validity Proof),如zk-SNARK,来从密码学上证明状态转换的正确性。
      • Optimistic Rollup: 提交一个断言(Assertion),声称新的状态根是正确的,并质押一笔保证金以备挑战。
  • 与Layer 1交互: 将压缩后的交易数据(Tx data)和证明/断言(π)作为一笔交易,提交到部署在Layer 1上的Rollup智能合约中。

3. Layer 1区块链网络

Layer 1网络及其合约是整个系统的“安全锚”。

  • Rollup智能合约 (The Rollup Smart Contract on L1):
    • 这是部署在主链上的“桥梁”和“仲裁者”。
    • 数据存储: 接收并存储来自定序器的交易数据,以保证数据可用性。
    • 证明验证: 它的核心功能是验证证明。对于zk-Rollup,它会运行SNARK的验证算法;对于Optimistic Rollup,它会管理挑战期,并在收到欺诈证明时进行裁决。
    • 状态更新: 在证明通过验证或挑战期结束后,合约会更新其记录的Layer 2的权威状态根。
    • 资金管理: 处理用户的存入和提款请求。
  • Layer 1验证者/矿工 (L1 Validators/Miners):
    • 他们的职责没有改变,即正常地打包和验证Layer 1的交易。从他们的角度看,Rollup定序器提交的整个批次,只是一笔需要被打包进区块的普通Layer 1交易。他们不关心也无需去执行或验证Layer 2内部的每一笔具体交易。

Rollup系统中的资产转移

1. Rollup 内部交易 (Intra-Rollup Transactions)

  • 定义: 指交易的发送方和接收方账户都位于同一个Layer 2 Rollup网络中的资产或数据交换。
  • 技术流程:
    1. 用户签署交易并将其提交给该Rollup的定序器(Sequencer)
    2. 定序器接收并排序来自多个用户的交易,在链下(Off-chain)环境中执行它们,并更新Layer 2的状态。
    3. 定序器将这一批(Batch)数百甚至数千笔交易进行压缩,并连同一个有效性证明(zk-Rollup)或状态断言(Optimistic Rollup),打包成一笔单独的交易提交到Layer 1的Rollup智能合约中。
  • 性能与成本分析: 这是Rollup设计的标准和最优路径。其交易确认对于用户而言是近乎即时的(取决于定序器的处理速度)。成本极低,因为向Layer 1提交数据和证明所需的高昂Gas费,被该批次内的所有交易共同分摊(Amortize)了。因此,单笔交易的边际成本非常小。

2. Layer 1 与 Layer 2 之间的资产转移 (L1 ⇔ L2 Transfers)

  • 定义: 指资产在主链(Layer 1)和Rollup网络(Layer 2)之间的双向移动,包含存款(Deposit)和提款(Withdrawal)两个过程。
  • 技术流程:
    1. 存款 (L1 → L2): 用户调用Layer 1上Rollup的桥合约(Bridge Contract)中的 deposit 函数。此操作会锁定用户在Layer 1上的资产,并在Layer 2上为用户的地址铸造出相应的映射资产。这是一笔标准的、需要支付完整Gas费的Layer 1交易。
    2. 提款 (L2 → L1): 用户在Layer 2上发起一个销毁其L2资产的交易。该请求被定序器打包提交到Layer 1。在批次被Layer 1最终确认后(对于Optimistic Rollup,这还包括一个数天的挑战期),用户必须再次向Layer 1的桥合约发起一笔交易,以提供其提款请求已在L2被处理的证明,从而在L1上解锁并取回自己的原始资产。
  • 性能与成本分析: 此类操作的成本高昂且速度较慢。因为它们必须直接与Layer 1的智能合约交互,用户需要独立承担完整的Layer 1 Gas费用,无法享受成本分摊的好处。提款过程,尤其是Optimistic Rollup的提款,由于其固有的安全机制(欺诈证明挑战期),时间延迟非常显著。

3. 不同Rollup之间的资产转移 (L2 ⇔ L2 Transfers)

  • 定义: 指资产从一个独立的Rollup网络(例如 Arbitrum)转移到另一个独立的Rollup网络(例如 zkSync)。
  • 技术流程: 存在两种截然不同的实现路径:
    1. 通过Layer 1中继: 这是原生的、但效率低下的方法。流程是先执行一次从Rollup A到Layer 1的完整提款操作,然后再执行一次从Layer 1到Rollup B的完整存款操作。此方法涉及两次独立的、昂贵且耗时的L1-L2交互。
    2. 通过互操作性协议(Interoperability Protocols): 这是目前市场采用的主流解决方案。这些第三方协议在多个L2网络上部署了拥有大量资金的流动性池(Liquidity Pools)。当用户希望从Rollup A转移资产到Rollup B时,他们将资产存入协议在Rollup A的池中。协议的链下验证者或链上逻辑确认该存款后,会立即从Rollup B的流动性池中将等额资产发送给用户。协议本身在后台通过更优化的方式(例如批量处理)在不同链的池子之间进行资金再平衡。
  • 性能与成本分析: 通过L1中继的方式,成本是两次L1交互的总和,时间是两次L1-L2交互时间(包含挑战期)的总和,用户体验很差。而通过互操作性协议,交易通常在几分钟内即可完成,成本仅为两次L2的交易费外加一小部分协议服务费,远低于第一种方法。但此方法引入了新的信任假设,即用户需要信任该互操作性协议本身的设计和安全性。

zkEVM

1. zkRollup的早期局限性

在zkEVM出现之前,零知识证明(ZK-proof)技术的应用存在一个根本性的开发障碍。构建一个可被零知识证明验证的程序,要求开发者必须使用专门的、非图灵完备的底层语言(如Circom)来描述计算逻辑,手动构建所谓的“算术电路”。

这个过程对开发者的技能要求极高,需要密码学领域的专业知识。因此,它使得将以太坊上用Solidity等高级语言编写的、复杂的、通用的智能合约(例如去中心化交易所或借贷协议)移植到zkRollup上成为一项成本高昂且不切实际的任务。这导致早期的zkRollup大多只能被用于支付等功能相对单一的特定应用场景。

zkEVM的定义与功能

zkEVM(零知识以太坊虚拟机) 是一项旨在消除上述障碍的技术。其正式定义是一个能够复现以太坊虚拟机(EVM)环境,同时为其中执行的计算生成有效性证明(Validity Proof)的虚拟机。

它的核心功能是:

  1. 兼容EVM: 它能够本地或接近本地地执行为标准EVM编译的智能合约字节码(Bytecode)。这意味着开发者可以使用Solidity、Vyper等高级语言及其相关的全套开发工具链。
  2. 生成证明: 在执行交易和智能合约逻辑的同时,zkEVM会捕捉计算过程中的每一个步骤,并将其转换为一个 zk-SNARK(或其他ZK证明系统)可以理解和处理的数学轨迹(Trace),最终为整个计算的正确性生成一个简洁的密码学证明。

zkEVM的影响

  • 实现通用计算的可证明性: zkEVM将zkRollup从专用的解决方案,提升为了通用的、图灵完备的Layer 2执行环境。任何能够在以太坊主网上运行的复杂去中心化应用(DApp),原则上都可以在zkEVM上部署,从而在享有低成本和高效率的同时,获得由零知识证明提供的顶级安全保障。
  • 大幅降低开发者迁移成本与门槛: 这是最直接的影响。通过实现EVM兼容性或等效性(EVM-equivalence),开发者无需重写其经过长期安全考验的智能合约代码。现有的开发工具、软件库、审计经验和开发者知识可以被无缝地复用到zkEVM平台。这消除了开发者采纳ZK技术的最大阻力,极大地加速了生态系统的发展。
  • 重塑Layer 2的竞争格局: 在zkEVM成熟之前,Optimistic Rollup因其优越的EVM兼容性而拥有显著的先发优势,吸引了大量应用部署。zkEVM的出现,使得zkRollup能够直接与Optimistic Rollup在通用型DApp市场上展开竞争。同时,zkRollup还能提供其独有的优势,例如基于数学而非经济博弈的安全性,以及无需7天挑战期的快速资产提款,这为开发者和用户提供了新的、可能更优的选择。

数据可用性(DA)

在主流的Rollup设计中,通常存在一个称为定序器(Sequencer)或协调者(Coordinator)的单一实体,负责接收用户交易、排序、执行并将其打包提交到Layer 1。这种设计虽然高效,但引入了中心化风险,主要体现在两个层面:

  1. 运营风险: 如果定序器因技术故障或外部攻击而宕机,整个Layer 2网络的交易处理将陷入停滞。
  2. 恶意行为风险: 一个恶意的定序器可能会进行交易审查,拒绝处理某些用户的交易,或者更严重地,通过扣留最新的账户状态数据来威胁整个网络。

上述风险的核心,最终都指向数据可用性(DA)问题。数据可用性指的是,确保所有用于重构Layer 2完整状态的交易数据,都对网络中的所有参与者是公开、可获取的。

这是Rollup系统安全性的基石。只要数据是可用的,即使用户无法依赖某个特定的定序器,他们也始终拥有退出的权利(Exit Right)。任何人都可以利用Layer 1上可用的数据来验证状态、证明自己的资产所有权,并在最坏的情况下,通过强制提款机制来保证资金安全。反之,如果数据不可用,用户就失去了这种自证和强制退出的能力,资金将面临被永久冻结的风险。

因此,一个Rollup系统的安全级别,很大程度上取决于其数据可用性方案的强度。常见的Rollup系统有两个往往是平行的,由用户自行选择的解决方案

zkSync(On-Chain DA)

  • 技术实现: 这是最标准的Rollup模型。定序器在向Layer 1提交有效性证明(Validity Proof)的同时,也必须将所有交易的压缩数据发布到Layer 1的智能合约中(通常作为calldata)。
  • 安全属性: 此方案提供了最高级别的安全保障。它将Layer 1作为其数据可用性的最终来源,从而完整继承了Layer 1的去中心化和活性(Liveness)保证。即使定序器永久消失,任何人都可以通过读取Layer 1上的历史数据来重构整个Layer 2的状态,并恢复网络运行。
  • 成本结构: 其交易成本主要由两部分构成:一部分是链下计算和生成证明的成本,另一部分则是向Layer 1提交数据和证明所需支付的Gas费。其中,向Layer 1提交数据的成本占据了总成本的大部分。

Validium 模型 (zkPorter)

  • 技术实现: 此模型仅将有效性证明提交到Layer 1,而将交易的压缩数据存储在链下。这些链下数据由一个独立的、通常由多个节点组成的数据可用性委员会(Data Availability Committee, DAC)来保管和提供。
  • 安全属性: 该模型的安全性是分层的:
    • 资金安全(State Validity): 依然由Layer 1通过验证零知识证明来保障。这意味着定序器和DAC都无法窃取用户资金或执行无效的状态转换。
    • 活性/可提款性(Liveness/Censorship Resistance): 现在依赖于这个链下的DAC。用户能否顺利交易或在紧急情况下取回资产,取决于DAC中大多数成员的诚实和在线状态。这引入了一个新的、协议外的信任假设
  • 成本结构: 由于免除了向Layer 1发布数据的昂贵开销,此方案的交易成本可以做到极低,远低于标准的zk-Rollup模型,更适合对成本极度敏感的高频应用场景。

在实际上,zkSynczkPorter是并行存在的,它承认并非所有资产和应用都需要同等级别的、由Layer 1保障的绝对数据可用性。

  • zk-Rollup (zkSync) 提供的是一种无须信任第三方的、最高安全级别的扩容方案,代价是相对较高的交易费用。
  • Validium (zkPorter) 提供的是一种成本极低的扩容方案,其代价是引入了一个额外的、对数据可用性委员会的信任假设。

这种架构允许用户和开发者根据其具体需求,例如处理的是高价值的核心资产,还是低价值的游戏内道具来主动选择合适的安全与成本模型。

链间互操作性

数字孤岛

每一条独立的区块链(如比特币、以太坊、Solana等),都可以被视为一个数字孤岛。它们各自拥有:

  • 不同的法律和语言: 不同的共识机制(PoW, PoS等)、不同的虚拟机(EVM, SVM等)和不同的交易模型(UTXO, 账户模型)。
  • 不同的经济体系: 不同的原生代币(BTC, ETH, SOL)和资产标准(ERC-20, SPL等)。
  • 封闭的国境: 天生无法直接读取或验证其他“国家”的账本和状态。

这种相互隔离的状态导致了严重的孤岛效应,具体体现在:

  1. 流动性碎片化: 价值被锁定在各自的链上。以太坊上的USDC和Solana上的USDC是两种完全不同的资产,无法直接通用,导致资本效率低下。
  2. 应用生态孤立: 一个部署在以太坊上的DeFi应用,无法直接调用或利用Avalanche上的另一个应用的功能或数据。
  3. 用户体验割裂: 用户需要在不同的链之间切换,管理多个钱包和私钥,并通过复杂、高风险的操作(如通过中心化交易所中转)来转移资产。
  4. 阻碍网络效应: 整个Web3生态被分割成一个个小市场,无法像传统互联网那样形成统一、巨大的网络效应,阻碍了大规模采用。

因此,链间互操作性的根本目标,就是打破这些壁垒,建立一套能让这些独立的“数字国家”之间安全、高效地通信和价值流转的规则与设施。

链间可组合性的实现

互操作性 (Interoperability)主要是指- 让独立的、异构的区块链系统之间能够进行基础的资产和价值转移。其核心目标是解决资产的“跨链”问题,即用户在一个区块链系统上拥有的资产,能够被安全、可靠地在另一个系统上表示和使用。

可组合性 (Composability)是一个更高层次的概念,它建立在互操作性的基础之上。它指的是一个区块链上的去中心化应用(DApp),能够直接调用或与另一个区块链上的DApp进行逻辑交互和函数调用。它不仅涉及资产转移,更涉及跨链的状态、逻辑和消息传递。它要求能够安全、可靠地将一个链上的指令(例如,“在Aave上借款”)传递给另一条链上的合约,并可能需要处理异步返回的结果。

  • 如果全世界只使用以太坊这一个系统,那么互操作性和可组合性都将“轻而易举”。这是因为在一个单一、统一的区块链(即单体式区块链)上,所有应用共享同一个状态机、同一个执行环境、同一个安全上下文和同一个区块时间。这使得不同合约之间的调用可以同步地、原子性地在一个交易内完成,实现了无缝的、高度可靠的可组合性。
  • 然而,现实是“多链并存”的。不存在任何一个单一的区块链能够完美地满足所有应用场景的需求。不同的链为了在性能、成本、隐私或特定功能上进行优化,采用了不同的架构和设计。这种异构性(Heterogeneity)是多链格局的必然结果,也正是跨链互操作性和可组合性成为核心挑战的根本原因。

要实现链间通信,需要解决这三个方面的问题:

  1. 跨链信息传输: 如何可靠地将一条链(源链)上发生的事情(如一笔交易、一个事件)的信息,传递给另一条链(目标链)?
  2. 跨链信任传递: 目标链如何相信收到的这条信息是真实、未经篡改的?它凭什么相信源链上真的发生了这件事,而不是有人在伪造信息?
  3. 跨链操作原子性: 如何保证一个跨链操作(例如,用A链的代币换B链的代币)要么在两条链上同时成功,要么同时失败,绝不能出现钱从A链转出后,在B链上却没收到的中间状态。

主流的互操作性解决方案

跨链桥 (Cross-Chain Bridges)

这是目前最常见、最直接的解决方案,主要用于资产转移。

  • 工作原理(以最常见的“锁定-铸造”模型为例):
    1. 锁定 (Lock): 用户想将以太坊上的1个ETH转移到Avalanche。他会将这个ETH发送到部署在以太坊上的一个桥合约中,这个ETH随即被锁定。
    2. 验证 (Verify): 一组验证者(Validators)或预言机(Oracles)监控到这个锁定事件。
    3. 铸造 (Mint): 验证者们达成共识后,会在Avalanche链上授权桥合约铸造出一个对应的“封装资产”或“凭证资产”(例如,WETH.e)。这个资产的价值由L1上锁定的ETH 1:1支撑。
    4. 反向操作时,用户在Avalanche上销毁封装资产,以解锁在以太坊上对应的原始资产。
  • 安全模型的差异:
    • 受信任的桥 (Trusted Bridges): 其安全性依赖于一小撮验证者的诚实。这些验证者通常由项目方或一个联盟控制(例如,多重签名钱包)。如果其中大多数验证者合谋作恶,他们可以盗走桥里锁定的所有资产。这类桥风险较高,但通常实现简单。
    • 信任最小化的桥 (Trust-Minimized Bridges): 它们不依赖于对验证者的信任,而是采用密码学方法。例如,在目标链上运行一个源链的“轻客户端”,通过密码学证明(如默克尔证明)来独立验证源链上发生的事件。这种方式远比信任一小撮人要安全,但技术实现更复杂。

通用消息传递协议 (General-Purpose Messaging Protocols)

这是比资产桥更进一步的解决方案,它们的目标不只是转移资产,而是传递任意数据

  • 工作原理: 这些协议建立了一个通用的“消息收发层”。一个链上的智能合约可以打包任意信息(例如,一次函数调用、一次投票结果),通过这个协议发送给另一条链上的智能合约来执行。
  • 代表项目: LayerZero, Axelar, Wormhole 等。
  • 意义: 这使得构建真正的跨链DApp成为可能。例如,在一个链上进行NFT投票治理,结果可以自动触发另一个链上的资金分配。

互操作性生态系统 (Interoperable Ecosystems)

这类方案的思路不是在已有的、异构的链之间“修桥”,而是提供一个框架,让新构建的区块链天生就具备互操作的能力。

  • 工作原理: 通过统一的底层框架和标准化的通信协议,确保生态系统内的所有链都能顺畅地“对话”。
  • 代表项目:
    • Cosmos & IBC协议: Cosmos生态允许开发者快速构建拥有主权的独立区块链(称为“Zone”),这些链可以通过一个标准化的**“跨链通信协议”(Inter-Blockchain Communication, IBC)**,以去中心化和无需信任的方式直接相互通信和转移资产。这被广泛认为是当前互操作性的“黄金标准”。
    • Polkadot & XCM: Polkadot通过其中继链(Relay Chain)和跨共识消息格式(XCM),也实现了其生态内平行链(Parachains)之间的高度互操作性。

联邦式跨链桥(Federated Bridge)

联邦式跨链桥是一种依赖于一组预先指定的、拥有特权的验证者(Validators)或联邦成员来实现跨链资产转移的系统。其安全性不依赖于源链或目标链的共识,而是建立在对这个联邦(Federation)的信任之上。其核心架构由以下组件构成:

  1. 链上合约/地址:
    • 在源链(如比特币)上,有一个由联邦共同控制的多重签名地址(Multi-signature Address),用于接收和保管用户的原始资产。
    • 在目标链(如以太坊)上,部署有一个桥合约(Bridge Contract),负责铸造、销毁映射资产,并验证联邦的指令。
  2. 链下验证者联邦:
    • 一组被许可的、通常需要质押资产(staked validators)的节点。
    • 它们的核心职责是监控两条链上的事件,并使用其持有的签名密钥(signing keys)来集体授权跨链操作。

资产转移的双向流程

资产存入(Lock-and-Mint / 锁定与铸造)

资产存入,即用户将原生资产(如BTC)转移到另一条链上使用。

  1. 锁定(Lock): 用户将他的原生资产(例如 1 ₿)发送到源链上的那个多重签名桥地址。这一步将用户的原始资产在源链上进行锁定托管。
  2. 验证与签名(Verify & Sign): 链下的联邦验证者们持续监控这个桥地址。当他们检测到用户这笔存款交易并获得足够确认后,他们会达成共识,并共同使用各自的私钥片段来签署一个证明消息,证实“某用户已成功存入1个BTC”。
  3. 铸造(Mint): 这个经过联邦签名的权威消息被提交到目标链上的桥合约。桥合约在验证了签名的有效性(即确认指令确实来自合法的联邦成员)后,会在目标链上铸造(Mint)出等量的封装资产或凭证资(例如 1 P₿,即Pegged-Bitcoin),并将其发送给用户在目标链上的地址。用户此后便可以在目标链的DeFi等应用中使用这个封装资产。

资产取回(Burn-and-Unlock / 销毁与解锁)

这是用户希望将封装资产换回原生资产时产生的过程。

  1. 销毁(Burn): 用户将他在目标链上持有的封装资产(1 P₿)发送给桥合约。桥合约接收到后,会销毁(Burn这些代币,这意味着它们在目标链上不复存在。
  2. 验证与签名(Verify & Sign): 联邦验证者们监控到桥合约的销毁事件后,会验证其有效性,并再次共同签署一个比特币交易。
  3. 解锁(Unlock): 这个经过授权的比特币交易,会从源链上的多重签名桥地址中,将等量的原生比特币(1 ₿)发送回用户指定的、在源链上的个人地址。

为什么需要一个外部验证者?

  • 一个区块链上的智能合约(如以太坊的桥合约),本质上是一个被沙箱隔离的执行环境,它无法掌管或使用另一个完全独立的区块链(如比特币)的私钥来签署交易。
  • 同时,如果像在BTC这样的不完备图灵机上实现资产转移,一定需要一个密钥来执行UTXO交易,而将这个密钥存储在所有人都可读取的区块链上本身是很危险的。

因此,必须引入一个链下的、拥有特权的角色,即联邦验证者来作为“中间人”,执行监控两条链并签署源链交易的关键操作。

安全模型与风险: 联邦式跨链桥的安全性完全依赖于对这个验证者联邦的信任。它的核心安全假设是:至少有 m 个(在 n 个总验证者中)联邦成员是诚实的,并且不会串通作恶

  • 中心化风险: 联邦本身是一个中心化或半中心化的组件。如果超过 n-m 个验证者的私钥被盗,或者他们合谋作恶,他们就可以签署非法的交易,盗走所有锁定在桥地址中的用户资产。这使得联邦式跨链桥成为黑客攻击的高价值目标。
  • 审查风险: 恶意的联邦也可以拒绝为某些合法的存入或取回交易进行签名,从而实现交易审查。

总结而言,联邦式跨链桥是一种在技术上务实、实现相对直接的互操作性方案,特别适用于连接像比特币这样原生不支持复杂智能合约的区块链。然而,它的核心代价是引入了一个强大的、中心化的信任假设,这使其在去中心化和安全性上,劣于那些依赖纯粹密码学验证的信任最小化方案(如基于轻客户端的桥)。

分享