Trong các ứng dụng đa chuỗi, cầu nối chuỗi chéo thường dùng mô hình bảo mật cố định, khó thay đổi, khiến nhà phát triển khó áp dụng mức xác thực khác nhau cho thông điệp quản trị giá trị cao so với cập nhật dữ liệu giá trị thấp. Kiến trúc mô-đun của Hyperlane (HYPER) cho phép từng thông điệp chỉ định ISM riêng, và người triển khai Warp Route có thể cấu hình stack bảo mật riêng cho từng tuyến tài sản—điều chỉnh mô hình bảo mật phù hợp với kịch bản kinh doanh cụ thể. Luồng thông điệp chuỗi chéo của Hyperlane mô tả đường dẫn lặp từ gửi đến nhận, là điểm khởi đầu để hiểu khi nào ISM can thiệp trong quá trình xử lý.
Hyperlane vs. LayerZero vs. Wormhole phân biệt cách tiếp cận mô-đun của Hyperlane với LayerZero và Wormhole qua ba đường dẫn kiến trúc—Mailbox/ISM, Endpoint/DVN và Guardian/VAA. Điều này giúp làm rõ vị trí của xác thực ISM tùy chỉnh trong phổ giao thức tương tác.
Mô-đun Bảo mật Liên chuỗi (ISM) là một mô-đun hợp đồng thông minh triển khai trên chuỗi đích, có nhiệm vụ xác minh xem thông điệp chuỗi chéo có thực sự tồn tại trên chuỗi nguồn hay không. Trước khi Mailbox gọi hàm handle của hợp đồng nhận, nó chuyển thông điệp và siêu dữ liệu do relayer gửi đến hàm verify của ISM. Nếu xác thực thành công, thông điệp được gửi đi; nếu thất bại hoặc lệnh gọi bị hoàn nguyên, thông điệp không được xử lý.
Mối quan hệ giữa ISM, Mailbox và relayer có thể tóm tắt: Mailbox trên chuỗi nguồn ghi thông điệp qua dispatch và phát sự kiện. Relayer lắng nghe sự kiện đó, sau đó gọi hàm process của Mailbox trên chuỗi đích, gửi kèm thông điệp và siêu dữ liệu. Mailbox tiếp tục gọi ISM để hoàn tất xác thực. Nếu hợp đồng nhận triển khai giao diện ISpecifiesInterchainSecurityModule, nó có thể chỉ định ISM cấp ứng dụng; nếu không chỉ định hoặc địa chỉ bằng 0, Mailbox dùng ISM mặc định.
| Thành phần | Chuỗi | Chức năng chính | Trách nhiệm |
|---|---|---|---|
| Mailbox (Nguồn) | Chuỗi nguồn | dispatch |
Mã hóa thông điệp, ghi vào cây Merkle, kích hoạt hook |
| Relayer | Ngoài chuỗi | — | Lắng nghe sự kiện, gửi lệnh process trên chuỗi đích |
| ISM | Chuỗi đích | verify |
Xác minh nguồn và tính toàn vẹn của thông điệp |
| Mailbox (Đích) | Chuỗi đích | process |
Gọi ISM xác thực và kích hoạt recipient.handle |
| Hợp đồng nhận | Chuỗi đích | handle |
Thực thi logic kinh doanh chuỗi chéo |
Bảng trên cho thấy vị trí của ISM trong chuỗi gửi thông điệp: ISM nằm giữa Mailbox chuỗi đích và hợp đồng nhận, đóng vai trò là điểm kiểm soát bảo mật quyết định xem thông điệp có được thực thi hay không.
Hyperlane hỗ trợ ba chế độ sử dụng ISM: Cấu hình (dùng ISM có sẵn), Kết hợp (kết hợp nhiều ISM) và Tùy chỉnh (viết ISM mới). ISM mặc định là Multisig ISM được cấu hình sẵn trên hợp đồng Mailbox, cung cấp bảo mật kinh tế thông qua bộ xác thực của Hyperlane. Staking HYPER và stHYPER giải thích cơ chế staking và cắt giảm phía sau bộ xác thực. Nếu ứng dụng không chỉ định ISM tùy chỉnh, mô-đun mặc định này sẽ được dùng.
Các loại ISM dựng sẵn gồm Multisig ISM, Routing ISM, Aggregation ISM, Rate Limited ISM và Pausable ISM. Multisig ISM dùng mô hình chữ ký M-of-N và là lựa chọn mặc định cho hầu hết các triển khai. Routing ISM định tuyến thông điệp đến các ISM khác nhau dựa trên miền chuỗi nguồn, phù hợp cho kịch bản yêu cầu bảo mật khác nhau giữa các chuỗi nguồn. Aggregation ISM yêu cầu m trong số n ISM con phải vượt qua xác thực, cho phép xếp chồng nhiều điều kiện bảo mật.
Rate Limited ISM được thiết kế cho kịch bản Warp Route, giới hạn tổng token có thể chuyển vào chuỗi đích trong một khoảng thời gian đơn vị. Hợp đồng RateLimitedIsm nhận tham số như maxCapacity và kiểm tra, trong giai đoạn verify, xem tổng lượng đã chuyển có vượt quá giới hạn cửa sổ không. Nếu vượt quá, xác thực thất bại và thông điệp không được gửi. Cơ chế này có thể kết hợp với RateLimitedHook trên chuỗi nguồn để kiểm soát thông lượng hai chiều.
Pausable ISM cho phép chủ sở hữu tuyến tạm dừng xác thực khi phát hiện bất thường, ngừng hoàn toàn giao dịch chuỗi chéo. Aggregation ISM có thể lồng Rate Limited ISM với Pausable ISM: Rate Limited ISM giới hạn quy mô thua lỗ trong cửa sổ tấn công, còn Pausable ISM cho phép chủ sở hữu tắt hoàn toàn tuyến sau khi xác nhận sự kiện, tạo thành chiến lược phòng thủ nhiều lớp.
| Loại ISM | Logic xác thực | Kịch bản điển hình |
|---|---|---|
| Multisig ISM | Chữ ký M-of-N | Bảo mật mặc định, bộ xác thực cộng đồng |
| Routing ISM | Định tuyến đến ISM khác theo miền | Nhiều chuỗi nguồn, bảo mật phân hóa |
| Aggregation ISM | m trong số n ISM con phải đạt | Xếp chồng nhiều mô hình bảo mật |
| Rate Limited ISM | Giới hạn token đến trong cửa sổ | Kiểm soát thông lượng Warp Route |
| Pausable ISM | Chủ sở hữu tạm dừng xác thực | Ứng phó sự cố, tắt khẩn cấp |
Bảng trên so sánh logic xác thực và trường hợp sử dụng của năm loại ISM phổ biến. Aggregation ISM có thể kết hợp bất kỳ ISM nào thành stack bảo mật—ví dụ: yêu cầu cả Multisig ISM và Wormhole ISM phải vượt qua, hoặc xếp chồng Rate Limited ISM với Pausable ISM trên các thông điệp giá trị cao.
Hình 1. Các loại mô-đun bảo mật ISM của Hyperlane: mối quan hệ kết hợp giữa Default Multisig, Custom Multisig, Aggregation, Rate Limited và Pausable.
Hyperlane Warp Route (HWR) là tuyến tài sản chuỗi chéo mô-đun xây dựng trên Mailbox. Mỗi Warp Route triển khai hợp đồng vào/ra trên tất cả các chuỗi tham gia và phối hợp khóa, đúc, đốt, phát hành token thông qua thông điệp chuỗi chéo. Không giống cầu nối truyền thống với mô hình bảo mật cố định, người triển khai HWR có thể chỉ định ISM để xác thực thông điệp chuyển chuỗi chéo, cho phép cấu hình bảo mật từng tuyến độc lập.
Các loại HWR phổ biến: Native Token HWR (chuyển token gas gốc như ETH qua chuỗi chéo), Collateral-Backed ERC20 (khóa tài sản thế chấp ERC-20 trên chuỗi nguồn và đúc token tổng hợp trên chuỗi đích), Synthetic ERC20 (đúc phiên bản tổng hợp đại diện token gốc trên chuỗi đích) và Warp Route 2.0 (hỗ trợ tài sản thế chấp đa chuỗi và cân bằng Rebalancer). Trước khi dùng Warp Route, người dùng nên hiểu cấu hình ISM và giả định tin cậy của nó.
Luồng chuyển tiếp điển hình: Người dùng nạp token vào Warp Route trên chuỗi nguồn. Hợp đồng khóa tài sản thế chấp và gọi Mailbox.dispatch để gửi thông điệp chuỗi chéo. Relayer gửi thông điệp lên chuỗi đích qua Mailbox.process. Sau xác thực ISM, Warp Route trên chuỗi đích đúc hoặc phát hành token tương ứng. Luồng ngược: Người dùng đốt token tổng hợp trên chuỗi đích. Sau xác thực ISM, chuỗi nguồn giải phóng token thế chấp đã khóa.
HypERC20Collateral và HypERC20 là dạng hợp đồng Warp Route phổ biến trên chuỗi EVM. Loại trước khóa ERC-20 trên chuỗi thế chấp và gửi thông điệp, loại sau nhận thông điệp đã xác thực trên chuỗi tổng hợp và đúc token tổng hợp tỷ lệ 1:1. Nexus Bridge là giao diện chuỗi chéo hướng người dùng, nhưng bên trong vẫn tuân theo đường dẫn Warp Route và xác thực ISM.
Hình 2. Luồng Warp Route Hyperlane: chuỗi nguồn khóa tài sản thế chấp, Mailbox gửi thông điệp, chuỗi đích xác thực ISM rồi đúc token tổng hợp; đường ngược là đốt và giải phóng.
Hook là các mô-đun xử lý hậu kỳ chạy sau dispatch của Mailbox trên chuỗi nguồn. Chúng bổ trợ cho ISM trên chuỗi đích: Hook kiểm soát hành vi phía gửi, ISM kiểm soát xác thực phía nhận. Hàm dispatch của Mailbox gọi postDispatch của Hook sau khi ghi thông điệp. Hook có thể thu phí gas chuỗi chéo, ghi vào cây Merkle, giới hạn tốc độ, tạm dừng, v.v.
Các loại Hook chuẩn gồm MERKLE_TREE, INTERCHAIN_GAS_PAYMASTER, PAUSABLE và RATE_LIMITED. RateLimitedHook triển khai trên chuỗi nguồn và kết hợp với RateLimitedIsm trên chuỗi đích. Trong giai đoạn dispatch, nó kiểm tra lượng gửi đi có vượt quá giới hạn cửa sổ không, tạo kiểm soát thông lượng hai chiều. Pausable Hook cho phép chủ sở hữu tạm dừng gửi thông điệp trên chuỗi nguồn; kết hợp với Pausable ISM có thể tắt tuyến ở cả hai đầu.
Hook và ISM tuân theo cặp "Hook chuỗi nguồn + ISM chuỗi đích": Hook thực thi ràng buộc đầu ra trong postDispatch, ISM thực thi xác thực đầu vào trong verify. Có thể tùy chỉnh theo mẫu OpStackHook và OpStackIsm.
Khi triển khai Warp Route, có thể chỉ định địa chỉ interchainSecurityModule và Hook trong cấu hình. SDK TypeScript và CLI hỗ trợ liệt kê như IsmType.RATE_LIMITED, cho phép người triển khai ghi trực tiếp tham số RateLimitedIsm (ví dụ: maxCapacity, owner, recipient) vào cấu hình Warp Route. Khi lồng Rate Limited ISM trong Aggregation ISM, phiên bản relayer phải từ agents-v2.2.0 trở lên.
Khi tùy chỉnh ISM, hợp đồng nhận phải triển khai giao diện InterchainSecurityModule với các hàm verify và moduleType. verify là logic xác thực cốt lõi; trả về false hoặc hoàn nguyên sẽ ngăn gửi thông điệp. moduleType báo cho relayer biết định dạng siêu dữ liệu cần đính kèm. Nếu cấu hình ISM sai—ví dụ: quá ít người xác thực, ngưỡng thấp, không bao phủ hết chuỗi nguồn—sức mạnh bảo mật chuỗi chéo sẽ yếu đi.
Khi kết hợp mô-đun con trong Aggregation ISM, cần xác định rõ ngưỡng m-of-n và địa chỉ triển khai từng ISM con. maxCapacity của Rate Limited ISM phải ≥ 86400 và là bội số của 86400. Chủ sở hữu có thể điều chỉnh tốc độ nạp lại qua setRefillRate. Quyền tạm dừng trong Pausable ISM tập trung ở chủ sở hữu; quản lý khóa chủ sở hữu không tốt có thể dẫn đến tắt tuyến độc hại hoặc không phản ứng kịp sự cố.
Khi tùy chỉnh Warp Route, lưu ý cấu hình ISM mỗi tuyến độc lập. Người dùng nên xác minh địa chỉ hợp đồng trên chuỗi và loại ISM trước khi dùng. Ánh xạ token giữa chuỗi Collateral và Synthetic phải duy trì tỷ lệ 1:1. Nếu Rebalancer là dịch vụ quản lý, sẽ có phụ thuộc vận hành. Hợp đồng Warp Route giả có thể gây mất tài sản; người dùng nên kiểm tra qua Explorer và địa chỉ triển khai đã biết.
Bảo mật của Multisig ISM mặc định dựa vào người stake HYPER và bộ xác thực. Với ISM tùy chỉnh, nhà phát triển phải tự đánh giá chất lượng xác thực, ngưỡng chữ ký và phạm vi cắt giảm.
ISM là mô-đun bảo mật của Hyperlane xác thực thông điệp chuỗi chéo trên chuỗi đích. Warp Route là tuyến tài sản mô-đun dựa trên Mailbox. Multisig ISM mặc định cung cấp bảo mật kinh tế qua bộ xác thực Hyperlane. Nhà phát triển có thể dùng Cấu hình, Kết hợp hoặc Tùy chỉnh để triển khai ISM như Multisig, Routing, Aggregation, Rate Limited, Pausable và kết hợp với Hook trên chuỗi nguồn để kiểm soát giới hạn tốc độ và tạm dừng hai chiều. Người triển khai Warp Route chỉ định ISM độc lập cho từng tuyến; người dùng nên hiểu cấu hình bảo mật và giả định tin cậy trước khi dùng.
ISM là thuật ngữ chung cho mô-đun xác thực thông điệp chuỗi chéo. ISM mặc định là Multisig ISM cấu hình sẵn trên Mailbox, tự động dùng khi ứng dụng không chỉ định ISM tùy chỉnh. Ứng dụng có thể ghi đè cấu hình mặc định bằng cách chỉ định ISM độc lập qua giao diện ISpecifiesInterchainSecurityModule.
Rate Limited ISM kiểm tra, trong giai đoạn verify trên chuỗi đích, xem tổng token đến trong một khoảng thời gian có vượt quá maxCapacity không. Nếu vượt quá, xác thực thất bại và thông điệp không gửi. RateLimitedHook trên chuỗi nguồn có thể áp ràng buộc tương tự lên lượng gửi đi trong dispatch, tạo kiểm soát hai chiều. maxCapacity phải ≥ 86400 và là bội số của 86400.
Aggregation ISM yêu cầu m trong số n ISM con cấu hình phải vượt qua xác thực thì thông điệp mới được gửi. Ví dụ: yêu cầu cả Multisig ISM và Rate Limited ISM cùng vượt qua, hoặc lồng Pausable ISM với Rate Limited ISM để vừa giới hạn tốc độ vừa tạm dừng khẩn cấp. ISM con có thể là bất kỳ địa chỉ hợp đồng ISM đã triển khai.
Warp Route (HWR) là hợp đồng tuyến tài sản chuỗi chéo trên chuỗi, xử lý khóa, đúc, đốt, phát hành token và có thể chỉ định ISM độc lập. Nexus Bridge là giao diện người dùng xây trên Warp Route, giúp người dùng cuối thao tác token chuỗi chéo dễ dàng hơn. Bên dưới, nó vẫn tuân theo đường dẫn gửi thông điệp Mailbox và xác thực ISM.
Bộ xác thực quá nhỏ hoặc ngưỡng thấp làm yếu bảo mật Multisig ISM. Cấu hình sai mô-đun con trong Aggregation ISM có thể khiến điều kiện bảo mật mất hiệu lực. maxCapacity không phù hợp trong Rate Limited ISM có thể hạn chế quá mức giao dịch thường. Rò rỉ khóa chủ sở hữu Pausable ISM có thể gây tắt tuyến độc hại. Trước khi dùng, người dùng nên xác minh địa chỉ và tham số hợp đồng ISM trên chuỗi, phân biệt bảo mật kinh tế của xác thực viên mặc định và giả định tin cậy của ISM tùy chỉnh.
Hook thực thi postDispatch sau dispatch của Mailbox trên chuỗi nguồn, kiểm soát logic đầu ra như thanh toán gas, ghi cây Merkle, giới hạn tốc độ, tạm dừng. ISM thực thi verify trong giai đoạn process của Mailbox trên chuỗi đích, kiểm soát xác thực đầu vào. RateLimitedHook và RateLimitedIsm lần lượt nằm trên chuỗi nguồn và chuỗi đích, kết hợp tạo kiểm soát thông lượng hai chiều.





