如何讓跨鏈代幣重新具備可替代性:第二部分
ERC-7281 通過去中心化、安全性和靈活性增強了代幣跨鏈傳輸,獲得了行業關鍵玩家的採用。瞭解它為何對以太坊 L2 至關重要。如果你還沒有閱讀《如何讓跨鏈代幣重新具備可替代性》系列的第一部分,建議先查看——它分析了為什麼跨鏈代幣失去可替代性以及由此帶來的挑戰。在第二部分,我們將探討ERC-7281,這一新標準簡化了跨鏈代幣轉移,增強了可靠性,併為發行方提供了更大的控制權。
更好方法的需求
到目前為止,我們已經探討了多種解決方案,以解決讓跨鏈代幣具備可替代性的問題,以及流動性碎片化和因本鏈代幣在非本鏈上的非規範表示帶來的不良用戶體驗:
- 通過規範的Rollup/側鏈橋接在遠程鏈上鑄造代幣的規範表示
- 通過第三方橋接服務在遠程鏈上鑄造代幣的規範表示
- 通過代幣發行方運營的規範橋接服務在遠程鏈上鑄造代幣的規範表示
這些方法各有利弊,因此ERC-7281提出的創建具備可替代性的跨鏈代幣的提案,試圖從每種方法中取其精華,創造一個更加整體、高效且可訪問的解決方案,供希望在不犧牲安全性、主權或用戶體驗的情況下跨鏈部署代幣的協議使用。
ERC-7281:主權跨鏈代幣(Sovereign-Bridged Tokens)是一項提案,旨在使代幣的規範表示能夠與由不同橋接服務鑄造的代幣兼容且具備可替代性。ERC-7281的實現通過擴展ERC-20接口,包括以下功能:
- 鑄造和銷燬規範ERC-20代幣的功能;
- 代幣所有者的能力
1)指定橋接運營商在跨鏈時鑄造和銷燬代幣;
2)對每個批准的橋接運營商的鑄造和銷燬操作設置速率限制——例如,為集中式橋接設置較小的限制,而為更安全的協議設置更高的限制。
鑑於ERC-7281與ERC-20代幣之間的細微差異,EIP作者將前者描述為“xERC-20”。對於需要了解ERC-20代幣的讀者,OpenZeppelin提供了一個很好的指南。
本質上,每個ERC-20代幣合約實現了ERC-20接口,該接口定義了全局代幣供應量,並存儲有關哪些地址擁有代幣及其數量的信息。ERC-20還包括一些有用的功能,用於管理用戶代幣的訪問(通過批准)並檢索有關代幣的信息——例如,總流通量和特定地址的餘額。
ERC-7281為ERC-20規範添加的一個額外功能是可選的Lockbox,它充當包裝合約(類似於WETH(Wrapped Ether)合約)。Lockbox合約通過熟悉的鑄造和銷燬機制將ERC-20代幣包裝成xERC-20代幣,並使ERC-7281與缺少銷燬/鑄造接口且不可升級的現有ERC-20代幣合約兼容。
使用上一篇文章中介紹的框架,我們可以將ERC-7281歸類為一種“信任代幣發行方+信任(批准的)橋接服務提供商”的跨鏈代幣鑄造方法。跨多個鏈部署的ERC-7281代幣由其發行方控制(與通常要求放棄主權的跨鏈代幣的替代設計不同)。雖然發行方仍然面臨批准的橋接服務遭遇安全事件的風險,但發行方可以通過手動選擇並速率限制授權的橋接提供商來管理這種風險。
最大的不同之處是,正如我們在本報告中將探討的那樣,代幣發行方可以通過對每個橋接運營商能夠鑄造/銷燬多少代幣施加動態限制,從而調整對橋接攻擊和漏洞的暴露程度。ERC-7281還允許代幣發行方將多個橋接提供商列入白名單,以便在不同鏈上鑄造相同的規範代幣,從而減少對單一提供商在跨鏈橋接操作中的依賴。
這兩個特性使得ERC-7281比傳統的跨鏈橋接方法有了顯著改進,並對用戶、互操作性基礎設施提供商(特別是聚合器)以及應用開發者產生了積極的二階效應。在接下來的部分中,我們將討論這些規格,並回顧實施ERC-7281的優缺點。
ERC-7281概述:主權跨鏈代幣
為用戶鑄造和銷燬代幣
在該規範中,一個項目部署了一個新的ERC20兼容代幣合約,該合約實現了IXERC20接口。橋接運營商在目的鏈上為用戶鑄造代幣,在源鏈上銷燬存款。鑄造過程會檢查代幣的數量是否超過橋接的限額,並在成功時更新代幣的總供應量和橋接的鑄造限額。
對於已經存在的ERC-20代幣,應用了“lockbox”邏輯:橋接提供商將用戶存入的ERC-20代幣包裝成xERC-20代幣,方法是將其轉移到Lockbox合約。Lockbox隨後批准橋接方鑄造等量的xERC-20代幣。
在目的鏈上,由橋接方鑄造的xERC-20代幣將在源鏈上使用burn()函數銷燬。此過程確保代幣數量不會超過橋接的銷燬限額,並增加其數量,同時減少xERC-20代幣的總供應量。橋接的傳輸層將銷燬消息中繼到目的鏈。目的鏈上的橋接合約驗證該消息,並將等量的xERC-20代幣鑄造到該鏈上的用戶地址。這一鑄造減少了代幣的總供應量和橋接的鑄造限額。
要將代幣橋接回本鏈,橋接運營商會在遠程鏈上銷燬xERC-20代幣,提供用戶的地址和代幣數量。銷燬憑證由傳輸層中繼到本鏈。如果銷燬消息經過驗證,橋接運營商將在本鏈上為用戶鑄造並銷燬新的xERC-20代幣。經過代幣合約驗證銷燬憑證後,橋接運營商將釋放存入的ERC-20代幣給用戶。在本鏈上銷燬xERC-20代幣會減少代幣的總供應量和橋接的銷燬限額。
一個重要的點是:xERC-20合約從技術上講可以在不驗證證明的情況下鑄造代幣。我們已經描述了標準(即預期的)方法,但不實現任何類型消息驗證的橋接服務,或者實現驗證跨鏈消息的新機制的橋接服務,可以被列入白名單,以鑄造和銷燬xERC-20代幣。這完全取決於代幣發行方能接受什麼樣的機制。
代幣鑄造和銷燬的速率限制
setBridgeLimits是一個受保護的函數,僅能由代幣合約的所有者調用。此函數允許設置橋接合約的地址,並指定橋接方可以為用戶鑄造(mintingLimit)和銷燬(burningLimit)的最大代幣數量。所有者可以更新這些限制,以根據需要調整橋接的能力。例如,如果發現某個橋接服務提供商的基礎設施存在安全問題,mintingLimit可以被減少以降低風險。相反,安全改進可能導致鑄造限額的增加。
xERC-20規範還包括檢查獲批准橋接服務的銷燬和鑄造限額的函數。“mintingMaxLimitOf”返回一個橋接服務可以鑄造的最大代幣數量,分別,“burningMaxLimit”返回橋接服務在指定時間段內可以銷燬的最大代幣數量。此外,這些函數還顯示了橋接服務在達到預設限額之前可以銷燬和鑄造的剩餘代幣數量。
這些查看器函數對橋接聚合器非常有用,橋接聚合器需要在路由交易之前瞭解不同橋接提供商的可用限額。如果某個橋接服務在源鏈或目標鏈上達到了其銷燬或鑄造限額,將會影響正在進行的交易和用戶體驗。因此,聚合器更願意將請求路由到那些尚未達到鑄造和銷燬限額並且能夠執行給定數量交換的橋接服務。
速率限制參數
xERC-20代幣接口規範包括一個“Bridge”結構,包含“burningParams”和“mintingParams”(xERC-20代幣的速率限制函數控制橋接可以在預定的時間段內銷燬和鑄造多少代幣)。“maxLimit”定義了代幣鑄造和銷燬的最大限制,並按預定速率(ratePerSecond)每秒增加。
這裡有一個可能引起混淆的點:“maxLimit”(用於鑄造和銷燬限制)聽起來像是針對特定時間尺度上的鑄造和銷燬操作的上限——而不是根據預設時間窗口中的預定義閾值來限制鑄造和銷燬操作的速率限制。“currentLimit”定義了橋接可以鑄造或銷燬的數量,並按預定速率增加。相對而言,“maxLimit”定義了橋接每天可以鑄造或銷燬的代幣數量。
鑄造和銷燬參數主要與代幣所有者(以及橋接運營商在較小程度上)相關。然而,最大限制和當前限制參數對於用戶和橋接運營商來說都是重要的考慮因素。例如,當前限額可能影響用戶可以通過跨鏈協議自信地橋接多少代幣,而不會在目標鏈上遇到接收xERC-20代幣的延遲。
xERC-20 Lockbox
原始的ERC-20代幣並沒有規定增加或減少代幣供應量的功能(那時“代幣經濟學”意味著生成固定數量的代幣,並告訴用戶該代幣有價值,因為它在幾年後將變得稀缺*)。因此,並非每個ERC-20代幣都有鑄造和銷燬功能。由於ERC-7281採用了大多數(如果不是全部)橋接當前使用的鑄造和銷燬機制,傳統的或不可升級的ERC-20代幣無法直接與ERC-7281兼容。
Lockbox合約提供了一種解決方案,使其能夠與現有代幣向後兼容。在原始規範中(即項目部署一個新的代幣合約並實現IXERC20接口),橋接運營商只需要調用mint(),就可以在目標鏈上為用戶鑄造代幣(在源鏈上鎖定存款之後)。
Lockbox合約大量借鑑了WETH包裝合約的設計。它實現了一個deposit()函數,用於將相應的ERC-20代幣存入Lockbox,另外還實現了一個withdraw()函數,供橋接運營商在遠程鏈上銷燬包裝代幣後解鎖ERC-20代幣。
規範中突出的前兩種錯誤類型(“IXERC-20Lockbox_NotNative”和“IXERC-20Lockbox_Native”)發生在用戶嘗試將代幣存入錯誤的Lockbox合約時。Lockbox可以是本地的或非本地的,具體取決於它支持哪些類型的代幣。
本地Lockbox託管本地代幣——即用於支付驗證者的燃料費的代幣。ETH就是一個示例,ETH會有一個本地Lockbox,用於將其包裝成xERC-20代幣:將ETH包裝成xERC-20代幣需要調用Lockbox的depositNative()函數,並存入ETH以接收符合ERC7281標準的ETH表示。
常規(非本地)Lockbox託管ERC-20代幣,如USDC、DAI、WETH、USDT等。例如,為了將USDC作為xERC-20代幣鑄造,用戶可以在鎖定USDC後,調用Lockbox合約的deposit()。
如果使用ETH調用deposit(),這些資金將永遠被鎖定,因為常規Lockbox合約只能包裝和解包裝ERC-20代幣。用ERC-20代幣調用depositNative()會產生類似的結果,因為本地Lockbox合約是針對本地代幣設計的,而不是ERC-20代幣。
通過將標準ERC-20代幣包裝成支持鑄造和銷燬的xERC-20代幣,Lockbox為標準提供了一個重要的兼容性層。然而,在某些情況下,例如將其他橋接解決方案集成到xERC-20中,僅使用Lockbox並返回包裝代幣並不是一個可行的選擇。為此,項目可能會實現適配器合約。
適配器合約
在橋接協議無法識別xERC-20代幣固有的操作(如鑄造/銷燬、相應的日誌記錄等)的情況下,應用程序可以構建適配器合約。這些合約充當自動包裝和解包裝器——有效地將標準ERC-20的approve + call行為轉換為xERC-20所需的更精細的鑄造/銷燬機制。
這是必要的,因為許多橋接協議(例如,Chainlink的CCIP)仍然針對傳統的ERC-20行為進行了優化。適配器合約可以通過固化這種邏輯來彌合兼容性差距:它將代幣存入Lockbox,以在源鏈上生成xERC-20表示,稍後,在接收到目標鏈上的消息時,它會觸發提取機制,恢復為標準資產。
這種流程確保用戶最終收到一致的、標準的代幣——不受xERC-20背後包裝機制的影響。通過這種方式,適配器可以讓協議與不兼容xERC-20的橋接無縫集成,並增加它們支持的互操作解決方案的範圍。
為什麼選擇 ERC-7281?主權跨鏈代幣標準的必要性
從高層面來看,ERC-7281 具有四個主要目標:
- 可替代性:用戶從代幣的原生鏈跨鏈(至 L1/L2)時,應該始終在目標鏈上收到該代幣的唯一標準版本。如果同一代幣在非原生鏈上存在多個不可替代的版本,將會導致流動性碎片化和代幣難以組合使用等問題。ERC-20 規範的最初願景是確保以太坊上的代幣在各種應用和基礎設施中能夠無縫互操作,並保持可替代性。然而,在採用以 rollup 為中心的擴展路線後,跨鏈的原子可組合性問題浮現,多個獨立的鏈環境削弱了代幣的可替代性。xERC-20 允許將不同跨 rollup 橋的流動性聚合為統一的多 rollup 代幣,從而恢復以太坊最初的願景。
- 安全性:為了降低對手方風險,代幣發行方應能夠根據安全基礎設施的評估,在多個競爭性的跨鏈橋提供方中進行選擇。此外,代幣發行方應該能夠在合作橋提供方遭遇安全事件時得到有效保護——個別橋服務受到攻擊不應導致整個 TVL(總鎖定價值)被清零。
- 無需流動性支持的跨鏈代幣啟動:協議 DAO 不應被迫在跨鏈擴展時投入大量資金用於流動性引導。基於流動性的跨鏈橋方案不僅影響用戶體驗,而且隨著區塊鏈生態的增長,提供流動性激勵的成本可能變得不可持續。
- 代幣發行方的主權:代幣發行方應始終掌控在非原生鏈上鑄造的協議代幣的標準版本。解決不可替代的跨鏈代幣問題不應以犧牲項目的自主權為代價,尤其是在總供應量管理、鑄造與銷燬機制配置等行政管理方面,不應交由第三方橋服務商掌控。
通過進一步探討這些目標,我們可以更清晰地理解 ERC-7281 為協議和社區帶來的價值。
分析 ERC-7281 的優勢
提升用戶體驗並消除流動性碎片化
ERC-7281 解決了引言中描述的各種路徑依賴問題。路徑依賴可能是鏈特定的(例如,從 Ethereum → Arbitrum → Optimism 橋接的 ETH 與從 Ethereum → Optimism → Arbitrum 橋接的 ETH 不同),也可能是橋特定的(例如,通過 Celer 從 Ethereum 橋接到 Optimism 的 ETH 與通過 Connext 橋接的 ETH 不同)。
路徑依賴是一個重要的安全特性,但它也會損害跨鏈橋接的用戶體驗和跨鏈可組合性。例如,用戶無法以編程方式向在 Optimism 和 Arbitrum 運行的跨鏈 DEX 提供流動性,因為該應用必須接受 opETH 或 arbETH。
ERC-7281 通過引入 xERC-20 代幣消除了這一問題,無論用戶跨鏈橋接多少次,或使用何種橋接提供商,xERC-20 代幣始終保持可互換性。假設用戶希望將封裝的 USDT 從 Arbitrum 轉移到 Optimism,而無需先提現回 Ethereum,則橋接提供商可以在 Arbitrum 上銷燬 xERC-20 代幣,並在 Optimism 上鑄造 xERC-20 代幣 —— 在 Optimism 上鑄造的代幣價值仍然與存入 Lockbox 的代幣掛鉤,並通過映射機制維持 1:1 資產支持。
更重要的是,ERC-7281 提供了類似 Circle 的 CCTP(跨鏈傳輸協議)所具備的優勢,即可部署權威性的跨鏈代幣,而無需協議對橋接代幣進行中心化託管。例如,流動性將圍繞項目代幣的權威版本整合,從而提升 DeFi 應用的代幣實用性,並減少為同一資產的不同版本創建不同市場的成本。
增強代幣發行方的主權
xERC-20 代幣被稱為“主權跨鏈代幣”,因為代幣發行方不必受限於特定的橋接方式來鑄造代幣的權威版本,並且可以自主設計和管理跨鏈部署的代幣。ERC-7281 結合了“通過第三方橋鑄造權威代幣”和“通過代幣發行方自控橋鑄造權威代幣”的特點,將主權、用戶體驗和去中心化融為一體。
採用 ERC-7281 進行跨鏈部署的項目可以通過多個橋接協議鑄造代幣的權威版本,而不會遇到相同原生資產因封裝方式不同而導致的非同質化問題,從而確保 ERC-20 代幣的可組合性和可替代性不會影響用戶體驗。這些項目還能在跨鏈部署中保持類似於原生代幣發行方管理內部基礎設施的控制力,因為 xERC-20 代幣合約和 Lockbox(橋接協議用於鎖定、鑄造和銷燬代幣的機制)是由項目方自行部署和控制的。
這一低調但關鍵的特性在某些場景下尤為實用,例如:某個知名項目的原生代幣只在主鏈上發行,但其他生態系統的用戶希望獲得該代幣的敞口,而不願意直接持有其原生鏈上的代幣。此外,該項目可能沒有能力或意願為每條鏈搭建專門的跨鏈橋,以確保橋接代幣的 1:1 兼容性,同時也不願將代幣的控制權交給可能與協議及其社區目標不一致的第三方。
這種情況在實施跨鏈治理時尤為關鍵。例如,如果治理投票允許使用橋接代幣進行投票,而計票仍在原生鏈上進行,那麼由不對齊的橋接方掌控橋接代幣可能會成為協議治理的瓶頸。
Beefy(一個收益聚合協議)正是出於這一原因採用了 xERC-20。根據該項目的橋接文檔,ERC-7281 為其提供了更多橋接選項——這一點在其主要橋接合作夥伴遭遇黑客攻擊後變得尤為必要(類似的事件已在加密領域頻繁發生)。此外,ERC-7281 也讓 Beefy 在橋接機制的設計上擁有了更精細的控制權。具體來說,ERC-7281 的白名單功能使該協議能夠選擇不同的橋接合作夥伴,併為用戶提供多種橋接方案,讓他們在速度、去中心化、成本和安全性之間自由取捨,以橋接 mooBIFI 代幣。
更優的風險管理機制助力代幣發行方
基於流動性的跨鏈橋通常偏向於那些有資金實力提供流動性激勵的項目——由於代幣發行方希望儘可能減少 LP 激勵支出,同時提供更優的跨鏈用戶體驗,流動性成為使用權威 L1/L2 橋接協議的核心因素。這一現象也影響了橋接聚合器在選擇橋接提供商時的決策,使得新興橋接服務(即便其基礎設施安全可靠)更難與成熟的橋接協議競爭。
ERC-7281 通過消除基於流動性的跨鏈橋需求解決了這一問題。由於不再需要鑄造和兌換非權威代幣以獲取權威代幣,任何規模的跨鏈橋都可以被批准在遠程鏈上鑄造項目代幣。與此同時,代幣發行方希望儘量降低因跨鏈橋失敗帶來的風險,因此越來越多的協議將開始優先關注跨鏈橋的安全性設計,而非單純依賴流動性。
這一機制促成了開放競爭,使得競爭焦點從“流動性最強的跨鏈橋獲勝”轉向“安全性最強的跨鏈橋獲勝”。此外,這種開放競爭還促使橋接協議在流動性和安全性之外引入更多差異化特性(例如費用、API/SDK 支持、應用集成等)。這些功能通常更容易在開發初期融入應用,因為它們主要取決於開發團隊的技術能力;相比之下,流動性和橋接交易量的建立則更為複雜,需要業務拓展、融資、行業資源、市場推廣等多方面的配合。
為代幣發行者提供更好的風險管理
ERC-7281 引入了可配置的鑄造與銷燬速率限制,大幅改善了協議在與第三方跨鏈橋合作鑄造非原生鏈權威代幣時的風險管理能力。如果某個橋接提供商遭到黑客攻擊或安全漏洞被利用,攻擊者所能造成的最大損失僅限於該橋接的額度上限。若代幣發行方合理設定速率限制參數,對單一橋的攻擊影響將被控制在最小範圍,不至於危及協議整體的償付能力。
針對不同跨鏈橋單獨配置速率限制還能優化協議 DAO 的風險評估流程。目前,橋接風險評估往往耗時數月,因為一旦權威第三方橋接協議被攻破,其影響範圍極為廣泛。為確保決策的合理性,協議需要對選定的橋進行深入的安全審查,以提供強有力的安全保證。然而,這種冗長的安全分析流程不僅消耗大量資源和時間,最終也無法徹底規避零日漏洞的風險。
採用 ERC-7281 後,風險評估流程變得更具動態性。項目仍需對橋接提供商進行盡職調查,以合理設定速率限制參數,但評估週期可以縮短,因為協議不再處於“全有或全無”的選擇困境。相比花費數月分析多個橋接協議以選出唯一方案,項目方可以在更短時間內選定多個橋接提供商,並基於安全評估設定不同的鑄造上限。隨後,代幣發行方可以通過持續的安全審查決定是否調整某些橋接合作夥伴的鑄造上限,甚至在發現安全隱患時撤銷橋接的鑄造權限。
ERC-7281 還降低了希望採用最新跨鏈安全技術但又對完全接納該技術持謹慎態度的項目門檻(即“創新者的困境”)。如果某個橋接提供商提出了一種據稱能顯著提升安全性的基礎設施,協議可以通過分配有限的鑄造權限來“試水”,並隨著對該方案的信任度提升,逐步增加其鑄造額度。
與消除流動性依賴類似,ERC-7281 還消除了協議在授予跨鏈橋鑄造權限前必須對其技術棧 100% 信任的需求,從而在新興和成熟橋接協議之間創造了公平競爭環境。老牌橋接協議必須不斷優化安全方案,否則代幣發行方可能因新進入者在安全性和去中心化方面表現更佳而撤銷其鑄造權限。此外,這一機制還消除了協議在使用第三方跨鏈橋時的另一潛在風險——部分橋接提供商可能因市場領先地位穩固而停止在安全性上持續創新,導致協議難以採取懲罰性措施(例如遷移至更安全的橋接提供商),而 ERC-7281 賦予了代幣發行方更靈活的決策權。
提升生態系統間的可組合性
當前,在多個鏈之間構建複雜的應用工作流仍然是一項挑戰,主要原因是基於流動性的跨鏈橋定價難以預測。例如,一個跨鏈聚合器在執行 Ethereum → Linea → Base 的跨鏈轉賬時,有兩種選擇:
- 設置滑點容差參數,並根據用戶在每條鏈上最終收到的最小代幣數量(取決於橋接消息到達時的流動性情況)來確定跨鏈路徑的執行價格。
- 不設置滑點容差參數,而是在某條鏈上收到的代幣數量低於預期時,通過鏈上流動性來源(如 DEX)動態補充流動性。
相比之下,跨鏈聚合器可以通過檢查允許鑄造特定代幣的橋接協議的 mintingLimit 和 burningLimit 事先獲知跨鏈交易涉及的每個網絡上可預期的代幣數量。當然,在交易廣播與落地期間,橋接協議可能觸及 maxLimit,導致用戶無法在目標鏈上接收權威代幣。
儘管如此,ERC-7281 在以下方面仍然提供了顯著改進:
- 如果橋接提供商在交易進行中觸及 mintingLimit,跨鏈交易將被暫緩執行,並在速率限制參數調整後重試。與當前流動性橋不同,用戶不會收到某種非標準的封裝版本代幣,而是等待重新執行以確保獲取原生映射的代幣。
- 跨鏈聚合器可以更可預測地判斷跨鏈交易的執行時間和接收的代幣數量。由於 mintingLimit 和 burningLimit 是基於區塊時間設定的(參考速率限制參數章節),開發者可以計算何時橋接協議會恢復鑄造和銷燬代幣;而相比之下,預測橋接協議的流動性恢復情況則完全是“賭博”。
流動性的不可預測性還意味著跨鏈交易的重試成本難以控制。例如,假設某個跨鏈聚合器基於橋接池的流動性為某個代幣對提供報價,但由於池子流動性驟降,交易無法執行。如果稍後交易被重試,開發者無法確定先前的報價是否仍然準確,或者流動性是否會恢復到原有水平,從而增加了價格的不確定性。
由於 xERC-20 代幣的橋接不依賴於流動性變化,用戶可以確信跨鏈交易不會產生滑點,即使交易沒有立即執行也不受影響。
這種提升的可組合性不僅惠及跨鏈聚合器,也為所有跨鏈應用創造了新的可能性。當前,由於路徑依賴問題,開發者在設計跨鏈工作流時需要整合不同橋接提供商,以確保不同鏈上的封裝代幣能夠互換。例如,如果開發者希望從 Ethereum 橋接 ETH,在 Arbitrum 上開設借貸倉位,並將盈利用於在 Optimism 上購買 NFT,最後再橋回 Ethereum,他們必須確保與這些鏈上的特定橋接提供商兼容,否則無法輕易在不同版本的封裝代幣間進行兌換。但在採用 xERC-20 之後,橋接代幣具備完全的可替代性,開發者無需再為路徑依賴問題擔憂。
這一工作流與前文提到的代幣發行方橋接方案類似。以 Circle CCTP 為例:
Circle 的 Cross-Chain Transfer Protocol 允許用戶在多個鏈上擁有統一的 USDC 版本,而不會被單一鏈生態所限制,所有跨鏈轉賬均通過“銷燬-鑄造”機制執行。
然而,CCTP 是一箇中心化協議,Circle 作為唯一被授權的實體,負責 USDC 的跨鏈銷燬與鑄造。相比之下,xERC-20 通過允許多個實體採用不同的安全機制執行跨鏈轉賬,從而消除了單點信任風險,使得跨鏈操作更加去中心化、安全和靈活。
支持以太坊的 Rollup 為中心的多鏈未來
ERC-7281 可以加速以太坊的 Rollup 發展路線,使項目方更有信心在新的 EVM L2 上部署代幣,即使這些 L2 可能尚未具備成熟 L2 鏈的強安全性。例如,階段 0 Rollup 的原生橋安全性較弱,因為以太坊 L1 並不保證其橋接安全性。代幣項目可以通過給予該原生橋有限的鑄造權限逐步擴展至該鏈,並在該 Rollup 進入階段 1 後提高鑄造上限。
這一過程可以持續進行,直到 L2 進入階段 2(Rollup 在去中心化和安全性方面的最高階段)。這種機制讓協議能夠在新鏈上以更低風險的方式進行部署,從而幫助以太坊生態加速發展——不僅降低了新 L2 啟動時的流動性冷啟動難度,還能推動更多 Rollup 設計上的創新。
實施 ERC-7281 的潛在缺點
DAO 項目管理團隊的運營負擔增加
儘管 ERC-7281 對協議而言極具吸引力,但 DAO 可能會因 xERC-20 代幣的管理工作量較大而對其持謹慎態度。在多個鏈上管理 xERC-20 代幣會給 DAO 項目團隊帶來額外的運營負擔。
Gerard Persoon 在《在多條鏈上管理橋接代幣》一文中列出了協議從 ERC-20 遷移到 xERC-20 後需要執行的一系列一次性和週期性任務(該列表並非詳盡無遺):
這是一個很長的任務清單
一個提議的解決方案是讓 DAO 將一些與管理跨鏈 xERC-20 代幣相關的行政任務外包給第三方服務,但這只是將一種權衡(人力資源成本)替換為另一種(僱傭服務的成本)。
假設一個協議以前通過內部基礎設施管理跨鏈代幣(例如,在每條鏈上部署單獨的代幣合約,並控制鑄造和銷燬),在這種情況下,ERC-7281 看起來並不是一個激進的變化。然而,習慣於將核心橋接基礎設施的管理外包給橋接開發團隊的項目,將會覺得額外的工作負擔令人擔憂。
例如,Lido 的一名核心團隊成員在迴應一個提議(即將 Lido 的 wstETH 部署為跨鏈的 xERC-20 代幣)時,列出了目前與互操作性基礎設施相關的 PM 團隊的職責,並將其與如果 Lido DAO 投票決定將所有域中的 wstETH 遷移為 xERC-20 版本時,團隊成員必須承擔的職責進行了對比。
正如上面的對話所示,管理 xERC-20 代幣給協議和社區成員帶來了不可忽視的行政開銷增加。例如,橋接限制需要積極監控和評估橋接安全性,以便對鑄造限制進行調整,而關於橋接限制(或鑄造權的撤銷/分配)的決策可能需要 DAO 投票決定(如果這些選擇需要頻繁做出,DAO 成員可能會感到投票疲勞)。
然而,這不應被視為對 ERC-7281 的價值判斷。每個項目都有不同的風險輪廓、長期目標和資源——這些因素共同決定了是否採用 ERC-7281 的長期利益超過了短期和持續的成本。
例如,較小的項目可能會發現管理髮行 xERC-20 代幣的開銷更為困難,並選擇像 Axelar 的 ITS(跨鏈代幣服務)或 Wormhole 的 NTT(原生代幣轉移)這樣的託管多鏈代幣橋接服務。更成熟的項目可能具備管理髮行 xERC-20 代幣的行政和運營成本的資源,並且可能認為 ERC-7281 提供的控制權值得為管理跨鏈代幣而付出的額外開銷。
遷移現有代幣到 xERC-20 標準的困難
對於沒有鑄造/銷燬接口,或者無法通過繼承使用 IERC20 協議升級代幣合約,並且已經在非本鏈上流通了原生代幣的規範表示的項目來說,遷移到 xERC-20 代幣是一個漫長的過程,需要大量的協調,並涉及一個複雜的參與者網絡——從代幣持有者、交易所(DEX 和 CEX)、合作橋接、到與傳統 ERC-20 代幣集成的應用程序。即使這部分問題得到解決,協議仍然需要承擔將 ERC-20 代幣解包為 xERC-20 代幣的成本,以完成遷移過程。
正如在討論 ERC-7281 規範時所解釋的那樣,現有代幣需要鎖定在 Lockbox 中,以為用戶鑄造包裝後的 xERC-20 代幣。傳統的 ERC-20 代幣將在不久後被淘汰,並且需要另一個漫長的過程,即與社區分享關於凍結新(傳統)ERC-20 代幣鑄造的時間表的溝通。再次強調,從協議的角度來看,這個過程可能是值得的——儘管這種好處可能不足以證明協調生態系統範圍內的遷移到 xERC-20 兼容表示的代幣所付出的成本。
DAO 治理的更大風險面
在多個域上管理 xERC-20 代幣與 ERC-7281 一起,需要 DAO 積極治理協議。這涉及設置諸如鑄造限制、升級 Lockbox 合約,以及暫停鑄造或銷燬代幣等參數。這些決策涉及安全問題,應該由 DAO 來治理,以避免封閉董事會決策帶來的責任。
ERC-7281 旨在讓協議掌控這些決策,而不是第三方橋接。這是合理的,因為 DAO 已經在其本鏈上管理代幣,因此將其治理擴展到其他鏈上的代幣對於尋求這種控制的協議和社區來說是合情合理的。然而,一些協議可能不希望這種額外的 DAO 控制,因為擔心治理和穩定性問題。
例如,像 Lido 這樣的高知名度項目在治理問題上面臨審查。增加對代幣管理的控制會增加治理接管的風險。如果項目將所有 ERC-20 代幣整合到一個 Lockbox 中並由 DAO 進行治理,攻擊者可能會控制 Lockbox 並引入一個沒有鑄造限制的惡意橋接提供商,導致其他鏈上的 xERC-20 代幣變得一文不值。
這一場景與 Multichain 攻擊有相似之處,在該事件中,多個方計算(MPC)簽名基礎設施的漏洞使黑客能夠破壞託管以太坊和 Dogecoin 上原生代幣的主要 Multichain 地址——這些代幣支持在非本鏈上鑄造的代幣,如 Fantom 和 Moonriver,這引發了連鎖反應,導致其他項目因 Multichain 在以太坊和 Dogecoin 上的智能合約遭受攻擊而遭受損失。
與最大化去中心化協議的不兼容
當代幣由具有代幣治理或中心化實體(例如,Circle 的 USDC 或 CZKC 穩定幣)發行時,ERC-7281 適用。然而,如果協議是最大化去中心化且缺乏正式治理,它的價值就不那麼大——例如,Liquity 的 LUSD 穩定幣就是一個難以與 xERC-20 標準兼容的代幣實例。
xERC-20 代幣要求某個實體決定具體參數,如鑄造和銷燬限制,並做出是否將某些橋接提供商列入白名單等決策。這意味著需要持續治理來維持 xERC-20 代幣的存在。對於希望隨著時間推移去中心化協議關鍵組件(如 DAO 的代幣合約)的項目來說,這可能會引發問題,並使去中心化計劃複雜化。
來自影響核心組件(Lockbox 合約和橋接提供商)的漏洞風險增大
我們已經提到過路徑依賴如何運作,以及它如何幫助提供保證,防止影響鏈 A 的漏洞影響鏈 B,或者影響鏈 A 上橋接 A 的漏洞不會影響鏈 B 上的橋接 B。ERC-7281 移除了路徑依賴,這有其好處,但也帶來了關於安全性的權衡:
在橋接中,最大可用流動性不再代表橋接漏洞對代幣發行方潛在影響的上限,因為由不同橋接提供商鑄造的代幣在各個域之間是可互換的。ERC-7281 的作者建議根據代幣發行方可以花費的金額來選擇橋接提供商的速率限制,以賠償因欺詐性鑄造造成的損失;儘管如此,回頭看,所選的速率限制可能顯得過於保守。
如果一個限額較高的橋接被攻破,其影響可能會很大——即便是其他橋接的用戶在鑄造相同代幣時也會受到影響。協議可以通過將鑄造權分配到多個橋接上來降低風險(這樣一個橋接提供商就不會擁有比其他橋接更多的鑄造代幣的能力),但這種風險對衝方法可能會增加低效,因為每個橋接都需要 DAO 團隊進行獨立評估,並且與更多橋接的協調會增加前面提到的行政開銷。
由 DAO 治理的 Lockbox 合約在治理攻擊發生時可能會引入不利的傳染效應。但即使在安全的 DAO 治理下,代幣本鏈/非本鏈上的 Lockbox 合約中的漏洞也會造成同樣的問題(例如,Sifu 現在是一個項目的 Lockbox 合約所有者,資金不再安全)。相比之下,現有的狀況下,金庫合約(橋接提供商相當於 Lockbox 合約的部分)僅持有通過相應橋接服務橋接的代幣。因此,一個提供商的金庫合約中的漏洞只會影響那些通過該橋接存入代幣的用戶。
生態系統集成的額外開銷
ERC-7281 的額外管理工作也影響了使用項目 xERC-20 代幣的應用開發者和服務提供商。橋接聚合器需要跟蹤 xERC-20 代幣與其對應的 Lockbox 合約之間的映射,以防止垃圾代幣和偽造攻擊等問題。雖然建立這些映射的註冊表可能有幫助,但在不冒險導致中心化或暴露 xERC-20 採用者於威脅的情況下,建立這樣的註冊表具有挑戰性。
風險來自攻擊者可能向代幣註冊表添加惡意合約,誘使用戶和開發者將代幣發送到錯誤的地址。這可能導致 L2 和 L1 網絡上的代幣被盜。交易所面臨類似的挑戰,因為偽造的代幣可能會引發嚴重問題,例如代幣行為異常,與你審核過的規範代幣不同。
結論
ERC-7281 提供了一個有說服力的解決方案,解決了非同質化橋接代幣的問題,並提供了增強用戶體驗、去中心化、安全性和靈活性的功能,在代幣橋接設計中發揮重要作用。 這些問題直接影響到以 rollup 為中心的路線圖的可行性,使得 xERC-20 標準成為以太坊 L2 生態系統的關鍵基礎設施。
橋接領域的幾個關鍵參與者,包括 Hyperlane、Omni、Sygma、Router Protocol 和 Everclear,已承諾採用 ERC-7281,表明該提案獲得了顯著的關注。即使是已有橋接機制的成熟代幣發行者(如 Circle)也表現出對 ERC-7281 的興趣,以應對未批准的代幣對用戶和開發者帶來的挑戰。
ERC-7281 在解決這些問題的同時,減輕了與以前在遠程域上鑄造規範代幣相關的許多權衡。它提供了免流動性的啟動方式,與封裝橋接不同,不需要像代幣發行者橋接那樣的定製基礎設施,並通過允許經批准的橋接提供商進行多橋接規範代幣鑄造,避免了供應商鎖定。
對於那些希望關注 ERC-7281 討論的參與者或希望集成 xERC-20 的開發者,Fellowship of Ethereum Magicians 和 xERC-20 網站是很好的資源。社區還建立了一個 xERC-20 啟動平臺,用於彙集創建、監控和管理 xERC-20 代幣的工具——這是一個對於首次部署 xERC-20 代幣或將現有代幣遷移到 xERC-20 標準的開發者來說非常有價值的工具。
聲明:
- 本文轉載自[2077 Research]。所有版權歸原作者所有[2077 研究]。若對本次轉載有異議,請聯繫 Gate Learn 團隊,他們會及時處理。
- 免責聲明:本文所表達的觀點和意見僅代表作者個人觀點,不構成任何投資建議。
- Gate Learn 團隊將文章翻譯成其他語言。除非另有說明,否則禁止複製、分發或抄襲翻譯文章。
相關文章
如何質押 ETH?
什麼是穩定幣 USDT?
如何讓跨鏈代幣重新具備可替代性:第二部分
如果你還沒有閱讀《如何讓跨鏈代幣重新具備可替代性》系列的第一部分,建議先查看——它分析了為什麼跨鏈代幣失去可替代性以及由此帶來的挑戰。在第二部分,我們將探討ERC-7281,這一新標準簡化了跨鏈代幣轉移,增強了可靠性,併為發行方提供了更大的控制權。
更好方法的需求
到目前為止,我們已經探討了多種解決方案,以解決讓跨鏈代幣具備可替代性的問題,以及流動性碎片化和因本鏈代幣在非本鏈上的非規範表示帶來的不良用戶體驗:
- 通過規範的Rollup/側鏈橋接在遠程鏈上鑄造代幣的規範表示
- 通過第三方橋接服務在遠程鏈上鑄造代幣的規範表示
- 通過代幣發行方運營的規範橋接服務在遠程鏈上鑄造代幣的規範表示
這些方法各有利弊,因此ERC-7281提出的創建具備可替代性的跨鏈代幣的提案,試圖從每種方法中取其精華,創造一個更加整體、高效且可訪問的解決方案,供希望在不犧牲安全性、主權或用戶體驗的情況下跨鏈部署代幣的協議使用。
ERC-7281:主權跨鏈代幣(Sovereign-Bridged Tokens)是一項提案,旨在使代幣的規範表示能夠與由不同橋接服務鑄造的代幣兼容且具備可替代性。ERC-7281的實現通過擴展ERC-20接口,包括以下功能:
- 鑄造和銷燬規範ERC-20代幣的功能;
- 代幣所有者的能力
1)指定橋接運營商在跨鏈時鑄造和銷燬代幣;
2)對每個批准的橋接運營商的鑄造和銷燬操作設置速率限制——例如,為集中式橋接設置較小的限制,而為更安全的協議設置更高的限制。
鑑於ERC-7281與ERC-20代幣之間的細微差異,EIP作者將前者描述為“xERC-20”。對於需要了解ERC-20代幣的讀者,OpenZeppelin提供了一個很好的指南。
本質上,每個ERC-20代幣合約實現了ERC-20接口,該接口定義了全局代幣供應量,並存儲有關哪些地址擁有代幣及其數量的信息。ERC-20還包括一些有用的功能,用於管理用戶代幣的訪問(通過批准)並檢索有關代幣的信息——例如,總流通量和特定地址的餘額。
ERC-7281為ERC-20規範添加的一個額外功能是可選的Lockbox,它充當包裝合約(類似於WETH(Wrapped Ether)合約)。Lockbox合約通過熟悉的鑄造和銷燬機制將ERC-20代幣包裝成xERC-20代幣,並使ERC-7281與缺少銷燬/鑄造接口且不可升級的現有ERC-20代幣合約兼容。
使用上一篇文章中介紹的框架,我們可以將ERC-7281歸類為一種“信任代幣發行方+信任(批准的)橋接服務提供商”的跨鏈代幣鑄造方法。跨多個鏈部署的ERC-7281代幣由其發行方控制(與通常要求放棄主權的跨鏈代幣的替代設計不同)。雖然發行方仍然面臨批准的橋接服務遭遇安全事件的風險,但發行方可以通過手動選擇並速率限制授權的橋接提供商來管理這種風險。
最大的不同之處是,正如我們在本報告中將探討的那樣,代幣發行方可以通過對每個橋接運營商能夠鑄造/銷燬多少代幣施加動態限制,從而調整對橋接攻擊和漏洞的暴露程度。ERC-7281還允許代幣發行方將多個橋接提供商列入白名單,以便在不同鏈上鑄造相同的規範代幣,從而減少對單一提供商在跨鏈橋接操作中的依賴。
這兩個特性使得ERC-7281比傳統的跨鏈橋接方法有了顯著改進,並對用戶、互操作性基礎設施提供商(特別是聚合器)以及應用開發者產生了積極的二階效應。在接下來的部分中,我們將討論這些規格,並回顧實施ERC-7281的優缺點。
ERC-7281概述:主權跨鏈代幣
為用戶鑄造和銷燬代幣
在該規範中,一個項目部署了一個新的ERC20兼容代幣合約,該合約實現了IXERC20接口。橋接運營商在目的鏈上為用戶鑄造代幣,在源鏈上銷燬存款。鑄造過程會檢查代幣的數量是否超過橋接的限額,並在成功時更新代幣的總供應量和橋接的鑄造限額。
對於已經存在的ERC-20代幣,應用了“lockbox”邏輯:橋接提供商將用戶存入的ERC-20代幣包裝成xERC-20代幣,方法是將其轉移到Lockbox合約。Lockbox隨後批准橋接方鑄造等量的xERC-20代幣。
在目的鏈上,由橋接方鑄造的xERC-20代幣將在源鏈上使用burn()函數銷燬。此過程確保代幣數量不會超過橋接的銷燬限額,並增加其數量,同時減少xERC-20代幣的總供應量。橋接的傳輸層將銷燬消息中繼到目的鏈。目的鏈上的橋接合約驗證該消息,並將等量的xERC-20代幣鑄造到該鏈上的用戶地址。這一鑄造減少了代幣的總供應量和橋接的鑄造限額。
要將代幣橋接回本鏈,橋接運營商會在遠程鏈上銷燬xERC-20代幣,提供用戶的地址和代幣數量。銷燬憑證由傳輸層中繼到本鏈。如果銷燬消息經過驗證,橋接運營商將在本鏈上為用戶鑄造並銷燬新的xERC-20代幣。經過代幣合約驗證銷燬憑證後,橋接運營商將釋放存入的ERC-20代幣給用戶。在本鏈上銷燬xERC-20代幣會減少代幣的總供應量和橋接的銷燬限額。
一個重要的點是:xERC-20合約從技術上講可以在不驗證證明的情況下鑄造代幣。我們已經描述了標準(即預期的)方法,但不實現任何類型消息驗證的橋接服務,或者實現驗證跨鏈消息的新機制的橋接服務,可以被列入白名單,以鑄造和銷燬xERC-20代幣。這完全取決於代幣發行方能接受什麼樣的機制。
代幣鑄造和銷燬的速率限制
setBridgeLimits是一個受保護的函數,僅能由代幣合約的所有者調用。此函數允許設置橋接合約的地址,並指定橋接方可以為用戶鑄造(mintingLimit)和銷燬(burningLimit)的最大代幣數量。所有者可以更新這些限制,以根據需要調整橋接的能力。例如,如果發現某個橋接服務提供商的基礎設施存在安全問題,mintingLimit可以被減少以降低風險。相反,安全改進可能導致鑄造限額的增加。
xERC-20規範還包括檢查獲批准橋接服務的銷燬和鑄造限額的函數。“mintingMaxLimitOf”返回一個橋接服務可以鑄造的最大代幣數量,分別,“burningMaxLimit”返回橋接服務在指定時間段內可以銷燬的最大代幣數量。此外,這些函數還顯示了橋接服務在達到預設限額之前可以銷燬和鑄造的剩餘代幣數量。
這些查看器函數對橋接聚合器非常有用,橋接聚合器需要在路由交易之前瞭解不同橋接提供商的可用限額。如果某個橋接服務在源鏈或目標鏈上達到了其銷燬或鑄造限額,將會影響正在進行的交易和用戶體驗。因此,聚合器更願意將請求路由到那些尚未達到鑄造和銷燬限額並且能夠執行給定數量交換的橋接服務。
速率限制參數
xERC-20代幣接口規範包括一個“Bridge”結構,包含“burningParams”和“mintingParams”(xERC-20代幣的速率限制函數控制橋接可以在預定的時間段內銷燬和鑄造多少代幣)。“maxLimit”定義了代幣鑄造和銷燬的最大限制,並按預定速率(ratePerSecond)每秒增加。
這裡有一個可能引起混淆的點:“maxLimit”(用於鑄造和銷燬限制)聽起來像是針對特定時間尺度上的鑄造和銷燬操作的上限——而不是根據預設時間窗口中的預定義閾值來限制鑄造和銷燬操作的速率限制。“currentLimit”定義了橋接可以鑄造或銷燬的數量,並按預定速率增加。相對而言,“maxLimit”定義了橋接每天可以鑄造或銷燬的代幣數量。
鑄造和銷燬參數主要與代幣所有者(以及橋接運營商在較小程度上)相關。然而,最大限制和當前限制參數對於用戶和橋接運營商來說都是重要的考慮因素。例如,當前限額可能影響用戶可以通過跨鏈協議自信地橋接多少代幣,而不會在目標鏈上遇到接收xERC-20代幣的延遲。
xERC-20 Lockbox
原始的ERC-20代幣並沒有規定增加或減少代幣供應量的功能(那時“代幣經濟學”意味著生成固定數量的代幣,並告訴用戶該代幣有價值,因為它在幾年後將變得稀缺*)。因此,並非每個ERC-20代幣都有鑄造和銷燬功能。由於ERC-7281採用了大多數(如果不是全部)橋接當前使用的鑄造和銷燬機制,傳統的或不可升級的ERC-20代幣無法直接與ERC-7281兼容。
Lockbox合約提供了一種解決方案,使其能夠與現有代幣向後兼容。在原始規範中(即項目部署一個新的代幣合約並實現IXERC20接口),橋接運營商只需要調用mint(),就可以在目標鏈上為用戶鑄造代幣(在源鏈上鎖定存款之後)。
Lockbox合約大量借鑑了WETH包裝合約的設計。它實現了一個deposit()函數,用於將相應的ERC-20代幣存入Lockbox,另外還實現了一個withdraw()函數,供橋接運營商在遠程鏈上銷燬包裝代幣後解鎖ERC-20代幣。
規範中突出的前兩種錯誤類型(“IXERC-20Lockbox_NotNative”和“IXERC-20Lockbox_Native”)發生在用戶嘗試將代幣存入錯誤的Lockbox合約時。Lockbox可以是本地的或非本地的,具體取決於它支持哪些類型的代幣。
本地Lockbox託管本地代幣——即用於支付驗證者的燃料費的代幣。ETH就是一個示例,ETH會有一個本地Lockbox,用於將其包裝成xERC-20代幣:將ETH包裝成xERC-20代幣需要調用Lockbox的depositNative()函數,並存入ETH以接收符合ERC7281標準的ETH表示。
常規(非本地)Lockbox託管ERC-20代幣,如USDC、DAI、WETH、USDT等。例如,為了將USDC作為xERC-20代幣鑄造,用戶可以在鎖定USDC後,調用Lockbox合約的deposit()。
如果使用ETH調用deposit(),這些資金將永遠被鎖定,因為常規Lockbox合約只能包裝和解包裝ERC-20代幣。用ERC-20代幣調用depositNative()會產生類似的結果,因為本地Lockbox合約是針對本地代幣設計的,而不是ERC-20代幣。
通過將標準ERC-20代幣包裝成支持鑄造和銷燬的xERC-20代幣,Lockbox為標準提供了一個重要的兼容性層。然而,在某些情況下,例如將其他橋接解決方案集成到xERC-20中,僅使用Lockbox並返回包裝代幣並不是一個可行的選擇。為此,項目可能會實現適配器合約。
適配器合約
在橋接協議無法識別xERC-20代幣固有的操作(如鑄造/銷燬、相應的日誌記錄等)的情況下,應用程序可以構建適配器合約。這些合約充當自動包裝和解包裝器——有效地將標準ERC-20的approve + call行為轉換為xERC-20所需的更精細的鑄造/銷燬機制。
這是必要的,因為許多橋接協議(例如,Chainlink的CCIP)仍然針對傳統的ERC-20行為進行了優化。適配器合約可以通過固化這種邏輯來彌合兼容性差距:它將代幣存入Lockbox,以在源鏈上生成xERC-20表示,稍後,在接收到目標鏈上的消息時,它會觸發提取機制,恢復為標準資產。
這種流程確保用戶最終收到一致的、標準的代幣——不受xERC-20背後包裝機制的影響。通過這種方式,適配器可以讓協議與不兼容xERC-20的橋接無縫集成,並增加它們支持的互操作解決方案的範圍。
為什麼選擇 ERC-7281?主權跨鏈代幣標準的必要性
從高層面來看,ERC-7281 具有四個主要目標:
- 可替代性:用戶從代幣的原生鏈跨鏈(至 L1/L2)時,應該始終在目標鏈上收到該代幣的唯一標準版本。如果同一代幣在非原生鏈上存在多個不可替代的版本,將會導致流動性碎片化和代幣難以組合使用等問題。ERC-20 規範的最初願景是確保以太坊上的代幣在各種應用和基礎設施中能夠無縫互操作,並保持可替代性。然而,在採用以 rollup 為中心的擴展路線後,跨鏈的原子可組合性問題浮現,多個獨立的鏈環境削弱了代幣的可替代性。xERC-20 允許將不同跨 rollup 橋的流動性聚合為統一的多 rollup 代幣,從而恢復以太坊最初的願景。
- 安全性:為了降低對手方風險,代幣發行方應能夠根據安全基礎設施的評估,在多個競爭性的跨鏈橋提供方中進行選擇。此外,代幣發行方應該能夠在合作橋提供方遭遇安全事件時得到有效保護——個別橋服務受到攻擊不應導致整個 TVL(總鎖定價值)被清零。
- 無需流動性支持的跨鏈代幣啟動:協議 DAO 不應被迫在跨鏈擴展時投入大量資金用於流動性引導。基於流動性的跨鏈橋方案不僅影響用戶體驗,而且隨著區塊鏈生態的增長,提供流動性激勵的成本可能變得不可持續。
- 代幣發行方的主權:代幣發行方應始終掌控在非原生鏈上鑄造的協議代幣的標準版本。解決不可替代的跨鏈代幣問題不應以犧牲項目的自主權為代價,尤其是在總供應量管理、鑄造與銷燬機制配置等行政管理方面,不應交由第三方橋服務商掌控。
通過進一步探討這些目標,我們可以更清晰地理解 ERC-7281 為協議和社區帶來的價值。
分析 ERC-7281 的優勢
提升用戶體驗並消除流動性碎片化
ERC-7281 解決了引言中描述的各種路徑依賴問題。路徑依賴可能是鏈特定的(例如,從 Ethereum → Arbitrum → Optimism 橋接的 ETH 與從 Ethereum → Optimism → Arbitrum 橋接的 ETH 不同),也可能是橋特定的(例如,通過 Celer 從 Ethereum 橋接到 Optimism 的 ETH 與通過 Connext 橋接的 ETH 不同)。
路徑依賴是一個重要的安全特性,但它也會損害跨鏈橋接的用戶體驗和跨鏈可組合性。例如,用戶無法以編程方式向在 Optimism 和 Arbitrum 運行的跨鏈 DEX 提供流動性,因為該應用必須接受 opETH 或 arbETH。
ERC-7281 通過引入 xERC-20 代幣消除了這一問題,無論用戶跨鏈橋接多少次,或使用何種橋接提供商,xERC-20 代幣始終保持可互換性。假設用戶希望將封裝的 USDT 從 Arbitrum 轉移到 Optimism,而無需先提現回 Ethereum,則橋接提供商可以在 Arbitrum 上銷燬 xERC-20 代幣,並在 Optimism 上鑄造 xERC-20 代幣 —— 在 Optimism 上鑄造的代幣價值仍然與存入 Lockbox 的代幣掛鉤,並通過映射機制維持 1:1 資產支持。
更重要的是,ERC-7281 提供了類似 Circle 的 CCTP(跨鏈傳輸協議)所具備的優勢,即可部署權威性的跨鏈代幣,而無需協議對橋接代幣進行中心化託管。例如,流動性將圍繞項目代幣的權威版本整合,從而提升 DeFi 應用的代幣實用性,並減少為同一資產的不同版本創建不同市場的成本。
增強代幣發行方的主權
xERC-20 代幣被稱為“主權跨鏈代幣”,因為代幣發行方不必受限於特定的橋接方式來鑄造代幣的權威版本,並且可以自主設計和管理跨鏈部署的代幣。ERC-7281 結合了“通過第三方橋鑄造權威代幣”和“通過代幣發行方自控橋鑄造權威代幣”的特點,將主權、用戶體驗和去中心化融為一體。
採用 ERC-7281 進行跨鏈部署的項目可以通過多個橋接協議鑄造代幣的權威版本,而不會遇到相同原生資產因封裝方式不同而導致的非同質化問題,從而確保 ERC-20 代幣的可組合性和可替代性不會影響用戶體驗。這些項目還能在跨鏈部署中保持類似於原生代幣發行方管理內部基礎設施的控制力,因為 xERC-20 代幣合約和 Lockbox(橋接協議用於鎖定、鑄造和銷燬代幣的機制)是由項目方自行部署和控制的。
這一低調但關鍵的特性在某些場景下尤為實用,例如:某個知名項目的原生代幣只在主鏈上發行,但其他生態系統的用戶希望獲得該代幣的敞口,而不願意直接持有其原生鏈上的代幣。此外,該項目可能沒有能力或意願為每條鏈搭建專門的跨鏈橋,以確保橋接代幣的 1:1 兼容性,同時也不願將代幣的控制權交給可能與協議及其社區目標不一致的第三方。
這種情況在實施跨鏈治理時尤為關鍵。例如,如果治理投票允許使用橋接代幣進行投票,而計票仍在原生鏈上進行,那麼由不對齊的橋接方掌控橋接代幣可能會成為協議治理的瓶頸。
Beefy(一個收益聚合協議)正是出於這一原因採用了 xERC-20。根據該項目的橋接文檔,ERC-7281 為其提供了更多橋接選項——這一點在其主要橋接合作夥伴遭遇黑客攻擊後變得尤為必要(類似的事件已在加密領域頻繁發生)。此外,ERC-7281 也讓 Beefy 在橋接機制的設計上擁有了更精細的控制權。具體來說,ERC-7281 的白名單功能使該協議能夠選擇不同的橋接合作夥伴,併為用戶提供多種橋接方案,讓他們在速度、去中心化、成本和安全性之間自由取捨,以橋接 mooBIFI 代幣。
更優的風險管理機制助力代幣發行方
基於流動性的跨鏈橋通常偏向於那些有資金實力提供流動性激勵的項目——由於代幣發行方希望儘可能減少 LP 激勵支出,同時提供更優的跨鏈用戶體驗,流動性成為使用權威 L1/L2 橋接協議的核心因素。這一現象也影響了橋接聚合器在選擇橋接提供商時的決策,使得新興橋接服務(即便其基礎設施安全可靠)更難與成熟的橋接協議競爭。
ERC-7281 通過消除基於流動性的跨鏈橋需求解決了這一問題。由於不再需要鑄造和兌換非權威代幣以獲取權威代幣,任何規模的跨鏈橋都可以被批准在遠程鏈上鑄造項目代幣。與此同時,代幣發行方希望儘量降低因跨鏈橋失敗帶來的風險,因此越來越多的協議將開始優先關注跨鏈橋的安全性設計,而非單純依賴流動性。
這一機制促成了開放競爭,使得競爭焦點從“流動性最強的跨鏈橋獲勝”轉向“安全性最強的跨鏈橋獲勝”。此外,這種開放競爭還促使橋接協議在流動性和安全性之外引入更多差異化特性(例如費用、API/SDK 支持、應用集成等)。這些功能通常更容易在開發初期融入應用,因為它們主要取決於開發團隊的技術能力;相比之下,流動性和橋接交易量的建立則更為複雜,需要業務拓展、融資、行業資源、市場推廣等多方面的配合。
為代幣發行者提供更好的風險管理
ERC-7281 引入了可配置的鑄造與銷燬速率限制,大幅改善了協議在與第三方跨鏈橋合作鑄造非原生鏈權威代幣時的風險管理能力。如果某個橋接提供商遭到黑客攻擊或安全漏洞被利用,攻擊者所能造成的最大損失僅限於該橋接的額度上限。若代幣發行方合理設定速率限制參數,對單一橋的攻擊影響將被控制在最小範圍,不至於危及協議整體的償付能力。
針對不同跨鏈橋單獨配置速率限制還能優化協議 DAO 的風險評估流程。目前,橋接風險評估往往耗時數月,因為一旦權威第三方橋接協議被攻破,其影響範圍極為廣泛。為確保決策的合理性,協議需要對選定的橋進行深入的安全審查,以提供強有力的安全保證。然而,這種冗長的安全分析流程不僅消耗大量資源和時間,最終也無法徹底規避零日漏洞的風險。
採用 ERC-7281 後,風險評估流程變得更具動態性。項目仍需對橋接提供商進行盡職調查,以合理設定速率限制參數,但評估週期可以縮短,因為協議不再處於“全有或全無”的選擇困境。相比花費數月分析多個橋接協議以選出唯一方案,項目方可以在更短時間內選定多個橋接提供商,並基於安全評估設定不同的鑄造上限。隨後,代幣發行方可以通過持續的安全審查決定是否調整某些橋接合作夥伴的鑄造上限,甚至在發現安全隱患時撤銷橋接的鑄造權限。
ERC-7281 還降低了希望採用最新跨鏈安全技術但又對完全接納該技術持謹慎態度的項目門檻(即“創新者的困境”)。如果某個橋接提供商提出了一種據稱能顯著提升安全性的基礎設施,協議可以通過分配有限的鑄造權限來“試水”,並隨著對該方案的信任度提升,逐步增加其鑄造額度。
與消除流動性依賴類似,ERC-7281 還消除了協議在授予跨鏈橋鑄造權限前必須對其技術棧 100% 信任的需求,從而在新興和成熟橋接協議之間創造了公平競爭環境。老牌橋接協議必須不斷優化安全方案,否則代幣發行方可能因新進入者在安全性和去中心化方面表現更佳而撤銷其鑄造權限。此外,這一機制還消除了協議在使用第三方跨鏈橋時的另一潛在風險——部分橋接提供商可能因市場領先地位穩固而停止在安全性上持續創新,導致協議難以採取懲罰性措施(例如遷移至更安全的橋接提供商),而 ERC-7281 賦予了代幣發行方更靈活的決策權。
提升生態系統間的可組合性
當前,在多個鏈之間構建複雜的應用工作流仍然是一項挑戰,主要原因是基於流動性的跨鏈橋定價難以預測。例如,一個跨鏈聚合器在執行 Ethereum → Linea → Base 的跨鏈轉賬時,有兩種選擇:
- 設置滑點容差參數,並根據用戶在每條鏈上最終收到的最小代幣數量(取決於橋接消息到達時的流動性情況)來確定跨鏈路徑的執行價格。
- 不設置滑點容差參數,而是在某條鏈上收到的代幣數量低於預期時,通過鏈上流動性來源(如 DEX)動態補充流動性。
相比之下,跨鏈聚合器可以通過檢查允許鑄造特定代幣的橋接協議的 mintingLimit 和 burningLimit 事先獲知跨鏈交易涉及的每個網絡上可預期的代幣數量。當然,在交易廣播與落地期間,橋接協議可能觸及 maxLimit,導致用戶無法在目標鏈上接收權威代幣。
儘管如此,ERC-7281 在以下方面仍然提供了顯著改進:
- 如果橋接提供商在交易進行中觸及 mintingLimit,跨鏈交易將被暫緩執行,並在速率限制參數調整後重試。與當前流動性橋不同,用戶不會收到某種非標準的封裝版本代幣,而是等待重新執行以確保獲取原生映射的代幣。
- 跨鏈聚合器可以更可預測地判斷跨鏈交易的執行時間和接收的代幣數量。由於 mintingLimit 和 burningLimit 是基於區塊時間設定的(參考速率限制參數章節),開發者可以計算何時橋接協議會恢復鑄造和銷燬代幣;而相比之下,預測橋接協議的流動性恢復情況則完全是“賭博”。
流動性的不可預測性還意味著跨鏈交易的重試成本難以控制。例如,假設某個跨鏈聚合器基於橋接池的流動性為某個代幣對提供報價,但由於池子流動性驟降,交易無法執行。如果稍後交易被重試,開發者無法確定先前的報價是否仍然準確,或者流動性是否會恢復到原有水平,從而增加了價格的不確定性。
由於 xERC-20 代幣的橋接不依賴於流動性變化,用戶可以確信跨鏈交易不會產生滑點,即使交易沒有立即執行也不受影響。
這種提升的可組合性不僅惠及跨鏈聚合器,也為所有跨鏈應用創造了新的可能性。當前,由於路徑依賴問題,開發者在設計跨鏈工作流時需要整合不同橋接提供商,以確保不同鏈上的封裝代幣能夠互換。例如,如果開發者希望從 Ethereum 橋接 ETH,在 Arbitrum 上開設借貸倉位,並將盈利用於在 Optimism 上購買 NFT,最後再橋回 Ethereum,他們必須確保與這些鏈上的特定橋接提供商兼容,否則無法輕易在不同版本的封裝代幣間進行兌換。但在採用 xERC-20 之後,橋接代幣具備完全的可替代性,開發者無需再為路徑依賴問題擔憂。
這一工作流與前文提到的代幣發行方橋接方案類似。以 Circle CCTP 為例:
Circle 的 Cross-Chain Transfer Protocol 允許用戶在多個鏈上擁有統一的 USDC 版本,而不會被單一鏈生態所限制,所有跨鏈轉賬均通過“銷燬-鑄造”機制執行。
然而,CCTP 是一箇中心化協議,Circle 作為唯一被授權的實體,負責 USDC 的跨鏈銷燬與鑄造。相比之下,xERC-20 通過允許多個實體採用不同的安全機制執行跨鏈轉賬,從而消除了單點信任風險,使得跨鏈操作更加去中心化、安全和靈活。
支持以太坊的 Rollup 為中心的多鏈未來
ERC-7281 可以加速以太坊的 Rollup 發展路線,使項目方更有信心在新的 EVM L2 上部署代幣,即使這些 L2 可能尚未具備成熟 L2 鏈的強安全性。例如,階段 0 Rollup 的原生橋安全性較弱,因為以太坊 L1 並不保證其橋接安全性。代幣項目可以通過給予該原生橋有限的鑄造權限逐步擴展至該鏈,並在該 Rollup 進入階段 1 後提高鑄造上限。
這一過程可以持續進行,直到 L2 進入階段 2(Rollup 在去中心化和安全性方面的最高階段)。這種機制讓協議能夠在新鏈上以更低風險的方式進行部署,從而幫助以太坊生態加速發展——不僅降低了新 L2 啟動時的流動性冷啟動難度,還能推動更多 Rollup 設計上的創新。
實施 ERC-7281 的潛在缺點
DAO 項目管理團隊的運營負擔增加
儘管 ERC-7281 對協議而言極具吸引力,但 DAO 可能會因 xERC-20 代幣的管理工作量較大而對其持謹慎態度。在多個鏈上管理 xERC-20 代幣會給 DAO 項目團隊帶來額外的運營負擔。
Gerard Persoon 在《在多條鏈上管理橋接代幣》一文中列出了協議從 ERC-20 遷移到 xERC-20 後需要執行的一系列一次性和週期性任務(該列表並非詳盡無遺):
這是一個很長的任務清單
一個提議的解決方案是讓 DAO 將一些與管理跨鏈 xERC-20 代幣相關的行政任務外包給第三方服務,但這只是將一種權衡(人力資源成本)替換為另一種(僱傭服務的成本)。
假設一個協議以前通過內部基礎設施管理跨鏈代幣(例如,在每條鏈上部署單獨的代幣合約,並控制鑄造和銷燬),在這種情況下,ERC-7281 看起來並不是一個激進的變化。然而,習慣於將核心橋接基礎設施的管理外包給橋接開發團隊的項目,將會覺得額外的工作負擔令人擔憂。
例如,Lido 的一名核心團隊成員在迴應一個提議(即將 Lido 的 wstETH 部署為跨鏈的 xERC-20 代幣)時,列出了目前與互操作性基礎設施相關的 PM 團隊的職責,並將其與如果 Lido DAO 投票決定將所有域中的 wstETH 遷移為 xERC-20 版本時,團隊成員必須承擔的職責進行了對比。
正如上面的對話所示,管理 xERC-20 代幣給協議和社區成員帶來了不可忽視的行政開銷增加。例如,橋接限制需要積極監控和評估橋接安全性,以便對鑄造限制進行調整,而關於橋接限制(或鑄造權的撤銷/分配)的決策可能需要 DAO 投票決定(如果這些選擇需要頻繁做出,DAO 成員可能會感到投票疲勞)。
然而,這不應被視為對 ERC-7281 的價值判斷。每個項目都有不同的風險輪廓、長期目標和資源——這些因素共同決定了是否採用 ERC-7281 的長期利益超過了短期和持續的成本。
例如,較小的項目可能會發現管理髮行 xERC-20 代幣的開銷更為困難,並選擇像 Axelar 的 ITS(跨鏈代幣服務)或 Wormhole 的 NTT(原生代幣轉移)這樣的託管多鏈代幣橋接服務。更成熟的項目可能具備管理髮行 xERC-20 代幣的行政和運營成本的資源,並且可能認為 ERC-7281 提供的控制權值得為管理跨鏈代幣而付出的額外開銷。
遷移現有代幣到 xERC-20 標準的困難
對於沒有鑄造/銷燬接口,或者無法通過繼承使用 IERC20 協議升級代幣合約,並且已經在非本鏈上流通了原生代幣的規範表示的項目來說,遷移到 xERC-20 代幣是一個漫長的過程,需要大量的協調,並涉及一個複雜的參與者網絡——從代幣持有者、交易所(DEX 和 CEX)、合作橋接、到與傳統 ERC-20 代幣集成的應用程序。即使這部分問題得到解決,協議仍然需要承擔將 ERC-20 代幣解包為 xERC-20 代幣的成本,以完成遷移過程。
正如在討論 ERC-7281 規範時所解釋的那樣,現有代幣需要鎖定在 Lockbox 中,以為用戶鑄造包裝後的 xERC-20 代幣。傳統的 ERC-20 代幣將在不久後被淘汰,並且需要另一個漫長的過程,即與社區分享關於凍結新(傳統)ERC-20 代幣鑄造的時間表的溝通。再次強調,從協議的角度來看,這個過程可能是值得的——儘管這種好處可能不足以證明協調生態系統範圍內的遷移到 xERC-20 兼容表示的代幣所付出的成本。
DAO 治理的更大風險面
在多個域上管理 xERC-20 代幣與 ERC-7281 一起,需要 DAO 積極治理協議。這涉及設置諸如鑄造限制、升級 Lockbox 合約,以及暫停鑄造或銷燬代幣等參數。這些決策涉及安全問題,應該由 DAO 來治理,以避免封閉董事會決策帶來的責任。
ERC-7281 旨在讓協議掌控這些決策,而不是第三方橋接。這是合理的,因為 DAO 已經在其本鏈上管理代幣,因此將其治理擴展到其他鏈上的代幣對於尋求這種控制的協議和社區來說是合情合理的。然而,一些協議可能不希望這種額外的 DAO 控制,因為擔心治理和穩定性問題。
例如,像 Lido 這樣的高知名度項目在治理問題上面臨審查。增加對代幣管理的控制會增加治理接管的風險。如果項目將所有 ERC-20 代幣整合到一個 Lockbox 中並由 DAO 進行治理,攻擊者可能會控制 Lockbox 並引入一個沒有鑄造限制的惡意橋接提供商,導致其他鏈上的 xERC-20 代幣變得一文不值。
這一場景與 Multichain 攻擊有相似之處,在該事件中,多個方計算(MPC)簽名基礎設施的漏洞使黑客能夠破壞託管以太坊和 Dogecoin 上原生代幣的主要 Multichain 地址——這些代幣支持在非本鏈上鑄造的代幣,如 Fantom 和 Moonriver,這引發了連鎖反應,導致其他項目因 Multichain 在以太坊和 Dogecoin 上的智能合約遭受攻擊而遭受損失。
與最大化去中心化協議的不兼容
當代幣由具有代幣治理或中心化實體(例如,Circle 的 USDC 或 CZKC 穩定幣)發行時,ERC-7281 適用。然而,如果協議是最大化去中心化且缺乏正式治理,它的價值就不那麼大——例如,Liquity 的 LUSD 穩定幣就是一個難以與 xERC-20 標準兼容的代幣實例。
xERC-20 代幣要求某個實體決定具體參數,如鑄造和銷燬限制,並做出是否將某些橋接提供商列入白名單等決策。這意味著需要持續治理來維持 xERC-20 代幣的存在。對於希望隨著時間推移去中心化協議關鍵組件(如 DAO 的代幣合約)的項目來說,這可能會引發問題,並使去中心化計劃複雜化。
來自影響核心組件(Lockbox 合約和橋接提供商)的漏洞風險增大
我們已經提到過路徑依賴如何運作,以及它如何幫助提供保證,防止影響鏈 A 的漏洞影響鏈 B,或者影響鏈 A 上橋接 A 的漏洞不會影響鏈 B 上的橋接 B。ERC-7281 移除了路徑依賴,這有其好處,但也帶來了關於安全性的權衡:
在橋接中,最大可用流動性不再代表橋接漏洞對代幣發行方潛在影響的上限,因為由不同橋接提供商鑄造的代幣在各個域之間是可互換的。ERC-7281 的作者建議根據代幣發行方可以花費的金額來選擇橋接提供商的速率限制,以賠償因欺詐性鑄造造成的損失;儘管如此,回頭看,所選的速率限制可能顯得過於保守。
如果一個限額較高的橋接被攻破,其影響可能會很大——即便是其他橋接的用戶在鑄造相同代幣時也會受到影響。協議可以通過將鑄造權分配到多個橋接上來降低風險(這樣一個橋接提供商就不會擁有比其他橋接更多的鑄造代幣的能力),但這種風險對衝方法可能會增加低效,因為每個橋接都需要 DAO 團隊進行獨立評估,並且與更多橋接的協調會增加前面提到的行政開銷。
由 DAO 治理的 Lockbox 合約在治理攻擊發生時可能會引入不利的傳染效應。但即使在安全的 DAO 治理下,代幣本鏈/非本鏈上的 Lockbox 合約中的漏洞也會造成同樣的問題(例如,Sifu 現在是一個項目的 Lockbox 合約所有者,資金不再安全)。相比之下,現有的狀況下,金庫合約(橋接提供商相當於 Lockbox 合約的部分)僅持有通過相應橋接服務橋接的代幣。因此,一個提供商的金庫合約中的漏洞只會影響那些通過該橋接存入代幣的用戶。
生態系統集成的額外開銷
ERC-7281 的額外管理工作也影響了使用項目 xERC-20 代幣的應用開發者和服務提供商。橋接聚合器需要跟蹤 xERC-20 代幣與其對應的 Lockbox 合約之間的映射,以防止垃圾代幣和偽造攻擊等問題。雖然建立這些映射的註冊表可能有幫助,但在不冒險導致中心化或暴露 xERC-20 採用者於威脅的情況下,建立這樣的註冊表具有挑戰性。
風險來自攻擊者可能向代幣註冊表添加惡意合約,誘使用戶和開發者將代幣發送到錯誤的地址。這可能導致 L2 和 L1 網絡上的代幣被盜。交易所面臨類似的挑戰,因為偽造的代幣可能會引發嚴重問題,例如代幣行為異常,與你審核過的規範代幣不同。
結論
ERC-7281 提供了一個有說服力的解決方案,解決了非同質化橋接代幣的問題,並提供了增強用戶體驗、去中心化、安全性和靈活性的功能,在代幣橋接設計中發揮重要作用。 這些問題直接影響到以 rollup 為中心的路線圖的可行性,使得 xERC-20 標準成為以太坊 L2 生態系統的關鍵基礎設施。
橋接領域的幾個關鍵參與者,包括 Hyperlane、Omni、Sygma、Router Protocol 和 Everclear,已承諾採用 ERC-7281,表明該提案獲得了顯著的關注。即使是已有橋接機制的成熟代幣發行者(如 Circle)也表現出對 ERC-7281 的興趣,以應對未批准的代幣對用戶和開發者帶來的挑戰。
ERC-7281 在解決這些問題的同時,減輕了與以前在遠程域上鑄造規範代幣相關的許多權衡。它提供了免流動性的啟動方式,與封裝橋接不同,不需要像代幣發行者橋接那樣的定製基礎設施,並通過允許經批准的橋接提供商進行多橋接規範代幣鑄造,避免了供應商鎖定。
對於那些希望關注 ERC-7281 討論的參與者或希望集成 xERC-20 的開發者,Fellowship of Ethereum Magicians 和 xERC-20 網站是很好的資源。社區還建立了一個 xERC-20 啟動平臺,用於彙集創建、監控和管理 xERC-20 代幣的工具——這是一個對於首次部署 xERC-20 代幣或將現有代幣遷移到 xERC-20 標準的開發者來說非常有價值的工具。
聲明:
- 本文轉載自[2077 Research]。所有版權歸原作者所有[2077 研究]。若對本次轉載有異議,請聯繫 Gate Learn 團隊,他們會及時處理。
- 免責聲明:本文所表達的觀點和意見僅代表作者個人觀點,不構成任何投資建議。
- Gate Learn 團隊將文章翻譯成其他語言。除非另有說明,否則禁止複製、分發或抄襲翻譯文章。
相關文章
如何質押 ETH?