如何构建AVS
最近在开发者社区里,用 EigenLayer 来搭建基础设施项目几乎成了一种潮流。这一类项目,圈里人管它们叫主动验证服务(A VS),简单说,就是那些需要自己搞一套分布式验证逻辑来确保安全的系统。DAO层、新的虚拟机、预言机、跨链桥……只要你开得了脑洞,几乎都能往里装。

Source: EigenLayer, IOSG
可说到底,一个A VS到底该怎么搭起来?
在动手之前,有四个核心问题,必须先把答案理清楚。
Q1: 你的A VS里,任务到底长什么样?
Q1: 你的A VS里,任务到底长什么样?
在EigenLayer的语境里,“任务”是 Operator 为 A VS 干活的最小单元,这个单元干得好不好,直接跟罚没条件挂钩。
举个常见的例子:
- 在 EigenDA 里面托管并提供一份“DataStore”;
- 替某个跨链桥发布另一条链的状态根。
EigenLayer 官方给过一个更直观的示范——一个专门用来计算数字平方的A VS,流程大致是这样的:

- Task Generator 每隔固定时间就甩出一个任务,里面写清楚要算哪个数字的平方,还得配上法定人数和对应的阈值百分比——也就是必须拿到多少比例的 Operator 签名,这个任务才算数。
- 加入了 A VS 的 Operator 们,得自己从任务合约里读任务编号、计算结果、签上名,再把结果和签名一股脑发给 Aggregator。
- Aggregator 把收集来的签名汇总一下。只要某个 Operator 的响应超过了当初设定的阈值百分比,就打包上传到任务合约里。
- 争议解决窗口开启期间,谁都能跳出来挑刺。DisputeResolution 合约会专门处理那些Operator给出的错误响应——或者干脆没响应的。
- 如果争议最终被坐实,相关的 Operator 就会被冻结在 Registration 合约里,最后还得过一道EigenLayer 否决委员会的关,看他们要不要拦下这个冻结决定。
Q2: 你的A VS想继承哪种信任?
Q2: 你的A VS想继承哪种信任?

Source: EigenLayer, IOSG Ventures
EigenLayer 给了三种可编程的信任路径,看你的需求选。
经济信任
说白了,就是靠质押资产来撑腰。只要搞破坏的成本高过收益,理性的人就不会动手。举个例子:攻击一个跨链桥要花10亿美元,但闹腾半天最多捞回5亿,这事儿傻子才干。罚没机制就是在这个逻辑上再加一把锁,把腐败成本往上推得更高。去中心化信任
核心就一句话:验证者越多、分布越广,就越难串通。你肯定不想让某一家服务商包揽所有节点,不然一旦出问题就是连锁反应。在 EigenLayer 上,A VS 可以自己决定去中心化的尺度。比如给 Operator 加个地理位置限制,或者干脆只允许个人 Operator 入局,再拿更多激励去吸引他们。
这里有个典型案例:

Shutter 搞了一套用阈值加密来防 MEV 的方案。过程里需要一组叫 Keypers 的节点,通过分布式密钥生成(DKG)来搞出一套共享的公私钥。这些节点原本由 Shutter DAO 的治理机制选出。关键问题是,DKG 依赖的是“诚实多数”假设。一旦借助 EigenLayer 的节点运营服务,Shutter 就能拿到更分散的 Keypers 分布,串通风险直线下降,网络也变得更扛造。
类似的,Lagrange 的状态委员会也是由再质押者组成的。每个状态证明,得有至少 2/3 的委员会成员签了特定的区块头,才会通过 SNARK 生成最终的状态证明。
以太坊的“包含”信任

以太坊的验证者,一旦在 EigenLayer 上做了再质押,就能额外向 A VS 做出可信承诺。这样一来,以太坊的提议者可以在协议不升级的前提下,直接在以太坊上提供一些服务。比如通过 MEV-Boost++ 搞部分区块拍卖。
远期区块空间拍卖就是个好例子。买家可以提前锁定未来的区块空间,那些参与了再质押的验证者如果后来没把买家的交易打包进去,就会被罚没。你如果正在搭一个预言机,需要在某个窗口期内喂价格;或者正在跑一个 L2,每隔几分钟就得往以太坊上写一笔 L2 数据——这些场景,恰好是远期区块空间拍卖的典型应用。
Q3: Operator要干的活儿,是轻量级还是重量级?
Q3: Operator要干的活儿,是轻量级还是重量级?
如果你指望继承以太坊验证者那种去中心化,那 A VS 的任务就必须设计得足够轻量。一旦任务消耗的计算资源太重,Solo Operator 根本扛不住,去中心化的效果也就打了折扣。
Q4: 罚没条件怎么定?
Q4: 罚没条件怎么定?
再质押者一旦把资产押进某个 A VS,就等于接受了潜在的罚没风险。而这个风险游戏的具体规则,是由 A VS 自己来设计的。
关键原则是:罚没条件必须在链上可验证、够明确、可仲裁。好比以太坊里双重签名一个区块会被罚,轻节点跨链桥 A VS 里,节点签了一个无效区块也得被罚。
要是罚没条件设计得含糊不清,就容易引发纠纷,甚至拖累整个系统。所以A VS 还得保持可观察性,让跨服务的监控、追踪和记录都能走通。
到底需要多少“信任”?
到底需要多少“信任”?
这个问题取决于你的 A VS 究竟要多少资本做后盾、要多少分布式验证者、要多少以太坊验证者的承诺,以及你打算怎么激励这个生态。
假设一个跨链桥每周交易量 1 亿美元,它租用了价值 1 亿美元的安全性来背书。用户能放心,因为验证者即使想使坏,罚没机制也会跑到前面来补偿用户。考虑到跨链桥的 TVL、再质押的 ETH 数量、Operator 的规模都在动态变化,而且波动可能很剧烈,A VS 必须有办法灵活调整安全预算和缓冲空间。
一种做法是:从总代币供应里划出一部分,专门用来支付经济安全成本。
用了 EigenLayer,我的代币价值会打折吗?

说真的,完全不会。
EigenLayer 支持双重质押,也就是你可以同时用 ETH 和原生代币一起保护网络,两种代币的比例还能动态调整。早期网络不够成熟,ETH 可以占大头;等网络跑起来了,原生代币的戏份自然加重。这种情况下,A VS 完全可以通过协议治理逐步提高原生代币的比例。
更重要的是,当你的 A VS 安全需求在短时间内猛增——比如你服务的 DeFi 协议 TVL 突然暴涨——你依然可以随时从 EigenLayer 那里借力来加固经济安全。从这个意义上说,EigenLayer 更像是一个“弹性”的安全市场,随用随取。
还有哪些外部工具可以借力?
几个值得关注的项目:
在 EigenLayer 的三方市场里,Operator 的安全感很大程度上取决于 A VS 开发者能不能写出靠谱的代码和罚没条件。但 A VS 类型太多,每个跟 Operator 的交互逻辑都可能不一样,这也催生了一个全新领域。为了防止不小心踩到罚没红线,A VS 可以提前把代码库送去做审计。此外,EigenLayer 内部还有个否决委员会,能通过多重签名拦住不合理的罚没决定。与此同时,Cubist 正在跟 EigenLabs 联手开发一个开源的“反罚没”框架——利用安全硬件和自定义策略,在密钥管理器内部控制哪些交易和消息能被签署。比如,同一时间签署两个不同高度的区块头,这种操作在密钥管理器的策略引擎里根本过不了。对于风险偏好高的再质押者或 Operator 来说, Cubist 的 Anti-slasher 应该挺有用。
很多人知道 EigenLayer 能帮 A VS 搭建信任网络,但具体要花多少钱来买这份经济安全才划算?Anzen Protocol 推出了一个叫“安全因子”(SF)的通用度量标准,核心逻辑还是绕不开腐败成本和腐败利润这两个老概念。它能帮 A VS 守住经济安全的最低门槛,又不至于花冤枉钱。
EigenLabs 自己在搞 EigenSDK,专门帮 A VS 写节点软件。里面涵盖了签名聚合、跟 EigenLayer 合约的交互、网络、密码学、事件监控这些模块。Othentic 也在搭建一套开发工具,想帮 A VS 更快地把产品推到市场上。