Solana联创：目前所有L2都依赖「可升级多签」机制，使得安全性保证形同虚设

Solana联合创始人Toly的观点触及了当前Layer2和跨链桥安全模型的核心矛盾。他认为，几乎所有主流L2都依赖“可升级多签”机制来控制核心合约，这实质上引入了一个中心化的信任点，与区块链去信任化的初衷背道而驰。这个多签团体理论上拥有最高权限，可以单方面升级合约逻辑，甚至转移用户资产，这使得L2所宣称的“继承主网安全性”在很大程度上被削弱了。

他特别指出了跨链桥与L2在风险上的同构性。无论是Wormhole这样的跨链桥，还是Arbitrum、Optimism等L2，其资金池的安全最终都系于一个多签密钥组。一旦这个密钥组被攻破或作恶，所有锁定的资产都将面临风险。这与Sui等Layer1的设计形成了鲜明对比。在Sui这样的网络中，即使验证者合谋推送恶意状态，像交易所、稳定币发行商等大型基础设施节点也会通过拒绝该状态来保护网络，导致链停止而非资产被盗。这是一种通过社会共识和经济博弈来实现的安全保障，而L2和跨链桥目前缺乏这种制衡机制。

他观点的深层逻辑在于，安全不是一个可以简单外包的模块。L2的复杂性确实极高，试图在追求高性能和功能完备的同时实现绝对无漏洞，几乎是一个不可能三角。因此，项目方选择了可升级合约这条“捷径”来保持灵活性，但这无疑是以牺牲部分安全保证为代价的。用户在使用跨链桥将资产从主网转移到L2时，实际上是从一个高安全环境进入了一个依赖额外信任假设的低安全环境，承担了额外的智能合约风险和治理风险。

这份批评是尖锐且切中要害的，但它也反映了L2发展早期在安全与效率之间所做的现实权衡。未来的解决方案可能会朝着更去信任化的方向演进，例如通过无状态客户端、ZK-proofs验证的跨链通信，或是将升级权逐步交给更广泛的代币持有者社区，以减少对中心化多签的依赖。然而，在现阶段，用户必须清醒地认识到，使用L2和跨链桥确实意味着接受了不同于主网的安全模型和风险敞口。