觀點：L2 由以太坊提供安全保障，已經名不副實

作者：Ishita

編譯：深潮TechFLOW

本文將剖析口號與現實之間的差距，從橋接（用戶資金所在之處）開始，到排序器（負責交易排序的角色），再到治理（規則制定者），逐一展開討論。

Rollup Bridge 的現實

要使用 Rollup，無論是用於 DeFi、支付還是應用程序，首先需要將資產轉移到 Rollup 上。 然而，以太坊並沒有內置直接轉入或轉出的功能——你無法簡單地“傳送” ETH 到 Rollup。 這就需要橋接（Bridge）。 橋接是以太坊和 Rollup 之間的入口和出口，它決定了用戶實際體驗到的安全性。

當你將 ETH 存入 rollup 時，你實際上是將它發送到以太坊上的橋接合約（Bridge Contract）。 該合約會鎖定你的 ETH，並指示 rollup 在你的 L2 錢包中創建相同數量的 ETH。 例如，如果你存入 1 ETH，橋接合約會將這 1 ETH 安全地保存在以太坊上，而你的 rollup 賬戶中也會顯示 1 ETH。 由於 ETH 被鎖定在以太坊上，因此這筆存款實現了信任最小化。

提現則復雜得多。 退出的過程與存款相反：

• 欺詐證明（Fraud Proofs，樂觀方案）：默認假設交易合法，除非在爭議窗口內被挑戰。

• 有效性證明（Validity Proofs，零知識方案）：通過加密證明提前展示所有交易遵循規則，以太坊可以立即信任結果。

• 多籤或委員會（Multisigs or Committees）：依賴可信方進行認證。

橋接是用戶訪問 Rollup 的關鍵。 可以把它比作進入房子的窗戶。 即使窗戶（Bridge）壞了，房子（Rollup）依然屹立不倒。 但如果窗戶碎了，你就無法再安全地進出。 同樣，橋接的故障會切斷用戶的訪問，即使 Rollup 的核心機制仍在運行。

因此，橋接層才是 Rollup 安全性的真正視角。 資產是否真正“由以太坊提供安全保障”，取決於你使用的橋接以及其信任模型，而非 Rollup 本身。

橋接模型及其假設

• 外部橋接（External Bridges）如 Wormhole、LayerZero 和 Axelar 等外部橋接，通過快速的鏈對鏈轉移優化用戶體驗，但依賴於自己的驗證者委員會或多簽機制。 這些橋接並不受以太坊共識的強制執行。 如果這些鏈下運營者被黑客攻擊或串通作惡，即使以太坊本身運行良好，用戶仍可能損失資金。

• 原生髮行（Native Issuance）指直接在 Rollup 上鑄造的代幣，例如 Base 上的 USDC 或 Optimism 上的 OP。 這些資產從未通過官方橋接，並且無法在 Layer 1 上贖回。 它們的安全性來自 Rollup 的治理和基礎設施，而非以太坊。

• 官方橋接：148.1 億美元（34%）——以太坊保障的資產

• 原生髮行：122.0 億美元（27%）——Rollup 原生資產

歷史趨勢分析

回顧 2019-2022 年，官方橋接是 Rollup 採用的主要驅動力。 幾乎所有早期增長都通過官方橋接實現，保持以太坊作為核心。

然而，從 2023 年底開始，情況開始發生變化：

• 官方橋接繼續增長，但市場份額開始減少，2024 年達到峰值。

• 原生髮行逐步擴展，尤其是在 2024–2025 年間。

• 外部橋接從 2023 年後期開始急劇增長，到 2025 年初超越官方橋接，標誌著以太坊失去 Rollup 資產的多數份額。

• 如今，Rollup 的三分之二資產（外部+原生）已脫離以太坊的直接安全保障。

市場集中度極高：前六大 Rollup 佔總鎖倉量（TVL）的 93.3%。 各生態系統的資產分佈如下：

• 官方橋接：32.0%

• 原生髮行：28.8%

• 外部橋接占主導：如 Arbitrum 和 Unichain，用戶追求快速退出與流動性，偏好第三方橋接。

• 官方橋接占主導：如 Linea（以及次優的 OP Mainnet），更多 L1 來源的抵押物通過官方橋接。

• 原生髮行占主導：如 zkSync Era 和 Base，直接在 L2 上鑄造資產（如 Base 上的原生 USDC）並通過直接入口流入。

大型 Rollup 的大部分資產已超出以太坊的直接安全保障範圍。 用戶實際獲得的安全性取決於每種橋接模型背後的信任機制，而非 Rollup 本身。

橋接之外：還存在哪些風險？

橋接模型決定了資產的歸屬，但即便所有資產都通過官方橋接，用戶仍然面臨其他信任與安全漏洞。 以下三個領域尤為重要：交易排序機制、治理結構，以及可組合性對用戶體驗的影響。

1. 排序器：中心化的控制點

• 交易審查：排序器可以拒絕包含某些交易，從而實現審查。

• 阻止提現：排序器決定何時將退出交易批量發送到以太坊，因此可以無限期阻止提現。

• 完全離線：排序器宕機會導致 Rollup 活動暫停，直到它重新上線。 （例如，Arbitrum曾出現過78分鐘的停機時間）

• 假設你嘗試從 L2 上的 Aave提現資金。

• 並通過以太坊提交了強制包含的提現請求，這意味著排序器無法忽視你的交易。

• 然而，排序器可以在你的交易之前插入自己的交易——例如，從同一資金池借出更多資金。

• 等到你的提現交易執行時，資金池已無足夠流動性，導致提現失敗。

• 雖然你的交易被“包含”了，但結果卻遭到破壞。

此外，強制包含還存在實際問題：等待時間可能長達數小時（有時超過12小時），吞吐量有限，即便提交後仍可能被重新排序。 因此，此機制更像是一個緩慢的安全閥，而非公平執行的保障。

其中一個核心理念是“預確認”（Pre-Confirmations）：排序器或共享網絡可提前承諾交易將被包含，即使尚未在以太坊上最終確認。 這能減少去中心化帶來的延遲問題，為用戶提供更快的保障，同時保持中立性。

儘管如此，中心化排序器仍占主導地位，因為它們簡單、盈利且對機構更具吸引力——至少在競爭或用戶需求迫使其改變之前。

2. 治理與激勵風險：企業化的L2

Rollup 的運營方是誰至關重要。 許多領先的 Rollup 由公司或風投支持的團隊運營，例如 Coinbase 的 Base、Offchain Labs 的 Arbitrum、OP Labs 的 Optimism。

• 鎖定效應 → 槓桿化：隨著數十億美元的鎖倉量和用戶積累，退出成本變高，運營方可以在有限的遷移風險下改變經濟或政策。

• 文化錯位：以太坊依賴公開開發會議、多客戶端多樣性和開放治理（如 EIPs）。 而企業化的 Rollup 更傾向於自上而下的管理，通常擁有管理員密鑰或多簽權限，可以暫停、升級或凍結系統——優先考慮合規性或盈利性，而非中立性。 隨著時間推移，這些 Rollup 可能更像“圍牆花園”，而非以太坊的開放生態。

其結果是，以太坊的開放精神與塑造企業 Rollup 的激勵機制之間的差距越來越大。 這種差距不僅影響治理，還蔓延到應用程序的交互方式以及用戶的系統體驗。

3. 可組合性與用戶體驗

• 異步性：跨 Rollup 消息存在延遲，官方提現可能需要數天，第三方橋接增加了信任假設。

• 孤島化：流動性和狀態在不同 L2 中分散，削弱了以太坊無縫的 DeFi 用戶體驗。

以太坊原生的 rollup（按照 LAYER-1 標准設計和治理）可以實現 L2→L1 的同步讀取、L1→L2 的同步寫入，以及原子性的跨 rollup 寫入，從而在擴展區塊空間的同時，恢復 Layer-1 的大部分可組合性。 如果沒有這些功能，用戶體驗 (UX) 將會不斷向非以太坊安全的便利層靠攏。

如果“以太坊安全保障”要超越一句口號，其核心的安全性必須依托 Layer 1，而非依賴鏈下委員會或單一公司的排序器。 以下三種設計理念展示了這一趨勢的可能性：

• 實際上，這使得提現和狀態正確性成為 Layer 1 的權利，而非承諾：如果 Rollup 聲稱你的餘額是 X，以太坊可以直接驗證這一聲明。

• 這種設計縮小了橋接的攻擊面，減少了對暫停密鑰的需求，並使 Rollup 與以太坊未來的升級保持一致。

• 這種設計的權衡是 Layer 1 上更高的成本，但回報很簡單：當發生爭議時，由 Layer 1 決定。

• 目前尚無原生 Rollup 上線。

• 如今，單一排序器可以重新排序或延遲交易，這足以在實踐中破壞“強制包含”（force inclusion）機制。

• 通過基於排序的設計，交易的規範順序由 Layer 1 共識決定，從而使審查和最後時刻的重新排序變得更加困難。

• 這種設計需要犧牲部分 Layer 2 的收入和靈活性，但消除了當前架構中最大的單點控制問題。

• 用戶可以在一個地方旋轉或恢復密鑰，變更會傳播到所有 Layer 2。 運營方需要更少的緊急密鑰，管理員需要更少的“超級權限”（god-mode）開關。

• 最終結果是更少的被攻破錢包、更少的事故後緊急升級，以及賬戶安全與應用邏輯之間更清晰的分離。

• 密鑰存儲 Rollup 的設計目前僅停留在理論階段，尚未上線。

總之，這些設計理念共同解決了用戶實際面臨的問題：依賴信任的提現機制、由單一公司控制的交易排序以及脆弱的密鑰與升級路徑。

將驗證、排序和賬戶安全納入以太坊的體系內，是 Rollup 實現“由以太坊提供安全保障”的方式，而不僅僅是宣傳口號。