数字资产的兴起给安全密钥管理带来了前所未有的挑战。十多年来,基于 BIP-39 助记词的钱包模型一直是资产自治的支柱。但根据Tan Phat Digital的记录,实际运营表明该模型存在单点故障和人为错误的固有风险。多方计算(MPC)技术已成为一种有前途的替代方案,有望通过分散控制来完全消除助记词漏洞。下面的分析将通过研究从密钥分片到核心信任假设的技术方面,广泛评估 MPC 钱包是否真的比传统助记词钱包更安全。
密钥管理模型的演变:从 EOA 到 MPC
加密货币钱包的历史始于外部拥有账户 (EOA),其中私钥唯一持有者完全控制资产。最初,用户必须管理复杂的字母数字字符串,这导致频繁丢失密钥。为了改善用户体验,引入了 BIP-32(去中心化钱包 - HD)和 BIP-39(助记词)等标准。尽管使用 12 到 24 个英文单词使备份变得更容易,但安全性的本质仍然没有改变:任何掌握该短语的人都可以完全访问资产。
向 MPC 的转变不仅仅是界面的变化,而且是加密层的革命。 MPC 允许各方根据其秘密数据共同计算函数,而无需互相透露该数据。当应用于加密货币钱包时,MPC 用分布式过程取代了单个私钥的概念,确保系统中任何地方都不存在完整的私钥。
种子短语钱包:黄金标准及其固有的漏洞
种子短语模型的运行假设用户有能力绝对保护物理秘密。私钥是根据种子短语生成的并存储在设备上。要执行交易,必须将该私钥加载到内存中进行签名,从而创建中心化的攻击目标。
单点故障
助记词钱包的最大风险是权力集中。如果助记词丢失,资产将被永久锁定。如果助记词通过网络钓鱼或恶意软件攻击被盗,整个资产将立即消失。即使对于大型组织来说,管理单个种子短语也是一场“运营噩梦”,因为当一个人完全控制时,它会产生极高的内部风险。
人为错误和物理风险
种子短语备份通常依赖于纸张或金属等物理介质。这些材料可能会因火灾、洪水而被毁坏或干脆丢失。此外,普通用户往往倾向于以数字方式存储助记词(拍照、保存在云端),这违反了基本的安全原则。
另请参阅:MPC 钱包是什么
多方计算(MPC):消除弱点的唯一解决方案
MPC通过划分所有权彻底改变了方法。系统创建许多独立的“密钥共享”,而不是单个密钥。这些密钥片段协作为区块链创建有效的数字签名,而无需重新组装以恢复原始私钥。
密钥分片机制:分片和秘密分发
MPC中的密钥分片使用阈值签名方案(TSS)等算法来确保每个密钥片段在孤立时都是无意义的数学值。以下是两种模型之间的详细比较:
种子短语钱包:
密钥初始化:生成完整密钥,然后生成种子短语。
存储:单个位置(设备或纸张)。
唯一的弱点:存在(它是种子短语)。
可恢复性:完全取决于短语的物理保存。
MPC 钱包:
密钥初始化:从头开始创建分布式密钥片段,永远不会形成完整的密钥。
存储:分布在多个设备或独立方。
独特弱点:无(攻击者必须妥协多方
可恢复性:依赖现代多重身份验证 (3FA) 机制。
另请参阅:什么是非托管钱包?
分布式密钥生成(DKG):非接触式密钥生成
在DKG过程中,参与方在任何一方不知情的情况下共同生成密钥对方的棋子。相应的私钥仅作为抽象的数学概念存在;它永远不会在任何驱动器或内存上物理形成。这样可以防止初始化时密钥泄露的风险。
阈值签名方案(TSS):在不恢复密钥的情况下对交易进行签名
当需要执行交易时,持有密钥片段的各方参与多轮计算过程。此过程确保:
最终签名完全有效,并且与常规 EOA 钱包的签名没有区别。
任何一方都不能在未达到批准阈值(例如 2-of-2 或 2-of-3)的情况下任意签署交易。
在此过程中,完整的私钥永远不会出现在设备内存中
分析信任假设:MPC 钱包的信任假设
虽然 MPC 带来了突出的优势,但 Tan Phat Digital 强调它还引入了新的信任假设。信任从用户本身转移到服务提供商及其技术基础设施。
活跃度和可用性
在流行的 2-of-2 模型中,如果提供商服务器离线,用户将无法进行交易。作为解决方案,使用独立第三方或备份恢复机制(托管)的 2-of-3 模型通常是长期存储的首选。
盲签名风险和意图完整性
主要挑战是“意图验证差距”。如果黑客破坏了钱包应用程序并更改了目标地址,MPC 流程仍将继续进行“盲”签名。现代系统通过在签名前添加交易模拟层来分析用户的真实意图来解决这个问题。
MPC上下文中的自我托管
大多数MPC钱包都符合非托管标准,因为提供商无法在没有用户密钥片段的情况下单方面发起交易。不过,安全性还是取决于厂商是否对源代码透明。
详细安全性对比:MPC vs. Seed Phrase vs. Multi-Sig
根据Tan Phat Digital的分析,三种方案的定位总结如下:
Seed Phrase钱包:
机制:单个私钥。
攻击面:弱点集中在种子簇短语中。
Gas成本:最低(仅1)签名)。
隐私:高。
兼容:所有链。
多重签名钱包:
机制:多个唯一私钥已成立。
攻击面:许多弱点(攻击者必须捕获多个密钥)。
Gas成本:高(由于链上多个签名)。
隐私:低(暴露链上钱包)结构)。
兼容性:支持链智能合约的限制。
MPC钱包:
机制:数学上碎片化的密钥。
攻击面:分布式(必须危及多个密钥)片段同时)。
天然气成本:低(生成的签名与单个钱包相同)。
隐私性:高(不暴露跨链痕迹)。
兼容:所有链(与链无关)。
实际安全漏洞:BitForge 和 TSSHOCK 的经验教训
虽然理论上功能强大,但 MPC 实现可能会导致漏洞如果缺乏控制。 BitForge (2023) 漏洞表明,恶意行为者可以发送特制消息,以在一定数量的签名后提取整个密钥片段。这强调了 MPC 的安全性完全取决于其数学实现的严谨性和深入的安全审计。
性能和延迟
MPC 钱包的性能在各代协议中显着提高:
GG18:需要 9 轮通信,延迟很少秒。
GG20:减少到6轮,显着提高速度。
CGGMP21:最现代的标准,只需要4轮通信,最佳条件下延迟小于100ms。
风险管理和恢复机制
MPC通过灵活的机制解决“失去就是全部失去”的问题主题:
3FA模型(如Zengo):结合电子邮件、云备份和面部生物识别来恢复关键片段。
业务连续性:信誉良好的提供商使用源代码托管(Escrow)和生命证明来确保用户可以恢复他们的帐户。
未来:MPC 和帐户抽象 (AA) 的融合
Tan Phat Digital 预测未来将是两种技术的结合:
底层的 MPC: 安全、分布式私钥管理和
上层账户抽象:强制交易逻辑(支出限制、任何代币中的gas支付)。
这种组合提供了传统的类似应用程序的体验(Web2),而不牺牲Web3的安全性。
比较分析:硬件钱包(Hardware Wallets)与MPC钱包
硬件钱包(冷存储):
存储:离线在专用安全芯片中。
保护:防止物理篡改。
恢复:基于物理种子短语(风险)丢失/被盗)。
便利性:低(需要连接设备才能签名)。
可扩展性:不适合企业环境。
MPC 钱包(热/温):
存储:分布在多个节点或设备上。
保护:不依赖于单个物理设备。
恢复:3FA、生物识别、社交
便利性:高(快速在线签名)。
可扩展性:高(通过 API 和云进行管理)。
常见问题(FAQ)
什么是MPC钱包?
这是一种利用多方计算技术将私钥分割成许多独立的碎片存储在不同地方的钱包。
为什么 MPC 钱包不需要助记词?
由于密钥永远不会以其独特的完整形式存在,因此没有“助记词”以传统方式支持它。
MPC钱包真的“非托管”吗?
是的,因为服务提供商只持有一块密钥,未经用户密钥批准不能随意转移资产。
什么是“密钥碎片”?
是私钥的数学组成部分。每一块单独存在都是没有意义的,不能用来恢复钱包。
如果我丢失手机会怎样?
您可以通过电子邮件、生物识别和加密云备份等多重身份验证 (3FA) 恢复访问权限。
如果钱包提供商破产怎么办?
信誉良好的钱包通过独立第三方建立“保证访问”机制或托管源代码,以便用户在需要时恢复密钥。
MPC 钱包支持多个区块链吗?
是的,MPC 架构是“链无关”的,这意味着它可以在任何使用标准数字签名的区块链上运行。
与硬件钱包相比,MPC 钱包的安全性如何?
MPC 提供类似机构的安全性,但具有更大的灵活性,消除了保护管理种子短语带来的物理风险。
“盲签名”的风险是什么?
用户在没有清楚看到里面的内容的情况下签署交易,可能会导致恶意合约的错误批准。
MPC钱包的交易速度是多少?
签名速度从100毫秒到几秒不等,具体取决于密钥碎片的数量和网络连接质量。
当 MPC 执行链下签名并且仅将单个签名发布到区块链时。 “密钥轮换”如何运作?
系统会定期刷新现有密钥。如果以前不小心被盗,这有助于消除旧的钥匙碎片。
MPC 可以与账户抽象 (AA) 结合吗?
可以,MPC 管理签名密钥(链下),AA 管理执行逻辑(链上),从而创建当今最全面的安全解决方案。
MPC 技术是否符合 NIST 等国际标准?
NIST 机构正在制定阈值签名(TSS)官方标准,这将促进主要银行的采用。
经过广泛分析,Tan Phat Digital 确认:MPC 钱包实际上比钱包种子短语更安全、更方便通过消除独特的弱点并实现恢复流程的现代化,MPC 可以让个人和组织安心。
但是,您应该注意:
选择信誉良好的供应商:优先开源代码并接受领导单位审核。
了解恢复机制恢复:确保有备份计划
合并意图验证:使用具有内置交易模拟功能的钱包来避免复杂的网络钓鱼攻击。
MPC 技术正在重新定义信任标准,从对个人的信任转变为对分布式数学力量的信任。
分享
