跨独立链的结算协调安全
关于以太坊扩展的讨论大多集中在吞吐量、区块时间或数据可用性上。然而,随着区块链生态系统从单一主链扩展到执行层网络和特定于应用的汇总,另一个问题变得更加重要:如何在执行分散时保持共享安全。Polygon的AgLayer旨在解决这一挑战。它的角色不是取代汇总,或强制执行单一结算环境,而是协调在独立运行、独立优化和独立治理的链之间的安全规则,同时仍然共享可验证结算的基础。
AgLayer 设计的基本假设是执行多样性是不可避免的。随着新的链的出现——无论是针对游戏工作负载、微支付、稳定币结算还是复杂的 DeFi 逻辑进行优化——每条链将实施在性能目标和内部权衡方面彼此不同的执行模型。这种多样性是有益的。它允许开发者根据其应用程序的要求进行构建,而不是强迫每个工作负载都符合相同的共识环境。但这种相同的多样性带来了安全协调问题:如果链对完整性没有共享假设,它们如何在不引入对手方风险的情况下进行互操作?
AgLayer 通过明确区分执行和结算来解决这个问题。执行层可以自由创新、实验和优化。然而,结算必须保持可预测、可验证并抵御操控。AgLayer 的角色是锚定执行结果,而不是控制执行的方式。设计假设大多数故障发生在执行层:排序器故障、验证者配置错误、流动性孤立或状态不匹配。通过将结算视为具有自身完整性保证的独立层,系统将执行故障隔离在本地环境中,而不是允许这些故障传播到网络的其他部分。
使这一切成为可能的核心机制是状态承诺验证。在 AgLayer 下运行的执行链定期生成状态承诺——链状态的加密摘要——并提交到结算层。这些承诺不会被盲目接受。它们受到挑战窗口、欺诈证明和与先前验证状态的一致性检查的约束。该过程是故意保守的。目标不是加速结算超出必要,而是确保没有无效状态可以在链之间最终确定,除非它能够经受住对抗性审查。
这里是欺诈减轻约束变得结构性重要的地方。欺诈减轻不是作为“后备场景”处理的,而是作为一项首要设计原则。AgLayer 假设,由执行环境提交的状态必须可在挑战下验证,而不是假设诚实执行并将欺诈证明视为紧急例外。这改变了信任模型:系统不再隐性信任排序者或验证者,而是信任无效状态在有足够动机的验证者挑战的情况下无法通过最终性。
挑战机制的结构旨在最小化攻击动机,而不是最大化安全成本。在许多系统中,防止欺诈依赖于高额的担保要求:参与者锁定资本,如果出现不当行为则会被削减。AgLayer 使用分层担保机制。排序者按其运营链的安全敏感性抵押担保。然而,这些担保不需要过于庞大。相反,经济模型的设计使得歪曲状态的动机被第三方证明欺诈的动机所压倒。如果证明欺诈是有利可图的,系统自然会自我修正,因为作弊的预期成本始终高于预期收益。
这种方法引入了一个重要的对齐:验证者因警觉而获得奖励。识别欺诈状态转换并生成欺诈证明的验证者获得从削减的排序者抵押中资助的奖励。这确保了捍卫系统完整性的行为不是自愿的公共利益,而是理性的经济行为。欺诈预防变得可持续,不是因为系统要求无私,而是因为它根据对网络的价值奖励参与安全执行。
然而,如果不保持共识对齐,单靠欺诈证明是不够的。AgLayer 必须确保执行链按正确顺序提交承诺,与共享的基于时间和最终性的边界一致。为了支持这一点,结算层在同步时代上运行。执行链可以根据自己的选择定义内部区块节奏,但结算承诺必须与共享的时代边界对齐。这种对齐使 AgLayer 能够比较和验证跨链的状态转换,确保状态转换在共享资源、流动性或跨链应用的层面上没有冲突。
这种对齐的重要性在涉及跨链资产移动的场景中最为明显。当资产在执行链之间移动时,结算层充当所有权的最终仲裁者,跟踪资产状态的规范表示。例如,如果稳定币从链 A 移动到链 B,这一移动在结算层被记录,而不是从执行逻辑推断出来。即使链 A 经历了暂时的重组或排序器故障,资产状态的规范记录仍然保持完整。这防止了流动性在链之间“复制”或“不同步”——这些问题历史上一直困扰着桥接系统。
因此,AgLayer 的角色不仅仅是确保执行输出的安全。它是防止虚假状态跨越边界泄漏。链可能在孤立中失败。它们可能会重组、停止或经历暂时的不一致性。但这些失败不会传播到共享的结算环境中。局部故障产生局部效应。架构限制了爆炸半径。
当考虑多链环境的扩展轨迹时,这种关注的分离变得更加重要。随着活跃执行链数量的增加,某个链在任何给定时间遇到故障的概率也会增加。如果这些链通过共享共识或共享状态紧密耦合,那么一个链中的故障可能会级联到其他链。AgLayer 通过允许链在执行上独立但在结算上协调来防止这种级联。协调是防止碎片化转变为系统性风险的约束。
在这种结构中,共识对齐是基础。没有一致的结算锚定,执行独立性会导致碎片化。有了结算锚定,独立性在共享安全环境中成为一种表达的多样性。
这就是为什么 AgLayer 关注验证逻辑而不是执行性能的原因。执行链之间的性能差异是可以接受的;完整性差异则不可接受。执行链可以优化证明系统、区块时间、燃气市场或 EVM 扩展。但当它们最终确定状态时,它们通过一个共同的结算接口最终确定,该接口实施相同的验证保证。
结果是一个模型,其中:
• 执行是模块化的
• 结算是共享的
• 安全是协调的
• 欺诈减轻是由激励驱动的
• 共识对齐是基于时代的且可验证的
这种结构支持通过可预测的约束而非统一性来实现增长。
当我们观察流动性在链之间的行为时,这一模型的耐久性变得更加明显。流动性不仅仅是移动;它反映了信心。如果一个资产存在于多个执行层上,但结算无法保证规范所有权记录,用户会对哪个版本代表“真实”资产感到不确定。这种不确定性是跨链设计中大多数系统性失败的基础。AgLayer通过结算定义的资产身份避免了这种不确定性。每个资产都有一个规范的真相来源,维护在结算层,即使其表示在执行环境中流通。
这使流动性能够水平扩展而不失去基础。链可以为内部使用快速铸造资产的表示,但赎回这些资产或提取最终结算的权利始终通过规范记录进行。如果一个执行环境失败,那里的流动性可以干净地撤回,因为其与规范状态的映射没有被无效化。通过欺诈证明恢复状态转换的能力确保无效的铸造或转移事件不能进入规范历史。因此,失败在结算边界保持可控制和可逆。
支撑这种协调的激励结构由验证者和排序机构的奖励方式锚定。参与结算层的验证者获得的补偿反映了提交的执行承诺的数量以及他们在确保正确性方面提供的审查水平。这确保了结算层不是一个被动的注册表,而是一个积极的验证环境。设计防止了结算相对执行变得激励不足,否则将导致安全失衡。
与此同时,执行层的排序者可以自由地优化用户体验。根据工作负载,它们可以采用更快的区块时间、不同的本地费用市场或替代的批处理模式。结算层不强加执行规则;它只强制执行状态正确性。这种分离允许执行环境根据自身的扩展压力演变,而不需要在整个网络中进行协调升级。重要的约束不是执行的一致性,而是结算验证逻辑的一致性。
这种分离在生态系统超越少数链,发展成为拥有数十或数百个专业执行环境的网络时变得更加重要。在这种情况下,关键挑战不是原始性能,而是相互依赖的稳定性。如果链通过没有规范结算锚定的桥梁松散连接,流动性就会变得碎片化,风险会不可预测地传播。如果链共享执行层,它们则牺牲了灵活性和扩展自主性。AgLayer 的结构允许协调而不强迫同质化。执行环境可以保持独特,但它们的交互仍然受到共享验证规则的管理。
真正的困难在于结算的时间维度。执行链持续运行,但结算的最终性发生在离散的时间间隔内。在这些时间间隔内,执行结果保持在待处理状态。如果出现挑战,状态可能需要回滚。这引入了延迟考虑。然而,这种延迟不是缺陷,而是确保安全的必要部分。承诺瞬时跨链最终性而不进行结算验证的系统则放弃了对欺诈的保护。AgLayer 避免了这个错误,接受瞬时全球最终性无法在没有信任的情况下实现。相反,它在执行层提供即时的软最终性,在协调层提供延迟的结算最终性,确保欺诈预防保持完整。
开发者可以通过确定哪些操作需要结算级别验证,哪些操作可以保持本地来围绕这一结构进行设计。例如,应用内的大多数交互、内部交易、游戏逻辑、微交易可以在执行层以最小延迟完成。然而,跨链资产转移仅在承诺窗口通过后结算。这种设计反映了金融系统如何区分内部账本操作和外部结算。日常交易在银行内即时发生;只有净结算在机构之间进行。AgLayer 本质上将这一模型应用于多链环境,允许链在内部快速运作,同时保持共享的全球一致性。
这也提供了一个自然的无权限链扩展框架。新的执行环境只需采用结算验证接口即可加入网络。它们不需要协商共享排序器治理或采用相同的执行逻辑。它们唯一的要求是必须生成可以被挑战和验证的状态承诺。低入门摩擦鼓励生态系统增长,而不引入碎片化。加入网络的链可以获得共享流动性和安全保证。不加入的链则因设计原因而保持孤立,而不会对协调环境造成风险。
这种设计的可靠性在于状态承诺的透明度。如果承诺是不透明的或源于不可验证的计算,验证者无法有效挑战它们。因此,AgLayer 以一种使状态转换可重复的方式构建承诺。这在将基于 EVM 的链与扩展或修改执行环境的系统结合时尤为重要。承诺格式建立了一个验证的共同语言,即使在基础执行语义不同的情况下。执行链的实现可能各异,但它们的承诺必须保持结构上可解释。
当我们考虑递归状态转换时,验证问题变得更加复杂,其中一个执行环境依赖于另一个的输出。例如,跨链借贷协议可能依赖于分布在多个链上的流动性池。如果一个链的状态改变,另一个链上的借贷协议状态必须反映更新。AgLayer 通过在结算时代中的共识对齐来协调这一点。跨链状态转换在两个链的承诺可验证之前不会最终确定。这防止了一致的系统状态在链之间泄漏,即使在高吞吐量环境中。
我们可以通过检查故障场景观察到这种设计如何支持更广泛的系统行为。如果执行链上的排序器提交了无效的状态转换,验证者会提交欺诈证明。结算层回滚受影响的状态,削减排序器,并宣布更正的状态根。即使执行链上的用户看到了暂时的虚假余额或交易,结算层确保规范账本不保留这些错误。具有结算意识的应用程序可以参考规范状态进行高价值操作,并参考执行状态进行低价值交互。这种多层信任模型允许系统在正常条件下平稳运行,同时在压力下保持安全。
这里的统一概念是安全不是一种自发的属性。它必须被协调。执行性能是工程问题;安全是架构问题。AgLayer 的架构定义了边界、验证逻辑和争议机制,将跨链协调视为一致状态解释的问题,而不仅仅是消息传递。结算是期望匹配汇聚的层面。没有这样的层,多链系统在负载下或在不可预测的市场冲击下无法保持一致性。
这种框架阐明了为什么 AgLayer 不是传统的扩展机制。扩展假设主要问题是吞吐量。结算协调假设主要问题是在碎片化条件下的完整性。吞吐量的提升始终可以通过更好的执行环境、并行化策略或 ZK 证明器优化来实现。但完整性必须被设计。如果完整性失败,扩展变得无关紧要,因为系统不再可信。
在一个多链世界中,执行可能会变得更加多样化而不是更加统一,AgLayer 的角色变得至关重要。结算层确保:
• 失败保持孤立
• 跨链状态保持一致
• 资产保留规范身份
• 欺诈在经济上不盈利
• 验证仍然向独立参与者开放
这是一个生态系统所需的基础,该生态系统不是通过集中化增长,而是通过协调去中心化增长。
这样系统的价值不是通过其峰值性能来衡量,而是通过它在压力、分歧和对抗条件下表现得多么可预测。AgLayer 是为这些条件而设计的,而不是为简单条件而设计。它的目的不是加速执行,而是确保执行保持可信。
这就是使其成为安全基础设施而不是扩展机制的原因。它是网络的一部分,定义了状态正确的含义。其上方的一切可能会演变、创新或专业化,但正是这一层确保了真相在其他一切分化时仍然保持共享。
