Tác giả: Nghiên cứu Cregis

Các ví plug-in thường được sử dụng, chẳng hạn như siêu dữ liệu, hoạt động bằng cách tạo khóa hạt giống-ghi nhớ-công khai-riêng tư thông qua giao thức BIP 39 và mỗi giao dịch cũng yêu cầu sự tham gia của khóa riêng tư ở dạng văn bản thuần túy.

Ví MPC chỉ có các phân đoạn khóa, được lưu trữ trên các thiết bị khác nhau, do đó, ví MPC sẽ không để lộ khóa riêng dưới dạng văn bản gốc trong quá trình ký giao dịch. Ngay cả khi thiết bị của người dùng bị xâm phạm, tin tặc cũng không thể lấy được khóa riêng hoàn chỉnh. Nhưng vẫn có một rủi ro trở lại trước mặt người dùng ...

Mới đây, vấn đề bảo mật private key của ví lại một lần nữa trở thành tâm điểm của dư luận. Vào đầu tháng 3 năm nay, một số lượng lớn các địa chỉ có airdrop ARB đã bị rò rỉ private key, gây ra một "cơn mưa trúng gió" cho các nhà khoa học; trước đó, Twitter của một OG trong ngành đã đưa ra cảnh báo: "Đã phát hiện ra một phương pháp đánh cắp coin mới, trong Ở các KTV nước ngoài, các băng nhóm lừa đảo đã âm thầm sửa đổi ngân hàng điện dùng chung của KTV và cài đặt các chương trình độc hại. Khách dành phần lớn thời gian trong ngày để ca hát, uống rượu và chi tiêu trong KTV. Điện thoại di động của họ rất dễ bị hết pin và sau đó họ mượn chúng để sạc chúng. Bảo bối, anh tưởng rằng bảo bối sạc pin đang sạc điện thoại di động của anh, nhưng hóa ra là đang đọc dữ liệu trong điện thoại di động và đánh cắp khóa cá nhân trong ví."

Làm thế nào những người chơi web3.0 bình thường có thể bảo vệ tài sản ví của họ trong khu rừng tối tăm trên chuỗi và tránh bi kịch?

Một giải pháp đang đạt được thành công là ví MPC, nhưng nó hoạt động như thế nào? Có thực sự hoàn toàn an toàn sau khi sử dụng? Bài viết này sẽ cung cấp cho bạn khoa học chính xác.

Trước hết, MPC (Tính toán nhiều bên) là một con đường công nghệ bằng chứng không kiến ​​thức do Giáo sư Yao Qizhi của Đại học Thanh Hoa đề xuất vào năm 1982. Trong các tình huống ứng dụng thực tế, nó bao gồm một số lượng lớn các công nghệ mã hóa hiện đại, chẳng hạn như RSA, ElGamal và ECDSA, thuật toán mã hóa khóa, giao thức chia sẻ bí mật Shamir, v.v. Sự kết hợp của các công nghệ này làm cho MPC có tính bảo mật cao và khả năng mở rộng, đồng thời đảm bảo các yêu cầu bảo mật sau:

Mã hóa phân tán cho phép dữ liệu được chia thành nhiều phần và được lưu trữ ở các bên khác nhau, do đó tránh được nguy cơ rò rỉ dữ liệu;

Bằng chứng không kiến ​​thức có thể chứng minh tính xác thực của một sự thật mà không tiết lộ thông tin khác liên quan đến sự thật;

Chia sẻ bí mật có thể phân phối thông tin cho nhiều bên, do đó đảm bảo rằng toàn bộ thông tin không bị kiểm soát độc lập bởi bất kỳ bên nào.

Để áp dụng khái niệm MPC cho các sản phẩm ví, phương pháp chung hiện tại trong ngành là:

Mỗi người quản lý ví (người tham gia) sẽ nắm giữ một lát khóa;

Và khi một giao dịch được yêu cầu, một số người tham gia nhất định sẽ hợp tác và chỉ trong TEE (môi trường thực thi mã hóa đáng tin cậy) mới có thể tạo lại khóa riêng tư hoàn chỉnh và hoàn tất quá trình ký.

Quy trình kinh doanh này giữ cho khóa riêng tư của văn bản gốc không bị lộ trong quá trình giao dịch. Ngay cả khi thiết bị nơi người dùng lưu trữ đoạn khóa bị tấn công, tin tặc cũng không thể lấy được khóa riêng hoàn chỉnh, do đó cải thiện tính bảo mật.

Không khó để nhận thấy rằng sự khác biệt cốt lõi giữa ví đa chữ ký được thực hiện bởi công nghệ MPC và ví đa chữ ký được thực hiện bởi hợp đồng thông minh như Safe (Gnosis) là: ví đa chữ ký của hợp đồng thông minh tham gia vào giao dịch thông qua khóa riêng (địa chỉ blockchain) Để đạt được đa chữ ký, vẫn có nguy cơ khóa riêng của người tham gia bị đánh cắp; tuy nhiên, những người tham gia ví MPC không có khóa riêng hoàn chỉnh, nhưng nhận ra chữ ký ngưỡng (Chreshold Signature Scheme) thông qua bảo vệ khóa, do đó loại bỏ rủi ro tại một điểm .

Nhưng tài sản có hoàn toàn an toàn từ bây giờ không? Rõ ràng là không!

Mặc dù ví MPC nhận ra tính bảo mật của quy trình chữ ký, nhưng nó đặt [chiến lược quản lý bảo mật sharding] sau rủi ro trước người dùng.

Hiện tại có ba dòng chính trên thị trường cho chiến lược quản lý sharding chính của ví MPC: [chế độ tự quản lý] [chế độ lưu ký kết hợp] [chế độ lưu ký tập trung]. Trong số đó, [chế độ tự quản lý] là phù hợp nhất cho khái niệm gốc về tiền điện tử khó tính: người dùng cần tự mình quản lý bản ghi nhớ và tất cả các đoạn khóa. chuỗi chìm vào giấc ngủ sâu; trong khi chiến lược [mô hình lưu trữ kết hợp] [mô hình lưu trữ tập trung] có thể đạt được các chức năng như khôi phục thiết bị lạ và khôi phục xã hội, nhưng vì bên lưu trữ phân đoạn không thể loại bỏ 100% nguy cơ bản chất con người làm điều ác, tính bảo mật cũng giống như CEX, chủ yếu dựa vào uy tín của những người sáng lập.

(Nếu có khuyến mãi sản phẩm: nó có thể nhận ra chế độ phục hồi và tự lưu trữ, điều này tự mâu thuẫn. Bạn nên tránh xa ngay lập tức! Cơ hội lớn là "sát thủ"!)

Do đó, người dùng sẽ gặp một vấn đề khó khăn khi chọn ví MPC: 1. Chọn sản phẩm [mô hình tự lưu trữ], sau đó sử dụng nhiều năng lượng và chi phí hơn để bảo vệ trí nhớ; 2. Chọn [mô hình lưu trữ kết hợp] và [Hosting trung tâm] model], hãy tận hưởng trải nghiệm người dùng gần với web2.0, nhưng bạn phải tin tưởng nhà điều hành sản phẩm sẽ không làm điều ác.

Tóm lại, tính bảo mật của ví MPC không chỉ liên quan đến quy trình chữ ký mà còn liên quan đến chiến lược quản lý phân đoạn khóa.

[Chế độ tự lưu trữ] phù hợp hơn với người dùng cấp doanh nghiệp: họ theo đuổi bảo mật hoàn chỉnh, đồng thời có đủ nhân lực và tài nguyên để đảm bảo rằng các từ ghi nhớ và thiết bị lưu trữ phân đoạn của họ sẽ không bị mất đồng thời; trong khi [lưu trữ kết hợp chế độ] [lưu trữ tập trung] Chế độ] phù hợp hơn với những người chơi web3.0 thông thường: số tiền ít và các vị trí phân tán, và có yêu cầu khắt khe đối với các kịch bản tập trung, vì vậy họ đã quen với việc tin tưởng vào bản chất con người (ngay cả khi họ gặp phải thảm họa như FTX, tổn thất cũng tương đối nhỏ).

Tuy nhiên, tác giả tin rằng khi người dùng rút tiền từ các tổ chức tập trung, cả cá nhân và nhóm đều phải hy vọng đạt được mức độ bảo mật cao hơn. Việc phát hành EIP-4337 của Ethereum có nghĩa là trong tương lai DAPP có thể cung cấp cho người dùng các dịch vụ hỗ trợ đăng nhập xã hội, khôi phục xã hội, v.v. trò chơi, mạng xã hội, v.v.), người dùng tương đối ít nhạy cảm hơn với bảo mật; mô hình kinh doanh này chắc chắn sẽ có tác động lớn đến thị trường sản phẩm của [mô hình lưu trữ kết hợp] và [mô hình lưu trữ tập trung], thậm chí có thể khiến sản phẩm đó bị loại bỏ hoàn toàn sau khi EIP-4337 chính thức ra mắt.

Giới thiệu về Cregis Research

Cregis là một nền tảng cộng tác quản lý tài sản trong kỷ nguyên web3.0, cung cấp cho người dùng ví MPC + công cụ SaaS tài chính cấp doanh nghiệp và đã hoạt động an toàn trong 6 năm.

Cregis Research là nền tảng chia sẻ kiến ​​thức của nó, hy vọng sẽ cung cấp cho những người đam mê web3.0 nội dung khoa học phổ biến không gây hiểu lầm, không gây hiểu lầm và định hướng kinh doanh về blockchain và công nghệ cơ bản của mật mã.