Comparaison des solutions de gestion d'actifs Web3 : multisignature, MPC et CRVA

Auteur : Shew, Xianrang

Dans le monde de Web3, la gestion des clés privées est une question de vie ou de mort. Une fois que la clé privée d'un portefeuille est volée ou perdue, des millions de dollars d'actifs peuvent disparaître en un instant. Cependant, la grande majorité des gens ont l'habitude d'utiliser une gestion des clés privées centralisée, ce qui revient à mettre tous ses œufs dans le même panier, risquant à tout moment de donner tous ses actifs à des hackers en cliquant sur un lien de phishing.

Pour faire face à ce problème, divers solutions ont émergé dans le domaine de la blockchain. Des portefeuilles multi-signatures aux MPC, en passant par le CRVA proposé par l'équipe du projet DeepSafe, chaque avancée technologique ouvre de nouvelles voies pour la gestion des actifs. Cet article explorera les principes, caractéristiques et scénarios d'application de ces trois solutions de gestion d'actifs, afin d'aider les lecteurs à choisir le chemin qui leur convient le mieux.

Portefeuille multi-signatures : acceptable, mais pas exceptionnel

Le concept de portefeuille multi-signatures découle d'une sagesse simple : ne pas concentrer tous les pouvoirs en un seul endroit. Cette idée est déjà largement appliquée dans la réalité, comme dans la séparation des pouvoirs et le vote du conseil d'administration.

De même, dans Web3, un portefeuille multisig créera plusieurs clés indépendantes pour répartir les risques. Le modèle le plus courant est le modèle “M-of-N”, par exemple, dans une configuration “2-of-3”, le système génère au total trois clés privées, mais tant que deux des clés privées produisent une signature, le compte désigné peut effectuer la transaction.

Ce design offre une certaine tolérance aux pannes - même si une clé privée est perdue, les actifs restent sûrs et contrôlables. Si vous avez plusieurs appareils indépendants pour stocker les clés, une solution multi-signatures sera plus fiable.

En général, les portefeuilles multi-signatures se divisent techniquement en deux catégories. La première est la multi-signature conventionnelle, qui utilise généralement des contrats intelligents sur la chaîne ou des composants de base de la chaîne publique pour être mise en œuvre, et ne dépend souvent pas d'outils cryptographiques spécifiques. L'autre est le portefeuille multi-signatures qui repose sur des algorithmes cryptographiques spéciaux, dont la sécurité dépend de l'algorithme spécifique, et parfois, il peut fonctionner sans aucune participation de contrats sur la chaîne. Nous allons discuter séparément des deux solutions.

Le plan de multisignature standard représente : portefeuille Safe et Taproot Bitcoin

Le portefeuille Safe, en tant qu'une des solutions multi-signatures les plus populaires actuellement, utilise des contrats intelligents Solidity conventionnels pour réaliser des signatures multiples. Dans l'architecture du portefeuille Safe, chaque participant à la multi-signature contrôle une clé indépendante, tandis que le contrat intelligent sur la chaîne agit en tant qu'“arbitre” et n'approuve l'exécution des transactions par le compte multi-signé que lorsqu'un nombre suffisant de signatures valides a été collecté.

L'avantage de cette méthode réside dans sa transparence et sa vérifiabilité, toutes les règles de multi-signature étant clairement codées dans le contrat intelligent, permettant à quiconque d'auditer la logique du code. De plus, les utilisateurs peuvent ajouter des modules au compte multi-signature, lui conférant des fonctionnalités plus riches, comme la limitation du montant maximum de chaque transaction. Cependant, cette transparence signifie également que les détails du portefeuille multi-signature sont entièrement publics sur la blockchain, ce qui peut exposer la structure de gestion des actifs des utilisateurs.

En plus des portefeuilles Safe, qui sont une solution multi-signature bien connue dans l'écosystème Ethereum, il existe également des portefeuilles multi-signatures construits sur le réseau Bitcoin à l'aide de scripts BTC, par exemple une solution basée sur l'opcode OP_CHECKMULTISIG. Cet opcode peut vérifier si le nombre de signatures inclus dans le script de déverrouillage UTXO répond aux exigences.

Il convient de noter que les algorithmes de multi-signature conventionnels mentionnés ci-dessus prennent tous en charge le “M-of-N”, mais certains des multi-signatures basés sur des algorithmes cryptographiques spécifiques décrits plus loin ne prennent en charge que le mode “M-of-M”, c'est-à-dire que l'utilisateur doit fournir toutes les clés pour pouvoir effectuer une transaction.

mise en œuvre de la mult-signature au niveau cryptographique

Au niveau de la cryptographie, il est possible d'implémenter un effet de validation multi-signatures à l'aide d'algorithmes cryptographiques spécifiques, et cette solution peut parfois se passer de la participation des contrats intelligents on-chain. Nous avons tendance à effectuer la classification suivante:

1. Algorithme de multisignature (Multisignatures). Cet algorithme de signature ne prend en charge que le mode “M-of-M”, les utilisateurs doivent soumettre en une seule fois toutes les signatures correspondant aux clés.

2.Algorithme de signature par seuil (Threshold Signatures). Cet algorithme prend en charge le mode “M-of-N”, mais en général, la difficulté de construction est plus complexe que celle des algorithmes de signature multiple mentionnés ci-dessus.

3. Algorithme de séparation de clés ( Secret sharing ). Dans la conception de cet algorithme, l'utilisateur peut diviser une clé privée unique en plusieurs parts. Lorsque l'utilisateur a recueilli suffisamment de fragments de clés privées, il peut restaurer la clé privée d'origine et générer une signature.

Le Bitcoin a introduit l'algorithme Schnorr après la mise à niveau SegWit(, permettant ainsi la vérification multi-signatures. En revanche, la couche de consensus d'Ethereum utilise l'algorithme BLS à seuil pour réaliser la fonction de vote la plus essentielle au sein du système PoS.

![Schnorr et Taproot : Un duo dynamique qui secoue le réseau!])https://img-cdn.gateio.im/webp-social/moments-c7421c1700b8d77503a380e90ad3e63d.webp(

Ce type de solution multi-signatures reposant uniquement sur des algorithmes cryptographiques a une meilleure compatibilité, car elle peut être mise en œuvre sans dépendre de contrats intelligents, par exemple en utilisant une solution complètement hors chaîne.

Les signatures générées par un schéma de multi-signature purement cryptographique sont identiques en format à celles signées par une seule clé privée traditionnelle, et peuvent être acceptées par tout blockchain prenant en charge le format de signature standard, ce qui leur confère une grande polyvalence. Cependant, les algorithmes de multi-signature basés sur une cryptographie spécifique sont relativement complexes, leur mise en œuvre est très difficile, et leur utilisation nécessite souvent de s'appuyer sur certaines infrastructures spécifiques.

) Les défis réels de la technologie multi-signatures

Bien que les portefeuilles multi-signatures courants augmentent considérablement la sécurité des actifs, ils introduisent également de nouveaux risques. Le problème le plus évident est l'augmentation de la complexité opérationnelle : chaque transaction nécessite la coordination et la confirmation de plusieurs parties, ce qui devient un obstacle majeur dans des scénarios sensibles au temps.

Plus grave encore, les portefeuilles multi-signatures déplacent souvent le risque de la gestion des clés privées vers la coordination et la vérification des signatures. Comme l'a montré le récent vol sur Bybit, les attaquants ont réussi à tromper les gestionnaires multi-signatures de Bybit en intégrant un code d'interface frontale de phishing dans les installations AWS sur lesquelles Safe dépend, les amenant à signer des transactions de phishing. Cela montre que même avec une technologie multi-signature relativement avancée, la sécurité de l'interface frontale et des étapes de vérification et de coordination des signatures présente encore de nombreuses failles.

![]###https://img-cdn.gateio.im/webp-social/moments-18fac951ff23f33f32a1d7151782be3a.webp(

De plus, tous les algorithmes de signature utilisés par les blockchains ne prennent pas en charge nativement la multi-signature. Par exemple, l'algorithme secp256k1 utilisé par la couche d'exécution d'Ethereum dispose de peu d'algorithmes de multi-signature, ce qui limite l'application des portefeuilles multi-signatures dans différents écosystèmes. Pour les réseaux nécessitant la mise en œuvre de multi-signatures via des contrats intelligents, il existe également des considérations supplémentaires telles que des vulnérabilités contractuelles et des risques de mise à niveau.

MPC : une percée révolutionnaire

Si on dit qu'un portefeuille multi-signatures améliore la sécurité en répartissant les clés privées, la technologie MPC (Calcul sécurisé multi-parties) va encore plus loin en éliminant fondamentalement la présence de clés privées complètes. Dans le monde de la MPC, la clé privée complète n'apparaît jamais à un seul endroit, même pas pendant le processus de génération de clés. De plus, la MPC prend souvent en charge des fonctionnalités plus avancées, telles que le rafraîchissement des clés privées ou l'ajustement des autorisations.

![])https://img-cdn.gateio.im/webp-social/moments-3e0f8cc411f9c5edee87473c9f474c6d.webp(

Dans le contexte des applications de cryptomonnaie, le flux de travail de la MPC présente des avantages uniques. Lors de la phase de génération de clés, plusieurs parties génèrent chacune un nombre aléatoire, puis, à travers des protocoles cryptographiques complexes, chaque partie calcule son propre “fragment de clé”. Ces parts, prises individuellement, n'ont aucune signification, mais elles sont mathématiquement interconnectées et peuvent ensemble correspondre à une clé publique et une adresse de portefeuille spécifiques.

Lorsque la signature d'une opération sur la chaîne est nécessaire, chaque partie impliquée peut générer une “signature partielle” à l'aide de son propre fragment de clé, puis combiner habilement ces signatures partielles via le protocole MPC. La signature finale générée est complètement identique en format à celle d'une clé privée unique, et un observateur extérieur ne peut même pas distinguer qu'il s'agit d'une signature générée par une infrastructure MPC.

La révolution de ce design réside dans le fait que la clé privée complète n'apparaît jamais nulle part dans tout le processus. Même si un attaquant parvient à infiltrer le système d'un participant, il ne pourra pas obtenir la clé privée complète, car cette clé n'existe essentiellement nulle part.

) La différence essentielle entre MPC et la signature multiple

Bien que l'MPC et la multi-signature impliquent tous deux la participation de plusieurs parties, il existe en essence des différences fondamentales entre les deux. Du point de vue d'un observateur externe, les transactions générées par l'MPC ne peuvent pas être distinguées des transactions ordinaires à signature unique, ce qui offre une meilleure confidentialité aux utilisateurs.

![]###https://img-cdn.gateio.im/webp-social/moments-defc997a9dbed36ce34da3c2631d4718.webp(

Cette différence se manifeste également en termes de compatibilité. Les portefeuilles multi-signatures nécessitent un soutien natif du réseau blockchain ou dépendent de contrats intelligents, ce qui limite leur utilisation dans certaines régions. En revanche, les signatures générées par MPC utilisent le format ECDSA standard, qui peut être utilisé partout où cet algorithme de signature est pris en charge, y compris dans Bitcoin, Ethereum et diverses plateformes DeFi.

La technologie MPC offre également une plus grande flexibilité pour ajuster les paramètres de sécurité. Dans un portefeuille multi-signatures traditionnel, modifier le seuil de signature ou le nombre de participants nécessite généralement de créer une nouvelle adresse de portefeuille, ce qui comporte des risques. ) Bien sûr, un portefeuille multi-signatures basé sur des contrats intelligents peut facilement modifier les participants et leurs autorisations (, tandis que dans un système MPC, ces ajustements peuvent être réalisés de manière plus flexible et simplifiée, sans avoir à changer les comptes et le code des contrats sur la chaîne, offrant ainsi une plus grande commodité pour la gestion des actifs.

) Les défis auxquels est confronté MPC

Cependant, bien que le MPC soit supérieur à la multisignature ordinaire, il présente tout de même des défis correspondants. Tout d'abord, il y a la complexité de mise en œuvre. Le protocole MPC implique des calculs cryptographiques complexes et des communications entre plusieurs parties, ce qui rend la mise en œuvre et la maintenance du système plus difficiles. Tout bug peut entraîner des vulnérabilités de sécurité graves. En février 2025, Nikolaos Makriyannis et d'autres ont découvert un moyen de voler ses clés au sein d'un portefeuille MPC.

Les coûts de performance sont un autre problème. Le protocole MPC nécessite des calculs complexes et des échanges de données entre plusieurs parties, consommant plus de ressources de calcul et de bande passante réseau que les opérations de signature unique traditionnelles. Bien que ce coût soit acceptable dans la plupart des cas, il peut devenir un facteur limitant dans certains scénarios où les exigences de performance sont extrêmement élevées. De plus, le système MPC nécessite toujours une coordination en ligne entre toutes les parties participantes pour compléter la signature. Bien que cette coordination soit transparente pour l'utilisateur, dans des situations de connexion réseau instable ou lorsque certaines parties sont hors ligne, cela peut affecter la disponibilité du système.

De plus, le MPC ne peut toujours pas garantir la décentralisation. Dans l'affaire Multichain de 2023, les 21 nœuds participant au calcul MPC étaient tous contrôlés par une seule personne, ce qui constitue une attaque de sorcière typique. Cet incident suffit à prouver que quelques dizaines de nœuds en apparence ne peuvent pas offrir une garantie de décentralisation élevée.

DeepSafe : construire le réseau de validation de sécurité de nouvelle génération

Dans un contexte où les technologies de signature multiple et de MPC sont déjà relativement matures, l'équipe de DeepSafe propose une solution plus prospective : le CRVA (agent de validation aléatoire cryptographique). L'innovation de DeepSafe réside dans le fait qu'elle ne remplace pas simplement les technologies de signature existantes, mais qu'elle construit une couche de validation de sécurité supplémentaire sur la base des solutions existantes.

Vérification multi-facteurs CRVA

La pensée centrale de DeepSafe est “double sécurité” : les utilisateurs peuvent continuer à utiliser leurs solutions de portefeuille familières, telles que le portefeuille Safe. Lorsqu'une transaction signée par plusieurs parties est soumise à la chaîne, elle est automatiquement soumise au réseau CRVA pour une validation supplémentaire, similaire à la vérification à deux facteurs 2FA d'Alipay.

Dans cette architecture, le CRVA agit en tant que gardien, examinant chaque transaction selon les règles préétablies par l'utilisateur. Par exemple, des limites sur le montant d'une seule transaction, une liste blanche d'adresses cibles, des restrictions sur la fréquence des transactions, etc. En cas de situation anormale, il est possible d'interrompre la transaction à tout moment.

L'avantage de cette vérification à deux facteurs (2FA) est que même si le processus de signature multiple est manipulé (comme dans l'attaque de phishing frontale de l'événement Bybit), le CRVA, en tant qu'assurance, peut encore refuser les transactions à risque selon des règles préétablies, protégeant ainsi la sécurité des actifs des utilisateurs.

![]###https://img-cdn.gateio.im/webp-social/moments-425718cbadee8e962e697514dbd49b1d.webp(

) mise à niveau technologique basée sur des solutions MPC traditionnelles

Pour remédier aux insuffisances des solutions de gestion d'actifs MPC traditionnelles, la solution CRVA de DeepSafe a apporté de nombreuses améliorations. Tout d'abord, les nœuds du réseau CRVA utilisent une forme d'admission par mise en gage d'actifs, et le réseau principal ne sera officiellement lancé qu'après avoir atteint environ 500 nœuds, selon les estimations, les actifs mis en gage par ces nœuds devraient rester à long terme à plusieurs dizaines de millions de dollars ou plus ;

Deuxièmement, pour améliorer l'efficacité du calcul MPC/TSS, le CRVA sélectionne aléatoirement des nœuds par un algorithme de tirage au sort, par exemple, tous les trente minutes, 10 nœuds sont tirés au sort pour agir en tant que validateurs, vérifiant si les demandes des utilisateurs doivent être approuvées, puis générant la signature de seuil correspondante pour libération. Pour empêcher les conspirations internes ou les attaques de hackers externes, l'algorithme de tirage au sort du CRVA utilise un VRF circulaire original, combiné à des ZK pour masquer l'identité des sélectionnés, rendant impossible pour l'extérieur d'observer directement les personnes sélectionnées.

![]###https://img-cdn.gateio.im/webp-social/moments-1b71dbb2881f847407a5e41da7564648.webp(

Bien sûr, il ne suffit pas d'en arriver là. Bien que le monde extérieur ne sache pas qui a été sélectionné, la personne tirée au sort le sait à ce moment-là, il existe donc toujours un chemin pour la collusion. Pour éliminer davantage la collusion, **tous les nœuds de CRVA doivent exécuter le code central dans un environnement matériel TEE, ce qui revient à effectuer le travail central dans une boîte noire. Ainsi, personne ne peut savoir s'il a été sélectionné, **à moins qu'il ne puisse déchiffrer le matériel de confiance TEE, ce qui est, bien sûr, très difficile à réaliser compte tenu des conditions technologiques actuelles.

Ce qui précède décrit l'idée de base de la solution CRVA de DeepSafe. Dans le flux de travail réel, les nœuds au sein du réseau CRVA doivent effectuer de nombreuses communications par diffusion et échanges d'informations. Le processus spécifique est le suivant :

1. Tous les nœuds doivent d'abord staker des actifs en chaîne avant d'entrer dans le réseau CRVA, en laissant une clé publique comme information d'inscription. Cette clé publique est également appelée “clé publique permanente”.

2. Chaque heure, le réseau CRVA choisit aléatoirement quelques nœuds. Mais avant cela, tous les candidats doivent générer localement une “clé publique temporaire” unique, tout en générant un ZKP pour prouver que la “clé publique temporaire” est associée à la “clé publique permanente” enregistrée sur la chaîne ; en d'autres termes, chacun doit prouver sa présence sur la liste des candidats par ZK, sans révéler qui il est.

3. Le rôle de la “clé publique temporaire” réside dans la protection de la vie privée. Si l'on tire directement au sort dans l'ensemble des “clés publiques permanentes”, lors de l'annonce des résultats, tout le monde saura directement qui a été élu. Si tout le monde ne révèle qu'une “clé publique temporaire” unique, et que l'on choisit ensuite quelques personnes parmi l'ensemble des “clés publiques temporaires”, vous saurez au maximum que vous avez gagné, mais vous ne saurez pas à qui correspondent les autres clés publiques temporaires gagnantes.

![])https://img-cdn.gateio.im/webp-social/moments-caa631df9f9a68cdab81565ee7b25af0.webp(

4. Afin de prévenir davantage les fuites d'identité, CRVA prévoit de vous faire ignorer ce qu'est votre “clé publique temporaire”. Le processus de génération de la clé publique temporaire s'effectue dans l'environnement TEE du nœud, et vous, qui exécutez le TEE, ne pouvez pas voir ce qui s'y passe.

5. Ensuite, le texte en clair de la clé publique temporaire est chiffré en “binaire aléatoire” à l'intérieur du TEE avant d'être envoyé à l'extérieur. Seuls des nœuds Relayer spécifiques peuvent le déchiffrer. Bien sûr, le processus de déchiffrement se déroule également dans l'environnement TEE du nœud Relayer, et le Relayer ne sait pas à quels candidats ces clés publiques temporaires correspondent.

**6.**Après que le Relayer a restauré toutes les “clés publiques temporaires”, il les regroupe et les soumet à la fonction VRF sur la chaîne, qui sélectionne les gagnants. Ces derniers vérifient les demandes de transaction envoyées par l'utilisateur, puis génèrent une signature de seuil en fonction des résultats de la vérification, et la soumettent enfin sur la chaîne. (Il est important de noter que le Relayer ici a également une identité cachée et est sélectionné périodiquement.)

Il est possible que certaines personnes se demandent, puisque chaque nœud ne sait pas s'il a été sélectionné, comment le travail peut-il se poursuivre ? En fait, comme mentionné précédemment, chaque personne générera une “clé publique temporaire” dans son environnement TEE local. Une fois que les résultats du tirage au sort sont disponibles, nous diffusons directement la liste. Chacun n'a qu'à entrer la liste dans le TEE et à vérifier s'il a été sélectionné.

![])https://img-cdn.gateio.im/webp-social/moments-1b4c70d0ea3fc3680e557033d51c11de.webp(

Le cœur de cette solution DeepSafe réside dans le fait que presque toutes les activités importantes se déroulent au sein du matériel TEE, rendant impossible l'observation de ce qui se passe depuis l'extérieur du TEE. Chaque nœud ne sait pas qui sont les validateurs sélectionnés, ce qui empêche la collusion malveillante et augmente considérablement le coût des attaques externes. Pour attaquer le comité CRVA basé sur DeepSafe, il faudrait théoriquement attaquer l'ensemble du réseau CRVA, d'autant plus que chaque nœud dispose d'une protection TEE, ce qui rend l'attaque beaucoup plus difficile.

En ce qui concerne les cas de malveillance de CRVA, étant donné que CRVA est un système de réseau de nœuds fonctionnant de manière automatisée, tant que le code de démarrage initial ne contient pas de logique malveillante, il n'y aura pas de situation où CRVA refuse activement de coopérer avec l'utilisateur, donc cela peut être essentiellement ignoré ;

Si CRVA subit une panne de courant, une inondation ou d'autres forces majeures entraînant un grand nombre d'arrêts de nœuds, les utilisateurs ont toujours la possibilité de retirer leurs actifs en toute sécurité selon le processus mentionné dans le plan ci-dessus. L'hypothèse de confiance ici est que nous faisons suffisamment confiance à CRVA pour qu'il soit décentralisé et ne commette pas de mal intentionnellement (les raisons ont déjà été exposées précédemment).

Résumé

L'évolution de la technologie de signature Web3 montre l'exploration incessante de l'humanité dans le domaine de la sécurité numérique. Depuis la première clé privée unique, jusqu'aux portefeuilles multi-signatures, en passant par le MPC et les nouvelles solutions émergentes comme le CRVA, chaque progrès ouvre de nouvelles possibilités pour la gestion sécurisée des actifs numériques.

Cependant, les avancées technologiques ne signifient pas l'élimination des risques. Chaque nouvelle technologie, tout en résolvant des problèmes existants, peut également introduire de nouvelles complexités et points de risque. L'incident de Bybit nous montre que même en utilisant une technologie avancée de multi-signatures, les attaquants peuvent toujours contourner les protections techniques par le biais d'ingénierie sociale et d'attaques de la chaîne d'approvisionnement. Cela nous rappelle que les solutions technologiques doivent être combinées avec de bonnes pratiques opérationnelles et une sensibilisation à la sécurité.

Finalement, la sécurité des actifs numériques n'est pas seulement un problème technique, mais également un défi systémique. Que ce soit la multi-signature, le MPC, ou le CRVA, ce ne sont que des solutions tentatives face aux risques potentiels. Avec le développement de l'industrie de la blockchain, il faudra continuer à innover à l'avenir pour trouver des voies plus sûres et sans confiance.