메타마스크와 같이 일반적으로 사용되는 플러그인 지갑은 BIP 32, 39 프로토콜을 통해 mnemonic-seed-public-private 키를 생성하여 작동하며 각 트랜잭션에는 개인 키가 일반 텍스트로 참여해야 합니다.
MPC 지갑에는 다른 장치에 저장된 키 샤드만 있으므로 MPC 지갑은 트랜잭션 서명 중에 일반 텍스트 개인 키를 노출하지 않으며 사용자의 장치가 손상되더라도 해커는 얻을 수 없습니다. 완전한 개인 키. 하지만 여전히 유저들 앞에는 등의 위험이 도사리고 있으니...
최근 지갑의 개인키 보안이 다시 한 번 세간의 주목을 받고 있다. 올해 3월 초 ARB 에어드롭이 있는 많은 주소에서 개인 키가 유출되어 과학자들을 위한 "횡재 잔치"가 촉발되었습니다. 외국 KTV에서 사기꾼들은 KTV의 공용 전원 은행을 조용히 개조하고 악성 프로그램을 심었습니다.손님은 하루의 대부분을 KTV에서 노래하고 술을 마시고 소비합니다.그들의 휴대 전화는 쉽게 방전되어 빌리기 쉽습니다. 트레저, 너는 충전하는 보물이 너의 핸드폰을 충전하는 줄 알았는데, 알고 보니 핸드폰의 데이터를 읽고 지갑의 개인키를 훔쳐간 것이었다."
일반 web3.0 플레이어는 어떻게 체인의 어두운 숲에서 지갑 자산을 보호하고 비극을 피할 수 있습니까?
기반을 다지고 있는 솔루션은 MPC 지갑이지만 어떻게 작동합니까? 사용 후 정말 완전히 안전합니까? 이 기사는 정확한 과학을 제공합니다.
우선 MPC(Multi-party Computation)는 1982년 Tsinghua University의 Yao Qizhi 교수가 제안한 영지식 증명 기술 경로입니다. 실제 응용 시나리오에서는 RSA, ElGamal과 같은 많은 현대 암호화 기술을 다룹니다. 및 ECDSA 키 암호화 알고리즘, Shamir 비밀 공유 프로토콜 등 이러한 기술의 조합으로 MPC는 매우 안전하고 확장 가능하며 다음과 같은 보안 요구 사항을 보장합니다.
분산 암호화를 사용하면 데이터를 여러 부분으로 나누고 서로 다른 당사자에게 저장할 수 있으므로 데이터 유출 위험을 피할 수 있습니다.
영지식 증명은 사실과 관련된 다른 정보를 공개하지 않고 사실의 진위를 증명할 수 있습니다.
비밀 공유는 여러 당사자에게 정보를 배포할 수 있으므로 정보 전체가 한 당사자에 의해 독립적으로 제어되지 않도록 합니다.
MPC 개념을 지갑 제품에 적용하기 위해 현재 업계에서 일반적인 방법은 다음과 같습니다.
각 지갑 관리자(참가자)는 키 조각을 보유합니다.
그리고 트랜잭션이 필요할 때 일정 수의 참여자들이 협력하여 TEE(신뢰할 수 있는 암호화 실행 환경)에서만 완전한 개인 키를 재구성하고 서명 프로세스를 완료할 수 있습니다.
이 비즈니스 프로세스는 트랜잭션 중에 일반 텍스트 개인 키가 노출되지 않도록 합니다. 사용자가 키 조각을 저장한 장치가 해킹되더라도 해커는 완전한 개인 키를 얻을 수 없으므로 보안이 향상됩니다.
MPC 기술로 구현된 다중 서명 지갑과 Safe(Gnosis)와 같은 스마트 계약으로 구현된 다중 서명 지갑의 핵심 차이점은 다음을 통해 스마트 계약 다중 서명 지갑이 거래에 참여한다는 점을 찾는 것은 어렵지 않습니다. 개인 키(블록체인 주소) 다중 서명을 달성하기 위해 참가자의 개인 키가 도난당할 위험이 여전히 있지만 MPC 지갑의 참가자는 완전한 개인 키를 가지고 있지 않지만 임계값 서명(Threshold Signature)을 실현합니다. 체계) 키 샤딩을 통해 단일 지점 위험을 제거합니다.
하지만 자산은 이제부터 완전히 안전할까요? 당연히 아니!
MPC 지갑은 서명 프로세스의 보안을 실현하지만 사후 위험 [샤딩 보안 관리 전략]을 사용자 앞에 둡니다.
현재 시장에는 MPC 지갑의 주요 샤딩 관리 전략에 대한 세 가지 주류가 있습니다: [자체 보관 모드] [하이브리드 보관 모드] [중앙 집중식 보관 모드]. 그 중에서 [self-custodial 모드]는 하드코어 암호화 기본 개념에 가장 적합합니다: 사용자는 니모닉 및 모든 키 조각을 스스로 관리해야 합니다.니모닉 및 모든 스토리지 조각화 장치가 손실되면 자산은 체인은 깊은 잠에 빠졌고 [하이브리드 호스팅 모델] [중앙 호스팅 모델] 전략은 익숙하지 않은 장치 복구 및 사회 복구와 같은 기능을 달성할 수 있지만 샤드 호스팅 당사자는 인간 본성이 악을 행하는 위험을 100% 제거할 수 없기 때문에 보안은 CEX와 동일하며 설립자의 신뢰성에 크게 의존합니다.
(제품 프로모션이 있는 경우: 복구 및 자체 호스팅 모드를 실현할 수 있으며 이는 자체 모순입니다. 즉시 멀리하는 것이 좋습니다! 큰 기회는 "킬러"입니다!)
따라서 사용자는 MPC 지갑을 선택할 때 어려운 문제에 직면하게 됩니다: 1. [셀프 호스팅 모델] 제품을 선택한 다음 니모닉을 보호하기 위해 더 많은 에너지와 비용을 사용하고 2. [하이브리드 호스팅 모델] 및 [센터 호스팅을 선택합니다. 모델] 제품, web2.0에 가까운 사용자 경험을 즐기되 제품 운영자가 악을 행하지 않을 것이라고 믿어야 합니다.
정리하면 MPC 지갑의 보안은 서명 과정뿐만 아니라 키 샤딩의 관리 전략과도 관련이 있다.
[셀프 호스팅 모드]는 기업 수준 사용자에게 더 적합합니다: 완전한 보안을 추구하고 충분한 인력과 리소스를 확보하여 니모닉 단어와 샤드 저장 장치가 동시에 손실되지 않도록 합니다. 모드] [중앙 호스팅] 모드]는 일반 웹 3.0 플레이어에 더 적합합니다. 자금이 적고 위치가 분산되어 있으며 중앙 집중식 시나리오에 대한 수요가 엄격하여 인간 본성을 신뢰하는 데 익숙합니다. (FTX와 같은 재난이 발생하더라도 손실은 상대적으로 적습니다).
그러나 저자는 사용자가 중앙화된 기관에서 자금을 인출할 때 개인과 팀 모두 더 높은 수준의 보안을 얻기를 희망해야 한다고 생각합니다. Ethereum의 EIP-4337 출시는 향후 DAPP가 소셜 로그인, 소셜 복구 등을 지원하는 서비스(게임, 소셜 네트워킹 등)를 사용자에게 제공할 수 있음을 의미하며 사용자는 상대적으로 보안에 덜 민감합니다. [하이브리드 호스팅 모델] 및 [중앙 집중식 호스팅 모델]의 제품 시장에 큰 영향을 미치고 심지어 그렇게 할 수도 있습니다. 제품은 EIP-4337이 공식적으로 출시된 후 완전히 제거되었습니다.
크레기스 리서치 소개
CregisWeb3.0 시대의 자산관리 협업 플랫폼으로 사용자에게 MPC 지갑 + 기업 수준의 금융 SaaS 도구를 제공하며 6년 동안 안전하게 운영되고 있습니다.
Cregis Research는 지식 공유 플랫폼으로 web3.0 매니아들에게 블록체인 및 암호화 기반 기술에 대한 수분 0, 오도 0, 비즈니스 중심의 대중 과학 콘텐츠를 제공하고자 합니다.
