为了不被盗,现在的跨链桥有多努力?

要点总结
• 跨链桥贡献了近一半的 DeFi 被盗金额,是 Web3 最大的安全痛点之一。
• Wormhole 在被盗 3 亿美元后重构守护者机制,加入 Governor 限流与安全响应系统,但本质仍依赖中心化的 19 节点验证。
• Hyperlane 提供模块化的安全堆栈,开发者可自定义 ISM 验证逻辑,自由度高但配置失误风险也更高。
• Axelar 自建区块链协调跨链通信,靠 PoS 共识与限流机制保障安全,稳定性强但灵活性相对较弱。
• 三种方案代表三种信任模型:中心化守护者、模块化 DIY、链级共识,各有取舍,没有绝对优解。
• 对钱包而言,跨链不仅要快,更要透明、安全、可信。选择跨链桥前,必须看清其底层信任机制。
过去几年,跨链桥被盗走了 28 亿美元,占 DeFi 被盗金额的 **44.8%**。
你没看错,这意味着 Web3 被黑掉的钱,有将近一半是因为跨链桥。
它们成了黑客眼中「转账快、风控差、到账稳」的提款机。
也正因为如此,跨链桥成了整个加密行业「安全内卷」最严重的地方之一。
为了不被黑,有的桥请来 19 个节点组多签守门,有的桥开放让开发者自己拼装组合安全模块,有的桥甚至直接把自己盖成了一条链。
这篇文章,我们就以 Wormhole、Hyperlane、Axelar 这三个代表性项目为例,看看它们是怎么把「信任」这件事,一层一层地卷出来的。
Wormhole:被黑 3 亿美元之后的重建
Wormhole 是个跨链消息协议,连接了三十多条链,背后靠的是一个由 19 个节点组成的「守护者网络」来验证消息。
你在链 A 上锁定资产后,Wormhole 的 19 个守护者会监听这笔操作,验证无误后生成一份 VAA(Verifiable Action Approval),提交给链 B,链 B 再据此释放等值资产。
黑客事件
2022 年,Wormhole 因为验证逻辑缺陷,被黑客伪造签名,损失超 3.2 亿美元。
这是当时史上第二大的 DeFi 被盗事件,Wormhole 团队背后的 Jump Crypto 不得不紧急拿出资金填补窟窿,才避免用户资产全军覆没。
安全重建措施
- 重构守护者验证机制
原来的 VAA 签名验证逻辑被重写,加入更多防伪措施,部署流程也更为审慎。签名记录、轮换管理、合约校验都有系统升级。 - 加入 Governor 安全模块
每条链上的 Wormhole 合约接入了 Governor 模块,用于控制资金跨链流出的速度和上限。哪怕出现问题,也能限流止血。 - 强化监控 + 快速响应机制
在 Jump Crypto 的支持下,Wormhole 配备了链上监控系统与安全响应机制,实时检测异常行为,并支持紧急中断。 - 高额白帽赏金激励
启动数百万美元级别的漏洞赏金计划,鼓励社区白帽披露漏洞。 - 推进模块化安全路线
将部分验证逻辑从链下迁移到链上,并规划未来开放守护者加入机制,降低中心化依赖。
技术局限
Wormhole 的核心架构并未改变:
它仍依赖 19 个守护者签名,而不是一个去中心化共识网络;
仍然没有质押与惩罚机制,信任集中在一份名单上,无法实现完全的去信任。
Hyperlane:安全逻辑,自己组装
与 Wormhole 不同,Hyperlane 不是守门人网络,而是一套「跨链通信协议 + 安全模块框架」。
Hyperlane 不会替你决定跨链消息如何验证,而是提供自由组合的工具,交给你自己来定义跨链安全规则。
架构组成
- Mailbox 合约:部署在每条链上,用于发送和接收消息
- Relayer 中继器:监听源链事件并传送消息
- ISM(Interchain Security Module)跨链安全模块:决定一条消息是否有效、是否可以执行
核心特点:ISM 模块
ISM 允许你选择:
- 多签验证
- 乐观验证 + 挑战机制
- 调用 Wormhole 守护者网络
- 自定义策略(如 指定签名人 + 多签 + 延迟确认)
Hyperlane 的核心理念是:安全不是给你的,而是你自己定义的。
你用得越细,越安全;用得越懒,出问题的风险越大。
安全增强实践
- 推出 stake 验证网络
引入 HYPER 代币构建默认验证方案,适用于不想 DIY 的项目方 - 支持自定义 ISM
为每条链配置不同验证策略,不再一把锁开所有门 - 完全 permissionless
所有链都可自由接入,无需官方白名单 - 本地化 + 模块化验证倡导
鼓励项目根据自身逻辑进行验证组合
安全责任边界
Hyperlane 提供了极大的自由,但也意味着:
配置错误或懒得配置 = 风险自负。
它不强绑定特定验证人,也无链上惩罚机制,安全依赖项目自身判断。
Axelar:把跨链桥变成一条链
Axelar 的路径最为直接:做一条专门服务跨链的链。
它是一条基于 Cosmos SDK 构建的 PoS 区块链,通过自己的共识系统协调不同链之间的消息传递和资产流转。
你可以理解为「链与链之间的中控系统」。
工作原理
Axelar 在各链上部署 Gateway 合约,用户在源链锁仓后,由 Axelar 的验证者网络达成共识,再将操作提交至目标链的 Gateway 执行。
验证消息真假的,不是源链、也不是目标链,而是 Axelar 本身。
安全设计亮点
- PoS 验证者网络
拥有 75+ 验证者,攻击者需控制多数质押才能发起攻击 - 限流机制
每条链的 Gateway 设有限额,出现异常时可自动延迟/冻结操作 - 密钥轮换
签名密钥定期更换,降低长期风险 - 投票权去中心化
使用开方等机制平滑投票权重,防止质押量过大的节点垄断治理 - GMP(General Message Passing)任意消息跨链
不仅支持资产转移,还支持合约调用、治理指令等复杂交互
Mobius Development Stack(MDS)
为简化开发者体验,Axelar 推出 MDS 工具包:
- Interchain Amplifier
一次集成,连接所有支持链,无需每条链手动接入 - Interchain Token Service(ITS)
零代码、一键将项目代币部署至多条链,极大简化部署流程
定位与适用场景
- 集成度高,适合想「一次接入,长期稳定使用」的团队
- 不要求开发者设计复杂安全机制,默认安全保障强
- 对新链支持较慢,灵活性不如 Hyperlane,但稳定性更高
写在最后:安全,从不过时
跨链桥是 Web3 的刚需,也是最大的不确定性之一。
作为钱包,OneKey 不只关心你是否跨得快,更关心你是否跨得安全、跨得明白。
本文提到的 Wormhole、Hyperlane、Axelar,分别代表了三种不同的安全架构路径:
- Wormhole:中心化守护者验证
- Hyperlane:模块化可自定义验证
- Axelar:链级共识主导验证
三者没有绝对的对错,只有适合与否。
安全设计没有完美方案,只有不断进化的过程。
OneKey 将持续关注跨链安全趋势,为用户甄别风险,连接值得信赖的基础设施。