著者:シュー、不滅の土壌
Web3の世界では、プライベートキーの管理は死活問題です。一度ウォレットのプライベートキーが盗まれたり失われたりすると、数百万ドルの資産が一瞬で消えてしまいます。しかし、ほとんどの人は単一のプライベートキー管理を行うことに慣れていて、これはすべての卵を一つのバスケットに入れるようなもので、いつでもフィッシングリンクを踏んでしまい、すべての資産をハッカーに渡してしまう可能性があります。
この問題に対処するために、ブロックチェーン分野ではさまざまな解決策が登場してきました。マルチシグウォレットからMPC、さらにDeepSafeプロジェクトが提案したCRVAまで、技術の進歩が資産管理の新しい道を切り開いています。この記事では、上記の3つの資産管理ソリューションの原理、特徴、適用シーンを探り、読者が自分に最適な道を選ぶ手助けをします。
マルチシグウォレットの理念は、一箇所にすべての権限を集中させないというシンプルな知恵から生まれています。この考え方は、三権分立や取締役会の投票など、現実の中で広く応用されています。
同様に、Web3において、マルチシグウォレットはリスクを分散するために複数の独立したキーを作成します。最も一般的なのは「M-of-N」モデルで、例えば「2-of-3」の設定では、システムは合計3つの秘密鍵を生成しますが、そのうちの任意の2つの秘密鍵が署名を生成すれば、指定されたアカウントが取引を実行できるようになります。
この設計は一定のフォールトトレランスを提供します。つまり、ある秘密鍵を失っても資産は安全で制御可能です。秘密鍵を保存するための複数の独立したデバイスを持っている場合、マルチシグのソリューションはより信頼性があります。
!
一般的に、マルチシグウォレットは技術的に二つのカテゴリーに分けられます。一つは通常のマルチシグで、一般的にはオンチェーンのスマートコントラクトやパブリックチェーンの基盤コンポーネントを使用して実装され、特定の暗号ツールに依存することはありません。もう一つは、特殊な暗号アルゴリズムに依存するマルチシグウォレットで、安全性は具体的なアルゴリズムに依存し、場合によってはオンチェーンのコントラクトの参加を完全に必要としないこともあります。以下では、二つのソリューションについてそれぞれ議論します。
Safeウォレットは、現在最も人気のあるマルチシグソリューションの一つとして、従来のSolidityスマートコントラクトを使用してマルチシグを実現しています。Safeウォレットのアーキテクチャでは、各マルチシグ参加者が独立したキーを制御しており、オンチェーンのスマートコントラクトが「仲裁者」として機能します。有効な署名が十分に集まった場合にのみ、コントラクトはマルチシグ関連アカウントの取引を実行することを承認します。
この方法の利点は透明性と検証可能性にあり、すべてのマルチシグルールがスマートコントラクトに明確にコーディングされているため、誰でもコードのロジックを監査できます。さらに、ユーザーはマルチシグアカウントにモジュールを追加することができ、各取引の資金上限を制限するなど、より豊富な機能を持たせることができます。しかし、この透明性は、マルチシグウォレットの詳細がブロックチェーン上で完全に公開されることを意味し、ユーザーの資産管理構造が露呈する可能性があります。
SafeウォレットのようなEthereumエコシステム内の有名なマルチシグソリューションに加えて、ビットコインネットワーク内にもBTCスクリプトを使用して構築されたマルチシグウォレットが存在します。例えば、OP_CHECKMULTISIGオペコードに基づいて構築されたソリューションです。このオペコードは、UTXOのロック解除スクリプト内に含まれる署名の数が要件を満たしているかどうかを検証できます。
注目すべきは、上記で紹介した一般的なマルチシグアルゴリズムはすべて “M-of-N” をサポートしていますが、後に紹介する特定の暗号アルゴリズムに基づくマルチシグは、一部が “M-of-M” モードのみをサポートしているということです。つまり、ユーザーが取引を行うにはすべてのキーを提供する必要があります。
暗号学の面では、特定の暗号学アルゴリズムを使用してマルチシグ検証の効果を実現することができ、このようなソリューションは時にはチェーン上のスマートコントラクトの参加を回避することができます。私たちは通常、次のように分類します:
1.マルチシグアルゴリズム(マルチシグネチャ)。この署名アルゴリズムは “M-of-M” モードのみをサポートしており、ユーザーはすべてのキーに対応する署名を一度に提出する必要があります。
2.しきい値署名アルゴリズム(しきい値署名)。このアルゴリズムは “M-of-N” モードをサポートしていますが、一般的に言って、上記のマルチ署名アルゴリズムに比べて構築が難しいです。
3.鍵分割アルゴリズム(秘密共有)。このアルゴリズムの設計では、ユーザーは単一の秘密鍵を複数の部分に分割でき、ユーザーが十分な秘密鍵の断片を集めると、元の秘密鍵を復元し、署名を生成できます。
ビットコインは隔離証明のアップグレード(SegWit)後にSchnorrアルゴリズムを導入し、自然にマルチシグ検証を実現しました。一方、イーサリアムのコンセンサス層はBLS閾値アルゴリズムを使用してPoSシステム内の最も重要な投票機能を実現しました。
この単純に暗号アルゴリズムに依存するマルチシグソリューションは、スマートコントラクトに依存せず、純粋なオフチェーンソリューションを使用して実現できるため、より良い互換性を持っています。
純粋な暗号学に基づくマルチシグネチャ方式で生成された署名は、従来の単一秘密鍵署名とフォーマットが完全に同じであり、標準署名フォーマットをサポートする任意のブロックチェーンによって受け入れられるため、非常に高い汎用性を持っています。しかし、特定の暗号学に基づくマルチシグアルゴリズムは非常に複雑であり、実装が非常に困難で、使用する際には特定の施設に依存することが多いです。
一般的なマルチシグウォレットは資産の安全性を大幅に向上させますが、新たなリスクももたらします。最も明白な問題は、操作の複雑さの増加です:各取引ごとに複数の関係者の調整と確認が必要であり、これは時間に敏感なシナリオにおいて重大な障害となります。
さらに深刻なことに、マルチシグウォレットはしばしばリスクを秘密鍵の管理から署名の調整と検証の段階に移します。最近発生したBybitの盗難事件のように、攻撃者はSafeが依存しているAWSの施設にフィッシング用のSafeフロントエンドインターフェースコードを埋め込むことで、Bybitのマルチシグ管理者を欺いてフィッシング取引に署名させることに成功しました。これは、より先進的なマルチシグ技術を使用しても、フロントエンドインターフェースと署名の検証および調整の段階の安全性に依然として多くの脆弱性が存在することを示しています。
さらに、すべてのブロックチェーンで使用される署名アルゴリズムがネイティブにマルチシグをサポートしているわけではありません。たとえば、Ethereumの実行層で使用されるsecp256k1曲線では、マルチシグアルゴリズムの存在が少ないため、異なるエコシステムにおけるマルチシグウォレットの適用が制限されています。スマートコントラクトを通じてマルチシグを実現する必要があるネットワークでは、コントラクトの脆弱性やアップグレードリスクなど、追加の考慮事項も存在します。
マルチシグウォレットが分散された秘密鍵を通じて安全性を高めるとすれば、MPC(マルチパーティ計算)技術はさらに一歩進んでおり、根本的に完全な秘密鍵の存在を排除します。MPCの世界では、完全な秘密鍵は決して単一の場所に現れず、鍵生成の過程でもそうです。同時に、MPCは秘密鍵の更新や権限の調整といったより高度な機能をサポートすることがよくあります。
暗号通貨のアプリケーションシーンにおいて、MPCのワークフローは独自の利点を示しています。キー生成段階では、複数の参加者がそれぞれランダムな数を生成し、複雑な暗号学的プロトコルを通じて、各参加者が自分の「キーセグメント」を計算します。これらのシェアは単独では何の意味も持ちませんが、数学的には相互に関連し、特定の公開鍵とウォレットアドレスに共同で対応します。
チェーン上の操作に対して署名が必要な場合、参加者はそれぞれの秘密鍵の断片を使用して「部分署名」を生成し、その後MPCプロトコルを通じてこれらの部分署名を巧妙に組み合わせます。最終的に生成された署名は、単一の秘密鍵による署名とフォーマット上完全に同じであり、外部の観察者はこれがMPC施設によって生成された署名であることを見抜けません。
このデザインの革命的な点は、プロセス全体を通じて完全な秘密鍵がどこにも現れないことです。たとえ攻撃者が参加者のシステムに侵入したとしても、彼らは完全な秘密鍵を取得することはできません。なぜなら、この秘密鍵は本質的にどこにも存在しないからです。
MPCとマルチシグはどちらも複数の参加者を含みますが、本質的には根本的な違いがあります。外部の観察者から見ると、MPCによって生成された取引は通常の単一署名取引と区別がつかず、ユーザーにより良いプライバシーを提供します。
この違いは互換性の面にも表れています。マルチシグウォレットは、ブロックチェーンネットワークのネイティブサポートを必要とするか、スマートコントラクトに依存しているため、特定の場所での使用が制限されます。一方、MPCによって生成された署名は標準のECDSA形式を使用しており、ビットコイン、イーサリアム、さまざまなDeFiプラットフォームなど、この署名アルゴリズムをサポートする任意の場所で使用できます。
MPC技術は、セキュリティパラメータを調整するためのさらなる柔軟性を提供します。従来のマルチシグウォレットでは、署名の閾値や参加者の数を変更するには、通常、新しいウォレットアドレスを作成する必要があり、リスクが伴います。(もちろん、スマートコントラクトベースのマルチシグウォレットでは、参加者やその権限を簡単に変更できます)が、MPCシステムでは、これらのパラメータの調整がより柔軟で簡潔に行うことができ、オンチェーンアカウントやコントラクトコードを変更することなく、資産管理に対してより大きな利便性を提供します。
しかし、MPCは通常のマルチシグよりも優れているとはいえ、相応の課題が存在します。まず、実装の複雑性です。MPCプロトコルは複雑な暗号計算と多者通信を含むため、システムの実装と維持がより困難になります。バグが発生すると、深刻なセキュリティホールを引き起こす可能性があります。2025年2月、Nikolaos MakriyannisらはMPCウォレット内でキーを盗む方法を発見しました。
性能コストはもう一つの課題です。MPCプロトコルは、複数の当事者間で複雑な計算とデータ交換を必要とし、従来の単一署名操作よりも多くの計算リソースとネットワーク帯域を消費します。このコストはほとんどのケースで受け入れられるものですが、特に性能が非常に高く要求されるシナリオでは制限要因となる可能性があります。さらに、MPCシステムは署名を完成させるために各参加者のオンライン調整が必要です。この調整はユーザーにとって透明ですが、ネットワーク接続が不安定であったり、特定の参加者がオフラインである場合、システムの可用性に影響を与える可能性があります。
さらに、MPCは依然として分散化を保証することができません。2023年のMultichainの件では、MPC計算に参加した21のノードが全て一人によって制御されており、典型的なウィッチハント攻撃です。この事例は、単に表面的に数十のノードが存在しても、高い分散化の保障を提供できないことを十分に証明しています。
マルチシグとMPC技術が比較的成熟した背景の中で、DeepSafeチームはより先見的な解決策を提案しました:CRVA(暗号ランダム検証エージェント)。DeepSafeの革新は、それが単に既存の署名技術を置き換えるのではなく、既存のソリューションの基盤の上に追加の安全検証層を構築したことにあります。
DeepSafeの核心思想は「二重保険」です:ユーザーは、Safeウォレットのように慣れ親しんだウォレットソリューションを引き続き使用できます。マルチシグ取引がチェーン上に提出されると、自動的にCRVAネットワークに送信され、追加の検証が行われます。これは、支付宝の2FA多要素認証に似ています。
このアーキテクチャでは、CRVAがゲートキーパーとして機能し、ユーザーが事前に設定したルールに基づいて各取引を審査します。例えば、1回の取引の上限、ターゲットアドレスのホワイトリスト、取引の頻度などの制限があり、異常が発生した場合はいつでも取引を中断できます。
この2FA多要素認証の利点は、もしマルチシグプロセスが操作された場合(Bybitの事件でのフロントエンドフィッシング攻撃のように)、保険としてのCRVAが事前に設定されたルールに基づいてリスクのある取引を拒否し、ユーザーの資産の安全を守ることができることです。
従来のMPC資産管理ソリューションの不足に対して、DeepSafeのCRVAソリューションは多くの改善を行いました。**まず、CRVAネットワークノードは資産のステーキングによる参加形式を採用しており、約500のノードが集まった後に正式にメインネットが起動します。**推定によれば、これらのノードがステークする資産は長期にわたって数千万ドル以上の水準を維持するでしょう;
次に、**MPC/TSS計算の効率を向上させるために、CRVAは抽選アルゴリズムを使用してノードをランダムに選択します。**たとえば、30分ごとに10個のノードを抽選し、それらをバリデーターとしてユーザーのリクエストが承認されるべきかどうかを検証し、その後対応するしきい値署名を生成して通過させます。**内部の共謀や外部のハッカー攻撃を防ぐために、CRVAの抽選アルゴリズムはオリジナルの環状VRFを採用し、ZKと組み合わせて選ばれた者の身元を隠します。**これにより、外部から選ばれた者を直接観測できなくなります。
もちろん、これだけでは不十分です。外部の人々は誰が選ばれたかを知らないが、選ばれた本人はそれを知っているため、依然として共謀の道が存在します。共謀をさらに防ぐために、CRVAのすべてのノードは、コアコードをTEEハードウェア環境内で実行する必要があります。これは、コアの作業をブラックボックス内で行うことに相当します。こうすることで、誰も自分が選ばれたかどうかを知ることができなくなります。 TEEの信頼できるハードウェアを解読しない限り、もちろん現在の技術条件では、これは非常に困難です。
上記で説明したのはDeepSafeのCRVAソリューションの基本的な考え方ですが、実際の作業フローでは、CRVAネットワーク内のノード間で大量のブロードキャスト通信と情報交換が行われる必要があります。その具体的なプロセスは以下の通りです。
**1.**すべてのノードはCRVAネットワークに参加する前に、オンチェーンで資産をステーキングし、登録情報として公開鍵を残す必要があります。この公開鍵は「永続的な公開鍵」とも呼ばれます。
**2.**毎時、CRVAネットワークはランダムにいくつかのノードを選択します。しかしその前に、すべての候補者はローカルで一回限りの「一時公開鍵」を生成し、同時にZKPを生成して「一時公開鍵」がチェーン上の記録された「永久公開鍵」と関連していることを証明する必要があります。言い換えれば、誰もがZKを通じて自分が候補者リストに存在することを証明しなければならず、誰であるかは明かさない必要があります;
3.「一時的な公開鍵」の役割はプライバシー保護にあります。「永久的な公開鍵」の集合から直接くじ引きを行い、結果を公表すると、誰が当選したかがすぐにわかってしまいます。もし皆が一度だけ「一時的な公開鍵」を公開し、その「一時的な公開鍵」の集合から数人を選ぶと、自分が当選したことは最大限にわかりますが、他の当選者の一時的な公開鍵が誰に対応しているかはわかりません。
**4.**さらなる個人情報の漏洩を防ぐために、**CRVAはあなた自身が自分の「一時的な公開鍵」が何であるかを知らないようにすることを計画しています。**一時的な公開鍵の生成プロセスは、ノードのTEE環境内で完了し、TEEを実行しているあなたは内部で何が起こっているのかを見ることができません。
**5.**その後、TEE内で一時的な公開鍵の平文を「ガベージ」に暗号化して外部に送信します。特定のRelayerノードだけが復元できます。もちろん、復元プロセスもRelayerノードのTEE環境内で完了し、Relayerはこれらの一時的な公開鍵がどの候補者に対応しているかはわかりません。
**6.**リレイヤーはすべての「一時公開鍵」を復元した後、それらを統一して集約し、チェーン上のVRF関数に提出します。そこから当選者を抽選し、これらの人々がユーザーのフロントエンドから送信された取引リクエストを検証します。そして、検証結果に基づいて閾値署名を生成し、最後に再度チェーン上に提出します。(ここで注意が必要なのは、リレイヤーは実際には隠れた身分で、定期的に抽選されることです)
おそらく誰かが尋ねるでしょう、**「各ノードが自分が選ばれたかどうかわからない場合、作業はどう進むのか?」**実際、前述のように、各人はローカルのTEE環境内で「一時的な公開鍵」を生成します。抽選結果が出たら、私たちは直接リストをブロードキャストします。各人はそのリストをTEEに入力し、自分が選ばれているかどうかを確認するだけです。
DeepSafeこのソリューションの核心は、ほぼすべての重要な活動がTEEハードウェア内で行われ、TEE外部からは何が起こっているのか観測できないことです。 各ノードは選ばれた検証者が誰であるかを知らず、共謀による悪行を防ぎ、外部攻撃のコストを大幅に増加させます。DeepSafeに基づくCRVA委員会を攻撃するには、理論的にはCRVAネットワーク全体を攻撃する必要があり、さらに各ノードにはTEE保護があるため、攻撃の難易度は大幅に上昇します。
CRVAによる悪用の状況についてですが、CRVAは自動化されたノードネットワークシステムであるため、初期起動時のコードに悪意のあるロジックが含まれていない限り、CRVAがユーザーとの協力を拒否することはありませんので、基本的には無視できます。
もしCRVAが停電や洪水などの不可抗力により、多くのノードが停止した場合、上記の計画で言及されたプロセスに従って、ユーザーは依然として資産を安全に引き出す方法があります。ここでの信頼の仮定は、私たちがCRVAが十分に分散化されており、意図的に悪事を働くことはないと信じていることです(その理由は前述の通り十分に説明されています)。
Web3署名技術の発展の歴史は、デジタルセキュリティ分野における人類の不断の探求を示しています。最初の単一の秘密鍵から、マルチシグウォレット、MPC、さらにはCRVAなどの新興ソリューションに至るまで、各進歩はデジタル資産の安全管理に新たな可能性を開いてきました。
しかし、技術の進歩はリスクの排除を意味するわけではありません。新しい技術は既存の問題を解決する一方で、新たな複雑性やリスクをもたらす可能性があります。Bybitの事件からわかるように、先進的なマルチシグ技術を使用しても、攻撃者はソーシャルエンジニアリングやサプライチェーン攻撃を通じて技術的な保護を回避することができます。これは、技術的な解決策は良好な運用慣行とセキュリティ意識と組み合わせる必要があることを思い出させてくれます。
最終的に、デジタル資産の安全性は単なる技術的な問題ではなく、システム全体の挑戦でもあります。マルチシグやMPC、またはCRVAは、潜在的なリスクに対する試行的な解決策に過ぎません。ブロックチェーン業界の発展に伴い、将来的にはより安全で信頼を必要としない解決策を見つける必要があります。
5.4K 人気度
41.9K 人気度
30K 人気度
6K 人気度
203.7K 人気度
GDOG
GCAT
芝麻开门
GM
Gatsby
Web3資産管理ソリューションの比較:マルチシグネチャー、MPCとCRV
著者:シュー、不滅の土壌
Web3の世界では、プライベートキーの管理は死活問題です。一度ウォレットのプライベートキーが盗まれたり失われたりすると、数百万ドルの資産が一瞬で消えてしまいます。しかし、ほとんどの人は単一のプライベートキー管理を行うことに慣れていて、これはすべての卵を一つのバスケットに入れるようなもので、いつでもフィッシングリンクを踏んでしまい、すべての資産をハッカーに渡してしまう可能性があります。
この問題に対処するために、ブロックチェーン分野ではさまざまな解決策が登場してきました。マルチシグウォレットからMPC、さらにDeepSafeプロジェクトが提案したCRVAまで、技術の進歩が資産管理の新しい道を切り開いています。この記事では、上記の3つの資産管理ソリューションの原理、特徴、適用シーンを探り、読者が自分に最適な道を選ぶ手助けをします。
マルチシグウォレット:合格だが優秀ではない
マルチシグウォレットの理念は、一箇所にすべての権限を集中させないというシンプルな知恵から生まれています。この考え方は、三権分立や取締役会の投票など、現実の中で広く応用されています。
同様に、Web3において、マルチシグウォレットはリスクを分散するために複数の独立したキーを作成します。最も一般的なのは「M-of-N」モデルで、例えば「2-of-3」の設定では、システムは合計3つの秘密鍵を生成しますが、そのうちの任意の2つの秘密鍵が署名を生成すれば、指定されたアカウントが取引を実行できるようになります。
この設計は一定のフォールトトレランスを提供します。つまり、ある秘密鍵を失っても資産は安全で制御可能です。秘密鍵を保存するための複数の独立したデバイスを持っている場合、マルチシグのソリューションはより信頼性があります。
!
一般的に、マルチシグウォレットは技術的に二つのカテゴリーに分けられます。一つは通常のマルチシグで、一般的にはオンチェーンのスマートコントラクトやパブリックチェーンの基盤コンポーネントを使用して実装され、特定の暗号ツールに依存することはありません。もう一つは、特殊な暗号アルゴリズムに依存するマルチシグウォレットで、安全性は具体的なアルゴリズムに依存し、場合によってはオンチェーンのコントラクトの参加を完全に必要としないこともあります。以下では、二つのソリューションについてそれぞれ議論します。
従来のマルチシグスキームは、Safe walletとビットコイン Taprootを表しています。
Safeウォレットは、現在最も人気のあるマルチシグソリューションの一つとして、従来のSolidityスマートコントラクトを使用してマルチシグを実現しています。Safeウォレットのアーキテクチャでは、各マルチシグ参加者が独立したキーを制御しており、オンチェーンのスマートコントラクトが「仲裁者」として機能します。有効な署名が十分に集まった場合にのみ、コントラクトはマルチシグ関連アカウントの取引を実行することを承認します。
この方法の利点は透明性と検証可能性にあり、すべてのマルチシグルールがスマートコントラクトに明確にコーディングされているため、誰でもコードのロジックを監査できます。さらに、ユーザーはマルチシグアカウントにモジュールを追加することができ、各取引の資金上限を制限するなど、より豊富な機能を持たせることができます。しかし、この透明性は、マルチシグウォレットの詳細がブロックチェーン上で完全に公開されることを意味し、ユーザーの資産管理構造が露呈する可能性があります。
!
SafeウォレットのようなEthereumエコシステム内の有名なマルチシグソリューションに加えて、ビットコインネットワーク内にもBTCスクリプトを使用して構築されたマルチシグウォレットが存在します。例えば、OP_CHECKMULTISIGオペコードに基づいて構築されたソリューションです。このオペコードは、UTXOのロック解除スクリプト内に含まれる署名の数が要件を満たしているかどうかを検証できます。
!
注目すべきは、上記で紹介した一般的なマルチシグアルゴリズムはすべて “M-of-N” をサポートしていますが、後に紹介する特定の暗号アルゴリズムに基づくマルチシグは、一部が “M-of-M” モードのみをサポートしているということです。つまり、ユーザーが取引を行うにはすべてのキーを提供する必要があります。
暗号学の観点からのマルチシグの実装
暗号学の面では、特定の暗号学アルゴリズムを使用してマルチシグ検証の効果を実現することができ、このようなソリューションは時にはチェーン上のスマートコントラクトの参加を回避することができます。私たちは通常、次のように分類します:
1.マルチシグアルゴリズム(マルチシグネチャ)。この署名アルゴリズムは “M-of-M” モードのみをサポートしており、ユーザーはすべてのキーに対応する署名を一度に提出する必要があります。
2.しきい値署名アルゴリズム(しきい値署名)。このアルゴリズムは “M-of-N” モードをサポートしていますが、一般的に言って、上記のマルチ署名アルゴリズムに比べて構築が難しいです。
3.鍵分割アルゴリズム(秘密共有)。このアルゴリズムの設計では、ユーザーは単一の秘密鍵を複数の部分に分割でき、ユーザーが十分な秘密鍵の断片を集めると、元の秘密鍵を復元し、署名を生成できます。
ビットコインは隔離証明のアップグレード(SegWit)後にSchnorrアルゴリズムを導入し、自然にマルチシグ検証を実現しました。一方、イーサリアムのコンセンサス層はBLS閾値アルゴリズムを使用してPoSシステム内の最も重要な投票機能を実現しました。
この単純に暗号アルゴリズムに依存するマルチシグソリューションは、スマートコントラクトに依存せず、純粋なオフチェーンソリューションを使用して実現できるため、より良い互換性を持っています。
純粋な暗号学に基づくマルチシグネチャ方式で生成された署名は、従来の単一秘密鍵署名とフォーマットが完全に同じであり、標準署名フォーマットをサポートする任意のブロックチェーンによって受け入れられるため、非常に高い汎用性を持っています。しかし、特定の暗号学に基づくマルチシグアルゴリズムは非常に複雑であり、実装が非常に困難で、使用する際には特定の施設に依存することが多いです。
マルチシグ技術の現実的な課題
一般的なマルチシグウォレットは資産の安全性を大幅に向上させますが、新たなリスクももたらします。最も明白な問題は、操作の複雑さの増加です:各取引ごとに複数の関係者の調整と確認が必要であり、これは時間に敏感なシナリオにおいて重大な障害となります。
さらに深刻なことに、マルチシグウォレットはしばしばリスクを秘密鍵の管理から署名の調整と検証の段階に移します。最近発生したBybitの盗難事件のように、攻撃者はSafeが依存しているAWSの施設にフィッシング用のSafeフロントエンドインターフェースコードを埋め込むことで、Bybitのマルチシグ管理者を欺いてフィッシング取引に署名させることに成功しました。これは、より先進的なマルチシグ技術を使用しても、フロントエンドインターフェースと署名の検証および調整の段階の安全性に依然として多くの脆弱性が存在することを示しています。
!
さらに、すべてのブロックチェーンで使用される署名アルゴリズムがネイティブにマルチシグをサポートしているわけではありません。たとえば、Ethereumの実行層で使用されるsecp256k1曲線では、マルチシグアルゴリズムの存在が少ないため、異なるエコシステムにおけるマルチシグウォレットの適用が制限されています。スマートコントラクトを通じてマルチシグを実現する必要があるネットワークでは、コントラクトの脆弱性やアップグレードリスクなど、追加の考慮事項も存在します。
MPC:革命的ブレークスルー
マルチシグウォレットが分散された秘密鍵を通じて安全性を高めるとすれば、MPC(マルチパーティ計算)技術はさらに一歩進んでおり、根本的に完全な秘密鍵の存在を排除します。MPCの世界では、完全な秘密鍵は決して単一の場所に現れず、鍵生成の過程でもそうです。同時に、MPCは秘密鍵の更新や権限の調整といったより高度な機能をサポートすることがよくあります。
!
暗号通貨のアプリケーションシーンにおいて、MPCのワークフローは独自の利点を示しています。キー生成段階では、複数の参加者がそれぞれランダムな数を生成し、複雑な暗号学的プロトコルを通じて、各参加者が自分の「キーセグメント」を計算します。これらのシェアは単独では何の意味も持ちませんが、数学的には相互に関連し、特定の公開鍵とウォレットアドレスに共同で対応します。
チェーン上の操作に対して署名が必要な場合、参加者はそれぞれの秘密鍵の断片を使用して「部分署名」を生成し、その後MPCプロトコルを通じてこれらの部分署名を巧妙に組み合わせます。最終的に生成された署名は、単一の秘密鍵による署名とフォーマット上完全に同じであり、外部の観察者はこれがMPC施設によって生成された署名であることを見抜けません。
このデザインの革命的な点は、プロセス全体を通じて完全な秘密鍵がどこにも現れないことです。たとえ攻撃者が参加者のシステムに侵入したとしても、彼らは完全な秘密鍵を取得することはできません。なぜなら、この秘密鍵は本質的にどこにも存在しないからです。
MPCとマルチシグの本質的な違い
MPCとマルチシグはどちらも複数の参加者を含みますが、本質的には根本的な違いがあります。外部の観察者から見ると、MPCによって生成された取引は通常の単一署名取引と区別がつかず、ユーザーにより良いプライバシーを提供します。
!
この違いは互換性の面にも表れています。マルチシグウォレットは、ブロックチェーンネットワークのネイティブサポートを必要とするか、スマートコントラクトに依存しているため、特定の場所での使用が制限されます。一方、MPCによって生成された署名は標準のECDSA形式を使用しており、ビットコイン、イーサリアム、さまざまなDeFiプラットフォームなど、この署名アルゴリズムをサポートする任意の場所で使用できます。
MPC技術は、セキュリティパラメータを調整するためのさらなる柔軟性を提供します。従来のマルチシグウォレットでは、署名の閾値や参加者の数を変更するには、通常、新しいウォレットアドレスを作成する必要があり、リスクが伴います。(もちろん、スマートコントラクトベースのマルチシグウォレットでは、参加者やその権限を簡単に変更できます)が、MPCシステムでは、これらのパラメータの調整がより柔軟で簡潔に行うことができ、オンチェーンアカウントやコントラクトコードを変更することなく、資産管理に対してより大きな利便性を提供します。
MPCが直面している課題
しかし、MPCは通常のマルチシグよりも優れているとはいえ、相応の課題が存在します。まず、実装の複雑性です。MPCプロトコルは複雑な暗号計算と多者通信を含むため、システムの実装と維持がより困難になります。バグが発生すると、深刻なセキュリティホールを引き起こす可能性があります。2025年2月、Nikolaos MakriyannisらはMPCウォレット内でキーを盗む方法を発見しました。
性能コストはもう一つの課題です。MPCプロトコルは、複数の当事者間で複雑な計算とデータ交換を必要とし、従来の単一署名操作よりも多くの計算リソースとネットワーク帯域を消費します。このコストはほとんどのケースで受け入れられるものですが、特に性能が非常に高く要求されるシナリオでは制限要因となる可能性があります。さらに、MPCシステムは署名を完成させるために各参加者のオンライン調整が必要です。この調整はユーザーにとって透明ですが、ネットワーク接続が不安定であったり、特定の参加者がオフラインである場合、システムの可用性に影響を与える可能性があります。
さらに、MPCは依然として分散化を保証することができません。2023年のMultichainの件では、MPC計算に参加した21のノードが全て一人によって制御されており、典型的なウィッチハント攻撃です。この事例は、単に表面的に数十のノードが存在しても、高い分散化の保障を提供できないことを十分に証明しています。
DeepSafe:次世代セキュリティ検証ネットワークの構築
マルチシグとMPC技術が比較的成熟した背景の中で、DeepSafeチームはより先見的な解決策を提案しました:CRVA(暗号ランダム検証エージェント)。DeepSafeの革新は、それが単に既存の署名技術を置き換えるのではなく、既存のソリューションの基盤の上に追加の安全検証層を構築したことにあります。
CRVAの多要素認証
DeepSafeの核心思想は「二重保険」です:ユーザーは、Safeウォレットのように慣れ親しんだウォレットソリューションを引き続き使用できます。マルチシグ取引がチェーン上に提出されると、自動的にCRVAネットワークに送信され、追加の検証が行われます。これは、支付宝の2FA多要素認証に似ています。
このアーキテクチャでは、CRVAがゲートキーパーとして機能し、ユーザーが事前に設定したルールに基づいて各取引を審査します。例えば、1回の取引の上限、ターゲットアドレスのホワイトリスト、取引の頻度などの制限があり、異常が発生した場合はいつでも取引を中断できます。
この2FA多要素認証の利点は、もしマルチシグプロセスが操作された場合(Bybitの事件でのフロントエンドフィッシング攻撃のように)、保険としてのCRVAが事前に設定されたルールに基づいてリスクのある取引を拒否し、ユーザーの資産の安全を守ることができることです。
!
伝統的なMPCソリューションを基にした技術のアップグレード
従来のMPC資産管理ソリューションの不足に対して、DeepSafeのCRVAソリューションは多くの改善を行いました。**まず、CRVAネットワークノードは資産のステーキングによる参加形式を採用しており、約500のノードが集まった後に正式にメインネットが起動します。**推定によれば、これらのノードがステークする資産は長期にわたって数千万ドル以上の水準を維持するでしょう;
次に、**MPC/TSS計算の効率を向上させるために、CRVAは抽選アルゴリズムを使用してノードをランダムに選択します。**たとえば、30分ごとに10個のノードを抽選し、それらをバリデーターとしてユーザーのリクエストが承認されるべきかどうかを検証し、その後対応するしきい値署名を生成して通過させます。**内部の共謀や外部のハッカー攻撃を防ぐために、CRVAの抽選アルゴリズムはオリジナルの環状VRFを採用し、ZKと組み合わせて選ばれた者の身元を隠します。**これにより、外部から選ばれた者を直接観測できなくなります。
!
もちろん、これだけでは不十分です。外部の人々は誰が選ばれたかを知らないが、選ばれた本人はそれを知っているため、依然として共謀の道が存在します。共謀をさらに防ぐために、CRVAのすべてのノードは、コアコードをTEEハードウェア環境内で実行する必要があります。これは、コアの作業をブラックボックス内で行うことに相当します。こうすることで、誰も自分が選ばれたかどうかを知ることができなくなります。 TEEの信頼できるハードウェアを解読しない限り、もちろん現在の技術条件では、これは非常に困難です。
上記で説明したのはDeepSafeのCRVAソリューションの基本的な考え方ですが、実際の作業フローでは、CRVAネットワーク内のノード間で大量のブロードキャスト通信と情報交換が行われる必要があります。その具体的なプロセスは以下の通りです。
**1.**すべてのノードはCRVAネットワークに参加する前に、オンチェーンで資産をステーキングし、登録情報として公開鍵を残す必要があります。この公開鍵は「永続的な公開鍵」とも呼ばれます。
**2.**毎時、CRVAネットワークはランダムにいくつかのノードを選択します。しかしその前に、すべての候補者はローカルで一回限りの「一時公開鍵」を生成し、同時にZKPを生成して「一時公開鍵」がチェーン上の記録された「永久公開鍵」と関連していることを証明する必要があります。言い換えれば、誰もがZKを通じて自分が候補者リストに存在することを証明しなければならず、誰であるかは明かさない必要があります;
3.「一時的な公開鍵」の役割はプライバシー保護にあります。「永久的な公開鍵」の集合から直接くじ引きを行い、結果を公表すると、誰が当選したかがすぐにわかってしまいます。もし皆が一度だけ「一時的な公開鍵」を公開し、その「一時的な公開鍵」の集合から数人を選ぶと、自分が当選したことは最大限にわかりますが、他の当選者の一時的な公開鍵が誰に対応しているかはわかりません。
!
**4.**さらなる個人情報の漏洩を防ぐために、**CRVAはあなた自身が自分の「一時的な公開鍵」が何であるかを知らないようにすることを計画しています。**一時的な公開鍵の生成プロセスは、ノードのTEE環境内で完了し、TEEを実行しているあなたは内部で何が起こっているのかを見ることができません。
**5.**その後、TEE内で一時的な公開鍵の平文を「ガベージ」に暗号化して外部に送信します。特定のRelayerノードだけが復元できます。もちろん、復元プロセスもRelayerノードのTEE環境内で完了し、Relayerはこれらの一時的な公開鍵がどの候補者に対応しているかはわかりません。
**6.**リレイヤーはすべての「一時公開鍵」を復元した後、それらを統一して集約し、チェーン上のVRF関数に提出します。そこから当選者を抽選し、これらの人々がユーザーのフロントエンドから送信された取引リクエストを検証します。そして、検証結果に基づいて閾値署名を生成し、最後に再度チェーン上に提出します。(ここで注意が必要なのは、リレイヤーは実際には隠れた身分で、定期的に抽選されることです)
おそらく誰かが尋ねるでしょう、**「各ノードが自分が選ばれたかどうかわからない場合、作業はどう進むのか?」**実際、前述のように、各人はローカルのTEE環境内で「一時的な公開鍵」を生成します。抽選結果が出たら、私たちは直接リストをブロードキャストします。各人はそのリストをTEEに入力し、自分が選ばれているかどうかを確認するだけです。
!
DeepSafeこのソリューションの核心は、ほぼすべての重要な活動がTEEハードウェア内で行われ、TEE外部からは何が起こっているのか観測できないことです。 各ノードは選ばれた検証者が誰であるかを知らず、共謀による悪行を防ぎ、外部攻撃のコストを大幅に増加させます。DeepSafeに基づくCRVA委員会を攻撃するには、理論的にはCRVAネットワーク全体を攻撃する必要があり、さらに各ノードにはTEE保護があるため、攻撃の難易度は大幅に上昇します。
CRVAによる悪用の状況についてですが、CRVAは自動化されたノードネットワークシステムであるため、初期起動時のコードに悪意のあるロジックが含まれていない限り、CRVAがユーザーとの協力を拒否することはありませんので、基本的には無視できます。
もしCRVAが停電や洪水などの不可抗力により、多くのノードが停止した場合、上記の計画で言及されたプロセスに従って、ユーザーは依然として資産を安全に引き出す方法があります。ここでの信頼の仮定は、私たちがCRVAが十分に分散化されており、意図的に悪事を働くことはないと信じていることです(その理由は前述の通り十分に説明されています)。
サマリー
Web3署名技術の発展の歴史は、デジタルセキュリティ分野における人類の不断の探求を示しています。最初の単一の秘密鍵から、マルチシグウォレット、MPC、さらにはCRVAなどの新興ソリューションに至るまで、各進歩はデジタル資産の安全管理に新たな可能性を開いてきました。
しかし、技術の進歩はリスクの排除を意味するわけではありません。新しい技術は既存の問題を解決する一方で、新たな複雑性やリスクをもたらす可能性があります。Bybitの事件からわかるように、先進的なマルチシグ技術を使用しても、攻撃者はソーシャルエンジニアリングやサプライチェーン攻撃を通じて技術的な保護を回避することができます。これは、技術的な解決策は良好な運用慣行とセキュリティ意識と組み合わせる必要があることを思い出させてくれます。
最終的に、デジタル資産の安全性は単なる技術的な問題ではなく、システム全体の挑戦でもあります。マルチシグやMPC、またはCRVAは、潜在的なリスクに対する試行的な解決策に過ぎません。ブロックチェーン業界の発展に伴い、将来的にはより安全で信頼を必要としない解決策を見つける必要があります。