В многосетевых приложениях кроссчейн-мосты обычно используют фиксированные, неизменяемые модели безопасности, из-за чего разработчикам сложно задавать разную степень проверки для сообщений управления с высокой ценностью и для обновлений данных с низкой ценностью. Модульная архитектура Hyperlane (HYPER) позволяет каждому сообщению выбирать собственный ISM, а разработчики Warp Route могут настраивать отдельный стек безопасности для каждого маршрута актива, чтобы модель безопасности точно соответствовала бизнес-сценарию. Поток кроссчейн-сообщений Hyperlane описывает воспроизводимый путь от отправки до доставки и служит отправной точкой для понимания, когда ISM подключается к процессу.
В Hyperlane vs. LayerZero vs. Wormhole подробно разбирается отличие модульного подхода Hyperlane от LayerZero и Wormhole по трем архитектурным направлениям — Mailbox/ISM, Endpoint/DVN и Guardian/VAA. Это позволяет четко понять, где настраиваемая проверка ISM вписывается в архитектуру протоколов совместимости.
Interchain Security Module (ISM) — смарт-контракт, размещаемый на целевой цепи. Его задача — проверить, действительно ли кроссчейн-сообщение, предназначенное для доставки, существует в исходной цепи. Прежде чем Mailbox вызывает функцию handle у контракта-получателя, он передает сообщение и метаданные от ретранслятора в функцию verify ISM. Если проверка успешна, сообщение доставляется; если нет — сообщение не обрабатывается.
Взаимодействие ISM, Mailbox и ретранслятора происходит так: Mailbox исходной цепи записывает сообщение через dispatch и создает событие. Ретранслятор отслеживает это событие, затем вызывает функцию process Mailbox на целевой цепи, передавая сообщение и метаданные. После этого Mailbox вызывает ISM для проверки. Если контракт-получатель реализует интерфейс ISpecifiesInterchainSecurityModule, он может задать ISM на уровне приложения; если ISM не задан или указан нулевой адрес, Mailbox использует ISM по умолчанию.
| Компонент | Цепь | Основная функция | Ответственность |
|---|---|---|---|
| Mailbox (исходная) | Исходная цепь | dispatch |
Кодирование сообщения, запись в Merkle-дерево, запуск хуков |
| Ретранслятор | Офчейн | — | Отслеживание событий, вызов process на целевой цепи |
| ISM | Целевая цепь | verify |
Проверка источника и целостности сообщения |
| Mailbox (целевая) | Целевая цепь | process |
Вызов ISM для проверки и запуск recipient.handle |
| Контракт-получатель | Целевая цепь | handle |
Исполнение кроссчейн-логики |
Таблица иллюстрирует роль ISM в цепочке доставки кроссчейн-сообщений: ISM выступает контрольной точкой между Mailbox целевой цепи и контрактом-получателем, определяя, разрешено ли выполнение сообщения.
Hyperlane поддерживает три режима использования ISM: Configure (использование готовых ISM), Compose (комбинирование нескольких ISM), Customize (создание нового ISM). ISM по умолчанию — это преднастроенный Multisig ISM в Mailbox, обеспечивающий экономическую безопасность через валидаторов Hyperlane. HYPER и стейкинг stHYPER раскрывает стейкинговые и слэшинг-механизмы набора валидаторов. Если приложение не задает свой ISM, используется модуль по умолчанию.
К готовым ISM относятся Multisig ISM, Routing ISM, Aggregation ISM, Rate Limited ISM, Pausable ISM и другие. Multisig ISM использует модель M-of-N подписей валидаторов и применяется по умолчанию для большинства внедрений. Routing ISM маршрутизирует сообщения между разными ISM по домену исходной цепи — удобно для сценариев с разными требованиями по безопасности. Aggregation ISM требует, чтобы m из n под-ISM прошли проверку, что позволяет комбинировать условия безопасности.
Rate Limited ISM предназначен для Warp Route, ограничивает объем токенов, переводимых в целевую цепь за окно времени. Контракт RateLimitedIsm принимает параметры, такие как maxCapacity, и на этапе verify проверяет, превышен ли лимит. Если да — проверка не проходит, сообщение не доставляется. Этот механизм можно сочетать с RateLimitedHook исходной цепи для двустороннего контроля пропускной способности.
Pausable ISM позволяет владельцу маршрута приостанавливать проверку сообщений при выявлении аномалий, полностью блокируя кроссчейн-переводы. Aggregation ISM может объединять Rate Limited ISM и Pausable ISM: Rate Limited ISM ограничивает потери в атакующее окно, Pausable ISM дает владельцу возможность полностью остановить маршрут, что формирует многоуровневую защиту.
| Тип ISM | Логика проверки | Типовой сценарий |
|---|---|---|
| Multisig ISM | Подписи M-of-N валидаторов | Безопасность по умолчанию, сообщество валидаторов |
| Routing ISM | Маршрутизация по домену исходной цепи | Несколько исходных цепей, разная безопасность |
| Aggregation ISM | m из n под-ISM должны пройти | Комбинированные модели безопасности |
| Rate Limited ISM | Лимит на входящие токены за окно | Контроль пропускной способности Warp Route |
| Pausable ISM | Владелец может приостановить проверку | Реакция на инциденты, экстренная блокировка |
В таблице сравниваются логика проверки и назначение пяти популярных ISM. Aggregation ISM позволяет создавать сложные стеки — например, требовать одновременного прохождения Multisig ISM и Wormhole ISM либо использовать Rate Limited ISM вместе с Pausable ISM для особо ценных сообщений.
Рис. 1. Типы модулей безопасности ISM Hyperlane: взаимосвязи между Default Multisig, Custom Multisig, Aggregation, Rate Limited и Pausable.
Hyperlane Warp Route (HWR) — модульный кроссчейн-маршрут активов на основе Mailbox. Каждый Warp Route развертывает контракты входа и выхода на всех цепях и координирует блокировку, выпуск, сжигание и разблокировку токенов через кроссчейн-сообщения. В отличие от мостов с фиксированной моделью безопасности, разработчики HWR могут выбирать ISM для проверки сообщений, индивидуально настраивая безопасность маршрутов.
К распространенным HWR относятся: Native Token HWR (прямой перевод нативных токенов газа, например ETH), Collateral-Backed ERC20 (блокировка обеспечения ERC-20 в исходной цепи и выпуск синтетических токенов в целевой), Synthetic ERC20 (выпуск синтетической версии на целевой цепи), Warp Route 2.0 (поддержка мультичейн-обеспечения и ребалансировки через Rebalancer). Перед использованием Warp Route рекомендуется изучить его ISM и предпосылки доверия.
Стандартный прямой поток: пользователь вносит токены в Warp Route исходной цепи, контракт блокирует обеспечение и вызывает Mailbox.dispatch для отправки сообщения. Ретранслятор передает его в целевую цепь через Mailbox.process. После проверки ISM Warp Route целевой цепи выпускает или разблокирует токены. Обратный поток: пользователь сжигает синтетические токены в целевой цепи, после проверки ISM исходная цепь разблокирует обеспечение.
HypERC20Collateral и HypERC20 — стандартные типы контрактов Warp Route для EVM-цепей. Первый блокирует ERC-20 на цепи-обеспечении и отправляет сообщение, второй принимает проверенное сообщение на синтетической цепи и выпускает 1:1 синтетический токен. Nexus Bridge — пользовательский кроссчейн-интерфейс, который на техническом уровне также использует Warp Route и ISM.
Рис. 2. Поток Warp Route Hyperlane: исходная цепь блокирует обеспечение, Mailbox отправляет сообщение, ISM целевой цепи проверяет и выпускает синтетические токены; обратный путь — сжигание и разблокировка.
Хуки — модули постобработки, которые выполняются после dispatch Mailbox исходной цепи. Они дополняют ISM на целевой цепи: хуки управляют исходящим поведением, ISM — входящей проверкой. Функция dispatch Mailbox вызывает функцию postDispatch Hook после записи сообщения. Хук может собирать газ, писать в Merkle-дерево, ограничивать скорость, проверять паузы и т. д.
Типовые хуки: MERKLE_TREE, INTERCHAIN_GAS_PAYMASTER, PAUSABLE, RATE_LIMITED. RateLimitedHook размещается в исходной цепи и сочетается с RateLimitedIsm целевой цепи. На этапе dispatch он проверяет, не превышает ли исходящая сумма лимит окна, обеспечивая двусторонний контроль пропускной способности. Pausable Hook позволяет владельцу приостанавливать отправку сообщений в исходной цепи, а с Pausable ISM — одновременно блокировать маршруты с обеих сторон.
Хуки и ISM работают по принципу «хук исходной цепи + ISM целевой цепи»: хук реализует ограничения при отправке (postDispatch), ISM — проверку при получении (verify). Возможны кастомные сочетания по паттерну OpStackHook и OpStackIsm.
При развертывании Warp Route можно указать адреса interchainSecurityModule и Hook. TypeScript SDK и CLI поддерживают перечисления вроде IsmType.RATE_LIMITED, что позволяет прямо задавать параметры RateLimitedIsm (например, maxCapacity, owner, recipient) в настройках Warp Route. Для вложения Rate Limited ISM в Aggregation ISM требуется версия ретранслятора не ниже agents-v2.2.0.
При создании пользовательского ISM контракт-получатель должен реализовать интерфейс InterchainSecurityModule с функциями verify и moduleType. verify содержит ключевую логику проверки; возврат false или откат приводят к недоставке сообщения. moduleType указывает ретранслятору, какой формат метаданных прикладывать. При ошибках конфигурации — слишком мало валидаторов, низкий порог, неохват всех исходных цепей — безопасность кроссчейн-передач снижается.
В Aggregation ISM необходимо четко задать порог m из n и адреса всех под-ISM. Значение maxCapacity для Rate Limited ISM должно быть не меньше 86400 и кратно 86400. Владелец может менять скорость пополнения через setRefillRate. Полномочия по паузе в Pausable ISM сосредоточены у владельца; неправильное управление ключом владельца может привести к злонамеренной блокировке или несвоевременной реакции на события.
При настройке Warp Route важно учитывать независимость конфигураций ISM для каждого маршрута. Перед использованием пользователям следует проверять сетевые адреса контрактов и типы ISM. Соответствие токенов между цепями Collateral и Synthetic должно сохраняться 1:1. Если Rebalancer — управляющий сервис, возникает зависимость от оператора. Фальшивые контракты Warp Route могут приводить к потере активов; рекомендуется проверять через Explorer и известные адреса развертывания.
Безопасность Multisig ISM по умолчанию обеспечивается стейкерами HYPER и набором валидаторов. Для кастомных ISM разработчикам следует самостоятельно оценивать качество валидаторов, пороги подписей и механизмы слэшинга.
ISM — модуль безопасности Hyperlane для проверки кроссчейн-сообщений на целевой цепи. Warp Route — модульный маршрут активов на базе Mailbox. Multisig ISM по умолчанию обеспечивает экономическую безопасность через валидаторов Hyperlane. Разработчики могут использовать Configure, Compose или Customize для развертывания ISM (Multisig, Routing, Aggregation, Rate Limited, Pausable) и сочетать их с хуками исходной цепи для двустороннего контроля скорости и паузы. Разработчики Warp Route задают отдельный ISM для каждого маршрута; пользователям рекомендуется заранее изучить настройки безопасности маршрута и предпосылки доверия.
ISM — общее название модулей проверки кроссчейн-сообщений. ISM по умолчанию — это преднастроенный Multisig ISM в Mailbox, который применяется, если приложение не указывает отдельный ISM. Приложение может переопределить настройку по умолчанию через интерфейс ISpecifiesInterchainSecurityModule.
Rate Limited ISM на этапе verify в целевой цепи проверяет, превышает ли суммарная входящая сумма токенов за окно времени лимит maxCapacity. Если да — проверка не проходит, сообщение не доставляется. Хук исходной цепи RateLimitedHook может накладывать аналогичное ограничение на исходящие суммы на этапе dispatch, обеспечивая двусторонний контроль. Значение maxCapacity должно быть не меньше 86400 и кратно 86400.
Aggregation ISM требует прохождения m из n настроенных под-ISM для доставки сообщения. Например, можно потребовать одновременно прохождение Multisig ISM и Rate Limited ISM, либо вложить Pausable ISM и Rate Limited ISM для сочетания ограничения скорости и экстренной блокировки. В качестве под-ISM могут использоваться любые адреса контрактов ISM.
Warp Route (HWR) — кроссчейн-маршрутизатор активов, отвечающий за блокировку, выпуск, сжигание и разблокировку токенов, с возможностью указания отдельного ISM. Nexus Bridge — пользовательский интерфейс на базе Warp Route, упрощающий кроссчейн-операции с токенами. В техническом плане он также использует передачу сообщений Mailbox и проверку ISM.
Слишком малый набор валидаторов или низкий порог ослабляют безопасность Multisig ISM. Ошибки в настройке подмодулей Aggregation ISM могут сделать некоторые условия безопасности неэффективными. Некорректные параметры maxCapacity в Rate Limited ISM могут чрезмерно ограничить переводы. Утечка ключа владельца Pausable ISM приведет к злонамеренной блокировке маршрута. Пользователям рекомендуется проверять адреса контрактов ISM и параметры, а также различать экономическую безопасность стандартных валидаторов и доверительные допущения пользовательских ISM.
Хуки выполняют postDispatch после отправки сообщения Mailbox исходной цепи и управляют исходящей логикой: оплатой газа, записью в Merkle-дерево, ограничением скорости, постановкой на паузу. ISM выполняет verify в процессе Mailbox целевой цепи и отвечает за проверку при получении. RateLimitedHook и RateLimitedIsm работают в исходной и целевой цепях соответственно и обеспечивают двусторонний контроль пропускной способности.





