从 unibtc 资产冻结事件探讨免信任托管的必要性：技术缺陷与解决方案

作者：DeepSafe Research

2025 年 4 月 23 日，一位名叫 Brain 的网友通过朋友在推特上求助，称自己在某比特币 Layer2 链上进行套利操作时，价值超 10 万美元的 unibtc 资产被 Bedrock 官方困住且无法退出。

根据当事人 W 的披露，4 月 17 日，他发现由 Bedrock 发行的 unibtc 在某比特币 L2 链上出现价格异常并与 BTC 脱钩。W 认为脱钩是暂时的，不久后会回锚，因此认为这是一个良好的套利机会。他将部分 BTC 跨入该链，兑换为 unibtc，并计划在回锚后卖出。

然而，在 unibtc 回锚后的 24 小时内，W 尝试将其卖出时，却发现该链上的 unibtc-BTC 流动性池已被 Bedrock 官方撤掉，这是该链上唯一的 unibtc 二级市场退出通道。W 无法卖掉手中的 unibtc，便尝试将其跨到其他链上。

当他找到该链上唯一支持 unibtc 的跨链桥（名为 Free）时，却收到提示：“交易需要项目方签名授权。”Free 跨链桥客服解释称：“unibtc 跨链的多签密钥由 Bedrock 托管，未经他们许可，用户无法把 unibtc 提到其他链上。”

无奈之下，W 只能联系 Bedrock 相关人员询问此事，对方初步回复称：“我们可以允许您提走本金，但您套利产生的利润能否提走，需暂留审核。”

至此，W 意识到这条链上 unibtc 的退出路径被彻底切断，自己手中约 20 万 U 的 unibtc 被“暂时冻结”——既无法在该链上出售，也不能跨到其他链上。此时，他的心情十分无助，只希望能顺利撤回本金。

然而，BedRock 相关人员的态度变得暧昧不清——既不明确说明 W 何时可以撤回本金，也不提供任何书面承诺，仅以“风险审查”“技术排查”等理由拖延时间。

拖延一段时间后，BedRock 声称，unibtc 脱钩源于 LayerBank 平台上有人大规模借走 unibtc 资产并进行砸盘。BedRock 的人建议 W“向 LayerBank 追责”。然而，W 找到 LayerBank 后长时间未得到回应。

最终，经过超两周的周旋，W 在推特上通过朋友求助，终于得到了 LayerBank 和 BedRock 官方的积极响应，并成功追回资产。

W 的遭遇并非个例。根据其他当事者的反馈，去年 BedRock 曾用类似手段切断用户的 unibtc 退出路径，导致这些 unibtc 被“实质性冻结”。本文并不打算对上述事件背后的原因加以揣测，而是从技术层面为大家阐述类似的中心化作恶行为该如何避免与杜绝。

首先复盘前述事件，我们可以看到，BedRock 作为 unibtc 发行方以及二级市场流动性池的初始 LP，天然拥有 unibtc 二级市场退出通道的权限。如果要对其权力加以限制，更多需要依赖治理而非技术手段。

然而，Free 跨链桥与 BedRock 合谋拒绝用户请求一事，暴露出 unibtc 在“发行—单链流通—多链流通”环节中存在明显的技术缺陷：身为 BedRock 合作方的 Free 跨链桥显然是高度中心化的。

真正 Trustless 的桥应该保证让桥官方无法阻拦用户退出，而在 unibtc 冻结案中，无论是 BedRock 还是 Free 跨链桥，都掌握着强有力的中心化权限，没有提供抗审查的退出通道。

事实上，类似 unibtc 的案例并不少见。切断用户退出路径的行为在各大交易所和跨链桥中屡见不鲜。例如，2022 年 6 月，Harmony Horizon Bridge 因遭黑客攻击而暂停了 57 种资产的提款通道；2021 年的 StableMagnet 事件中，项目方通过预留漏洞监守自盗 2400 万美元，最终依靠大量警力才追回 91% 的赃款。种种案例充分说明，资产托管平台若不能提供免信任的服务，最终必然酿成恶果。

CRVA：加密随机验证网络

目前市面上应用最广泛的资管方案大多采用多签或 MPC/TSS 的方式判定资产转移请求是否有效。这种方案的优势在于落地简单、成本低、消息验证速度快，但其弊端也很明显——不够安全，往往趋于中心化。2023 年 Multichain 一案中，21 个参与 MPC 计算的节点均由一人控制，成为典型的女巫攻击案例。这足以证明，单纯表面上的几十个节点并不能提供较高的去中心化保障。

针对传统 MPC/TSS 资管方案的不足，DeepSafe 推出了 CRVA 方案并作出大量改进：

1. CRVA 网络节点采用资产质押的准入形式，达到约 500 个节点后才会正式启动主网。据估算，这些节点质押的资产将长期维持在几千万美元或更高。

2. 为了提高 MPC/TSS 计算效率，CRVA 会通过抽签算法随机抽选节点。例如每隔半小时抽取 10 个节点，由它们作为验证人，验证用户请求是否应通过，并生成对应的门限签名予以放行。

3. 为了防止内部串谋或外部黑客攻击，CRVA 的抽签算法采用原创的环状 VRF，结合 ZK 来隐藏被抽中者的身份，使外界无法直接观测被抽选者。

当然，仅做到这种程度还不够。虽然外界不知道谁被选中，但被抽中者本人知道，因此仍可能存在串谋路径。为此，CRVA 的所有节点都将核心代码运行在 TEE 硬件环境内，相当于将核心工作放在黑箱中进行。这样一来，任何人都无法得知自己是否被抽中，除非能够破解 TEE 可信硬件，而这在当前技术条件下极难实现。

在实际的工作流程中，CRVA 网络内的节点间需要进行大量的广播通信与信息交换，具体流程如下：

1. 所有节点在进入 CRVA 网络前，需先在链上质押资产，并留下一个公钥作为注册信息（称为“永久公钥”）。

2. 每隔 1 小时，CRVA 网络会随机挑选几个节点。在此之前，所有候选人都要在本地生成一次性的“临时公钥”，同时生成 ZKP，证明“临时公钥”与链上记录的“永久公钥”有关联，但不透露自己是谁。

3. 临时公钥的作用在于隐私保护。如果直接从“永久公钥”集合中抽签，公布结果时大家会直接知道哪些人当选。但如果只暴露一次性的“临时公钥”，再从中选出几个人，你最多知道自己中签，但不知道其他中签者是谁。

4. 为了进一步防止身份泄露，CRVA 让每个节点自己都不知道自己的“临时公钥”是什么。临时公钥的生成过程在节点的 TEE 环境内完成，运行 TEE 的节点无法看到里面发生了什么。

5. 然后在 TEE 内将临时公钥明文加密为“乱码”后再发给外界，只有特定的 Relayer 节点可以还原。还原流程也在 Relayer 节点的 TEE 环境里完成，Relayer 不知道这些临时公钥对应哪些候选人。

6. Relayer 还原出全部“临时公钥”后，将它们统一归集并提交给链上的 VRF 函数，从中抽选出中签者。这些人验证用户前端发来的交易请求，并根据验证结果生成门限签名，最后再提交至链上。（需要注意，这里的 Relayer 也是隐藏身份且定期抽选的）

DeepSafe 这套方案的核心在于，几乎所有重要活动都在 TEE 硬件内进行，从 TEE 外部无法观测到发生了什么。每个节点都不知道被选中的验证人是谁，从而防止了串通作恶，并大幅增加了外部攻击的成本。

结合 CRVA 的资产自托管方案实现

下面我们以名为 HelloBTU 的比特币算法稳定币为例，进一步理清 CRVA 在资产托管方案中的应用方式。

假设用户要将 10 枚 BTC 质押到 HelloBTU 平台，具体操作是先把 10 枚 BTC 转移到比特币链上的一个 Taproot 地址下，对应的解锁需要 2/2 多签，其中一道签名由用户生成，另一道签名由 CRVA 生成。

可能的情况包括：

1. 用户用这 10 枚 BTC 铸造了稳定币，现打算将 BTC 主动赎回。此时用户和 CRVA 各生成一个签名，将这 10 枚 BTC 解锁并转回用户地址即可。如果 CRVA 长期未配合用户，等时间锁窗口期到期后，用户可以单方面将这 10 枚 BTC 拿回，这个功能名为“用户自主赎回”。

2. 用户作为抵押物的 BTC 遭到了清算，此时他应该配合 CRVA 把这些 BTC 转移并交由 CRVA 单向通道控制。如果用户拒不配合，这些 BTC 会被暂时卡住；等时间锁窗口期一过，这些资金可以被 CRVA 划转至其控制的 Taproot 地址下。

总之，如果 unibtc 跨链桥采用 CRVA 的自托管方案，很难出现资产发行方单方面掌控全局的可能。通过去中心化与免信任的设计，CRVA 为资产托管领域提供了全新的解决方案。