比特幣Layer2鏈套利資產被困事件引發的反思

2025年4月，一位網友在社交媒體上求助，稱自己在某比特幣Layer2鏈上進行套利時，超10萬美元的unibtc資產被困住無法退出。

據當事人透露，4月17日他發現某比特幣L2鏈上的unibtc出現價格異常並與BTC脫鉤。認爲這是套利良機，他將部分BTC跨入該鏈並兌換爲unibtc，等待回錨後賣出。

24小時後unibtc已回錨，但當他嘗試賣出時卻發現鏈上唯一的unibtc-BTC流動性池被官方撤掉。他無法將unibtc出售，便嘗試跨鏈到其他鏈上。

然而當他使用該鏈唯一支持unibtc的跨鏈橋時，收到"交易需要項目方籤名授權"的提示。跨鏈橋客服解釋稱unibtc跨鏈的多籤密鑰由官方托管，未經許可用戶無法將其轉移到其他鏈。

當事人只能向官方詢問此事。對方初步回復可以允許提走本金，但套利產生的利潤需審核。至此他意識到unibtc的退出路徑被切斷，約20萬美元資產被"暫時凍結"。

官方態度後來變得模糊，以各種理由拖延。他們聲稱unibtc脫鉤源於某平台上有人大規模借走資產並砸盤，建議當事人"向該平台追責"。但當事人長時間未得到回應。

經過兩周周旋，在社交媒體求助後終於得到積極響應，成功追回資產。據悉這並非個例，去年也曾發生類似事件導致用戶資產被"實質性凍結"。

該事件暴露出unibtc在"發行-單鏈流通-多鏈流通"環節存在明顯技術缺陷。真正去信任的橋應保證官方無法阻攔用戶退出，而該案例中相關方都掌握着強大的中心化權限。

類似案例並不罕見。2022年6月，Harmony Horizon Bridge因黑客攻擊暫停多種資產提款通道。2021年StableMagnet事件中，項目方通過預留漏洞監守自盜2400萬美元。這些充分說明資產托管平台若不能提供免信任服務，終將釀成惡果。

然而實現真正的去信任並非易事。從支付通道、DLC到BitVM和ZK Rollup，各種方案都存在不可避免的瑕疵。如支付通道需監視對手方行爲，DLC依賴預言機，BitVM成本高昂且存在其他信任假設，ZK Rollup的逃生艙需經漫長窗口期。

目前尚未出現完美的資產托管與退出方案，市場仍需創新。一種結合TEE、ZK和MPC的免信任消息驗證方案在成本、安全、用戶體驗等方面做出了平衡，可爲各類資產托管場景提供可靠的底層服務。

該方案名爲CRVA(加密隨機驗證網路)，採用資產質押準入形式，通過隨機抽籤算法選擇驗證節點。爲防止串謀或攻擊，使用原創環狀VRF結合ZK隱藏被抽中者身分。核心代碼運行在TEE硬件環境，進一步杜絕串謀可能。

CRVA的工作流程包括節點註冊、臨時公鑰生成、加密廣播、VRF抽籤等步驟。幾乎所有重要活動都在TEE內進行，大幅提高了攻擊難度。

結合CRVA的資產自托管方案可應用於比特幣算法穩定幣等場景。以HelloBTU爲例，用戶將BTC存入指定地址後需要2/2多籤解鎖,一個籤名由用戶生成,另一個由CRVA生成。設置不同時間鎖窗口期保護各方權益,並引入DAO作爲最終仲裁機制。

這種方案可有效防止資產發行方單方面掌控全局,爲用戶提供可靠的資產退出保障。對於ERC-20資產,其原理與之類似。總的來說,去中心化的資產托管方案有助於避免類似unibtc凍結案的再次發生。