# 跨链协议

### 跨链兑换中的角色

* 发送者（Sender）：与核心跨链系统交互，可以发起跨链兑换的用户；
* 验证者（Verifier）：采用公证人模式，利用MPC多方签名方式，验证用户的存币交易；
* 中继器（Repeater）：根据验证者的成功结果，提交到跨链系统，完成用户兑换；
* 结算者（Settlement）：目标链上的交易执行者；

<figure><img src="https://3392740180-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LSTh_zo_IUKEGh-Qy-n-3765750170%2Fuploads%2FtTozeIUJQCK4DhquqNnk%2FBridge%20Protocol.png?alt=media&#x26;token=bbc3e2e4-f94d-4e12-82bb-d56bb3c4a451" alt=""><figcaption></figcaption></figure>

### 工作流程

1. OmniBridge是一个无需许可的跨链桥，基于公证人模式+MPC多方签名构建，由Omni团队开发，旨在实现跨链一键兑换；
2. 在源网络上，Sender可以使用我们的前端系统或者使用植入过我们api的去中心化钱包发起跨链交易，然后Verifier将采用公证人模式，验证用户源链的存币交易，使用3/5阈值门限，一旦验证不通过，订单将不会继续执行。但这个情况同时发生概率非常低。我们目前配置了5个节点，分布在web3行业社区，需要3个节点验证通过即可。如果有节点作恶或出故障，也至少需要3个节点同时发生。
3. 源网络的交易验证通过后，Repeater将会收集节点的验证通过信息，提交到我们的核心跨链系统进行兑换，兑换过程非常快速，兑换完成后，将会来到了我们的最后一步验证过程，在目标链上发送代币给用户。
4. 在目标链上，Settlement同样采用多节点验证，对用户的存款和兑换过程进行验证，通过后Sender将在目标链上收到想要换的代币；

### 节点

我们目前使用5台web3社区节点，共同参与验证兑换流程。分别是OmniBridge、Bridgers、MetaPath、MpcWallet、ETHF等社区，目前他们都良好运行。节点运行需要在各个社区部署，并且成为我们的白名单成员才可以参与验证。

* 奖励

成为我们的验证节点，将会定期收到奖励报酬，共同参与交易验证。

* 罚没

当节点恶意验证或者不参与验证，将会触发罚没政策，根据失败验证的数量/成功验证的数量的占比，来对节点进行处罚；触发此行为的节点将会被剔除并罚没。

### 如何保证安全

* 签名分类

单签名公证人‌：中心化节点独立验证（效率高，但风险集中），常见于交易所跨链兑换‌；
\
多签名公证人‌：多个公证人组成联盟，需多数签名达成共识，降低单点故障风险‌；
\
分布式MPC签名‌：密钥分片存储，通过多方计算（MPC）合并签名，兼顾安全性与去中心化；

* 公证人模式 + MPC多方签名

通过第三方‌公证人‌作为中介，验证跨链交易的真实性并传递交易信息。公证人承担数据收集、验证和交易确认的任务，使两条无法直接互信的链实现间接信任‌；

### 为什么公证人模式 + MPC多方签名是安全的

* 密钥管理：消除单点风险
  * 私钥分布式存储\
    MPC通过秘密共享（如Shamir协议）将完整私钥拆分为多个分片，由不同公证人节点独立保管。任何单节点仅持有无效碎片，无法独自重构私钥或签署交易，彻底消除单点泄露风险。‌
  * 动态签名过程\
    交易签名时，公证人节点通过MPC协议协同计算生成有效签名，全程私钥分片无需拼接为完整密钥，避免传统多签中私钥临时暴露的隐患。‌
* #### 交易验证：双重共识机制
  * ‌公证人集群的链下共识‌\
    公证人节点通过拜占庭容错（BFT）等算法对跨链交易合法性达成共识，确保交易真实性。例如，分布式签名公证人机制要求多数节点验证通过。‌
  * ‌MPC门限签名约束‌\
    设定签名阈值（如3/5规则），仅当足够数量的公证人分片参与计算时才能生成有效签名。攻击者需同时控制超阈值节点才可能作恶，大幅提高攻击成本。‌
* #### 抗攻击与容错能力
  * ‌防御内部串谋‌\
    MPC的密码学设计确保单个公证人无法获知其他节点的私钥分片，即使部分节点勾结，若未达签名阈值仍无法伪造交易。‌
  * ‌节点失效容错‌\
    若部分公证人节点离线或被攻击，剩余活跃节点仍可完成签名（如5节点中2个失效时，3个节点可继续协作）。MPC的容错性保障系统持续运行。‌
* #### **技术互补性增强安全性**

| ‌风险类型‌ | ‌公证人模式应对‌  | ‌MPC多签增强‌                |
| ------ | ---------- | ------------------------ |
| ‌单点故障  | 多节点分散责任    | 私钥分片无完整形态                |
| 协议兼容性‌ | 适配不同链的验证规则 | MPC基于标准加密算法（如ECDSA），跨链通用 |
| 透明度与审计 | 链上交易记录可查   | 签名过程可审计日志，防篡改            |

* 技术互补性增强安全性
  * ‌公证人节点筛选‌\
    采用声誉机制（如知名机构担任节点）或质押经济模型，提高作恶成本。随机轮换节点进一步降低长期串谋可能。‌
  * ‌MPC实现安全性‌\
    依赖经学术验证的密码学方案（如ECDSA）及第三方审计（如NCC Group渗透测试），避免算法实现漏洞。‌
* #### 结论：安全本质源于分层防御

  * 物理层‌：私钥分布式存储，无完整形态；
  * 共识层‌：公证人节点多重验证+MPC门限签名；
  * 算法层‌：密码学协议保障分片隐私与计算合法性。

  该组合兼顾链下效率与链上可信性，尤其适用于高价值跨链资产托管及DAO多签金库等场景。‌