Her cross-chain bridge, bir doğrulayıcı kümesine duyulan bir tür güven sıçramasıdır ve üç baskın teknoloji yığını sizden çok farklı şeylere güvenmenizi ister. Cosmos IBC, mesajları zincir üstü light client’larla doğrular, LayerZero DVN adı verilen yapılandırılabilir oracle ve doğrulayıcı karışımına dayanır, Wormhole ise mesajları izinli bir guardian multisig üzerinden yönlendirir. Bunları TVL’ye göre değil, güven varsayımlarına göre sıralayın. O zaman tablo hızla dürüstleşir.
Öne çıkanlar
- Cosmos IBC, her zincirin light client’ını diğerinde çalıştırarak bağlı zincirlerin kendi güvenliğini devralır. Bu en güçlü güven modelidir, ancak erişimini bu client’ı çalıştırmaya istekli zincirlerle sınırlar.
- LayerZero, light client yerine bir Ultra Light Node ve seçilmiş bir DVN yığını kullanır. Bu esnek bir güvenlik sağlar, ancak yalnızca seçtiğiniz en zayıf DVN kadar güçlüdür.
- Wormhole, bir cross-chain mesajı onaylamak için 13 imzanın gerektiği 19 guardian’lı bir multisig kullanır. Bu hızlı yayınlanabilir, ancak bilinen bir hedef ve gerçek bir exploit geçmişi oluşturur.
- Cross-chain bridge’ler 2022’den bu yana hacker’lara iki milyar doların çok üzerinde kayıp verdi ve yalnızca Wormhole’un 2022 exploit’i yaklaşık 320 milyon doları boşalttı. Bu yüzden seçtiğiniz güven modelinin ölçülebilir finansal sonuçları vardır.
Cross-chain mesajlaşma neden göründüğünden daha zordur?
Bir token’ı Ethereum’dan Solana’ya ya da bir Cosmos app-chain’den bir rollup’a taşımak, yüzeyde basit bir transfer gibi görünür. Arka planda ise hedef zincirin, bir yatırma işleminin, bir yakımın veya bir oylamanın gerçekten gerçekleştiğine dair yabancı bir sistemin sözüne inanması gerekir. Bu söz bir mesajdır ve onun nasıl doğrulandığı bridge’in tüm güvenlik modelini oluşturur.
Saf yaklaşım, işi bir multisig cüzdana devretmektir. Tanınmış doğrulayıcılardan oluşan bir grup mesajı imzalar ve hedef zincir, belirli bir imza eşiği göründüğünde bunu kabul eder. Bu hızlı ve esnektir, ayrıca kripto tarihindeki en büyük bridge exploit’lerinin çoğunun arkasındaki tasarım kalıbıdır. Bir multisig güven kökü olduğunda, bridge ancak tolere ettiği en küçük ele geçirilmiş anahtar sayısı kadar güvenlidir.
Daha derin yaklaşım, hedef zincirin kaynak zinciri doğrudan doğrulamasını sağlamaktır. Bu, bir kişinin üçüncü bir tarafın sözüne güvenmek yerine pasaportu düzenleyen ülkenin damgasını okuyarak pasaportu doğrulamasına benzer. Light client tam olarak bunu yapar. Bu aynı zamanda pahalıdır, yayına alınması yavaştır ve birbirlerinin doğrulama mantığını çalıştırabilen zincirlerle sınırlıdır. Bu makaledeki üç teknoloji yığını, bu iki uç arasında bir spektrumda yer alır ve farklar pazarlama sayfalarının ima ettiğinden daha önemlidir.
Her cross-chain kullanıcısının önce kabul etmesi gereken riskler
Özellikleri karşılaştırmadan önce dürüst çerçeve şudur: Her cross-chain mesaj, temel zincirlerin taşımadığı riskler taşır. Ethereum’dan başka bir ağa bridge edilen bir token, katı anlamda artık Ethereum token’ı değildir. Hedef zincirin ancak bridge’in güvenlik modeli ayakta kalırsa onurlandırabileceği wrapped veya basılmış bir IOU’dur. Bridge’ler, üç yıldır üst üste kategori bazında kripto kayıplarının en büyük tek kaynağı oldu.
Tarihsel kayıt düşündürücüdür. Ronin bridge, 2022’de dokuz doğrulayıcı anahtarından beşinin ele geçirilmesinin ardından yaklaşık 625 milyon dolar kaybetti. Wormhole bridge, 2022’de bir saldırganın Solana üzerinde imza doğrulamasını atlatmasıyla yaklaşık 320 milyon dolar kaybetti. Harmony Horizon bridge, 2022’de yaklaşık 100 milyon dolar kaybetti. Nomad bridge, 2023’ün başlarında 190 milyon dolara yakın kayıp yaşadı. Toplamda cross-chain bridge’ler belgelenmiş kayıplarda iki milyar doların üzerinde paya sahip oldu ve bazı olaylar sessizce absorbe edildiği için bu sayı tablonun tamamını olduğundan düşük gösterir.
Kullanıcılar için pratik riskler birkaç gruba ayrılır. Hedef zincirdeki smart contract riski, bir saldırganın teminatsız varlık basmasına olanak tanıyabilir. Kaynak taraftaki doğrulayıcı ele geçirilmesi, bir hırsızın sahte bir yatırma işlemini onaylamasına izin verebilir. Replay veya finality sorunları, kaynak zincir gerçekten kesinleşmeden önce bir mesajın kabul edilmesine yol açabilir. Governance ele geçirilmesi, kuralları sonradan değiştirebilir. Bunların hiçbiri teorik değildir. Hepsi yaşandı ve bu yüzden bir güven modeli karşılaştırması, bir özellik kontrol listesinden daha faydalıdır.
Cosmos IBC ve light-client güven modeli
IBC, yani Inter-Blockchain Communication protokolü, sektörün kriptografik olarak yerel bir cross-chain standardına en yakın çözümüdür. Interchain Foundation tarafından tanımlanmış ve Cosmos SDK içinde kullanıma sunulmuştur. 2021’den beri bağımsız app-chain’ler arasında gerçek varlıkları ve mesajları canlı olarak taşımaktadır. Cosmos Hub’ın yerel token’ı ATOM, bu ekosistemde koordinasyon rolü oynar, ancak IBC destekli birçok zincirin doğrudan ATOM maruziyeti çok azdır veya hiç yoktur.
IBC’nin temel fikri, hedef zincirin kaynak zincirin bir light client’ını çalıştırması ve kaynak zincirin de hedef zincirin bir light client’ını çalıştırmasıdır. Light client, yalnızca o zincirin konsensüs kurallarını kullanarak başka bir zincirden gelen blok başlıklarını doğrulayan küçük bir kod parçasıdır. A zinciri B zincirine bir paket göndermek istediğinde, paketi kendi merkle ağacına işler. Ardından B zinciri, A’nın doğrulayıcı seti tarafından imzalanmış ve A zincirinin gönderdiği başlığı kontrol ederek bu taahhüdü doğrular. Harici multisig yoktur, oracle yoktur ve mesaj sahteleyebilecek güce sahip üçüncü taraf relayer yoktur. Köprünün güvenliği, dahil olan iki zincirin güvenliğidir.
Bu modelin gerçek sonuçları vardır. Tendermint tarzı konsensüs çalıştıran bir Cosmos app-chain ile başka bir Cosmos app-chain, birkaç satırlık yapılandırmayla bağlanabilir ve çok güçlü güvenceleri devralabilir. Ethereum gibi farklı bir konsensüs algoritmasına sahip bir zincire bağlanmak, Solidity’de özel bir light client ve iki tarafta da gas ödeyebilen bir relayer yazmayı gerektirir. Bu çalışma Ethereum için yapılmıştır ve ortaya çıkan ICS-27 Neutron tarzı bağlantılar kullanılabilir durumdadır, ancak bu makaledeki diğer stack’lere göre daha ağır bir iştir.
Dar erişim, verilen ödündür. IBC, keyfi rollup’ları ve alt-L1’leri sihirli şekilde güvence altına almaz. Her bağlantı özel olarak tasarlanır ve bağlanan her zincir güven yüzeyinin parçası haline gelir. Güvenlik açısından bu bir özelliktir, çünkü güven modelini yerel tutar. Ekosistem açısından ise bir sınırlamadır, çünkü izinli bir mesaj veri yolu kadar kolay ölçeklenmez.
Paylaşımlı güvenlik ve app-chain açısı
Cosmos’un arkasındaki app-chain tezi, ciddi uygulamaların kendi doğrulayıcı seti ve kendi ücret token’ı ile kendi blockchain’ini hak ettiğidir. IBC, bu tezi uygulanabilir kılan bağ dokusudur, çünkü birçok egemen zincirin egemenliğinden vazgeçmeden birlikte çalışmasını sağlar. Replicated security ve onun devamı olan interchain security, daha küçük app-chain’lerin Cosmos Hub doğrulayıcı setini kiralamasına olanak tanır. Bu, IBC’yi cross-chain katman olarak korurken güvenliklerini artırır. Sonuç, bir cross-chain mesajına ilişkin güven varsayımlarının açık, yerel ve denetlenebilir olduğu bir modeldir, ancak bunun bedeli, doğrulayıcı kalitesi farklı seviyelerde olan birçok zincire yayılmış parçalanmadır.
LayerZero ve yapılandırılabilir DVN stack’i
LayerZero farklı bir tasarım yolu izler. Her zincirde tam light client’lar çalıştırmak yerine Ultra Light Node çalıştırır. Bu, blok başlıklarını yalnızca gerektiğinde saklayan ve bunun dışında bir mesajı tasdik etmek için off-chain bir relayer ile DVN’ler olarak adlandırılan ayrı bir Decentralized Verifier Networks stack’ine dayanan minimalist bir endpoint’tir. Yapılandırılmış DVN’ler kaynak zincirin işleminin geçerli olduğu konusunda anlaştığında hedef zincir mesajı kabul eder.
Bu, tek bir tarafın mesaj teslimini kontrol etmemesi anlamında güveni minimize eden bir mimaridir, fakat aynı zamanda yapılandırılabilir bir mimaridir. Bir LayerZero endpoint’i dağıtan uygulama, mesajlarını hangi DVN’lerin doğrulayacağını seçebilir. Varsayılan yapılandırma belirli bir set kullanır, ancak bir geliştirici belirli bir köprünün güvenlik profilini değiştirmek için farklı bir DVN stack’i kullanabilir. Bazı ekipler tek bir DVN ile yayına çıkmıştır, bu pratikte multisig’e daha yakındır. Diğerleri ise bağımsız operatörlerden oluşan birden fazla DVN kullanır.
LayerZero eleştirmenleri, bu esnekliğin başlı başına bir risk olduğunu savunmuştur. Bir uygulama maliyetten veya gecikmeden tasarruf etmek için zayıf DVN’lerle dağıtılırsa, o köprünün güvenliği tasarım gereği zayıftır. LayerZero ekibi buna DVN pazarını genişleterek ve bağımsız doğrulayıcılar kullanan varsayılan yapılandırmaları teşvik ederek yanıt vermiştir. Protokolün V2 yeniden tasarımı da açık DVN bileşimine daha fazla ağırlık verir. Yine de doğrulayıcı stack’ini seçme sorumluluğu nihayetinde uygulama ekibine aittir. Bu da bir LayerZero köprüsü üzerinden işlem yapan kullanıcının hem protokole hem de ekibin yaptığı seçimlere güvenmesi gerektiği anlamına gelir.
LayerZero’nun erişimi geniştir. Çoğu büyük EVM zincirinde, Solana’da ve birkaç EVM dışı ağda canlıdır. Ayrıca cross-chain likidite yönlendiricisi Stargate dahil büyük uygulamalar ve birkaç stablecoin ihraççısı tarafından kullanılmıştır. Bu erişim gerçek bir avantajdır, ancak daha karmaşık bir zihinsel modelle birlikte gelir: belirli bir köprünün güvenliği, seçilen DVN’lere, doğrulamayı uygulayan uygulama kontratına ve kullanılan on-chain endpoint sürümüne bağlıdır.
DVN’ler güven hesabını nasıl değiştirir?
Bir DVN stack’ini düşünmenin en basit yolu, onu takılabilir bir imza şeması olarak görmektir. Her DVN bir zk-proof sistemi, restaking tabanlı bir doğrulayıcı, merkezi bir tasdik hizmeti veya bilinen bir operatör tarafından çalıştırılan bir multisig olabilir. Farklı güven köklerine sahip bağımsız DVN’leri üst üste kullanmak makul bir savunmadır, çünkü bir saldırganın aynı anda birden fazla doğrulayıcıyı ele geçirmesi gerekir. Altyapıyı veya yönetişimi paylaşan ilişkili DVN’leri üst üste kullanmak ise, tek bir arıza noktasını çok sayıda unsur gibi göstermeye daha yakındır. Ucuz ve ilişkili DVN’lerle yayına çıkan uygulama ekipleri, merkeziyetsizlik pazarlamasını ve multisig risk profilini elde eder.
Wormhole ve guardian multisig
Başlangıçta Certus One tarafından geliştirilen ve artık Wormhole Foundation tarafından yönetilen Wormhole, üçüncü büyük stack’tir. Ethereum, Solana, BNB Chain, Aptos, Sui ve çok sayıda diğer ağı birbirine bağlar. Tarihsel olarak sektördeki en yüksek TVL’ye sahip köprü tasarımlarından biri olmuştur. Tasarımı aynı zamanda açıklaması en kolay olan ve güvenlik açısından en tartışmalı tasarımdır.
Wormhole’daki mesajlar, her biri kaynak zinciri gözlemleyen ve gözlemlenen olayları imzalayan bir node çalıştıran 19 guardian’dan oluşan izinli bir set tarafından tasdik edilir. 19 guardian’dan 13’ü aynı mesajı imzaladığında, mesaj hedef zincirde kabul edilir. Guardian’lar sektör genelinden seçilmiş tanınmış operatörlerdir ve set yönetişim kontrollüdür. Bu, yeni guardian’ların Wormhole DAO tarafından eklenebileceği veya çıkarılabileceği anlamına gelir.
Güven modeli, yüksek eşikli bir multisig’dir. 19 guardian’dan 7’si gizli anlaşma yaparsa veya 7 guardian’ın anahtarları ele geçirilirse köprü tamamen ele geçirilmiş olur. Bu anlamlı bir merkezileşme noktasıdır ve 2022 istismarı sonuçları somut hale getirmiştir. Bir saldırgan, Wormhole’un Solana tarafında imza kontrolünü sahtelemeye olanak tanıyan bir yol bulmuş ve Ethereum’daki yatırımlarla desteklenmeyen 120.000 wrapped ETH basabilmiştir. Kayıp o dönemde yaklaşık 320 milyon dolardı ve bir guardian operatörü olan Jump Crypto tarafından karşılandı. Jump Crypto köprüyü yeniden sermayelendirmek için devreye girdi.
Wormhole o zamandan beri bir guardian firewall ekledi, on-chain doğrulama mantığını sıkılaştırdı ve ek güvenlik incelemeleri için baskı yaptı. Bunların hiçbiri temel güven varsayımını değiştirmez. Bu varsayım, 13/19 eşikli izinli bir multisig’in cross-chain güvenliğin kökü olduğudur. Kullanıcılar için pratik soru, guardian setinin yeterince merkeziyetsiz olup olmadığı, guardian’ların teşviklerinin dürüst çalışmayla uyumlu olup olmadığı ve hedef zincirdeki uygulamanın doğrulama yolunu doğru şekilde uygulayıp uygulamadığıdır.
TVL sıralaması neden yanıltıcıdır?
Wormhole’un TVL’si, daha fazla paranın bir köprüye güvenmesinin köprünün daha güvenilir olduğu anlamına geldiği örtük mantığıyla, çoğu zaman güvenliğinin bir göstergesi olarak kullanılmıştır. Tarihsel kayıt bunun tersini gösterir. En yüksek TVL’ye sahip köprüler en çekici hedeflerdir ve Wormhole’un bu listenin üst sıralarındaki konumu, istismarlarının bu kadar büyük olmasının nedenidir. Toplam mevduata bakan bir kullanıcı güvenlik modelini değil, yalnızca bir saldırganın elde edebileceği ödülü görür.
IBC, LayerZero ve Wormhole önemli boyutlarda nasıl karşılaştırılır?
Güven modeli birincil boyuttur ve bu eksende IBC tasarım gereği en güvenli olanıdır, çünkü her zincir diğerini konsensüs yoluyla doğrular. LayerZero ikinci sıradadır, çünkü DVN stack’i kriptografik olarak sağlam olacak şekilde yapılandırılabilir, ancak yalnızca uygulama gerçekten sağlam doğrulayıcıları seçerse. Wormhole üçüncü sıradadır, çünkü güven kökü bir kez ele geçirilmiş olan ve yalnızca guardian seti merkeziyetsizleştirildikçe ve rotasyona sokuldukça iyileşen izinli bir guardian multisig’dir.
Erişim ve bağlantı açısından Wormhole ve LayerZero avantajlıdır. İkisi de düzinelerce zincirde hazır olarak çalışır ve bir geliştirici özel bir light client yazmadan herhangi birinde cross-chain uygulama dağıtabilir. Buna karşılık IBC, bağlantı başına kurulum gerektirir ve alışılmadık konsensüse sahip bir zincire bağlantı ciddi bir mühendislik projesidir. Her büyük ağa hızlıca dokunması gereken bir uygulama için bu gerçek bir maliyettir.
Geliştirici deneyimi bugün LayerZero ve Wormhole arasında kabaca eşittir. Her ikisi de görece basit bir endpoint ve iyi bilinen dağıtım yolları sunar. IBC araçları ibc-go ve Hermes relayer’ları gibi kütüphanelerle çok gelişti, ancak Ethereum tarafındaki on-chain ayak izi daha ağırdır ve EVM araçları alternatiflere göre daha az olgundur.
Gecikme ve maliyet konusunda genelleme yapmak zordur. Tendermint zincirleri arasındaki IBC bağlantıları hızlı ve ucuzdur, çünkü relayer yalnızca mevcut başlıkları gönderir. LayerZero’nun gecikmesi DVN yapılandırmasına ve Ultra Light Node’un durumu ne sıklıkta yenilemesi gerektiğine bağlıdır. Wormhole’un gecikmesi guardian imza toplamasına bağlıdır. Perakende ölçekli transferler için üçü de rekabetçidir; yüksek frekanslı cross-chain arbitraj için ise finality ve gas farkları önemli olabilir.
Yönetişim ve yükseltme yolları, değeri yeterince bilinmeyen bir risk yüzeyidir. IBC yükseltmeleri protokol seviyesinde gerçekleşir ve bağlı zincirler arasında koordinasyon gerektirir. LayerZero aktif olarak yinelemeli şekilde geliştirilmiştir ve V2, güven modelini daha açık DVN bileşimine doğru yeniden şekillendirmiştir. Wormhole yönetişimi Wormhole Foundation ve guardian setindedir. 2022 olayı daha görünür bir güvenlik yol haritasını tetiklemiştir. Bu yönetişim yollarının hiçbiri tamamen trustless değildir ve bir kullanıcı kuralları kimin değiştirebileceğinin farkında olmalıdır.
Geliştiriciler ve DeFi kullanıcıları için pratik sonuçlar
Geliştiriciler için dürüst çıkarım şudur: cross-chain stack seçimi, bir güven kökü seçimidir ve bu karar tek bir satır iş mantığı yazılmadan önce verilmelidir. Mümkün olan en güçlü garantilere ihtiyaç duyan ve Cosmos tarzı bir ortamın içinde yaşamaktan memnun olan bir uygulama için IBC’nin üstüne çıkmak zordur. Geniş erişime ihtiyaç duyan ve DVN bileşimini dikkatle yönetmeye istekli olan bir uygulama LayerZero’yu esnek bulacaktır. Pazara çıkış süresine öncelik veren ve izinli bir guardian setiyle rahat olan bir uygulama, güven modelinin pazarlama sayfasının genellikle dışarıda bıraktığı şey olduğunu bilerek Wormhole ile hızlıca yayına çıkabilir.
DeFi kullanıcıları için pratik kontrol listesi kısadır. Bir token’ın önemsediğiniz chainler arasında hareket etmek için hangi bridge’i kullandığını öğrenin. Bu bridge’in mesajları nasıl doğruladığını okuyun. Cevap bir multisig ise kaç imzacının gerektiğini, kim olduklarını ve nasıl yönetildiklerini sorun. Cevap bir light client ise hedef chain’in bu client’ı gerçekten çalıştırıp çalıştırmadığını ve ne sıklıkla güncellendiğini sorun. Cevap bir DVN stack ise stack içinde hangi DVN’lerin bulunduğunu ve bunların bağımsız olup olmadığını sorun. Wrapped veya bridged bir varlık, bu cevabın en zayıf kısmı kadar güvenlidir ve bridged token’ın risk profili, kendi ana chain’indeki dayanak varlıkla nadiren aynıdır.
Cross-chain riskin statik olmadığını hatırlamak da önemlidir. Bir bridge’in bugünkü guardian seti yarınki guardian seti olmayabilir. Bir LayerZero uygulamasının bugünkü DVN bileşimi yarın yeniden yapılandırılabilir. Bir IBC bağlantısının bugünkü light client’ları, governance yoluyla değişebilen validator setlerine bağlıdır. Güven varsayımları yaşayan şeylerdir ve dürüst bir karşılaştırma bunu açıkça söyleyen karşılaştırmadır.
Cross-chain riski akıllıca nasıl takip edilir
Cross-chain altyapı hızlı hareket eder, güvenliğiyle ilgili haberler de öyle. Bridge denetimlerini, guardian rotasyonlarını, DVN değişikliklerini ve exploit açıklamalarını manuel olarak takip etmek kaybedilecek bir oyundur. Zippfeed, cross-chain manşetleri sentiment puanlamasıyla, yani bullish, neutral veya bearish etiketleriyle ve önem derecesiyle öne çıkarır. Böylece hangi bridge olaylarının piyasaları gerçekten hareket ettirdiğini, hangilerinin yalnızca gürültü olduğunu görebilirsiniz. Bunu, her seferinde mesaj konusunda hangi validator setine güvendiğinizi sorma alışkanlığıyla birleştirirseniz, bridge’leri hâlâ sıradan altyapı olarak gören çoğu bireysel kullanıcının önüne geçersiniz.