Cdot 创始人刘毅分享跨链技术原理及实现难点。
原文标题:《一文详解跨链的技术点及难点:从完美跨链谈起》
受访者:刘毅,Cdot 创始人
采访与撰文:李画
关于跨链需要知道的第一件事情是,我们永远没有办法把一条链上的资产真正的转移到另一条链上,以比特币为例,2100 万枚比特币,全部都会且只会呆在某个确定的比特币地址中,而不会去其他任何地方。
那用跨链实现的资产转移是在做什么?它是在一条链上锁定资产,在另一条链上发行该资产的等值替代品。(注:哈希锁定不属于该方式)
以比特币和以太坊之间的跨链为例,它需要你把比特币转入某个地址,锁定这部分比特币,然后在以太坊上发行比特币替代品,并转入你在以太坊上的地址;赎回的时候,需要你调用智能合约销毁比特币替代品,然后在比特币网络上把锁定的比特币释放给你。
不难发现,这其中唯一的难点就在于消息的互通。
也就是说,当你在比特币网络把比特币锁定后,只要以太坊能知道这件事,就可以在以太坊上铸币给你;当你在以太坊把替代品销毁后,只要比特币网络能知道这件事,就可以在比特币网络上释放币给你。
那么消息的互通难在哪里?我采访了 Cdot 的创始人刘毅,刘毅认为多链是一种更具生命力的系统,因此他和他的团队致力于链与链之间的联通。Cdot 已经为以太坊和 Flow 建立了跨链桥,也正在进行 Cosmos 与 Polkadot、Cosmos 与以太坊的跨链研发。
完美跨链为何难以实现
问:先问一个「大」问题,你是如何看待跨链的重要性的?
刘毅:公链技术发展面临的主要问题是如何突破性能和成本瓶颈,同时不过度牺牲链上应用的可组合性。目前看有三个解决方案:分片、Layer 2、多链(跨链)。Polkadot、Cosmos、Ava,还有包括 Cdot 在内的众多团队,做得就是多链这个方向。
也就是说,如果可以用 Substrate /Cosmos SDK 为每个加密协议开发出专用的链,又可以通过跨链,让这个加密协议可以跟其他加密协议互操作,那么公链的性能和成本问题就可以得到解决。
问:回归今天的技术主题,跨链时两条链消息的互通难在哪里?
刘毅:可以从 Vitalik 在 2016 年写的一篇叫《Chain Interoperability》的文章谈起,他把跨链技术分成了三类,哈希时间锁、见证人、中继,我觉得基本上可以沿用。
见证人和中继都是链下进程,它们负责把消息转来转去 :它看到 A 链上发生了一件事,就告诉 B 链(注:负责两条链消息的互通)。
那它俩的区别是什么?当我在目标链上收到一个消息后,如果是见证人跨链,我验证的是这条消息来自于见证人,如果我相信见证人,我就相信这个消息,就执行该执行的操作。
如果是中继跨链,我验证的不是这条消息来自于哪个中继,我验证的是这条消息是不是来自于源链,如果是,就执行该执行的操作。
也就是说,见证人可以看做是需要被信任的中继,中继可以看做是无需被信任的见证人。这就是两者的核心区别,中继显然比见证人更符合 trustless 的原则。
中继是无法做恶的,如果一个中继提交的信息不是来自于源链,目标链验证之后会把它识别出来。但是见证人是可以做恶的,它可以造出一个消息发给目标链,目标链验证它是来自于自己相信的见证人后,就会执行这个操作。
这样看来,似乎大家都应该用中继去做跨链产品,但为什么还存在见证人方式?因为中继跨链的要求比较高。
它的要求到底是什么?假设咱们是两条链,你上面发生了一个事件,由一个中继发给了我,我要验证这个信息来自于你这条链,对吧?
怎么验证呢?我的链上需要有你的链的轻客户端。可以粗略地理解为类似于比特币 SPV 的机制,但发生在链上,而不是在手机钱包里,即你的所有区块头我这儿都要有。
这个时候,当一条消息过来,中继不但要把消息给我,还要把消息的证明给我,这个证明是一个 Merkle Proof,它告诉我这个事件或这笔交易是发生在你这条链上的哪个区块(高度)。
我拿到 Merkle Proof 后,因为有你所有的区块头,就可以把对应高度的区块头拿出来,用 Merkle Proof 验证这个交易或者这个事件是否存在。如果存在性得到证明,我就确定了这个消息确实是源自于你这条链的。
然后,当我这条链生成一个事件或者发生一笔交易后,中继也发给你,你也有我全部的区块头,也可以验证这个消息是否来自于我。这是一个完美的跨链,对吧?
可为什么大家不去实现完美的中继跨链呢?因为有些链是没有办法实现别的链的轻客户端的。比如比特币,它上面实现不了任何一个链的轻客户端。
以太坊上能不能实现别的链的轻客户端呢?要看实现的难度。以太坊需要用智能合约实现轻客户端,但智能合约是有 gas 限制的,所以轻客户端验证的计算量是要能够容纳到 Gas Limit 以内的。
问:可不可以这么认为,如果一个链不具备实现另外一个链的轻客户端的条件,它就永远无法以中继的方式与另一个链跨链?
刘毅:它就只能用见证人的方式跨链,但可以混合,一个方向上用见证人,另外一个方向上用中继。
比如我开发一条链,比特币肯定实现不了我的轻客户端,但我可以实现比特币的轻客户端,那么比特币到我这个方向能够用中继,我到比特币这个方向就只能用见证人。
问:以太坊的情况如何?比如要实现以太坊与 Cosmos 的中继跨链。
刘毅:以太坊是一个复杂的问题,它有条件实现一些轻客户端,但就像上边说的,最主要的限制是 Gas Limit。
比如一个 Tendermint (Cosmos 采用的共识协议)的链,中继跨链需要验证它的区块头,它的区块头是所有验证者的签名,这些签名用的是 BLS 签名算法,验证区块头就要验证这些 BLS 签名,但是,以太坊上没有预编译 BLS 签名。
智能合约可以直接调用预编译加密算法,比如调 ECRecover 方法,用它验证 ECDSA 签名只需要 3000 gas,还是比较低的;但验证没有预编译的 BLS 签名,就得把整个的签名验证算法 Solidity 实现,不是底层支持的,这个太贵了。
验证一个 BLS 签名,最优好像是二十几万 gas,如果 Tendermint 上有 100 个验证人,那每个区块可能就有 100 个签名,验证 100 个 BLS 签名,gas 肯定会超,不可能做到。
不过今年 Vitalik 写的路线图上,以太坊 1.x 会增加 BLS 签名预编译合约,相当于在客户端底层实现 BLS 验证,那么一个函数调用就可以验证签名。
假设和 ECDSA 一样,也是 3000 gas,那验证 100 个 BLS 签名是三十万 gas,这就有可能在智能合约里实现。
有了 BLS 预编译后,理论上就可以在以太坊上实现 Tendermint 的轻客户端,那么以太坊和 Cosmos 就可以实现双向的中继跨越。所以说和 Cosmos 中继跨链的话,比特币肯定不行,以太坊是现在不行,未来可能行。
问:即便都是采用 Cosmos 的 IBC 标准开发的链,也不是天然就能跨链?
刘毅:对,两条链即使都实现了 IBC,要中继跨链的话还要实现对方链的轻客户端。
跨链消息如何在链间传递
问:轻客户端用于跨链消息的验证,但跨链消息本身是怎样在两条链间传递的?
刘毅:跨链桥很形象,它有两个桥墩和一个桥梁。两个桥墩就是两套智能合约(有些链可能叫模块),一个运行在 A 链,一个运行在 B 链;中间是桥梁,桥梁是链下进程,负责监控两边这两套智能合约的事件。
问:比如我在以太坊上把一只加密猫锁进了智能合约,链下进程监听到这个事件很容易,但它怎么告诉 Flow 上的智能合约我锁了一只猫?
刘毅:链下进程就是给 Flow 发一笔交易,说以太坊这边锁了一只猫,你那边要铸造出一只猫。它是一个程序,通过 RPC (远程过程调用)接口,一边连以太坊的节点,另一边连 Flow 的节点。
问:能完整描述一个具体的跨链过程吗?
刘毅:假设现在有一个 ERC20 的代币,比如说是 UNI,它发行在以太坊上,我们想把它跨到 PlatON 上面去。
那么以太坊这边要有一个智能合约,比如叫 Vault 合约,它是跨链桥的一个桥墩;跨链的用户要做两笔交易,第一笔交易是调用 UNI 合约的 Approve 方法,允许 Vault 合约转走多少用户的 UNI。
第二笔交易是发给 Vault 合约的 Lock 方法,把要锁定的币种(本例是 UNI)和数量(比如 500 个) 作为参数传进去,然后还要提供一个 PlatON 的地址,说我锁 500 个是为了在这个地址上铸造出 500 个 UNI 的替代品。
这个时候,Vault 合约就会去调用 UNI 合约做 UNI 的转移,因为 Vault 合约已经被 Approve 了,就可以把 UNI 从用户地址转到 Vault 合约的地址上,也就是把 UNI 锁住。
锁完之后,Vault 合约就会发一个事件,比如叫 AssetLock 事件;链下进程是通过 RPC 接口连在以太坊节点上的,它会订阅 Vault 合约的 AssetLock 事件,这个事件只要一出现在日志里,链下进程就得到这个事件了。
这个事件里包含相关参数,比如锁定的是哪个币,锁了多少,另一条链上的受益人是谁;链下进程会等待比如说 100 个块的确认,不可逆转;然后,链下进程也有一个连接 PlatON 的 RPC 接口,它会提交一笔交易到 PlatON,假设这笔交易叫 Mint。
PlatON 上也会有一个合约,比如叫 Control 合约,它是跨链桥的另一个桥墩;Control 合约事先会创建一个类似 ERC20 的合约,比如叫 EUNI,Control 合约是这个合约的 owner,也就是说它有权力控制 EUNI 合约的代币供应。
Control 合约收到 Mint 请求后,验证这个请求确实来自于见证人,就会调用 EUNI 合约的 Mint 方法,告诉它给某个地址铸造 500 个 EUNI 代币;EUNI 铸造出来后,就会放在用户之前提供的地址上,用户就可以用了。
这个时候,假设用户把 EUNI 转给了另外一个用户,新用户想要以太坊上的 UNI,那他要做的操作是先 Approve,然后调用 Control 合约的 Redeem 方法,烧掉比如说 100 个 EUNI,并释放一个事件叫 AssetBurn。
链下进程监控到 Control 合约的 AssetBurn 事件,就会给以太坊 Vault 合约发一个交易请求,调用 Release 接口,以太坊验证这个交易是来自于见证人后,就会把 UNI 从 Vault 合约的地址上转移到指定的用户地址上,用户就得到了原始的 UNI。这就是一个完整的跨链过程。
问:可以抛开「链下进程」这个角色实现跨链吗?比如一条链直接去监听另一条链,然后完成相关的跨链操作?
刘毅:这是做不到的,因为链都不能主动发起操作,链的逻辑都是被动的。
唯一的例外是 Substrate (Polkadot 开发框架),它上边有 off-chain worker 这个机制,可以用一个链下工作机发起请求。其他的,比如以太坊智能合约,是不能自己主动发起干什么事的,它只有被调用。
问:可不可以这么理解,不管是中继跨链还是见证人跨链,都需要链下进程来传递消息,所不同的是,中继跨链通过轻客户端验证消息,见证人跨链信任见证人提供的消息?
刘毅:这样理解基本上没有问题。中继跨链依赖链下进程的可用性,但不依赖它的忠诚。
见证人如何更值得信任
问:似乎通过链下进程传递消息不难,难的是验证消息或者信任消息?
刘毅:对,因为两条链都有 RPC 接口,而且都有 SDK (软件开发工具包),是能够访问的,所以不难。
而且特定目的的跨链,不需要定义一个可扩展的协议,只要自己够用就好:定义是什么事件,抽取什么参数,提交什么参数给谁,就行了。
问:验证消息是技术问题,要么能验证要么不能验证,但信任消息的话,似乎就有不同的模型,反映在见证人跨链上就是它可以有不同的实现方式 ,需要信任的消息可以来自中心化的见证人,也可以来自去中心化的见证人?
刘毅:其实就是一个安全性问题。而安全是一个没有极限的东西,也没有绝对,安全通常是一个渐进的过程。
比如一开始,没什么资产时,可以用单见证人,连 KMS (密钥管理服务)都不用;有了资产后就要用 KMS;资产多了,需要多个见证人,为了省 gas,就要做链下签名聚合;资产更多了,就要用到 MPC (安全多方计算)。
然后再多资产,就要对参与 MPC 的多方进行随机分组调度,例如 RenVM。这样就跟做一条公链的难度和实践都差不多,但它也就实现了去中心化的见证人。
问:可以更具体地描述一下吗?
刘毅:比如一边是以太坊,一边是 Flow,我们可以开发一个见证人的节点,把两边连起来。
但这一个见证人的安全性和可用性是比较低的,如果黑客攻破了见证人的服务器,拿到见证人的私钥,就能够把所有锁在以太坊上面的 ETH 或者 ERC20 偷走。
还有一个风险就是可用性,如果见证人服务器宕机了,那在一条链上锁定资产后,另一条链上是铸造不出来的,因为消息传不过去。
如果承载的跨链资产不多,一个见证人是可以接受的,也有一些方法解决单见证人的安全问题和宕机问题。但如果想进一步提高,怎么做?可以包含 3 个见证人。
假设一边是比特币,一边是以太坊,比特币网络上有一个 2/3 的多签钱包,用户发交易把比特币锁进去,3 个见证人看到后,就给以太坊发消息,以太坊确认消息来自于见证人后,就在以太坊上铸造代币。
兑回的时候,用户在以太坊发交易要求赎回比特币,3 个见证人看到后,就去比特币网络发多签:一个见证人发一笔交易,说要释放,另一个见证人也发一笔交易,说要释放,2/3 钱包看到够两个签名了,就释放比特币给用户。
2/3 比一个见证人要好一点,但 3 个私钥持有人中只要有 2 人串通,就能把比特币全部拿走,所以其去中心化程度是不够的。
那么更好的方案是 MPC/TSS (安全多方计算 / 门限签名)支持下的见证人链。刚才说见证人需要被信任,但如果把见证人做成一条链,它是不是也可以实现 trustless ?
信任集合扩大了,除了要信任源链、目标链,中间还有一个见证人,但这个见证人不是中心化的,它是一条链,有自己的经济安全性,只要相信见证人链的验证者(validator)集合整体不会作恶,那整个过程还是 trustless 的。
见证人链可以把众多的见证人节点随机分组,每个组都会比如说有一个比特币地址,一段时间之后再把这些节点重新分组,这样的话,节点如果想串通起来偷走比特币是不太容易的。
这其中门限签名的作用是,比如一个分组里有 21 个节点,每个节点拿一片私钥,如果设置为 15/21,那这 21 个节点里需要有 15 个节点签名,然后形成一个 ECDSA 的签名,再通过一笔交易把钱包解锁。
显然这种方式的安全性更高,也更可靠(可以容忍 6 个节点不在线,或者故意不参与签名),而且更经济,因为解锁比特币只需要发一次交易。
在聚合门限签名的过程中,需要用到 MPC,因为不能把节点的私钥放到一起去签名,需要大家分别做计算。所以是门限签名加 MPC 的一个机制,这样能够形成一个见证人链。
问:MPC/TSS 通常被用于比特币与以太坊之间的跨链,可不可以把它方便地移植到另外两条链之间做跨链?
刘毅:可以,但不一定很容易。它的门限签名和 MPC 是针对 ECDSA 签名的,这套机制在 ECDSA 的链之间做资产跨链是容易的。如果它的门限签名和 MPC 支持其他签名算法,这套机制则是可以扩展到其他链的。
问:我们对中继跨链和见证人跨链有了一定的了解,那么哈希时间锁是怎样的一种跨链机制?
刘毅:我给哈希时间锁这种方式起了一个新的名字,叫外部协调。
外部协调是指在跨链的全过程中,两条链是互不知道对方的,A 链不知道 B 链上发生了什么,B 链不知道 A 链上发生了什么(注:在中继跨链和见证人跨链中,两条链是互相知道的)。
比如哈希时间锁,我们是先在 A 上面做一个交易,拿到哈希之后,再把这个哈希提交给 B,这是两个用户钱包在做协调的跨链,两条链本身是不知道对方链的。
为什么要把哈希时间锁扩展成叫外部协调呢?因为除了哈希时间锁外,还有大量的非哈希时间锁的外部协调式跨链。
这其中最大的一个应用就是中心化的交易所,我把比特币存进去,换成以太坊提出来,这就是一个 web 应用做协调的跨链。
外部协调的跨链在联盟链领域用得也非常多,联盟链厂商,例如 Hyperledger Cactus,就是专门做外部协调的中间件,它能够跨两个链。用户把一个交易提交到中间件上,中间件就知道先在 A 链上边做一个操作,再在 B 链上做一个操作,A 链和 B 链相互之间是不知情的。
所以不管是由钱包做协调,还是由应用做协调,还是由中间件做协调,这一类跨链的特点就是两个链实际上是互不知情的,是有外部实体在做协调。
为什么我们在公链或者加密协议领域很少提外部协调?因为 web 应用或者中间件一定是由中心化实体运行的,不可能做到去中心化。
但钱包做外部实体协调的跨链可以认为是 trustless 的,因为用户和钱包是合体的,我们做任何操作都必须信任钱包,也就是说它没有扩大信任集合。这就是为什么把哈希时间锁当成一种 trustless 的跨链。
但哈希时间锁一个是功能受限,它能做的就是资产的互换,另外它也有业务上的问题。跨链的 atomic swap 在 2015 年就实现了,到现在 5 年时间过去了,没有形成什么业务。
结束语
让我们以一个小小的总结结束这篇文章吧。似乎可以把现今流行的跨链方法分为三大类:
第一类:中心化的跨链(类外部协调)。它是由一个中心化的第三方在一条链上抵押资产,在另一条链上发行资产,资产的跨链实际上是在该第三方抵押和发行资产时发生,在此过程中,两条链之间并未互通消息。
用户在进行跨链操作时,并不是一个锁币、铸币的过程,而是更接近于把 A 链上的资产兑换为 B 链上的、由第三方发行的另一种资产。
中心化的跨链实现起来最为简单,但它依赖于一个较强的中心化的信任;此类跨链项目包括交易所提供的跨链资产等等。
第二类:见证人跨链。通过链下进程传递消息,在一条链上锁定或解锁资产,在另一条链上铸造或销毁资产;两条链都需要相信见证人传递的消息为真。
见证人可以是一个或多个见证人节点,也可以是一条见证人节点组成的链,后者虽然需要相信见证人,但可以认为它是去中心化的,因为它不需要信任某个或某些中心化的第三方。
见证人跨链实现起来可以简单,也可以复杂,取决于见证人的构成;此类跨链项目包括 RenVM、tBTC 等等。
第三类:中继跨链。通过链下进程传递消息,在一条链上锁定或解锁资产,在另一条链上铸造或销毁资产;两条链上有对方链的轻客户端,通过轻客户端验证链下进程传递的消息是否为真。
中继跨链是无需信任的理想跨链方式,但由于其实现难度,目前还难以见到;在 Cosmos 的 IBC 跨链 1.0 上线之后,可以在两条 Cosmos 链之间实现中继跨链。
Cdot 也正在 ICF 基金会(Cosmos 生态基金)的资助下开发 Substrate IBC,通过它能够使 Substrate 开发的应用链和支持 IBC 的链实现中继跨链,Substrate IBC 希望成为多链世界的重要基础组件。
来源链接:mp.weixin.qq.com