超10萬美元被鎖定，從unibtc凍結事件看免信任托管的重要性

原文作者：仙壤GodRealmX

2025年4月23日，一位名叫Brain的網友借朋友之手在推特上求助，稱自己在某比特幣Layer2鏈上進行套利操作時，超10萬美元的unibtc資產被Bedrock官方困住且無法退出。

根據當事人W的披露，4月17日，他發現由Bedrock發行的unibtc在某比特幣L2鏈上出現價格異常並與BTC脫鉤，W認爲脫鉤是暫時的不久會回錨，這裏有很好的套利機會，便將部分BTC跨入該比特幣L2，將其兌換爲unibtc並待其回錨後賣出。

僅在脫鉤後24小時內，unibtc便已回錨，但W嘗試將手上的unibtc賣出時，卻發現該鏈上的unibtc-BTC流動性池被Bedrock官方撤掉了，而這個代幣對該鏈上唯一的unibtc二級市場退出通道。W沒法將手上的unibtc出掉，便嘗試把unibtc跨到其他鏈上。

當他找到該鏈上唯一一個支持unibtc的跨鏈橋（名爲Free）時，卻收到提示——“交易需要項目方籤名授權”。W找到Free跨鏈橋的客服，對面如此解釋：“unibtc跨鏈的多籤密鑰由Bedrock托管，未經他們許可，用戶無法把unibtc提到其他鏈上。”

沒有辦法，W只能找到Bedrock相關人員詢問此事，對方的初步回復是：“我們可以允許您提走本金，但您套利產生的利潤能否提走，要暫留審核。”

至此，W意識到這條鏈上unibtc的退出路徑被徹底切斷了，而自己手上價值約20萬U的unibtc被“暫時凍結”——既沒有辦法在該鏈上賣掉，也不能跨到其他鏈上。此時他感到非常無助，只求順利撤回本金。

然而BedRock相關人員的態度變得曖昧不清——既不明確說明W什麼時候可以撤回本金，也不提供任何書面承諾，以“風險審查”“技術排查”等理由進行拖延。

拖延了一陣後，BedRock聲稱，unibtc脫鉤源於LayerBank平台上有人大規模借走unibtc資產並進行砸盤，然後BedRock的人建議W“向LayerBank追責”。而W找到LayerBank後長時間沒有得到回應。

無奈之下，W只好在推特上找到朋友進行求助，經過超兩周的周旋，終於得到了了LayerBank和BedRock官方的積極響應，成功將資產追回。

W的遭遇並非個例。根據其他當事者的反饋，去年BedRock也曾用類似手段切斷用戶的unibtc退出路徑，導致這些unibtc被“實質性凍結”。當然，本文並不打算就上述事件的背後緣由加以揣測，僅從技術層面爲大家闡述類似的中心化作惡行爲該如何避免與杜絕。

首先復盤前述事件，我們可以看到，BedRock身爲unibtc發行方以及二級市場流動性池的初始LP，天然擁有unibtc二級市場退出通道的權限，如果要對其權力加以限制，更多要通過治理而非技術手段；

然而，前文中Free跨鏈橋與BedRock合謀拒絕用戶請求一事，卻暴露出unibtc在“發行—單鏈流通—多鏈流通”環節中存在明顯的技術缺陷：身爲BedRock合作方的Free跨鏈橋顯然是高度中心化的。

真正Trustless的橋，應該保證讓橋官方無法阻攔用戶退出，而unibtc凍結案中無論是BedRock還是Free跨鏈橋，都掌握着強有力的中心化權限，沒有提供抗審查的退出通道。

當然，類似unibtc的案例並不少見，切斷用戶退出路徑的事在各大交易所身上都屢見不鮮，而對跨鏈橋或其它類型的項目方來說，這種動用中心化權限的案例也不在少數。2022年6月時，Harmony Horizon Bridge曾因遭黑客攻擊而暫停57種資產的提款通道，雖然這種行爲有“正當理由”，但還是讓一些人感到細思極恐；

2021年的StableMagnet事件中，項目方通過事先預留的程序漏洞監守自盜2400萬美元，最終香港和英國出動大量警力，才在社區協助下追回了91%的贓款。種種案例充分說明，資產托管平台若不能提供免信任的服務，最終必然釀成惡果。

然而，Trustless並非唾手可得，從支付通道和DLC到BitVM和ZK Rollup，人們嘗試了各種實現方式，雖然可以很大程度的保障用戶自主權，提供可靠的資產撤離出口，但這背後仍存在不可避免的瑕疵。

比如，支付通道需要當事人監視對手方的潛在惡意行爲，DLC需要依賴於預言機；而BitVM使用成本高昂，在實踐環節中存在其他的信任假設；ZK Rollup的逃生艙則要經過漫長的窗口期才能觸發，且需要先將Rollup停機，這背後的代價十分巨大。

從當前各大技術方案的落地情況來看，並未出現堪稱完美的資產托管與退出方案，市場仍需要推陳出新。在下文中，DeepSafe Research將以DeepSafe官方推出的資產托管方案爲例，向大家闡明一種結合TEE和ZK、MPC的免信任消息驗證方案，這種方案在成本、安全、用戶體驗等不可兼得的指標上做出了平衡，可以爲交易平台、跨鏈橋或任意的資產托管場景提供可靠的底層服務。

CRVA：加密隨機驗證網路

目前市面上應用最廣泛的資管方案，大多採用多籤或MPC/TSS的方式判定資產轉移請求是否有效，這種方案優勢在於落地簡單、成本低、消息驗證速度快，壞處則不言自明——不夠安全，往往趨於中心化。2023年的Multichain一案中，21個參與MPC計算的節點均爲一人控制，是典型的女巫攻擊。此事足以證明，單純表面上的幾十個節點並不能提供較高的去中心化保障。

針對傳統MPC/TSS資管方案的不足，DeepSafe的CRVA方案作出了大量改進。首先，CRVA網路節點採用資產質押的準入形式，達到約500個節點後才會正式啓動主網，按照估算，這些節點質押的資產將長期維持在幾千萬美元或更高；

其次，爲了提高MPC/TSS計算的效率，CRVA會通過抽籤算法隨機抽選節點，比如每隔半小時抽10個節點，由它們作爲驗證人，驗證用戶請求是否應通過，然後生成對應的門限籤名予以放行。爲了防止內部串謀或外部黑客攻擊，CRVA的抽籤算法採用原創的環狀VRF，結合ZK來隱藏被抽中者的身分，讓外界無法直接觀測被抽選者。

當然，僅做到這種程度還不夠，雖然外界不知道有誰被選中，但此時被抽中者本人知道，所以仍然有串謀的路徑。爲了進一步杜絕串謀，CRVA的所有節點都要把核心代碼運行在TEE硬件環境內，相當於把核心工作放在黑箱裏進行。這樣一來，任何人都無法得知自己是否被抽中，除非他能夠破解TEE可信硬件，當然根據目前的技術條件，這極難做到。

上面講到的是DeepSafe的CRVA方案基本思路，在實際的工作流程中，CRVA網路內的節點間要進行大量的廣播通信與信息交換，其具體的流程如下：

1.所有節點在進入CRVA網路前，要先在鏈上質押資產，留下一個公鑰作爲註冊信息。這個公鑰又稱爲“永久公鑰”。

2.每過1小時，CRVA網路會隨機挑選幾個節點。但在此之前，所有候選人都要在本地生成一次性的“臨時公鑰”，同時生成ZKP，證明“臨時公鑰”與鏈上記錄的“永久公鑰”有關聯；換句話說，每個人都要通過ZK證明自己存在於候選人名單中，但又不透露自己是哪個；

3.“臨時公鑰”的作用在於隱私保護。如果直接從“永久公鑰”集合中抽籤，公布結果時，大家會直接知道哪些人當選。如果大家只暴露一次性的“臨時公鑰”，再從“臨時公鑰”集合中選出幾個人，你最多知道自己中籤，但不知道其他中籤的臨時公鑰對應着誰。

4.爲了進一步防止身分泄露，CRVA打算讓你自己都不知道自己的“臨時公鑰”是啥。臨時公鑰的生成過程在節點的TEE環境內完成，運行TEE的你無法看到裏面發生了啥。

5.然後在TEE內把臨時公鑰明文加密爲“亂碼”後再發給外界，只有特定的Relayer節點可以還原。當然，還原流程也在Relayer節點的TEE環境裏完成，Relayer並不知道這些臨時公鑰對應着哪些候選人。

6.Relayer還原出全部“臨時公鑰”後，把它們統一歸集並提交給鏈上的VRF函數，從中抽選出中籤者，由這些人驗證用戶前端發來的交易請求，然後根據驗證結果生成門限籤名，最後再提交至鏈上。（需要注意，這裏的Relayer其實也是隱藏身分且定期抽選的）

可能有人要問，既然每個節點都不知道自己是否被抽中，那工作還怎麼進行？其實前面提到，每個人都會在本地TEE環境內生成“臨時公鑰”，抽籤結果出來後，我們直接把名單廣播出去，每個人只要把名單傳入TEE，在裏面核對自己是否被選中即可。

DeepSafe這套方案的核心在於，幾乎所有的重要活動都在TEE硬件內進行，從TEE外部無法觀測到發生了什麼。每一個節點都不知道被選中的驗證人有誰，防止了串通作惡，並大幅度增加了外部攻擊的成本。要攻擊基於DeepSafe的CRVA委員會，理論上要攻擊整個CRVA網路，加之每個節點都有TEE保護，攻擊難度大幅攀升。

結合CRVA的資產自托管方案實現

上面我們介紹了CRVA的大致原理，爲大家說清了CRVA如何實現去中心化免信任。下面我們將以名爲HelloBTU的比特幣算法穩定幣爲案例，進一步理清CRVA在資產托管方案中的應用方式。

衆所周知，由於比特幣鏈上不具備圖靈完備的環境，無法直接實現Defi等復雜的智能合約邏輯，所以主流的BTCFi是把比特幣橋接到其他鏈上再和智能合約交互。HelloBTU的智能合約部分布置在以太坊上，用戶可以將BTC存入HelloBTU指定的收款地址，再由後者的官方橋把BTC跨到以太坊鏈上，然後和HelloBTU的算穩智能合約進行交互。

假設現在用戶要把10枚BTC質押到HelloBTU平台，具體操作是先把10枚BTC轉移到比特幣鏈上的一個Taproot地址下，對應的解鎖需要2/2多籤，其中一道籤名由用戶生成，另一道籤名由CRVA生成。

這裏涉及到的幾種情況有：

假設10枚BTC轉入上述Taproot地址後，用戶用這10枚BTC鑄造了穩定幣，現打算將BTC主動贖回。此時用戶和CRVA各生成一個籤名，將這10枚BTC解鎖並轉回用戶地址即可。如果CRVA長期未配合用戶，等時間鎖窗口期到期後，用戶可以單方面將這10枚BTC可以拿回，這個功能名爲“用戶自主贖回”。

另一種情況是，用戶作爲抵押物的BTC遭到了清算，現在他應該配合CRVA把這些BTC轉移並交由CRVA單向通道控制。但用戶可以拒不配合，此時這些BTC被暫時卡住，誰也拿不走；等時間鎖窗口期一過，這些錢可以被CRVA劃轉走，進入CRVA控制的Taproot地址下(CRVA單向通道)；

這裏面有個細節，就是BTC進入CRVA單向通道的時間鎖比較短，而用戶自主贖回的時間鎖更長，換句話說，如果CRVA和用戶之間無法彼此配合，這些BTC最終會優先進入CRVA單向通道。這樣一來，用戶方面賴帳作惡的行爲可以被有效限制。

而對於CRVA作惡的情況，由於CRVA是一套自動化運行的節點網路系統，只要其初始啓動時的代碼中不包含惡意邏輯，就不會出現CRVA主動拒絕配合用戶的情況，所以基本可以忽略；

如果CRVA因停電、洪災等不可抗力導致節點大量停機，根據上述方案中提及的流程，用戶依然有辦法把資產安全提走。這裏面的信任假設就在於，我們信任CRVA足夠去中心化，不會主動作惡（理由前面已經充分說明）。

如果BTC被劃轉到CRVA單向通道內，往往說明對應的鏈上算穩倉位遭到了清算，此時BTC的實際所有權歸屬於清算人。清算人可以發起提款請求，由CRVA進行審理，若通過，CRVA會爲其生成籤名，並將對應數額的BTC轉給清算人。

此時，如果CRVA長期未響應，時間鎖到期後，這些BTC會轉移至DAO控制的地址下，這步操作由多籤觸發，後續的處理則由DAO治理解決，這個DAO由知名項目方、安全公司以及投資機構共同組成，以遏制單一實體作惡爲宗旨而建立。

綜上所述，我們對DeepSafe針對比特幣的資產自托管方案進行了大致的闡述，而對於ERC-20資產，其原理與之類似，在此不作贅述。對於前文中提到的unibtc凍結案，如果unibtc跨鏈橋採用CRVA的自托管方案，很難出現資產發行方單方面掌控全局的可能。