为了不被盗,现在的跨链桥有多努力?

OneKey TeamOneKey Team
/2025年7月23日
为了不被盗,现在的跨链桥有多努力?

要点总结

• 跨链桥贡献了近一半的 DeFi 被盗金额,是 Web3 最大的安全痛点之一。

• Wormhole 在被盗 3 亿美元后重构守护者机制,加入 Governor 限流与安全响应系统,但本质仍依赖中心化的 19 节点验证。

• Hyperlane 提供模块化的安全堆栈,开发者可自定义 ISM 验证逻辑,自由度高但配置失误风险也更高。

• Axelar 自建区块链协调跨链通信,靠 PoS 共识与限流机制保障安全,稳定性强但灵活性相对较弱。

• 三种方案代表三种信任模型:中心化守护者、模块化 DIY、链级共识,各有取舍,没有绝对优解。

• 对钱包而言,跨链不仅要快,更要透明、安全、可信。选择跨链桥前,必须看清其底层信任机制。

过去几年,跨链桥被盗走了 28 亿美元,占 DeFi 被盗金额的 **44.8%**。

你没看错,这意味着 Web3 被黑掉的钱,有将近一半是因为跨链桥。

它们成了黑客眼中「转账快、风控差、到账稳」的提款机。

也正因为如此,跨链桥成了整个加密行业「安全内卷」最严重的地方之一。

为了不被黑,有的桥请来 19 个节点组多签守门,有的桥开放让开发者自己拼装组合安全模块,有的桥甚至直接把自己盖成了一条链。

这篇文章,我们就以 Wormhole、Hyperlane、Axelar 这三个代表性项目为例,看看它们是怎么把「信任」这件事,一层一层地卷出来的。


Wormhole:被黑 3 亿美元之后的重建

Wormhole 是个跨链消息协议,连接了三十多条链,背后靠的是一个由 19 个节点组成的「守护者网络」来验证消息。

你在链 A 上锁定资产后,Wormhole 的 19 个守护者会监听这笔操作,验证无误后生成一份 VAA(Verifiable Action Approval),提交给链 B,链 B 再据此释放等值资产。

黑客事件

2022 年,Wormhole 因为验证逻辑缺陷,被黑客伪造签名,损失超 3.2 亿美元

这是当时史上第二大的 DeFi 被盗事件,Wormhole 团队背后的 Jump Crypto 不得不紧急拿出资金填补窟窿,才避免用户资产全军覆没。

安全重建措施

  • 重构守护者验证机制
    原来的 VAA 签名验证逻辑被重写,加入更多防伪措施,部署流程也更为审慎。签名记录、轮换管理、合约校验都有系统升级。
  • 加入 Governor 安全模块
    每条链上的 Wormhole 合约接入了 Governor 模块,用于控制资金跨链流出的速度和上限。哪怕出现问题,也能限流止血。
  • 强化监控 + 快速响应机制
    在 Jump Crypto 的支持下,Wormhole 配备了链上监控系统与安全响应机制,实时检测异常行为,并支持紧急中断。
  • 高额白帽赏金激励
    启动数百万美元级别的漏洞赏金计划,鼓励社区白帽披露漏洞。
  • 推进模块化安全路线
    将部分验证逻辑从链下迁移到链上,并规划未来开放守护者加入机制,降低中心化依赖。

技术局限

Wormhole 的核心架构并未改变:
它仍依赖 19 个守护者签名,而不是一个去中心化共识网络;
仍然没有质押与惩罚机制,信任集中在一份名单上,无法实现完全的去信任。


Hyperlane:安全逻辑,自己组装

与 Wormhole 不同,Hyperlane 不是守门人网络,而是一套「跨链通信协议 + 安全模块框架」。

Hyperlane 不会替你决定跨链消息如何验证,而是提供自由组合的工具,交给你自己来定义跨链安全规则。

架构组成

  • Mailbox 合约:部署在每条链上,用于发送和接收消息
  • Relayer 中继器:监听源链事件并传送消息
  • ISM(Interchain Security Module)跨链安全模块:决定一条消息是否有效、是否可以执行

核心特点:ISM 模块

ISM 允许你选择:

  • 多签验证
  • 乐观验证 + 挑战机制
  • 调用 Wormhole 守护者网络
  • 自定义策略(如 指定签名人 + 多签 + 延迟确认)

Hyperlane 的核心理念是:安全不是给你的,而是你自己定义的。

你用得越细,越安全;用得越懒,出问题的风险越大。

安全增强实践

  • 推出 stake 验证网络
    引入 HYPER 代币构建默认验证方案,适用于不想 DIY 的项目方
  • 支持自定义 ISM
    为每条链配置不同验证策略,不再一把锁开所有门
  • 完全 permissionless
    所有链都可自由接入,无需官方白名单
  • 本地化 + 模块化验证倡导
    鼓励项目根据自身逻辑进行验证组合

安全责任边界

Hyperlane 提供了极大的自由,但也意味着:
配置错误或懒得配置 = 风险自负
它不强绑定特定验证人,也无链上惩罚机制,安全依赖项目自身判断。


Axelar:把跨链桥变成一条链

Axelar 的路径最为直接:做一条专门服务跨链的链。

它是一条基于 Cosmos SDK 构建的 PoS 区块链,通过自己的共识系统协调不同链之间的消息传递和资产流转。

你可以理解为「链与链之间的中控系统」。

工作原理

Axelar 在各链上部署 Gateway 合约,用户在源链锁仓后,由 Axelar 的验证者网络达成共识,再将操作提交至目标链的 Gateway 执行。

验证消息真假的,不是源链、也不是目标链,而是 Axelar 本身。

安全设计亮点

  • PoS 验证者网络
    拥有 75+ 验证者,攻击者需控制多数质押才能发起攻击
  • 限流机制
    每条链的 Gateway 设有限额,出现异常时可自动延迟/冻结操作
  • 密钥轮换
    签名密钥定期更换,降低长期风险
  • 投票权去中心化
    使用开方等机制平滑投票权重,防止质押量过大的节点垄断治理
  • GMP(General Message Passing)任意消息跨链
    不仅支持资产转移,还支持合约调用、治理指令等复杂交互

Mobius Development Stack(MDS)

为简化开发者体验,Axelar 推出 MDS 工具包:

  • Interchain Amplifier
    一次集成,连接所有支持链,无需每条链手动接入
  • Interchain Token Service(ITS)
    零代码、一键将项目代币部署至多条链,极大简化部署流程

定位与适用场景

  • 集成度高,适合想「一次接入,长期稳定使用」的团队
  • 不要求开发者设计复杂安全机制,默认安全保障强
  • 对新链支持较慢,灵活性不如 Hyperlane,但稳定性更高

写在最后:安全,从不过时

跨链桥是 Web3 的刚需,也是最大的不确定性之一。

作为钱包,OneKey 不只关心你是否跨得快,更关心你是否跨得安全、跨得明白。

本文提到的 Wormhole、Hyperlane、Axelar,分别代表了三种不同的安全架构路径:

  • Wormhole:中心化守护者验证
  • Hyperlane:模块化可自定义验证
  • Axelar:链级共识主导验证

三者没有绝对的对错,只有适合与否。
安全设计没有完美方案,只有不断进化的过程。

OneKey 将持续关注跨链安全趋势,为用户甄别风险,连接值得信赖的基础设施。

使用 OneKey 保护您的加密之旅

View details for OneKey ProOneKey Pro

OneKey Pro

轻触。认证。掌控。

View details for OneKey Classic 1SOneKey Classic 1S

OneKey Classic 1S

轻巧便携。银行级安全。

View details for OneKey SifuOneKey Sifu

OneKey Sifu

即刻咨询,扫除疑虑。

继续阅读