深度研究｜Solana生态跨链协议分析与安全审计要点

Beosin Beosin 2025年06月12日 18:48 中国香港

随着Solana生态的快速发展，将资金转移到Solana生态进行交互的用户需求不断扩大，跨链至Solana的交易活动呈上升趋势。目前，基于Wormhole构建的Portal、Mayan Finance，基于Hyperlane构建的Sonic Bridge，SOON跨链协议InterSOON等应用为用户提供Solana与其它区块链网络之间的跨链服务。

Beosin作为多个Solana生态项目（如SonicSVM，SOON Network、RateX）和跨链桥（如Ronin Bridge、InterSOON）的安全审计服务提供商，在本文将深入探讨Solana生态主流跨链协议的核心设计、安全机制及相关审计要点。

Wormhole

项目架构分析

Wormhole是一个基于多重签名验证的跨链通信协议。其首个版本主要支持在以太坊和 Solana 之间建立双向代币桥，随后逐步升级成了一个通用消息传递协议。该协议支持区块链之间安全高效的通信，实现跨不同区块链网络进行数据和资产的转移。

它通过运行一个由 19 个节点（称为Guardian）组成的网络以及部署在每条链上的多个智能合约（包括核心桥合约、代币桥合约和 NFT 桥合约）来实现跨链。核心桥合约提供发送消息、验证守护者签名等功能，而代币桥合约和 NFT 桥合约分别负责转移代币和 NFT。

跨链交易流程

当用户使用Wormhole进行跨链时，首先用户会调用源链上的Wormhole核心合约发出消息。 Wormhole的19个节点分别持续观察 Wormhole 核心合约发出的消息，并在跨链消息上签名进行验证。每个节点都拥有相同的权重。当绝大多数（2/3）的守护者签署消息时，守护者网络会生成一个验证者行动批准（Verified Action Approval, VAA），作为 Wormhole 在目标链上传递相同消息的证明。随后，Relayers（中继器）将 VAA 传输给目标链上的核心合约，完成跨链操作。

安全机制

Wormhole是通过多重签名验证来确保跨链安全的。其安全核心是由网络中的19个节点（Guardian），这些节点负责验证和签名消息。如果绝大多数节点对同一条消息进行签名，则该跨链消息可视为有效，目标链上的智能合约将在批准任何交易之前验证消息的签名和格式。

Hyperlane

项目架构分析

Hyperlane 是一种模块化跨链协议，用于跨不同区块链环境进行跨链通信，允许开发者自定义跨链桥的安全模型（ISM），提高跨链交互的安全性。

其核心组建主要有以下四部分：

● 邮箱（Mailbox）：邮箱是Hyperlane的底层合约，负责消息接收和发送。中继器会持续监控邮箱，查找新消息并将其路由到其他链。中继器会在目标链上调用邮箱合约来传递跨链消息。

● 路由器：路由器是用于与邮箱合约交互，并可进行扩展以提供多种功能，例如消息传递、桥接代币以及调用其他链。

● ISM：跨链安全模块 (ISM) 是定义跨链桥安全模型的智能合约。它们可以由用户自定义，也可以使用协议默认的模块。目前，Hyperlane提供的默认ISM为MultisigISM（多签安全模块），此外还有CCIP-ReadISM，Aggregation ISM等多种安全模块供开发者选择。

● 中继器：核心功能是聚合传递消息所需的链下元数据（例如验证器签名和 merkle 证明），传递链间消息。尽管邮箱通常默认向同一个中继器付费，但消息发送方可以自主选择中继器。

跨链交易流程

用户通过邮箱智能合约与 Hyperlane 协议进行交互，实现跨链。首先，用户调用邮箱合约发起跨桥交易，随后跨链信息(sender,destination,recipient, body)由中继器处理后，发送给目标链的邮箱合约。需要在ISM的验证通过后，目标链的邮箱合约才会处理用户的跨链请求，完成资产的跨链转移。

安全机制

Hyperlane由跨链安全模块(ISM)确保跨链交易的安全。ISM负责验证在目标链上传递的跨链消息是否确实在源链上发送，开发者必须实现ISM的verify()接口，邮箱会在发送消息之前调用该接口。如果verify()返回值不为 true，交易将被回滚，以保障用户的资产安全。

LayerZero

项目架构分析

LayerZero 是一个为多链生态提供通用消息传递能力的跨链通信协议，其设计目标是实现不同区块链之间的高效、安全且去中心化的通信。它并非一个资产桥，而是一个纯粹的通信基础设施，允许任意链之间传递消息。其项目架构以高度模块化为特征，主要由用户合约（User Application）、Endpoint 合约、Oracle 和 Relayer 四个部分构成。

其中，用户合约由开发者部署在每条链上，用于处理具体的跨链业务逻辑；Endpoint 是部署在每条链上的系统核心合约，负责接收消息、协调转发；Oracle 负责从源链读取区块头并传送到目标链；Relayer 则提交交易的具体证明。这种架构通过将预言机与中继者解耦，保证了系统的灵活性与安全性，开发者可以自由替换或自建任意一方组件。

跨链交易流程

在跨链交易流程方面，LayerZero采用的是“轻信任消息传输”机制，不涉及原生资产的跨链锁定或释放，而是通过异步消息传递实现链与链之间的互动。

当一个跨链操作发起时，源链上的用户合约会调用 Endpoint 接口，提交目标链、消息数据及其他参数，Endpoint 会记录该信息并触发事件，供 Oracle 和 Relayer 监听。

Oracle 会将相关区块头转发到目标链，Relayer 读取源链交易日志并构造对应的证明（如 Merkle proof）一并提交。目标链上的 Endpoint 接收这些数据后进行验证，确认消息来源真实可靠，再调用用户指定的目标合约，完成整个跨链操作。这个过程以高度异步和去中心化的方式实现，避免了传统跨链桥在资产锁仓与铸造上的安全与可扩展性问题。

安全机制

LayerZero拥有双验证的安全机制，要求每一条跨链消息的生效都依赖两个独立角色：Oracle 提供的区块头与 Relayer 提供的消息证明，任何一方作恶都无法单独篡改或伪造跨链消息，从而避免单点失败的问题。更进一步，开发者可以自由指定自己信任的 Oracle 与 Relayer 组合，甚至采用去中心化多签或自运行节点作为组件来增强安全性。随着 LayerZero V2 的推出，协议进一步强化了可验证中继机制与多签 relayer 配置，提升了抗作恶能力和透明度。

InterBridge (InterSOON) 

项目架构分析

InterBridge 是SOON Network推出的跨链协议，旨在实现 Solana 与 TON（The Open Network）等区块链之间的资产和数据互操作性，无缝链接SVM和TVM区块链之间的资产，结合了 Solana 的高吞吐量和低成本特性，以及 TON 的去中心化网络架构的优势，提供安全、高效、用户友好的跨链体验。

InterBridge 的核心架构基于模块化设计，结合 Solana Virtual Machine (SVM) 和 Optimistic Rollup 技术，通过轻客户端和中继节点实现跨链消息传递。

跨链交易流程

用户通过InterBridge的DAPP从源链发起相关的跨链交易请求，源链的InterBridge智能合约会将用户资产锁定在源链的vault账户中，并且向中继器生成一个跨链消息。中继节点监听源链上的事件，提取跨链消息，并且采用Optimistic 机制设置相关挑战期，任何节点都可以质疑相关跨链交易的合法性。

跨链交易在成功通过挑战期后，中继器会通过链下通信协议将跨链消息传输到目标链，发送相关的跨链交易。在目标链的InterBridge智能合约接收到跨链消息后，会先验证中继器和跨链交易的合法性，一旦验证通过，就会将相应数量的跨链资产从vault账户发送到相关的跨链用户账户中，从而完成跨链交易。

安全机制

InterBridge与常规的跨链桥不同，使用了Optimistic 机制进行跨链消息验证，这使得即使是单个中继器进行作恶，其他任何节点都可以在挑战期内提交Fraud Proof来质疑跨链消息的真实性。并且由于Solana和Ton的特殊性，链平台本身就是高性能低成本，可以大大加快跨链消息的速度，降低跨链消息的成本，从而使得交易验证的流程中更难以攻击。

InterBridge本身的资金池为流动性资金池，LP提供者在成为白名单后，就可以为InterBridge的资金池添加流动性，从而获得流动性奖励。这种方式提升了InterBridge本身的资金安全，使得一些常见的挤兑攻击难以实现。并且由于LP为白名单机制，如果发现恶意的流动性提供者，也可以及时并且迅速的将恶意提供者从白名单中踢除，从而保证LP的安全性。

安全审计项

在跨链协议的安全审计中，通常主要关注跨链协议的可靠性以及用户的资产安全，针对solana生态跨链协议，需要注意以下的几个关键的安全审计要点：

1.智能合约安全

在实现跨链协议时，通常都可能会伴随着智能合约的通用安全问题，例如重入攻击，权限管理，业务逻辑漏洞等。因此在实现跨链桥协议时，往往也同时需要注重智能合约本身的安全。

2.链下消息验证

跨链协议不可避免的一点是：跨链流程必须经过两条链的链上和链下。这里就会涉及到链下的相关消息安全，通常跨链消息会以触发事件等方式进行消息验证，在审计时也会注意相关的消息触发机制是否完善，询问相关的消息内容在链下是否经过处理，是否会产生伪造等。如果跨链消息涉及ZK验证等行为，还需要对ZK验证的正确性进行审查，确保链间状态的一致性。这些链下消息的安全同样也是跨链安全审计的要点。

3.节点安全

如果跨链需要多个节点进行验证，那么审查的内容同样需要包括相关节点的中心化程度，以及节点自身安全的分析。如果节点中心化程度较高，并且自身安全性不佳，一旦攻击者掌握一定数量的节点，就可能导致整个跨链协议崩溃，从而危害用户的资金安全。

4.流动性安全

跨链协议有时会伴随相关的流动性资金池，审计同样需要分析相关资金池的流动性安全，是否可能存在挤兑的风险，以及验证协议的TVL和质押资产比例，从而保证用户在跨链时，随时拥有能够安全兑换的资金。

总结

Beosin安全团队在智能合约与链平台安全审计领域深耕多年，过往的审计涵盖 Solana 生态及多个跨链桥项目，如SOON Network，SonicSVM、RateX、Sega Finance、Ronin Bridge、Self Chain等。此外，Beosin KYT也已支持 Solana 生态和各类跨链桥交易穿透，帮助项目方、交易所和普通用户分析地址与交易风险，防范链上欺诈和攻击。

Beosin作为全球最早一批从事形式化验证的区块链安全公司，主打”安全+合规“全生态业务，在全球10多个国家和地区设立了分部，业务涵盖项目上线前的代码安全审计、项目运行时的安全风险监控与阻断、被盗追回、虚拟资产反洗钱（AML）以及符合各地监管要求的合规评估等“一站式”区块链合规产品+安全服务。欢迎点击公众号留言框，与我们联系。