撰文:2077 Research 編譯:Glendon,Techub News
如果你尚未閱讀《如何使跨鏈代幣重新具有可互換性》系列的第一部分,建議優先查閱——該部分詳細分析了跨鏈代幣失去可互換性的根本原因及其引發的系統性挑戰。在第二部分中,我們將聚焦 ERC-7281 這一創新標準,該方案通過重構跨鏈代幣轉移機制,增強可靠性,并為發行方提供更精細的治理權限。
前文已系統探討了多種解決跨鏈代幣可互換性問題的技術路徑,并解決非原生鏈上流通的原生代幣的非標準版本,所帶來的流動性碎片化和用戶體驗不佳的問題,具體包括:
通過標準 Rollup/側鏈橋接協議在目標鏈上鑄造原生代幣的標準版本;
依托第三方跨鏈服務在目標鏈上生成原生代幣的標準版本;
由代幣發行方自主運營的標準橋接服務,在目標鏈上實現標準跨鏈代幣鑄造。
上述方案均有其優缺點。因此,ERC-7281 (又稱 xERC-20 )的設計哲學在于融合各個方案的優勢,為期望實現跨鏈部署代幣的協議構建更全面、高效且可擴展的解決方案,并在保障安全性、主權完整與用戶體驗的情況下取得突破性平衡。
什么是 ERC-7281?ERC-7281:主權跨鏈代幣是一項提案,旨在創建代幣的標準版本,使它們能夠與不同跨鏈協議鑄造的代幣實現兼容與互換。該標準通過擴展 ERC-20 接口引入以下核心功能:
鑄造和銷毀標準 ERC-20 代幣的功能;
代幣持有者的治理權限:1.授權指定跨鏈橋提供商執行跨鏈轉移時的代幣鑄造/銷毀操作;2.為每個授權的跨鏈橋提供商設置動態鑄造/銷毀限額(例如對中心化跨鏈設置較小的限制,為更安全的協議設置更高的限制)。
鑒于 ERC-7281 與 ERC-20 代幣標準存在細微的技術差異,標準制定者將其命名為「xERC-20」。想要系統性了解 ERC-20 代幣標準基礎架構的讀者,可參閱 OpenZeppelin 發布的技術指南。
本質上,每個 ERC-20 代幣合約通過實現標準接口管理全局代幣供應量,記錄地址持倉數據,同時包含代幣授權管理、流通總量查詢、地址余額獲取等基礎功能。
ERC-7281 代幣標準在 ERC-20 標準之上新增了一項可選的「Lockbox」合約模塊——作為封裝合約(功能類似于 WETH 合約),Lockbox 合約可以通過熟悉的鑄造和銷毀機制將傳統 ERC-20 代幣轉換為 xERC-20 代幣版本。這一設計也使得 ERC-7281 能夠向后兼容缺乏銷毀/鑄造接口且不可升級的現有 ERC-20 代幣合約。
根據第一部分的分析框架,ERC-7281 可歸類為一種「信任代幣發行方+信任(獲批的)跨鏈橋提供商」的跨鏈代幣鑄造范式。其核心優勢在于:
跨鏈部署的 ERC-7281 代幣完全由發行方控制(區別于多數需讓渡主權的跨鏈代幣方案)
發行方仍然面臨獲批跨鏈橋遭遇安全事故的風險,但他們可通過手動選擇和限制授權跨鏈橋提供商來進行管理。
本報告重點探討的關鍵突破在于:代幣發行方可對指定跨鏈橋提供商的鑄造/銷毀額度實施動態調控,從而精確校準跨鏈安全事件的風險暴露。此外,ERC-7281 支持多跨鏈橋提供商白名單機制,允許不同提供商跨鏈鑄造同一標準代幣,有效降低發行方對單個提供商的路徑依賴。
這兩個功能使 ERC-7281 相較于傳統方法有了顯著改進,有助于促進協議代幣的跨鏈橋接,并對用戶、互操作性基礎設施提供商(尤其是聚合器)和應用程序開發人員產生積極的二階效應。下文將深入解析技術規范細節,并系統評估實施 ERC-7281 的潛在優勢與缺點。
根據 ERC-7281 標準,項目需部署符合「IXERC20 接口」的新型 ERC20 兼容代幣合約。跨鏈橋提供商在源鏈上銷毀用戶存入的代幣后,可在目標鏈為其鑄造等量代幣。鑄造過程中,系統會檢查代幣數量是否超出該橋的鑄造限額,若通過驗證則更新代幣總供應量及跨鏈橋鑄造限額。
對于現有的 ERC-20 代幣,我們需采用 Lockbox 邏輯:跨鏈橋提供商將用戶存入的 ERC-20 代幣轉移至 Lockbox 合約完成封裝,轉化為 xERC-20 代幣。Lockbox 隨后授權提供商鑄造等量的 xERC-20 代幣。
目標鏈上的橋鑄造的 xERC-20 代幣使用「burn() 函數」在源鏈上銷毀,此過程確保代幣銷毀數量不超過橋的銷毀限制。橋的傳輸層將銷毀消息中繼到目標鏈,目標鏈的跨鏈橋合約驗證消息后并向該鏈上的用戶地址鑄造等量的 xERC-20 代幣。
反之,為了將代幣跨鏈回源鏈,跨鏈橋提供商會在目標鏈上銷毀 xERC-20 代幣,并提供用戶的地址和代幣數量。銷毀收據由傳輸層中繼到源鏈。如果銷毀消息得到驗證,跨鏈橋提供商會在源鏈上為用戶執行 xERC-20 代幣的鑄造與銷毀操作。待代幣合約確認銷毀憑證,用戶即可取回原始 ERC-20 代幣。源鏈銷毀操作同步減少代幣總供應量及跨鏈橋銷毀限額。
重點是,xERC-20 合約在技術層面支持無需憑證驗證的鑄造操作。雖然本文描述的是標準驗證流程,但代幣發行方可自主選擇是否將未實施跨鏈消息驗證或采用新型驗證機制的跨鏈橋納入白名單。最終決策權取決于發行方的風險承受能力。
setBridgeLimits 函數是一個受保護的函數,僅代幣合約所有者可調用。此函數允許設置橋接合約的地址,并指定跨鏈橋可以為用戶鑄造限制(mintingLimit)和銷毀限制(burningLimit)的最大代幣數量。所有者可動態調整限制,靈活應對跨鏈橋提供商的安全態勢變化。例如:
當發現跨鏈橋的基礎設施存在漏洞時,可調低 mintingLimit 以控制風險敞口;
相反,若跨鏈橋方完成安全升級,則可提升鑄造限額。
xERC-20 標準還包括檢查獲準處理代幣的跨鏈橋的銷毀和鑄造限制的功能。「mintingMaxLimitOf」返回跨鏈橋可以鑄造的最大代幣數量,而「burningMaxLimit」則返回跨鏈橋在指定時間內可以銷毀的最大代幣數量。此外,這些函數還顯示跨鏈橋在達到預設限制之前可以銷毀和鑄造的剩余代幣數量。
該設計對跨鏈橋聚合器至關重要——若某跨鏈橋在源鏈/目標鏈觸及銷毀或鑄造限額,將導致交易延遲甚至失敗。因此,聚合器傾向于將請求路由到可用限額充足且支持目標交易量的跨鏈橋上。
xERC-20 代幣接口標準中定義的「Bridge」結構體包含「burningParams」與「mintingParams」(xERC-20 代幣速率限制函數的參數控制橋接器在預定義時間內可以銷毀和鑄造多少個代幣)。「maxLimit」定義代幣鑄造和銷毀的最大限制,并以預定義的速率(ratePerSecond)每秒增加。
此處我們要解決一個可能引起混淆的問題:「maxLimit」(為銷毀和鑄造限制設置)是在特定時間范圍內對鑄造和銷毀操作的限制,即在預設時間窗口內根據預定義閾值限制鑄造和銷毀的速率限制。「currentLimit」定義跨鏈橋可以鑄造或銷毀多少,并以預定義的速率增加。相比之下,「maxLimit」定義跨鏈橋每天可以鑄造或銷毀代幣的數量。
銷毀和鑄造參數主要與代幣所有者相關(與跨鏈橋提供商關系較小)。但是,最大和當前限制參數對于用戶和跨鏈橋提供商而言都是重要的考慮因素。例如,當前限制可能會影響用戶在多大程度上可以放心地使用跨鏈協議橋接,而不會在目標鏈接收 xERC-20 代幣時遇到延遲。
初始的 ERC-20 代幣未指定增加和減少代幣供應的功能(早期代幣經濟學多采用固定總量模型)。因此,并非每個 ERC-20 代幣都具有鑄造和銷毀功能。由于 ERC-7281 使用了當前大多數跨鏈橋青睞的鑄造和銷毀機制,所以需要通過 Lockbox 與 ERC-20 代幣實現向后兼容。
在原始標準中(即項目部署實現 IXERC20 接口的新代幣合約),跨鏈橋提供商只需調用 mint() 即可在目標鏈上為用戶鑄造代幣(在源鏈上鎖定存款后)。 Lockbox 合約借鑒 WETH 封裝合約設計,它實現了一個 deposit() 函數,用于將相應的 ERC-20 代幣存入 Lockbox,并實現了一個 withdraw() 函數,用于跨鏈橋提供商在遠程鏈上銷毀包裝代幣后解鎖 ERC-20 代幣。
這一標準中重點介紹的前兩種錯誤類型(「IXERC-20Lockbox_NotNative」和「IXERC-20Lockbox_Native」)發生在用戶嘗試將代幣存入錯誤的 Lockbox 合約時。Lockbox 可以是原生的(也可以是非原生的),具體取決于它支持的代幣類型。
原生 Lockbox 保管原生代幣,即用于向驗證者支付 Gas 費用的代幣。具有原生 Lockbox 以將其包裝成 xERC-20 代幣的代幣典型示例是 ETH:將 ETH 包裝成 xERC-20 代幣需要調用 Lockbox 的 depositNative() 函數并存入 ETH 以接收與 ERC 7281 兼容的 ETH 代幣版本。
非原生 Lockbox 可以保管 ERC-20 代幣,如 USDC、DAI、WETH、USDT 等。例如,要將 USDC 鑄造為 xERC-20 代幣,用戶需要在鎖定 USDC 后在 Lockbox 合約上調用 deposit()。使用 ETH 調用 deposit() 會導致這些資金被永久鎖定,因為非原生 Lockbox 合約只能包裝和解包 ERC-20 代幣。此外,使用 ERC-20 代幣調用 depositNative() 會產生類似的結果,因為原生 Lockbox 合約旨在使用原生代幣,而不是 ERC-20 代幣。
如此一來,通過將標準的 ERC-20 代幣包裝成具有鑄幣/銷毀支持的 xERC-20 代幣,Lockbox 為標準提供了重要的兼容性層。但是,在某些情況下,例如將其他跨鏈解決方案集成到 xERC-20 中,僅使用 Lockbox 并返回包裝的代幣是不可行的。由于這個原因,項目可能會實施適配器合約。
如果跨鏈協議無法識別 xERC?20 代幣固有的操作(鑄造/銷毀、事件日志記錄等),則應用層可以構建適配器合約。這些合約可充當自動包裝器和解包器,有效地將 ERC?20 批準 + 調用(call)行為轉換為 xERC?20 標準所需的更細致的鑄造/銷毀方案。
這是必要的,因為許多跨鏈協議(例如 Chainlink 的 CCIP)仍然針對傳統的 ERC?20 行為進行了優化。適配器合約可以通過實現以下邏輯來彌補這種兼容性差距:它將代幣存入 Lockbox 以在源鏈上生成 xERC?20 版本,然后在目標鏈上收到消息后,觸發退出機制以恢復為標準資產。
這一流程確保了用戶最終收到的是一致的標準代幣,而不會受到 xERC-20 底層支持的封裝機制的影響。這樣一來,適配器可以使協議與非 xERC-20 標準的跨鏈橋無縫集成,并增加它們支持的可互操作解決方案的范圍。
從總體上看,ERC-7281 有四大目標:
1.可互換性:將代幣從其原生鏈橋接到另一條(L1/L2)鏈的用戶,應始終在目標鏈上收到跨鏈代幣的標準版本。出于前面解釋的原因(例如流動性分散和代幣可組合性差),在非原生鏈中流通同一代幣的多個非可互換版本是有問題的。創建 ERC-20 標準的最初愿景是確保以太坊上的代幣,在應用和以太坊基礎設施之間具有可互換性和無縫互操作性。然而,在采用以 rollup 為中心的擴展路線圖后,出現了缺乏原子可組合性的問題,并且許多不同域的創建降低了這些可互換性屬性。xERC-20 允許將各種跨 rollup 橋的流動性聚合為統一的多 rollup 代幣標準,從而恢復以太坊的初始愿景。
2.安全性:為了降低交易對手風險,代幣發行方需具備自主選擇權,基于對跨鏈橋提供商安全基礎設施的評估,擇優接入多個提供商。同時,發行方需建立有效風險隔離機制——當部分橋接服務商遭遇安全事件時,其影響范圍應被嚴格限制,避免單一攻擊導致協議總鎖倉價值(TVL)全面崩盤。
3.零流動性依賴的跨鏈代幣冷啟動:協議 DAO 不應被迫將大量(資金)資源用于引導跨鏈代幣的流動性,作為多鏈擴展計劃的一部分。基于流動性的跨鏈不僅不利于用戶體驗,而且隨著支持鏈數量的迅速增加,項目方在流動性提供激勵方面的支出可能變得不可行。
4.代幣發行方的主權控制:發行方應繼續控制在非原生鏈上鑄造的協議代幣的標準版本。解決不可替代跨鏈代幣的問題,不應以讓渡代幣控制權為代價(尤其是控制總供應量,配置鑄造和銷毀機制等管理方面)。
接下來,我們將進一步擴展這些目標,以了解 ERC-7281 為協議和社區帶來了哪些好處。
ERC-7281 解決了各種路徑依賴問題。路徑依賴可以是特定于鏈的(例如,從以太坊跨鏈到 Arbitrum 再跨鏈到 Optimism 的 ETH,與從以太坊跨鏈到 Optimism 再跨鏈到 Arbitrum 的 ETH 存在差異),或特定于橋的(例如,通過 Celer 從以太坊跨鏈到 Optimism 的 ETH,與通過 Connext 從以太坊跨鏈到 Optimism 的 ETH 也不相同)。
路徑依賴雖具有安全價值,但嚴重損害跨鏈用戶體驗與可組合性。以跨鏈 DEX 場景為例,用戶若需向 Optimism 和 Arbitrum 的流動性池同時注資,將因鏈間資產表征差異(如 opETH 與 arbETH)而無法實現自動化操作。
ERC-7281 通過引入 xERC-20 代幣 徹底消除該問題。無論用戶跨鏈次數或使用何種跨鏈橋提供商,xERC-20 始終保持可互換特性。例如:
用戶無需撤回至以太坊鏈,即可將 Arbitrum 的封裝 USDT 轉移至 Optimism;
跨鏈橋提供商銷毀 Arbitrum 鏈的 xERC-20 代幣后,可以在 Optimism 鑄造等量代幣;
目標鏈代幣價值始終錨定 Lockbox 內的原生資產儲備,維持 1:1 剛性兌付。
值得注意的是,ERC-7281 實現了類似 Circle CCTP(跨鏈傳輸協議)的標準代幣部署優勢,卻無需協議方集中托管跨鏈資產。其核心價值在于:
流動性聚合:圍繞協議代幣的標準版本形成統一市場,提升 DeFi 應用效用;
運營成本削減:避免為同一資產的不同版本創建分割化市場。
xERC-20 被稱為「主權跨鏈代幣」,因為代幣發行方不必鎖定使用特定選項來鑄造代幣的標準版本,并在跨鏈部署中保留對跨鏈代幣設計和管理的控制權。ERC-7281 是「通過第三方橋鑄造標準代幣」與「通過代幣發行方控制的橋鑄造標準代幣」之間的混合體,它將主權、用戶體驗和去中心化相結合。
使用 ERC-7281 跨鏈部署代幣的項目,可以通過多個橋鑄造原生代幣的標準版本,而不會遇到同一原生資產的不可互換包裝版本,導致用戶體驗受損的問題。此類項目還保留了與代幣發行者類似的對代幣跨鏈部署的控制級別,代幣發行者運行內部基礎設施來管理域之間標準代幣的轉移,因為 xERC-20 代幣合約和 Lockbox(跨鏈橋用于為用戶鎖定、鑄造和銷毀代幣)由項目部署和控制。
這一被低估的功能,在某一知名項目在其主鏈上發行原生代幣的情況下非常有用,尤其是當來自其他生態系統的用戶出于不同原因希望接觸該代幣,但不想在其原生鏈上持有時。
在這一情況下,該項目沒有能力或意愿為每條鏈運行內部跨鏈基礎設施,以確保跨鏈代幣之間 1:1 的兼容性,也不想將其代幣的控制權交給不一定與協議及其社區保持一致的第三方。而在實施跨鏈治理時,這種情況會成為一個考慮因素,允許使用跨鏈代幣進行投票,同時在原生鏈上進行投票統計;擁有跨鏈代幣控制權的非一致跨鏈橋提供商成為協議治理的瓶頸。
出于上述原因,收益耕作協議 Beefy 采用了 xERC-20 標準。正如該項目的跨鏈橋文檔所述,ERC-7281 為該項目提供了更多跨鏈代幣選項(在主要跨鏈橋合作伙伴遭受黑客攻擊后,這一選項變得必不可少),并提供了對跨鏈機制設計的更精細控制。在 Beefy 的案例中,ERC-7281 的白名單功能使該協議能夠選擇各種跨鏈合作伙伴,并在橋接 mooBIFI 代幣時為用戶提供在速度、去中心化、成本和安全性方面進行優化的不同選項。
基于流動性的橋通常青睞于有財務能力為流動性激勵提供資金的項目——由于代幣發行方希望在流動性提供者(LP)激勵上花費較少,并提供不錯的跨鏈橋用戶體驗,因此流動性對于使用標準 L1/L2 橋接的協議來說成為最關鍵的因素。這也延伸到跨鏈橋聚合器對跨鏈橋提供商的選擇,可以說這使得新的跨鏈服務(即使那些擁有安全基礎設施的服務)更難與更成熟的跨鏈協議競爭。
ERC-7281 通過消除基于流動性的跨鏈需求來解決這個問題。無需鑄造和將非標準代幣兌換為標準代幣,任何規模的橋都可以被批準在目標鏈上鑄造項目的代幣。由于代幣發行方希望最大限度地減少跨鏈失敗的風險,因此更多協議可能會開始更加關注跨鏈橋的安全性設計,而不是優先關注流動性。
這激勵了開放競爭,因為它變成了「讓最安全的橋獲勝」而不是「讓流動性最強的橋獲勝」的情況;這種開放競爭可以采取跨鏈橋在流動性/安全性之外的其他功能上進行競爭的形式(例如費用、API/SDK、應用集成等)。這些功能從一開始就更容易融入應用程序,因為它們主要取決于開發團隊的專業知識;相比之下,流動性和跨鏈數量更難啟動,需要業務發展、資金、行業聯系、營銷等多種因素的結合。
ERC-7281 引入了代幣鑄造和銷毀的可配置速率限制,這極大改善了與非原生鏈上鑄造標準代幣的第三方跨鏈協議合作的風險狀況。若合作跨鏈橋提供商遭遇黑客攻擊或入侵,攻擊者所能造成的最大損害相當于受損橋的限制額度。如果代幣發行者謹慎選擇速率限制參數,對某一跨鏈橋的孤立攻擊,對于協議償付能力的影響可能降至最低。
此外,為每個跨鏈橋配置速率限制還可以改善協議 DAO 的風險評估過程。采用 ERC-7281 使風險評估更具動態性。項目仍需對跨鏈橋提供商進行盡職調查,以選擇合適的速率限制屬性;然而,風險評估時間線可以縮短。項目方無需花費數月時間分析多個跨鏈橋以選擇一個,而是可以選擇多個跨鏈橋提供商,并根據安全評估設置不同的鑄造限制。然后,代幣發行方可以進行安全審查,以確定是否增加或減少選定跨鏈橋合作伙伴的鑄造限制,或從某一跨鏈橋撤回鑄造權(例如,作為對黑客攻擊或漏洞披露的回應)。
ERC-7281 還降低了那些希望采用跨鏈橋安全技術,但又不愿完全采用某項技術的項目所面臨的阻礙,除非該技術經過實戰測試并被社區嚴格審查(即創新者的困境)。假設跨鏈橋提供商提出了一種據稱可以大大改善安全保障的新基礎設施。在這種情況下,協議可以通過為橋分配有限的鑄幣權并隨著對擬議系統設計信心的增強,而逐步增加橋的鑄幣限額來進行「試水」。
就像消除流動性相關的擔憂一樣,在分配鑄幣權之前,消除協議對跨鏈橋技術堆棧 100% 信任的需要,可以在新進入者和老玩家之間創造平等的競爭——老玩家有動力迭代更好的安全方法,因為代幣發行方現在可以靈活地撤回鑄幣權并重新分配給較小的項目,而后者則表現出對安全和去中心化的更高承諾。
同時,這也消除了與第三方跨鏈橋合作的協議面臨的另一個風險因素:盡管跨鏈橋安全中的漏洞和問題,被披露和發現的速度很快,但選定的跨鏈橋提供商仍可能停止在安全方面進行創新,因為它知道代幣發行方無法執行懲罰措施(例如,快速遷移到另一個跨鏈橋提供商),執行此類活動的難度很大。
由于基于流動性的橋接定價不可預測,今天構建需要將代幣通過任意數量的鏈進行路由的復雜應用工作流程十分困難。例如,一個從以太坊(Ethereum)→Linea→Base的橋接聚合器有兩個選擇:
由于基于流動性的跨鏈橋定價不可預測,如今構建需要通過任意數量的鏈路由代幣的復雜應用工作流程非常困難。例如,從以太坊 → Linea → Base 的跨鏈橋聚合器有兩個選項:
設置滑點容忍參數,并根據用戶在每條鏈上將收到的最小代幣數量(取決于跨鏈消息到達每層時可用的流動性數量)執行跨鏈路由定價;
不設置滑點容忍參數,如果一條或多條鏈上收到的代幣數量低于預期數量,則創建邏輯以獲取鏈上流動性(例如通過 DEX)。
相比之下,通過檢查允許鑄造特定代幣的跨鏈橋的 mintingLimit 和 burningLimit,橋聚合器可以預先知道跨鏈交易中每個域中應該有多少代幣。
誠然,在交易廣播和交易到達某一域之間的時間段內,跨鏈橋可能會達到 maxLimit ——這意味著用戶無法在目標鏈上收到標準代幣。但出于以下原因,ERC-7281 在這方面仍然是一種改進:
如果跨鏈橋提供商在交易進行過程中達到 mintingLimit,則跨鏈交易將被暫停,并在速率限制參數調整后重試。與當今的流動性橋不同,用戶不會收到標準代幣的專有包裝版本。
跨鏈橋聚合器對于跨鏈交易何時執行,以及預期代幣數量具有更高的可預測性。由于 mintingLimit 和 burningLimit 配置為使用區塊作為時間度量(如速率限制參數部分所示),因此很容易計算跨鏈橋何時會再次開始鑄造和銷毀代幣;相較之下,預測跨鏈橋中的流動性何時會增加則無異于玩「俄羅斯輪盤賭」。
流動性的不可預測變化也意味著重試跨鏈交易定價的不可預測性。假設一個跨鏈橋聚合器(或另一個應用)根據跨鏈橋流動性池中代幣對的當前價格(此價格基于總池流動性)對跨鏈交換進行報價。然而,由于池流動性急劇下降,交易無法執行。假設交易被暫停并在稍后重試。在這種情況下,應用開發人員無法知道先前的報價是否仍然準確,或者流動性是否會達到用戶首次提交交易時的相同水平。
而跨鏈 xERC-20 代幣不受流動性變動的影響,因此用戶可以確信跨鏈交易不會產生滑點——即使它們不會立即執行。
跨鏈橋聚合器并不是唯一從這種可組合性改進中受益的聚合器;任何跨鏈應用程序都可以利用 xERC-20 代幣的可互換性來創建更吸引人的應用程序。
而由于路徑依賴問題,目前想要實現這一點并不容易。假設開發人員希望從以太坊跨鏈 ETH,在 Arbitrum DEX 上開設借貸頭寸,并使用利潤在 Optimism 上購買 NFT,然后再跨鏈回以太坊。在此過程中,開發人員必須確保與這些鏈上的跨鏈橋提供商集成,因為用戶無法輕松地交換專有版本。而當項目采用 xERC-20 后其跨鏈代幣具有可替代性,情況就發生變化了。
此工作流程與前面描述的代幣發行方跨鏈橋類似,以 Circle CCTP 為例:
Circle 的跨鏈傳輸協議讓用戶可以擁有統一的、標準的 USDC 代幣版本,而不會被困在不同鏈的生態系統中。所有跨鏈傳輸都通過其協議使用銷毀和鑄造方案進行處理。
不過,CCTP 是一個中心化協議,Circle 的運營商是唯一被授權銷毀和鑄造其 USDC 代幣的實體,但 xERC-20 卻可以通過允許具有各種安全機制的多個實體操作跨鏈傳輸來消除信任風險。
ERC-7281 還可以加速以太坊以 rollup 為中心的路線圖,讓項目有信心在新型 EVM L2 上部署代幣,而這些新的 EVM L2 可能缺乏現有 L2 鏈的強大安全性。例如,第 0 階段 rollup 的標準橋不太安全,因為以太坊 L1 不保證橋的安全性。代幣項目可以通過向標準橋授予有限的鑄幣權并在 rollup 進入第 1 階段后增加鑄幣限制,來逐步向此類鏈進行部署。
此過程可以持續到 L2 達到第 2 階段(rollup 的去中心化和安全性達到最高階段)。通過這種機制,協議可以以風險最小化的方式部署在新推出的鏈上,這有利于以太坊生態系統,因為它使新的 L2 更容易引導代幣流動性和應用程序,同時鼓勵項目方在 rollup 設計領域進行更多創新。
雖然 ERC-7281 對于協議而言極具吸引力,但 DAO 可能會因為管理 xERC-20 代幣而產生的巨大運營成本而猶豫是否采用。DAO 項目團隊必須承擔大量的運營開銷來管理各種部署中的 xERC-20 代幣。
Gerard Persoon 在《管理大量鏈上的跨鏈代幣》一文中列出了從 ERC-20 遷移到 xERC-20 后,協議必須執行的一次性和重復性任務的不完整清單:
一個提議的解決方案是,DAO 將與管理跨鏈 xERC-20 代幣相關的一些任務外包給第三方服務,但這僅僅是在一種人力資源成本與雇用服務成本之間進行權衡。
假設一個協議之前使用內部基礎設施管理跨鏈代幣(例如,為每條鏈部署單獨的代幣合約,并控制鑄造和銷毀)。在這種情況下,ERC-7281似乎并不是一個根本性的改變。然而,那些習慣于將核心跨鏈基礎設施的管理外包給跨鏈橋開發團隊的項目會發現,額外的工作量令人擔憂。
管理 xERC-20 代幣會給協議和社區成員帶來不可忽視的管理成本增加。例如,跨鏈橋限制需要積極監控和評估跨鏈橋的安全性,以便根據這些信息調整鑄造限制,而關于跨鏈橋限制(或鑄造權的撤銷/分配)的決策可能需要 DAO 投票(如果此類決策需要頻繁做出,DAO 成員可能會感到投票疲勞)。
不過,這不應被視為對 ERC-7281 的價值判斷。每個項目都有不同的風險狀況、長期目標和資源——這些因素共同決定了采用 ERC-7281 的長期利益是否大于短期和持續的成本。
例如,較小的項目可能發現管理發行 xERC-20 代幣的成本更高,并選擇使用像 Axelar 的 ITS(跨鏈代幣服務)或 Wormhole 的 NTT(原生代幣轉賬)這樣的托管多鏈代幣跨鏈服務。而更成熟的項目可能有資源來管理發行 xERC-20 代幣的運營成本,并可能認為 ERC-7281 所提供的控制權值得承擔管理跨鏈代幣的額外開銷。
對于沒有鑄造/銷毀接口或無法通過升級代幣合約以使用 IERC20,并且已經在非原生鏈上流通了原生代幣的標準版本的項目而言,遷移到 xERC-20 代幣是一個漫長且需要大量協調的過程,并涉及復雜的參與者網絡,包括代幣持有者、交易所(DEX 和 CEX)、合作伙伴橋以及與傳統 ERC-20 代幣集成的各種應用程序。即使這部分工作已經完成,協議仍然需要承擔將 ERC-20 解包為 xERC-20 以完成遷移過程的成本。
正如 ERC-7281 標準討論中所解釋的那樣,現有代幣需要鎖定在 Lockbox 中,以便為用戶鑄造包裝好的 xERC-20。不過,舊版 ERC-20 的淘汰可能在不久之后發生,并且涉及另一個長期的過程,即圍繞凍結新(舊版)ERC-20 代幣鑄造的時間表與社區進行溝通。再次強調,從協議的角度來看,這可能是值得的——盡管收益也可能不足以證明協調整個生態系統遷移到與協議代幣兼容的 xERC20 版本的成本是合理的。
使用 ERC-7281 在多個域上管理 xERC-20 代幣需要監督該協議的 DAO 進行積極治理。這包括設置鑄造限制等參數、升級 Lockbox 合約以及暫停鑄造或銷毀代幣。這些決策具有敏感性,應由 DAO 管理,以避免因閉門決策而承擔責任。
ERC-7281 旨在讓協議控制這些決策,而不是第三方跨鏈橋。這很有必要,因為 DAO 已經在其原生鏈上管理代幣,因此將治理擴展到其他鏈上的代幣,對于尋求這種控制的協議和社區來說是合理的。然而,一些協議可能由于擔心治理和穩定性而不想擁有這種額外的 DAO 控制。
例如,Lido 面臨著治理問題的審查,增加對代幣管理的控制會增加治理接管的風險。如果一個項目將所有 ERC-20 代幣整合到一個 Lockbox 中,并由 DAO 進行管理,那么治理攻擊可能會產生廣泛的影響。攻擊者可以控制 Lockbox 并引入一個沒有鑄造限制的惡意跨鏈橋提供商,從而使其他鏈上的 xERC-20 代幣變得一文不值。
這種情況與 Multichain 漏洞相似,多方計算(MPC)簽名基礎設施中的漏洞使黑客能夠破壞保管以太坊和 Dogecoin 上原生代幣的主要 Multichain 地址——這些代幣支持在非原生鏈(如 Fantom 和 Moonriver)上鑄造的代幣,從而產生了「多米諾骨牌效應」,導致其他地方的項目因以太坊和狗狗幣上 Multichain 智能合約受到攻擊而遭受損失。
當代幣由具有代幣治理或中心化實體的協議發行時(例如 Circle 的 USDC 或 CZKC 穩定幣),ERC-7281 才符合要求。然而,如果協議最大限度地去中心化且缺乏正式治理,那么它的價值就不大——Liquity 的 LUSD 穩定幣就是一個難以與 xERC-20 標準兼容的代幣示例。
xERC-20 代幣要求實體決定特定參數,例如鑄造和銷毀限制,并做出是否將某些跨鏈橋提供商列入白名單等決定。這意味著 xERC-20 代幣的存在需要持續治理。對于希望隨著時間的推移將協議的關鍵組件(例如 DAO 的代幣合約)去中心化的項目,這可能會引發問題并使去中心化計劃復雜化。
上文已提及路徑依賴的工作原理,以及它為何能確保影響鏈 A 的漏洞不會影響鏈 B,或鏈 A 上的橋 A 的漏洞不會影響鏈 B 上的橋 B。ERC-7281 標準消除了路徑依賴,這帶來了好處,但同時也引發了安全性方面的權衡問題。
由于不同跨鏈橋提供商鑄造的代幣在跨鏈間具有可互換性,跨鏈橋中可用的最大流動性,不再代表跨鏈橋漏洞對代幣發行方可能造成的最大影響。ERC-7281 標準的作者建議,基于代幣發行方可用于補償欺詐鑄造損失的金額,為跨鏈橋提供商設定一個速率限制;盡管如此,從回顧的角度來看,所選的速率限制可能過于保守。
如果一個具有高限制的跨鏈橋遭到攻擊,其影響可能十分顯著,甚至影響到使用其他鑄造相同代幣的跨鏈橋的用戶。所以,協議可以通過將鑄造權分配給多個跨鏈橋來降低風險(因此,與其他跨鏈橋相比,一個跨鏈橋提供商所能鑄造的代幣數量就不會過大),但通過這種方式來規避風險可能會降低效率,因為每個跨鏈橋都需要 DAO 團隊進行獨立評估,并且與更多跨鏈橋進行協調,這樣又會增加上文提到的管理成本。
另外,由 DAO 管理的 Lockbox 合約也可能會在發生治理攻擊時引入不利的傳染效應。而即使有安全的 DAO 治理,代幣主鏈上的原生/非原生 Lockbox 合約中的錯誤也會導致同樣多的問題。相比之下,由于金庫合約(跨鏈橋提供商的 Lockbox 合約等同物)僅持有通過相應跨鏈橋橋接的代幣,這一問題得到了緩解,因為一個提供商的金庫合約中的漏洞也只會影響到在該跨鏈橋中存入代幣的用戶。
ERC-7281 標準帶來的額外管理工作還會影響使用項目 xERC-20 代幣的應用程序開發人員和服務提供商。跨鏈橋聚合器需要跟蹤 xERC-20 代幣與其對應的 Lockbox 合約之間的映射關系,以防止垃圾郵件代幣和欺騙攻擊等問題。雖然這些映射的注冊表可能有所幫助,但在不承擔中心化風險或使 xERC-20 采用者面臨威脅的情況下建立這樣的注冊表具有挑戰性。
風險來自攻擊者可能會將惡意合約添加到代幣注冊表中,并誘騙用戶和開發人員將代幣發送到錯誤的地址。這可能會導致 L2 和 L1 網絡上發生代幣盜竊事件。交易所也面臨著類似的挑戰,因為偽造的代幣可能會引發嚴重問題,如代幣行為異常,這與經過審核的標準代幣不同。
ERC-7281 標準為不可互換跨鏈代幣問題提供了一個令人信服的解決方案,并提供了增強用戶體驗、去中心化、安全性和代幣跨鏈設計靈活性的功能。其中一些特性直接影響以 rollup 為中心的路線圖的可行性,使 xERC-20 標準成為以太坊 L2 生態系統的關鍵基礎設施。
當前,包括 Hyperlane、Omni、Sygma、Router Protocol 和 Everclear 在內的多個跨鏈橋領域的關鍵參與者已承諾采用 ERC-7281 標準,這表明該提案受到了廣泛關注。甚至一些已有代幣跨鏈機制的成熟代幣發行方(如 Circle )也對 ERC-7281 標準表現出興趣,以解決未經批準的代幣對用戶和開發者造成的挑戰。值得一提的是,對于關注 ERC-7281 標準討論或希望集成 xERC-20 的開發人員而言,以太坊魔術師聯盟(Fellowship of Ethereum Magicians)和?xERC-20 網站,以及?xERC-20 發射臺(用于聚合創建、監控和管理 xERC-20 代幣的工具)將是重要的信息來源和工具。
喜來順財經
