常用的插件錢包,如 metamask,工作原理是通過 BIP 39 協議生成種子-助記詞-公私鑰,每次交易也需要私鑰明文參與。
而 MPC 錢包則僅有私鑰分片,且保存在不同的設備上;所以 MPC 錢包在簽名交易的過程中不會暴露明文私鑰,即使用戶的設備被入侵,黑客也無法獲取完整私鑰。但還有一個后置風險擺在用戶面前......
近期錢包的私鑰安全再一次成為了輿論焦點。在今年 3 月初,大量擁有 ARB 空投的地址被泄露私鑰,引發了一場科學家的“橫財盛宴”;早前,一位行業 OG 的推特發出警示:“發現一種新型盜幣方式,在國外的 KTV 里,詐騙團伙悄悄把 KTV 的共享充電寶改裝了并植入了惡意程序,客人在 KTV 里唱歌、喝酒消費啥的一待就是大半天,手機很容易沒電,然后就去借充電寶,結果你以為充電寶在給自己手機充電,結果是在讀取手機里的數據、竊取錢包里的私鑰。”
Cream Finance黑客將365.7 ETH轉入TradeOgre,1月迄今已轉移超2000枚ETH:金色財經報道,據PeckShieldAlert披露數據顯示,利用 Cream Finance 漏洞實施攻擊的黑客再次轉移資金,據該黑客標記地址顯示,目前已將 365.7 ETH(約合 60 萬美元)轉入 TradeOgre。自 2023 年 1 月以來,這個黑客總計將 2070 枚 ETH 轉入 TradeOgre,價值達到 326 萬美元。[2023/1/30 11:36:04]
普通的web3.0 玩家如何在鏈上黑暗森林中保護自己的錢包資產,避免悲劇發生?
目前逐漸普及的解決方案是 MPC 錢包,但其工作原理如何?使用后就真的徹底安全了嗎?本文將為大家精準科普。
Ripple公布NFT創作者基金Ripple Creator Fund第二批接受者名單:10月18日消息,Ripple已公布其2.5億美元的創作者基金Ripple Creator Fund的第二批受助者名單,包括元宇宙平臺 9LEVEL9、日本NFT市場Anifie、NFT體育平臺Capital Block、XRP NFT市場NFT Master、NFT IP公司SYFR Projects、NFT會員項目ThinkingCrypto等。
據悉,Ripple本次總共收到了大約4,000份申請,他們計劃在今年第四季度的某個時候宣布第三批也是最后一批創作者基金的獲得者。(Decrypt)[2022/10/18 17:31:19]
首先,MPC(Multi-party Computation)多方計算,是清華大學姚期智教授在 1982 年提出的零知識證明技術路徑,在實際應用場景中,涵蓋大量現代密碼學技術,如 RSA、ElGamal 和 ECDSA 等公鑰密碼學算法,及 Shamir 秘密共享協議等。這些技術的結合使得 MPC 具有高度的安全性和可擴展性,并確保以下的安全訴求:
CremaFinance公布漏洞事件補償方案,幾周后將重新上線完整協議:金色財經報道,Solana生態流動性服務協議Crema Finance發布漏洞事件補償公告稱,Crema剛剛經歷了艱難的一周。幸運的是,我們幾乎可以解決問題。我們已經追回了絕大部分被盜資金,并且正在逐步恢復原有的資產組合。
Crema將在下周晚些時候開啟資產提取合約,該合約將由SlowMist進行審計;Crema也將從團隊Token分配中拿出1.5%(1500萬枚CRM),以補償在該事件中損失資金的所有用戶;對于受到攻擊的流動性池,流動性提供者在撤回資產時將獲得veNFT;為確保CRM的充足流動性,Crema每月將使用協議交易費用的 7.5%回購CRM并銷毀,回購計劃將從全面重啟Crema開始。
Crema同時表示,幾周后,Crema的完整協議將再次上線。資產安全將是Crema未來發展的重中之重。[2022/7/9 2:02:03]
分布式加密可使得數據被分割為多份,分別存儲在不同的參與方處,從而避免數據泄露風險;
CREAM與PleasrDAO進行DAO與DAO之間的借貸業務 抵押物為NFT:鏈上抵押借貸平臺CREAM Finance將進行DAO與DAO之間的借貸業務,將使用NFT收藏品作為擔保,信貸額度參考了NFT的歷史價格。CREAM Finance的IronBank將向PleasrDAO提供350萬美元的信貸額度,該額度將以PleasrDAO基金會的NFT作為抵押,這些NFT的總購買價格為1010萬美元。此次PleasrDAO將抵押4個NFT:Snowden、Dreamingat Dusk、x*y=k、Apes Together Strong。[2021/7/17 0:59:12]
零知識證明可以證明某個事實的真實性,而無需透露與該事實相關的其他信息;
秘密共享則可以將信息分發給多個參與方,從而確保信息整體不會被任何一方獨立控制。
動態 | Cred PoS設備將測試BCH支付:10月30日,Cred和通用協議聯盟將進行一次銷售點(PoS)設備的現場演示活動,該設備支持使用加密貨幣進行購買。據悉,Cred的PoS金融操作系統允許客戶使用任何加密錢包通過該PoS購物,并將首次接受比特幣現金支付。(Bitcoin.com)[2019/10/29]
將 MPC 概念應用在錢包產品中,目前行業的通用方法是:
每個錢包的管理人(參與方)都會持有一個密鑰分片;
并在需要交易時,由一定數量的參與方合作,并且在 TEE(一種可信的加密執行環境)中才能重建出完整的私鑰,并完成簽名過程。
這種業務流程使交易的過程中不會暴露明文私鑰。即使用戶存放密鑰分片的設備被入侵,黑客也無法獲取完整私鑰,從而提升安全性。
不難發現,通過 MPC 技術實現的多簽錢包,和 Safe(即 Gnosis)等通過智能合約實現的多簽錢包相比,核心差別為:智能合約多簽錢包通過私鑰(區塊鏈地址)參與實現多重簽名,依然存在參與方私鑰被竊取的風險;而MPC 錢包的參與方并不掌握完整私鑰,而是通過密鑰分片實現門限簽名(Threshold Signature Scheme),從而消除了單點風險。
但資產就從此徹底安全了嗎?顯然不!
MPC 錢包雖然實現了簽名流程的安全,但將一個后置風險[分片安全管理策略]擺了在用戶面前。
MPC 錢包的私鑰分片管理策略,目前市場有三種主流:[自托管模式][混合托管模式][中心化托管模式]。其中,[自托管模式]最貼合硬核的 crypto native 理念:需要用戶自行管理助記詞和所有密鑰分片,一旦助記詞、所有保存分片設備全部丟失,則資產將在鏈上陷入沉睡;而[混合托管模式][中心化托管模式]策略雖然可以實現例如陌生設備 recover、社交恢復等功能,但因為分片托管方無法 100% 消除人性作惡的風險,所以安全性和 CEX 一樣,嚴重依賴創始人的信譽。
于是,用戶在選擇 MPC 錢包時將面臨魚與熊掌的難題: 1、選擇[自托管模式]產品,然后用更多精力和成本保護助記詞;2、選擇[混合托管模式]和[中心化托管模式]產品,享受接近web2.0 的使用體驗,但必須信任產品運營方不會作惡。
綜上所述,MPC 錢包的安全性除了與簽名流程相關,也與密鑰分片的管理策略相關。
[自托管模式]更適合企業級用戶:追求徹底安全、且有足夠的人力和資源確保自己的助記詞和儲存分片的設備不會全部同時丟失;而[混合托管模式][中心化托管模式]則更適合普通web3.0 玩家:資金體量小、且持倉分散,對中心化場景有剛需,所以習慣相信人性(即使遭遇類似 FTX 的災難,損失也相對較少)。
但筆者認為,當用戶將資金從中心化機構提取,無論個人抑或團隊都必然希望獲得更高的安全級別,[混合托管模式][中心化托管模式]與用戶的意愿顯然是矛盾的。而以太坊的 EIP-4337 的發布,意味著將來 DAPP 可以通過賬戶抽象的技術路徑,為用戶提供支持社交登錄、社交恢復等接近web2.0 產品體驗的服務,而基于其特殊的使用場景(鏈游、社交等),用戶對安全性的敏感度亦相對較低;這種業務模式對[混合托管模式]和[中心化托管模式]的產品市場必將造成極大沖擊,甚至可能讓這類產品在 EIP-4337 正式落地后被徹底淘汰。
Odaily星球日報
媒體專欄
閱讀更多
區塊律動BlockBeats
Foresight News
曼昆區塊鏈法律
GWEI Research
吳說區塊鏈
西柚yoga
ETH中文
金色早8點
金色財經 子木
ABCDE
0xAyA
僅靠一個想法,80后香港本土創業者Ivan就從香港政府獲得了10萬港元的補貼,后續百萬港元的補貼依舊在向他招手.
1900/1/1 0:00:00作者:cookies,風投分析師;翻譯:金色財經xiaozouKakarot zkEVM是什么?為什么它能得到V神和StarkWare的支持?Kakarot把EVM帶到Starknet之上.
1900/1/1 0:00:00作者:金色財經,Climber7月5日,騰訊新聞《潛望》爆出香港合規虛擬資產交易平臺OSL已退出各家機構搶灘香港Web3、爭奪這一新興加密市場的行列.
1900/1/1 0:00:00本講將分四個部分介紹門限簽名的概念與應用:第一部分,介紹數字簽名的概念與分類,闡述其基本算法組成以及具備的應用功能;第二部分,針對數字簽名存在的單點失效風險引入門限簽名概念.
1900/1/1 0:00:00引介 這是去中心化 Rollup 訪談系列最后一期,本集從 “數據可用性和去中心化存儲” 的角度探討 rollup 去中心化.
1900/1/1 0:00:007 月 7 日, Vitalik Buterin 和比特幣支持者 Eric Wall 和 Udi Wertheimer 于一場 Twitter Space.
1900/1/1 0:00:00