一直以來自託管錢包維護自己的加密資產一直被譽為管理加密資產的最佳實踐。從FTX暴雷事件開始,“not your keys, not your coin”(不是你的鑰匙,不是你的代幣), 引發了大量的交易所提幣運動,俗稱對交易所的壓測。大眾的視線也開始開始向非託管錢包(也稱自託管錢包)的轉移。錢包作為Web3.0的入口,其用戶體驗與安全性直接影響到加密行業何時能迎來大規模採用。儘管各大錢包在這方面卯足了勁,可在普通用戶的眼裡,錢包使用體驗依然不盡人意。交易所錢包雖然易用,但是自有資產安全性是一個很大的隱患,因為一旦發生如同FTX的破產暴雷,對於在交易所的加密資產將是毀滅性的。當然自託管錢包被盜事件層出不窮。自託管錢包雖然保證自己資產的百分百控制,但助記詞和私鑰比傳統互聯網的用戶名-密碼複雜了很多。據Chainalysis 的研究報告顯示,截止2021 年約有20% 流通中的比特幣,因所有者不記得私鑰而丟失。

目前錢包主要面臨的兩大問題

一、安全問題

助記詞或私鑰的被盜或丟失,導致資產丟失。
儘管業界做出了巨大的集體努力來教育用戶了解保持助記詞或者私鑰安全的重要性,但這種單點故障仍然是更廣泛採用的重大障礙。如果丟失了私鑰,除了會丟失所有資產外,用戶還必須手動跟踪多個地址、令牌批准,並因必須為新地址提供資金而損害隱私。
WEB3應用層的創新速度意味著今天,黑客通過構造攻擊手段不僅可以完全訪問某人的畢生積蓄,而且因為鏈上數據的不可篡改永久存儲特性,也越來越多地與有助於他們在線身份的鏈上歷史相關聯。獲取私鑰的動機是如此之大,以至於從業餘黑客到國家資助的黑客,每個人都投入了無限的資源來執行越來越有創意的攻擊。如今,僅僅依靠用戶安全意識已經遠遠不夠了

二、用戶體驗

大量用戶仍然接受保管風險以換取較低的成本和易用性。模因和痛苦的教訓只是讓我們到目前為止讓自我託管成為默認設置,在非託管錢包基礎設施成為保護和管理資產的阻力最小的途徑之前,我們還有一段路要走。
當然為了解決上述問題,市面上也出現了很多產品。並且與所有設計決策一樣,針對給定用戶群體的多個考慮因素的優化問題,以及錢包解決方案和密鑰管理實踐的能力,以平衡目標用戶的集體需求:
    • 個人
需要無縫的用戶體驗、低成本和與dapp 交互的靈活性。
    • DAO
需要透明的資金管理和生態系統治理參與。
    • 機構
希望通過鏈不可知性、可審計性和機構級安全性來外包責任。
兩類替代密鑰管理解決方案有了重大發展:智能合約錢包(包括多重簽名錢包)和MPC錢包。市面上主流產品如下所示:
Web3錢包路在何方?

目前已有的兩大解決方案(智能合約錢包,MPC協議錢包)

一、智能合約錢包

以太坊目前有兩種賬戶類型:
  • 外部擁有賬戶(EOA)——由私鑰控制
  • 智能合約賬戶——由代碼控制
智能合約錢包(“智能錢包”)只是行為類似於錢包的智能合約,即允許用戶管理其資金、使用web3 登錄以及與dapp 交互的界面。與私鑰錢包不同,智能錢包需要初始成本來創建,因為智能合約需要部署在鏈上。
多重簽名錢包是智能合約錢包,需要M-of-N 密鑰的簽名才能執行交易。雖然MPC 只創建一個簽名,而不管參與的密鑰共享數量如何,但多重簽名使用由不同私鑰生成的不同簽名來簽署交易。這使得它與現有的私鑰錢包兼容,並且位於 HD 錢包地址(如Ledger 或Metamask)之上一層。

二、 MPC錢包

MPC(多方運算協議),全稱為Multi-Party Computation,是一種重要的加密安全措施。其包含了很多種技術方案,在本文的語境下主要指MPC-TSS。而MPC錢包,是通過對私鑰進行多方計算在鏈下實現“多簽“、”跨鏈“等等更複雜的驗證方式。
簡單來說,就是將一個私鑰打碎成多片,將私鑰碎片交與一個去中心化的網絡(Multi-Party多方)進行計算和加密。當需要私鑰簽名時,則將多方碎片再拼接起來形成一個完整的私鑰。 MPC的核心思路為分散控制權以達到分散風險或提高備災的目的,有效避免了單點失敗等安全問題。在密碼學中,這對於保存用於解密數據或生成數字簽名的私鑰特別有用
MPC 錢包通過使用閾值簽名方案(TSS) 消除了單點故障。在這種範式下,我們創建和分發部分私鑰,這樣就沒有人或機器可以完全控制私鑰——這個過程稱為分佈式密鑰生成(DKG) 然後,我們可以通過合併股份共同生成一個公鑰,而不會暴露各方之間的加密因子。並且在用戶自己加密因子洩露的情況下,可以通過Private Key Rotation(是另一種MPC 協議 ,它將輸入共享的秘密因子,並輸出一組新的共享密鑰。刪除舊的加密因子,並使用新的加密因子替換,可以在不更改相應公鑰和地址的情況下以相同的方式使用。
MPC錢包“多方參與”的概念與“多簽錢包”有些類似,但實際上,雖然都可以實現“多簽”的功能,二者的實現途徑是不一樣的。
之前我們所熟知的多簽錢包,比如Gnosis Safe等等,是建立在智能合約上的錢包,合約中定義了驗證邏輯,比如如果需要驗證一筆交易,需要一個以上的私鑰,或者五個中至少三個私鑰進行驗證。這類錢包屬於後文即將提到的智能錢包的一種。而MPC錢包,則是將一個私鑰分解成多個片段,驗證過程只涉及到一個私鑰。並且計算網絡是鏈下的,與智能合約並無聯繫。

展望

從長遠來看,MPC 和智能錢包並不是競爭關係,而是互補關係。 MPC 在密鑰生成和管理級別提供共享安全性,而智能合約為功能和應用程序開髮帶來可擴展性和生態系統方法。例如:
  • MPC 可以通過將一個或多個私鑰分成多個部分來增強現有的多重簽名方案。如果三個人被用來保護2-of-3 多重簽名,這三個用戶中的每個人都可以使用MPC 細分他們的個人私鑰,並將他們的MPC 密鑰部分存儲在獨立的機器上,即讓一個MPC 帳戶成為一個保險箱的所有者。
  • 社區或DAO 可以是擁有PKP NFT 的多重簽名的簽名者,該NFT 管理去中心化的雲錢包,可用於自動投資或者DEX交互。
由於中心化加密金融機構頻頻爆雷行為削弱了大家對行業的信任,招致監管審查,最重要的是很多用戶在其中失去了的資金,甚至還損失了畢生積蓄。 Web3大規模進入大眾需要一個優質錢包產品,既能結合MPC錢包的共享安全性又能使用智能合約為應用開髮帶來可擴展性。讓每個人都可以參與去中心化經濟而不再將命運掌握在少數人手中。