055-79000介绍了本体的多链架构设计和侧链的生命周期。本文将对目前业界非常关注的跨链项目Cosmos和Polkadot进行比较,看看本体在解决区块链互操作问题时如何采用类似的规则。但由于协议和设计上的差异,在跨链执行效率和安全性上有一些创新。
跨链管理宇宙
根据Cosmos官方提供的信息,在主网启动初期,网络状态和安全性无法得到充分保障。在启用通用卡转移之前,如果Cosmos Hub出现错误或漏洞,可能会出现状态回滚或网络重启。在主网足够稳定和安全后,Cosmos Hub中ATOM的持有者将投票决定是否在ATOM链上开始转移,这部分也将通过区块链上的投票治理来实现。如果开放第二阶段,用户将可以转让ATOM,同时交易所将可以对ATOM收费,这样就可以有更多的人购买ATOM,参与到委托验证者发放区块的过程中。
IBC (Inter-chain Communication,链间通信)协议测试发布后,ATOM持有者也需要链治理投票决定是否将其集成到Cosmos-SDK中。目前IBC还没有在Cosmos主网真正实现,需要在第三阶段实现。因此,IBC仍然是一个验证原型,需要更多的优化。在测试网络环境时,需要对复杂的分布式环境进行仔细严谨的验证,才能在主网上投入使用。
波尔卡多特
在Polkadot架构中,主链称为Relaychain(相当于宇宙生态中枢纽的位置),基于Polkadot的网络中的链称为并行链。它的安全和治理都是由Polkadot的中继链支持的,而所有的宇宙链都是自己独立管理的。
与大多数PoS公链只有两个角色:委托人和验证者相比,Polkadot有四个角色:验证者、提名者、校对者和渔夫。新增加的排序器和验证器互相帮助生成有效的并行链块。校对者还需要证明解包块的零知识,并将它们提供给一个或多个负责向中继链提交并行链块的验证者。渔民是赏金猎人,监督审核员、校对员的恶行,通过举报谋取大额报酬。
Polkadot的治理机制更加复杂。除了全民投票之外,还引入了连锁“委员会”的概念。这个委员会很可能从6人左右开始,在9个月内增加到24人(大约每两周1人)。所有成员都有固定的任期(12个月),每个成员都是通过批准投票选举产生的。
本体本体
本体的多链设计采用双层结构,本体为当前主链,负责侧链注册和资产抵押。侧链可以是与主链具有相同架构的同构链,也可以是异构链。侧链需要向主链注册,经主链治理委员会批准后,才能激活与主链或其他侧链的跨链交互。
本体侧链在主链注册时,需要抵押一定数量的ONG资产以防止其作恶,并在注册时提交侧链的造物块等基本信息。从注册开始,直到侧链需要退出主链,本体中继器会实时监控侧链。如果当前块头监测到的StatesRoot与实际运行的StatesRoot不一致,可以立即向主链提交证书,获得相应的激励。
本体主链、同构侧链和异构侧链构成本体的全链网络体系,其中ONG作为统一的燃料装卸费和矿工费。
侧链注册时抵押一定数量的ONG资产:侧链初始化时,需要向主链发起注册请求,提交侧链的块头信息,其中包含验证者信息。如果一致循环切换的验证者信息改变,则侧链需要提交包含新验证者集合的循环切换块的报头信息,以改变旧的验证者信息。类似地,一些关键块可以跨其他异构链同步。在主链注册时,侧链需要抵押一定数量的ONG资产,防止其作恶。
Relayer设计:本体的Relayer是一个状态信息同步程序,持续监控跨链契约和一些关键块的跨链请求,监控后对关键块进行跨链交易或同步采集矿工费。当信息状态同步程序Relayer向主链提交新的一致循环的验证块头时,主链将验证关系是否成立。否则,块头同步将被拒绝;反之,旧的边链验证者抵押的ONG,在验证者信息更改两次后就会解锁。
关键块头同步:在本体主干的共识治理模型中,每隔一定数量的块,本体网络的共识节点发生变化,即一个共识周期内验证者集保持不变。因此,如果侧链是同构链,链块头同步过程不需要同步所有块,只需要同步关键块(即切换验证器集合的周期性切换块)和发生跨链事务的块。
主链和侧链的跨链交互:dApp在处理主链和侧链的跨链交互时,dApp契约首先处理其在源链上的逻辑,需要跨链时调用跨链管理契约的跨链端口。Relayer将状态证明信息同步到目标链后,dApp将继续在目标链上处理其逻辑。
比如,A链向B链发起跨链交易,用户需要在A链的跨链管理合同中锁定某个ONGx作为矿工费,中继者完成跨链操作后可以获得B链的跨链成功记录。
其实,定金的方式,交易过程中的监听器,侧链退出时的挑战期,都类似于我们通过第三方平台网购的规则:交易前定金,交易中监控,交易后验证。这些本体设计在当前的Cosmos和Polkadot方案中是不可用的。因此,跨链交易中本体的安全性得到了更多的考虑。
如何防止侧链作恶?跨链交互涉及到一个重要的安全问题,即如何防止侧链验证者集体作恶,即“侧链作恶”。在Cosmos中,侧链独立于每个链,侧链验证者的选举由侧链自己决定;在Polkadot中,边链验证器的管理由Polkadot的主链“中继链”决定。无论验证者是选举的、自治的还是统一的,都会面临一个根本性的挑战:这些侧链验证者不一定可靠,如果跨链资产的实际价值大于验证者抵押的实际价值,验证者就有足够的动力作恶。
例如,dApp的一个开发者在主链和侧链上都部署了智能合约,希望能够跨链交换资金。当dApp用户向侧链转移部分资产时,侧链验证者可以直接将这部分资产转移到自己名下,然后再转移到主链,在交易所出售这部分资产。当然,主链中的侧链验证者质押的安全保证金会支付给用户。但是,如果侧链验证者抵押的保证金小于这部分转让资产的实际价值,则侧链验证者很可能采取集体作恶的方式来获取这部分额外收入。
邪恶的方式
现有的跨链方案大多采用梅克尔树证明的方法:即边链在每个块中生成当前块中所有事务的状态根,边链验证者将对状态根进行签名。当跨链事务发生时,可以通过验证状态根来验证跨链状态的合法性。此时,如果侧链验证者发现用户跨链交互的资产的实际价值大于这些验证者的抵押资产的实际价值,那么侧链验证者可以基于当前块伪造一个状态根,即忽略当前块的执行结果,强行构造一个对自己有利的状态根,从而窃取用户在主链中锁定的资产。
那么,是否可以实现即使侧链被恶意挖矿者或节点控制,用户仍然可以使用主链的安全机制来保证自身的安全?
如何解决邪恶验证者的邪恶,就是在当前块中集体构造一个虚假状态根,由于用户的签名无法伪造,所以块中的事务无法更改。
正如我们所见,在宇宙中,Hub的矿工不负责区域的安全,或整个系统的安全。这将导致一个问题。如果两条链跨链交互过程中的资产价值大于一条链抵押的价值,验证者就会集体作恶,盗取资产。所以Cosmos可能更适合公链之间的可信信息交换。
在Polkadot中,有四个不同的角色:验证者、提名者、校对者和渔夫,他们维护网络安全。在一种可能的实现方式中,可以将“验证者”拆分为“基本验证者”和“可用担保人”,每个切片的验证者由主链统一分配,每个切片的验证者需要拥有所有切片的完整账本,因此数据的存储量会比较大。另外,如果跨分片交互过程中两个分片的资产价值大于主链中分片的验证者抵押的价值,验证者集体作恶,盗取资产的情况还是会发生。
针对验证者作恶的情况,ontology提出了解决问题的思路:即可以设置一个挑战期。在挑战期间,如果发现事务是恶意的,Relayer可以提交事务状态的前一个状态、当前块的事务和契约源代码在虚拟机中运行,并将运行结果的状态根与块中包含的状态根进行比较,以验证状态根是否合法。同时,无论有无跨链交易,Relayer都会实时监控侧链。如果检测到当前块头的StatesRoot与实际运行的StatesRoot不一致,可以立即向主链提交证书,获得相应的激励。
可以看出,这种方案的验证过程比较复杂,尤其是对于异构链,挑战期对用户体验不够友好。本体表示将基于这一假设继续研究更可行、更高效的解决方案。
最后,虽然还没有找到防止侧链作恶的完美解决方案,但是本体提出的设计对于整个区块链世界探索如何构建和实现轻量级、低耦合、安全可靠的多链系统和跨链解决方案具有重要意义。
