萬字詳解主權跨鏈代幣標準「ERC-7281」：如何讓跨鏈代幣具有可互換性？

作者：2077 Research

編譯：Glendon，Techub News

如果你尚未閱讀《如何使跨鏈代幣重新具有可互換性》系列的第一部分，建議優先查閱——該部分詳細分析了跨鏈代幣失去可互換性的根本原因及其引發的系統性挑戰。在第二部分中，我們將聚焦ERC-7281 這項創新標準，透過重構跨鏈代幣轉移機制，增強可靠性，並為發行者提供更精細的治理權限。

前文已係統探討了多種解決跨鏈代幣可互換性問題的技術路徑，並解決非原生鏈上流通的原生代幣的非標準版本，所帶來的流動性碎片化和用戶體驗不佳的問題，具體包括：

• 透過標準Rollup/側鏈橋接協議在目標鏈上鑄造原生代幣的標準版本；

• 依托第三方跨鏈服務在目標鏈上產生原生代幣的標準版本；

• 由代幣發行者自主運作的標準橋接服務，在目標鏈上實現標準跨鏈代幣鑄造。

上述方案均有其優缺點。因此，ERC-7281 （又稱xERC-20 ）的設計哲學在於融合各個方案的優勢，為期望實現跨鏈部署代幣的協議構建更全面、高效且可擴展的解決方案，並在保障安全性、主權完整與用戶體驗的情況下取得突破性平衡。

什麼是ERC-7281？ ERC-7281：主權跨鏈代幣是一項提案，旨在創建代幣的標準版本，使它們能夠與不同跨鏈協議鑄造的代幣實現兼容與互換。此標準透過擴充ERC-20 介面引入以下核心功能：

• 鑄造和銷毀標準ERC-20 代幣的功能；

• 代幣持有者的治理權限：1.授權指定跨鏈橋提供者執行跨鏈轉移時的代幣鑄造/銷毀操作；2.為每個授權的跨鏈橋提供者設定動態鑄造/銷毀限額（例如對中心化跨鏈設置較小的限制，為更安全的協議設置更高的限制）。

鑑於ERC-7281 與ERC-20 代幣標準存在細微的技術差異，標準制定者將其命名為「xERC-20」。想要係統性了解ERC-20 代幣標準基礎架構的讀者，可參考OpenZeppelin 發布的技術指南。

本質上，每個ERC-20 代幣合約透過實現標準介面管理全域代幣供應量，記錄地址持倉數據，同時包含代幣授權管理、流通總量查詢、地址餘額獲取等基礎功能。

ERC-7281 代幣標準在ERC-20 標準之上新增了一項可選的「Lockbox」合約模組——作為封裝合約（功能類似於WETH 合約），Lockbox 合約可以透過熟悉的鑄造和銷毀機制將傳統ERC-20 代幣轉換為xERC-20 代幣版本。這項設計也使得ERC-7281 能夠向後相容於缺乏銷毀/鑄造介面且不可升級的現有ERC-20 代幣合約。

根據第一部分的分析框架，ERC-7281 可歸類為一種「信任代幣發行者+信任（核准的）跨鏈橋提供者」的跨鏈代幣鑄造範式。其核心優勢在於：

• 跨鏈部署的ERC-7281 代幣完全由發行方控制（有別於多數需讓渡主權的跨鏈代幣方案）

• 發行方仍面臨獲批准跨鏈橋遭遇安全事故的風險，但他們可透過手動選擇和限制授權跨鏈橋提供者來進行管理。

本報告重點探討的關鍵突破在於：代幣發行者可對指定跨鏈橋提供者的鑄造/銷毀額度實施動態調控，從而精確校準跨鏈安全事件的風險暴露。此外，ERC-7281 支援多跨鏈橋提供商白名單機制，允許不同提供者跨鏈鑄造相同標準代幣，有效降低發行方對單一提供者的路徑依賴。

這兩個功能使ERC-7281 相較於傳統方法有了顯著改進，有助於促進協議代幣的跨鏈橋接，並對用戶、互通性基礎設施提供者（尤其是聚合器）和應用程式開發人員產生積極的二階效應。下文將深入解析技術規範細節，並系統性評估實作ERC-7281 的潛在優勢與缺點。

ERC-7281 解析：主權跨鏈代幣

用戶代幣鑄造與銷毀機制

根據ERC-7281 標準，專案需部署符合「IXERC​​20 介面」的新型ERC20 相容代幣合約。跨鏈橋提供者在源鏈上銷毀用戶存入的代幣後，可在目標鏈為其鑄造等量代幣。鑄造過程中，系統會檢查代幣數量是否超出該橋的鑄造限額，若通過驗證則更新代幣總供應量及跨鏈橋鑄造限額。

對於現有的ERC-20 代幣，我們需採用Lockbox 邏輯：跨鏈橋提供者將用戶存入的ERC-20 代幣轉移至Lockbox 合約完成封裝，轉換為xERC-20 代幣。 Lockbox 隨後授權提供者鑄造等量的xERC-20 代幣。

目標鏈上的橋鑄造的xERC-20 代幣使用「burn() 函數」在源鏈上銷毀，此過程確保代幣銷毀數量不超過橋的銷毀限制。橋的傳輸層將銷毀訊息中繼到目標鏈，目標鏈的跨鏈橋合約驗證訊息後並向該鏈上的用戶地址鑄造等量的xERC-20 代幣。

反之，為了將代幣跨鏈回源鏈，跨鏈橋提供者會在目標鏈上銷毀xERC-20 代幣，並提供用戶的地址和代幣數量。銷毀收據由傳輸層中繼到來源鏈。如果銷毀訊息得到驗證，跨鏈橋提供者會在來源鏈上為使用者執行xERC-20 代幣的鑄造與銷毀操作。待代幣合約確認銷毀憑證，用戶即可取回原始ERC-20 代幣。源鏈銷毀操作同步減少代幣總供應量及跨鏈橋銷毀限額。

重點是，xERC-20 合約在技術層面支援無需憑證驗證的鑄造作業。雖然本文描述的是標準驗證流程，但代幣發行者可自主選擇是否將未實施跨鏈訊息驗證或採用新型驗證機制的跨鏈橋納入白名單。最終決策權取決於發行方的風險承受能力。

代幣鑄造與銷毀速率限制機制

setBridgeLimits 函數是一個受保護的函數，僅代幣合約所有者可呼叫。此函數允許設定橋接合約的地址，並指定跨鏈橋可以為用戶鑄造限制（mintingLimit）和銷毀限制（burningLimit）的最大代幣數量。擁有者可動態調整限制，靈活應對跨鏈橋提供者的安全態勢變化。例如：

• 當發現跨鏈橋的基礎設施有漏洞時，可調低mintingLimit 以控制風險敞口；

• 相反，若跨鏈橋方完成安全升級，則可提升鑄造限額。

xERC-20 標準還包括檢查獲準處理代幣的跨鏈橋的銷毀和鑄造限制的功能。 「mintingMaxLimitOf」會傳回跨鏈橋可以鑄造的最大代幣數量，而「burningMaxLimit」則傳回跨鏈橋在指定時間內可銷毀的最大代幣數量。此外，這些函數還顯示跨鏈橋在達到預設限制之前可以銷毀和鑄造的剩餘代幣數量。

該設計對跨鏈橋聚合器至關重要——若某跨鏈橋在源鏈/目標鏈觸及銷毀或鑄造限額，將導致交易延遲甚至失敗。因此，聚合器傾向於將請求路由到可用限額充足且支援目標交易量的跨鏈橋上。

速率限制參數解析

xERC-20 代幣介面標準中定義的「Bridge」結構體包含「burningParams」與「mintingParams」（xERC-20 代幣速率限制函數的參數控制橋接器在預定義時間內可以銷毀和鑄造多少個代幣）。 「maxLimit」定義代幣鑄造和銷毀的最大限制，並以預先定義的速率（ratePerSecond）每秒增加。

這裡我們要解決一個可能造成混淆的問題：「maxLimit」（為銷毀和鑄造限制設定）是在特定時間範圍內對鑄造和銷毀操作的限制，即在預設時間視窗內根據預定義閾值限制鑄造和銷毀的速率限制。 「currentLimit」定義跨鏈橋可以鑄造或銷毀多少，並以預先定義的速率增加。相較之下，「maxLimit」定義跨鏈橋每天可以鑄造或銷毀代幣的數量。

銷毀和鑄造參數主要與代幣所有者相關（與跨鏈橋提供者關係較小）。但是，最大和當前限制參數對於用戶和跨鏈橋提供者而言都是重要的考慮因素。例如，當前限制可能會影響用戶在多大程度上可以放心地使用跨鏈協議橋接，而不會在目標鏈接收xERC-20 代幣時遇到延遲。

xERC-20 Lockbox

初始的ERC-20 代幣未指定增加和減少代幣供應的功能（早期代幣經濟學多採用固定總量模型）。因此，並非每個ERC-20 代幣都具有鑄造和銷毀功能。由於ERC-7281 使用了目前大多數跨鏈橋青睞的鑄造和銷毀機制，因此需要透過Lockbox 與ERC-20 代幣實現向後相容。

在原始標準中（即專案部署實現IXERC​​20 介面的新代幣合約），跨鏈橋提供者只需呼叫mint() 即可在目標鏈上為用戶鑄造代幣（在來源鏈上鎖定存款後）。 Lockbox 合約借鑒WETH 封裝合約設計，它實現了一個deposit() 函數，用於將相應的ERC-20 代幣存入Lockbox，並實現了一個withdraw() 函數，用於跨鏈橋提供商在遠端鏈上銷毀包裝代幣後解鎖ERC-20 代幣。

這項標準中重點介紹的前兩種錯誤類型（「IXERC​​-20Lockbox_NotNative」和「IXERC​​-20Lockbox_Native」）發生在用戶嘗試將代幣存入錯誤的Lockbox 合約時。 Lockbox 可以是原生的（也可以是非原生的），這取決於它支援的代幣類型。

原生Lockbox 保管原生代幣，即用於向驗證者支付Gas 費用的代幣。具有原生Lockbox 以將其包裝成xERC-20 代幣的代幣典型範例是ETH：將ETH 包裝成xERC-20 代幣需要調用Lockbox 的depositNative() 函數並存入ETH 以接收與ERC 7281 相容的ETH 代幣版本。

非原生Lockbox 可以保管ERC-20 代幣，如USDC、DAI、WETH、USDT 等。例如，要將USDC 鑄造為xERC-20 代幣，用戶需要在鎖定USDC 後在Lockbox 合約上調用deposit()。使用ETH 呼叫deposit() 會導致這些資金被永久鎖定，因為非原生Lockbox 合約只能包裝和解包ERC-20 代幣。此外，使用ERC-20 代幣呼叫depositNative() 會產生類似的結果，因為原生Lockbox 合約旨在使用原生代幣，而不是ERC-20 代幣。

如此一來，透過將標準的ERC-20 代幣包裝成具有鑄幣/銷毀支援的xERC-20 代幣，Lockbox 為標準提供了重要的兼容性層。但是，在某些情況下，例如將其他跨鏈解決方案整合到xERC-20 中，僅使用Lockbox 並返回包裝的代幣是不可行的。由於這個原因，專案可能會實施適配器合約。

適配器合約

如果跨鏈協議無法識別xERC‑20 代幣固有的操作（鑄造/銷毀、事件日誌記錄等），則應用層可以建立適配器合約。這些合約可充當自動包裝器和解包器，有效地將ERC‑20 批准+ 呼叫（call）行為轉換為xERC‑20 標準所需的更細緻的鑄造/銷毀方案。

這是必要的，因為許多跨鏈協定（例如Chainlink 的CCIP）仍然針對傳統的ERC‑20 行為進行了最佳化。適配器合約可以透過實現以下邏輯來彌補這種相容性差距：它將代幣存入Lockbox 以在來源鏈上產生xERC‑20 版本，然後在目標鏈上收到訊息後，觸發退出機制以恢復為標準資產。

這個流程確保了用戶最終收到的是一致的標準代幣，而不會受到xERC-20 底層支援的封裝機制的影響。這樣一來，適配器可以使協定與非xERC-20 標準的跨鏈橋無縫集成，並增加它們支援的可互通解決方案的範圍。

為何選擇ERC-7281？主權跨鏈代幣標準案例

從整體來看，ERC-7281 有四大目標：

1.可互換性：將代幣從其原生鏈橋接到另一條（L1/L2）鏈的用戶，應始終在目標鏈上收到跨鏈代幣的標準版本。基於前面解釋的原因（例如流動性分散和代幣可組合性差），在非原生鏈中流通同一代幣的多個非可互換版本是有問題的。創建ERC-20 標準的最初願景是確保以太坊上的代幣，在應用和以太坊基礎設施之間具有可互換性和無縫互通性。然而，在採用以rollup 為中心的擴展路線圖後，出現了缺乏原子可組合性的問題，並且許多不同域的創建降低了這些可互換性屬性。 xERC-20 允許將各種跨rollup 橋的流動性聚合為統一的多rollup 代幣標準，從而恢復以太坊的初始願景。

2.安全性：為了降低交易對手風險，代幣發行方需具備自主選擇權，基於對跨鏈橋提供者安全基礎設施的評估，擇優接入多個提供者。同時，發行方需建立有效風險隔離機制－當部分橋接服務商遭遇安全事件時，其影響範圍應被嚴格限制，避免單一攻擊導致協議總鎖倉價值（TVL）全面崩盤。

3.零流動性依賴的跨鏈代幣冷啟動：協議DAO 不應被迫將大量（資金）資源用於引導跨鏈代幣的流動性，作為多鏈擴展計劃的一部分。基於流動性的跨鏈不僅不利於使用者體驗，而且隨著支援鏈數量的迅速增加，專案方在流動性提供激勵方面的支出可能變得不可行。

4.代幣發行方的主權控制：發行方應繼續控制在非原生鏈上鑄造的協議代幣的標準版本。解決不可取代跨鏈代幣的問題，不應以讓渡代幣控制權為代價（尤其是控制總供應量，配置鑄造和銷毀機制等管理方面）。

接下來，我們將進一步擴展這些目標，以了解ERC-7281 為協議和社區帶來了哪些好處。

ERC-7281 的優勢

改善使用者體驗並消除流動性片段化

ERC-7281 解決了各種路徑依賴問題。路徑依賴可以是特定於鏈的（例如，從以太坊跨鏈到Arbitrum 再跨鏈到Optimism 的ETH，與從以太坊跨鏈到Optimism 再跨鏈到Arbitrum 的ETH 存在差異），或特定於橋的（例如，通過Cesism 從以太鏈到以太坊到以太坊的

路徑依賴雖具有安全價值，但嚴重損害跨鏈使用者體驗與可組合性。以跨鏈DEX 場景為例，使用者若需向Optimism 與Arbitrum 的流動性池同時注資，將因鏈間資產表徵差異（如opETH 與arbETH）而無法實現自動化操作。

ERC-7281 透過引入xERC-20 代幣徹底消除此問題。無論使用者跨鏈次數或使用何種跨鏈橋提供者，xERC-20 始終保持可互換特性。例如：

• 使用者無需撤回至以太坊鏈，即可將Arbitrum 的封裝USDT 轉移至Optimism；

• 跨鏈橋提供者銷毀Arbitrum 鏈的xERC-20 代幣後，可以在Optimism 鑄造等量代幣；

• 目標鏈代幣價值始終錨定Lockbox 內的原生資產儲備，維持1:1 剛性兌付。

值得注意的是，ERC-7281 實現了類似Circle CCTP（跨鏈傳輸協定）的標準代幣部署優勢，卻無需協議方集中託管跨鏈資產。其核心價值在於：

• 流動性聚合：圍繞協議代幣的標準版本形成統一市場，提升DeFi 應用效用；

• 營運成本削減：避免為相同資產的不同版本創建分割化市場。

強化代幣發行方主權控制

xERC-20 被稱為“主權跨鏈代幣”，因為代幣發行者不必鎖定使用特定選項來鑄造代幣的標準版本，並在跨鏈部署中保留對跨鏈代幣設計和管理的控制權。 ERC-7281 是「透過第三方橋鑄造標準代幣」與「透過代幣發行方控制的橋鑄造標準代幣」之間的混合體，它將主權、用戶體驗和去中心化相結合。

使用ERC-7281 跨鏈部署代幣的項目，可以透過多個橋鑄造原生代幣的標準版本，而不會遇到同一原生資產的不可互換包裝版本，導致用戶體驗受損的問題。此類項目還保留了與代幣發行者類似的對代幣跨鏈部署的控製級別，代幣發行者運行內部基礎設施來管理域之間標準代幣的轉移，因為xERC-20 代幣合約和Lockbox（跨鏈橋用於為用戶鎖定、鑄造和銷毀代幣）由項目部署和控制。

這項被低估的功能，在某一知名專案在其主鏈上發行原生代幣的情況下非常有用，尤其是當來自其他生態系統的用戶出於不同原因希望接觸該代幣，但不想在其原生鏈上持有時。

在這種情況下，該項目沒有能力或意願為每條鏈運行內部跨鏈基礎設施，以確保跨鏈代幣之間1:1 的兼容性，也不想將其代幣的控制權交給不一定與協議及其社區保持一致的第三方。而在實施跨鏈治理時，這種情況會成為一個考慮因素，允許使用跨鏈代幣進行投票，同時在原生鏈上進行投票統計；擁有跨鏈代幣控制權的非一致跨鏈橋提供商成為協議治理的瓶頸。

基於上述原因，收益耕作協議Beefy 採用了xERC-20 標準。正如該專案的跨鏈橋文件所述，ERC-7281 為該專案提供了更多跨鏈代幣選項（在主要跨鏈橋合作夥伴遭受駭客攻擊後，此選項變得必不可少），並提供了對跨鏈機制設計的更精細控制。在Beefy 的案例中，ERC-7281 的白名單功能使該協議能夠選擇各種跨鏈合作夥伴，並在橋接mooBIFI 代幣時為用戶提供在速度、去中心化、成本和安全性方面進行優化的不同選項。

激勵機制重新調整，促進開放競爭與安全

基於流動性的橋通常青睞於有財務能力為流動性激勵提供資金的項目——由於代幣發行方希望在流動性提供者（LP）激勵上花費較少，並提供不錯的跨鏈橋用戶體驗，因此流動性對於使用標準L1/L2 橋接的協議來說成為最關鍵的因素。這也延伸到跨鏈橋聚合器對跨鏈橋提供者的選擇，可以說這使得新的跨鏈服務（即使那些擁有安全基礎設施的服務）更難與更成熟的跨鏈協議競爭。

ERC-7281 透過消除基於流動性的跨鏈需求來解決這個問題。無需鑄造和將非標準代幣兌換為標準代幣，任何規模的橋樑都可以被批准在目標鏈上鑄造項目的代幣。由於代幣發行方希望最大限度地減少跨鏈失敗的風險，因此更多協議可能會開始更加關注跨鏈橋的安全性設計，而不是優先關注流動性。

這激勵了開放競爭，因為它變成了「讓最安全的橋獲勝」而不是「讓流動性最強的橋獲勝」的情況；這種開放競爭可以採取跨鏈橋在流動性/安全性之外的其他功能上進行競爭的形式（例如費用、API/SDK、應用集成等）。這些功能從一開始就更容易融入應用程序，因為它們主要取決於開發團隊的專業知識；相比之下，流動性和跨鏈數量更難啟動，需要業務發展、資金、行業聯繫、營銷等多種因素的結合。

為代幣發行者提供更好的風險管理

ERC-7281 引入了代幣鑄造和銷毀的可配置速率限制，這極大地改善了與非原生鏈上鑄造標準代幣的第三方跨鏈協議合作的風險狀況。若合作跨鏈橋提供者遭遇駭客攻擊或入侵，攻擊者所能造成的最大損害相當於受損橋的限制額度。如果代幣發行者謹慎選擇速率限制參數，對某一跨鏈橋的孤立攻擊，對於協議償付能力的影響可能降至最低。

此外，為每個跨鏈橋配置速率限制還可以改善協定DAO 的風險評估流程。採用ERC-7281 讓風險評估更具動態性。專案仍需對跨鏈橋提供者進行盡職調查，以選擇合適的速率限制屬性；然而，風險評估時間軸可以縮短。專案方無需花費數月時間分析多個跨鏈橋以選擇一個，而是可以選擇多個跨鏈橋提供者，並根據安全評估設定不同的鑄造限制。然後，代幣發行方可以進行安全審查，以確定是否增加或減少選定跨鏈橋合作夥伴的鑄造限制，或從某一跨鏈橋撤回鑄造權（例如，作為對黑客攻擊或漏洞披露的回應）。

ERC-7281 也降低了那些希望採用跨鏈橋安全技術，但又不願完全採用某項技術的項目所面臨的阻礙，除非該技術經過實戰測試並被社區嚴格審查（即創新者的困境）。假設跨鏈橋提供者提出了一種據稱可以大大改善安全保障的新基礎設施。在這種情況下，協議可以透過為橋分配有限的鑄幣權並隨著對建議系統設計信心的增強，而逐步增加橋的鑄幣限額來進行「試水」。

就像消除流動性相關的擔憂一樣，在分配鑄幣權之前，消除協議對跨鏈橋技術堆疊100% 信任的需要，可以在新進入者和老玩家之間創造平等的競爭——老玩家有動力迭代更好的安全方法，因為代幣發行方現在可以靈活地撤回去幣權並重新分配給較小的項目，而後者則表現出對安全和更高的承諾。

同時，這也消除了與第三方跨鏈橋合作的協議面臨的另一個風險因素：儘管跨鏈橋安全中的漏洞和問題，被披露和發現的速度很快，但選定的跨鏈橋提供商仍可能停止在安全方面進行創新，因為它知道代幣發行方無法執行懲罰措施（例如，快速遷移到另一個跨鏈橋提供商），執行此類活動的難度很大。

提升生態系之間的可組合性

由於基於流動性的橋接定價不可預測，今天建構需要將代幣通過任意數量的鏈進行路由的複雜應用工作流程十分困難。例如，一個從以太坊（Ethereum）→Linea→Base的橋接聚合器有兩個選擇：

由於基於流動性的跨鏈橋定價無法預測，如今建構需要透過任意數量的鏈結路由代幣的複雜應用工作流程非常困難。例如，從以太坊→ Linea → Base 的跨鏈橋聚合器有兩個選項：

• 設定滑點容忍參數，並根據用戶在每條鏈上將收到的最小代幣數量（取決於跨鏈訊息到達每層時可用的流動性數量）執行跨鏈路由定價；

• 不設定滑點容忍參數，如果一條或多條鏈上收到的代幣數量低於預期數量，則創建邏輯以獲取鏈上流動性（例如透過DEX）。

相比之下，透過檢查允許鑄造特定代幣的跨鏈橋的mintingLimit 和burningLimit，橋聚合器可以預先知道跨鏈交易中每個域中應該有多少代幣。

誠然，在交易廣播和交易到達某一域之間的時間段內，跨鏈橋可能會達到maxLimit ——這意味著用戶無法在目標鏈上收到標準代幣。但基於以下原因，ERC-7281 在這方面仍然是一種改進：

• 如果跨鏈橋提供者在交易進行過程中達到mintingLimit，則跨鏈交易將被暫停，並在速率限制參數調整後重試。與當今的流動性橋不同，用戶不會收到標準代幣的專有包裝版本。

• 跨鏈橋聚合器對於跨鏈交易何時執行，以及預期代幣數量具有更高的可預測性。由於mintingLimit 和burningLimit 配置為使用區塊作為時間度量（如速率限制參數部分所示），因此很容易計算跨鏈橋何時會再次開始鑄造和銷毀代幣；相比之下，預測跨鏈橋中的流動性何時會增加則無異於玩“俄羅斯輪盤賭”。

流動性的不可預測變化也意味著重試跨鏈交易定價的不可預測性。假設一個跨鏈橋聚合器（或另一個應用）根據跨鏈橋流動性池中代幣對的當前價格（此價格基於總池流動性）對跨鏈交換進行報價。然而，由於池流動性急劇下降，交易無法執行。假設交易被暫停並在稍後重試。在這種情況下，應用程式開發人員無法知道先前的報價是否仍然準確，或者流動性是否會達到用戶首次提交交易時的相同水平。

而跨鏈xERC-20 代幣不受流動性變動的影響，因此用戶可以確信跨鏈交易不會產生滑點——即使它們不會立即執行。

跨鏈橋聚合器並不是唯一從這種可組合性改進中受益的聚合器；任何跨鏈應用程式都可以利用xERC-20 代幣的可互換性來創建更吸引人的應用程式。

而由於路徑依賴問題，目前想要實現這一點並不容易。假設開發人員希望從以太坊跨鏈ETH，在Arbitrum DEX 上開設借貸頭寸，並使用利潤在Optimism 上購買NFT，然後再跨鏈回以太坊。在此過程中，開發人員必須確保與這些鏈上的跨鏈橋提供者集成，因為用戶無法輕鬆交換專有版本。而當專案採用xERC-20 後其跨鏈代幣具有可替代性，情況就改變了。

此工作流程與前面描述的代幣發行方跨鏈橋類似，以Circle CCTP 為例：

Circle 的跨鏈傳輸協議讓用戶可以擁有統一的、標準的USDC 代幣版本，而不會被困在不同鏈的生態系統中。所有跨鏈傳輸都透過其協定使用銷毀和鑄造方案進行處理。

不過，CCTP 是一個中心化協議，Circle 的運營商是唯一被授權銷毀和鑄造其USDC 代幣的實體，但xERC-20 可以透過允許具有各種安全機制的多個實體操作跨鏈傳輸來消除信任風險。

支持以太坊以Rollup 為中心、多鏈未來的願景

ERC-7281 還可以加速以太坊以rollup 為中心的路線圖，讓專案有信心在新型EVM L2 上部署代幣，而這些新的EVM L2 可能缺乏現有L2 鏈的強大安全性。例如，第0 階段rollup 的標準橋不太安全，因為以太坊L1 不保證橋的安全性。代幣項目可以透過向標準橋授予有限的鑄幣權並在rollup 進入第1 階段後增加鑄幣限制，來逐步向此類鏈進行部署。

此過程可以持續到L2 達到第2 階段（rollup 的去中心化和安全性達到最高階段）。透過這種機制，協議可以以風險最小化的方式部署在新推出的鏈上，這有利於以太坊生態系統，因為它使新的L2 更容易引導代幣流動性和應用程序，同時鼓勵項目方在rollup 設計領域進行更多創新。

實施ERC-7281 的潛在缺點

DAO 專案管理團隊的成本增加

雖然ERC-7281 對於協議而言極具吸引力，但DAO 可能會因為管理xERC-20 代幣而產生的龐大營運成本而猶豫是否採用。 DAO 專案團隊必須承擔大量的營運開銷來管理各種部署中的xERC-20 代幣。

Gerard Persoon 在《 管理大量鏈上的跨鏈代幣》一文中列出了從ERC-20 遷移到xERC-20 後，協議必須執行的一次性和重複性任務的不完整清單：

一個提議的解決方案是，DAO 將與管理跨鏈xERC-20 代幣相關的一些任務外包給第三方服務，但這只是在一種人力資源成本與僱用服務成本之間進行權衡。

假設一個協議之前使用內部基礎設施管理跨鏈代幣（例如，為每條鏈部署單獨的代幣合約，並控制鑄造和銷毀）。在這種情況下，ERC-7281似乎並不是根本性的改變。然而，那些習慣將核心跨鏈基礎設施的管理外包給跨鏈橋開發團隊的專案會發現，額外的工作量令人擔憂。

管理xERC-20 代幣會為協議和社群成員帶來不可忽視的管理成本增加。例如，跨鏈橋限制需要積極監控和評估跨鏈橋的安全性，以便根據這些資訊調整鑄造限制，而關於跨鏈橋限制（或鑄造權的撤銷/分配）的決策可能需要DAO 投票（如果此類決策需要頻繁做出，DAO 成員可能會感到投票疲勞）。

不過，這不應被視為對ERC-7281 的價值判斷。每個專案都有不同的風險狀況、長期目標和資源—這些因素共同決定了採用ERC-7281 的長期利益是否大於短期和持續的成本。

例如，較小的專案可能發現管理發行xERC-20 代幣的成本更高，並選擇使用像Axelar 的ITS（跨鏈代幣服務）或Wormhole 的NTT（原生代幣轉帳）這樣的託管多鏈代幣跨鏈服務。而較成熟的專案可能有資源管理發行xERC-20 代幣的營運成本，並可能認為ERC-7281 所提供的控制權值得承擔管理跨鏈代幣的額外開銷。

將現有代幣移轉到xERC-20 標準存在難度

對於沒有鑄造/銷毀介面或無法透過升級代幣合約以使用IERC20，並且已經在非原生鏈上流通了原生代幣的標準版本的項目而言，遷移到xERC-20 代幣是一個漫長且需要大量協調的過程，並涉及復雜的參與者網絡，包括代幣持有者、交易所（DEX 和CEX）、合作夥伴以及傳統代幣的各種代幣。即使這部分工作已經完成，協議仍需要承擔將ERC-20 解包為xERC-20 以完成遷移過程的成本。

正如ERC-7281 標準討論中所解釋的那樣，現有代幣需要鎖定在Lockbox 中，以便為用戶鑄造包裝好的xERC-20。不過，舊版ERC-20 的淘汰可能在不久之後發生，並且涉及另一個長期的過程，即圍繞凍結新（舊版）ERC-20 代幣鑄造的時間表與社區進行溝通。再次強調，從協議的角度來看，這可能是值得的——儘管收益也可能不足以證明協調整個生態系統遷移到與協議代幣相容的xERC20 版本的成本是合理的。

DAO 治理的風險面更大

使用ERC-7281 在多個領域管理xERC-20 代幣需要監督該協議的DAO 進行積極治理。這包括設定鑄造限制等參數、升級Lockbox 合約以及暫停鑄造或銷毀代幣。這些決策具有敏感性，應由DAO 管理，以避免因閉門決策而承擔責任。

ERC-7281 旨在讓協定控制這些決策，而不是第三方跨鏈橋。這很有必要，因為DAO 已經在其原生鏈上管理代幣，因此將治理擴展到其他鏈上的代幣，對於尋求這種控制的協議和社群來說是合理的。然而，一些協議可能由於擔心治理和穩定性而不想擁有這種額外的DAO 控制。

例如，Lido 面臨治理問題的審查，增加對代幣管理的控制會增加治理接管的風險。如果一個專案將所有ERC-20 代幣整合到一個Lockbox 中，並由DAO 進行管理，那麼治理攻擊可能會產生廣泛的影響。攻擊者可以控制Lockbox 並引入一個沒有鑄造限制的惡意跨鏈橋提供商，從而使其他鏈上的xERC-20 代幣變得一文不值。

這種情況與Multichain 漏洞相似，多方計算（MPC）簽名基礎設施中的漏洞使黑客能夠破壞保管以太坊和Dogecoin 上原生代幣的主要Multichain 地址——這些代幣支持在非原生鏈（如Fantom 和Moonriver）上鑄狗狗造幣的代幣，從而產生了“多米諾骨牌效應”，導致其他地方造幣和造幣的代幣。

與最大程度去中心化的協定不相容

當代幣由具有代幣治理或中心化實體的協議發行時（例如Circle 的USDC 或CZKC 穩定幣），ERC-7281 才符合要求。然而，如果協議最大限度地去中心化且缺乏正式治理，那麼它的價值就不大——Liquity 的LUSD 穩定幣就是一個難以與xERC-20 標準兼容的代幣示例。

xERC-20 代幣要求實體決定特定參數，例如鑄造和銷毀限制，並做出是否將某些跨鏈橋提供者列入白名單等決定。這意味著xERC-20 代幣的存在需要持續治理。對於希望隨著時間的推移將協議的關鍵組件（例如DAO 的代幣合約）去中心化的項目，這可能會引發問題並使去中心化計劃複雜化。

核心元件（Lockbox 合約和跨鏈橋提供者）相關漏洞會帶來更大風險

上文已提及路徑依賴的工作原理，以及它為何能確保影響鏈A 的漏洞不會影響鏈B，或鏈A 上的橋A 的漏洞不會影響鏈B 上的橋B。 ERC-7281 標準消除了路徑依賴，這帶來了好處，但同時也引發了安全性方面的權衡問題。

由於不同跨鏈橋提供者鑄造的代幣在跨鏈間具有可互換性，因此跨鏈橋中可用的最大流動性，不再代表跨鏈橋漏洞對代幣發行方可能造成的最大影響。 ERC-7281 標準的作者建議，基於代幣發行方可用於補償詐欺鑄造損失的金額，為跨鏈橋提供者設定一個速率限制；儘管如此，從回顧的角度來看，所選的速率限制可能過於保守。

如果一個具有高限制的跨鏈橋遭到攻擊，其影響可能十分顯著，甚至影響到使用其他鑄造相同代幣的跨鏈橋的用戶。所以，協議可以透過將鑄造權分配給多個跨鏈橋來降低風險（因此，與其他跨鏈橋相比，一個跨鏈橋提供商所能鑄造的代幣數量就不會過大），但通過這種方式來規避風險可能會降低效率，因為每個跨鏈橋都需要DAO 團隊進行獨立評估，並且與更多跨鏈橋進行協調，這樣效率會增加上文。

另外，由DAO 管理的Lockbox 合約也可能會在發生治理攻擊時引入不利的傳染效應。而即使有安全的DAO 治理，代幣主鏈上的原生/非原生Lockbox 合約中的錯誤也會導致同樣多的問題。相較之下，由於金庫合約（跨鏈橋提供商的Lockbox 合約等同物）僅持有透過相應跨鏈橋橋接的代幣，這一問題得到了緩解，因為一個提供者的金庫合約中的漏洞也只會影響到在該跨鏈橋中存入代幣的用戶。

生態系整合的成本

ERC-7281 標準帶來的額外管理工作也會影響使用專案xERC-20 代幣的應用程式開發人員和服務提供者。跨鏈橋聚合器需要追蹤xERC-20 代幣與其對應的Lockbox 合約之間的映射關係，以防止垃圾郵件代幣和欺騙攻擊等問題。雖然這些映射的註冊表可能有所幫助，但在不承擔中心化風險或使xERC-20 採用者面臨威脅的情況下建立這樣的註冊表具有挑戰性。

風險來自攻擊者可能會將惡意合約添加到代幣註冊表中，並誘騙用戶和開發人員將代幣發送到錯誤的地址。這可能會導致L2 和L1 網路上發生代幣竊盜事件。交易所也面臨類似的挑戰，因為偽造的代幣可能會引發嚴重問題，例如代幣行為異常，這與經過審核的標準代幣不同。

總結

ERC-7281 標準為不可互換跨鏈代幣問題提供了一個令人信服的解決方案，並提供了增強用戶體驗、去中心化、安全性和代幣跨鏈設計靈活性的功能。其中一些特性直接影響以rollup 為中心的路線圖的可行性，使xERC-20 標準成為以太坊L2 生態系統的關鍵基礎設施。

目前，包括Hyperlane、Omni、Sygma、Router Protocol 和Everclear 在內的多個跨鏈橋領域的關鍵參與者已承諾採用ERC-7281 標準，這表明該提案受到了廣泛關注。甚至一些已有代幣跨鏈機制的成熟代幣發行方（如Circle ）也對ERC-7281 標準表現出興趣，以解決未經批准的代幣對用戶和開發者造成的挑戰。值得一提的是，對於關注ERC-7281 標準討論或希望集成xERC-20 的開發人員而言，以太坊魔術師聯盟（ Fellowship of Ethereum Magicians ）和xERC-20 網站，以及xERC-20 發射台（用於聚合創建、監控和管理xERC-20 代幣的工具）將是重要的信息來源和工具。