Comparação de soluções de gestão de ativos Web3: multi-assinatura, MPC e CRVA

Autor: Shew, Xianrang

No mundo do Web3, a gestão de chaves privadas é uma questão de vida ou morte. Assim que a chave privada da carteira é roubada ou perdida, milhões de dólares em ativos podem desaparecer em um instante. No entanto, a grande maioria das pessoas costuma adotar uma gestão de chaves privadas de ponto único, o que é como colocar todos os ovos em uma única cesta, podendo a qualquer momento, ao clicar em um link de phishing, entregar todos os ativos a hackers.

Para enfrentar este problema, surgiram várias soluções no campo da blockchain. Desde carteiras multi-assinatura a MPC, até o CRVA proposto pelo projeto DeepSafe, cada avanço tecnológico tem aberto novos caminhos para a gestão de ativos. Este artigo irá explorar os princípios, características e cenários de aplicação das três soluções de gestão de ativos mencionadas, ajudando os leitores a escolher o caminho mais adequado para si.

Carteira multi-assinatura: suficiente, mas não excelente

A ideia da carteira multi-assinatura vem de uma sabedoria simples: não concentre todos os poderes em um só lugar. Este pensamento já foi amplamente aplicado na realidade, como na separação de poderes e nas votações do conselho.

Da mesma forma, no Web3, as carteiras multisig criam várias chaves independentes para dispersar o risco. O mais comum é o modelo “M-of-N”, por exemplo, em uma configuração “2-of-3”, o sistema gera um total de três chaves privadas, mas desde que qualquer duas dessas chaves privadas assinem, a conta designada pode executar a transação.

Este design oferece uma certa capacidade de tolerância a falhas - mesmo que uma chave privada seja perdida, os ativos ainda permanecem seguros e controláveis. Se você tiver vários dispositivos independentes para armazenar as chaves, a solução de múltiplas assinaturas será mais confiável.

Em geral, as carteiras multi-assinatura são tecnicamente divididas em duas categorias. Uma delas é a multi-assinatura convencional, que normalmente utiliza contratos inteligentes on-chain ou componentes de suporte da camada base da blockchain para ser implementada, muitas vezes não dependendo de ferramentas criptográficas específicas. A outra é a carteira multi-assinatura que depende de algoritmos criptográficos especiais, cuja segurança depende do algoritmo específico e, às vezes, pode operar sem a necessidade de contratos on-chain. Abaixo, discutiremos separadamente as duas soluções.

O esquema de multi-assinatura convencional representa: carteira Safe e Bitcoin Taproot

A carteira Safe é uma das soluções de múltiplas assinaturas mais populares atualmente, utilizando contratos inteligentes Solidity convencionais para implementar a assinatura múltipla. Na arquitetura da carteira Safe, cada participante da assinatura múltipla controla uma chave independente, enquanto o contrato inteligente na blockchain atua como um “arbitro”, permitindo que o contrato aprove a execução de transações da conta associada à assinatura múltipla somente quando um número suficiente de assinaturas válidas é coletado.

A vantagem deste método reside na transparência e na verificabilidade, uma vez que todas as regras de múltiplas assinaturas estão claramente codificadas no contrato inteligente, e qualquer pessoa pode auditar a lógica do código. Além disso, os usuários podem adicionar módulos à conta de múltiplas assinaturas, permitindo funcionalidades mais ricas, como limitar o teto de fundos de cada transação. No entanto, essa transparência também significa que os detalhes da carteira de múltiplas assinaturas estão completamente expostos na blockchain, o que pode revelar a estrutura de gestão de ativos dos usuários.

Além da carteira Safe, que é uma conhecida solução de multisig dentro do ecossistema Ethereum, também existem carteiras multisig construídas na rede Bitcoin usando scripts BTC, como as baseadas no opcode OP_CHECKMULTISIG. Este opcode pode verificar se o número de assinaturas incluídas no script de desbloqueio UTXO atende aos requisitos.

Vale a pena notar que os algoritmos de multi-assinatura convencionais mencionados acima suportam “M-of-N”, mas a multi-assinatura baseada em algoritmos criptográficos específicos, que será apresentada a seguir, suporta apenas o modo “M-of-M”, ou seja, o usuário deve fornecer todas as chaves para realizar a transação.

implementação de múltiplas assinaturas no nível da criptografia

No nível da criptografia, é possível implementar o efeito da verificação multi-assinatura através de algoritmos criptográficos específicos, e esta solução às vezes pode escapar da participação de contratos inteligentes na blockchain. Normalmente, fazemos a seguinte classificação:

1. Algoritmo de múltiplas assinaturas (Multisignatures). Este algoritmo de assinatura suporta apenas o modo “M-de-M”, onde o usuário deve submeter todas as assinaturas correspondentes às chaves de uma só vez.

2. Algoritmo de Assinatura de Limite ( Assinaturas de Limite ). Este algoritmo suporta o modo “M-of-N”, mas, em geral, a dificuldade de construção é mais complexa em comparação com o algoritmo de múltiplas assinaturas mencionado acima.

3. Algoritmo de divisão de chaves ( Compartilhamento secreto ). Neste design de algoritmo, o usuário pode dividir uma única chave privada em várias partes; quando o usuário coleta fragmentos de chave privada suficientes, pode restaurar a chave privada original e gerar uma assinatura.

O Bitcoin introduziu o algoritmo schnorr após a atualização de SegWit (, que permite naturalmente a verificação de múltiplas assinaturas. Por outro lado, a camada de consenso do Ethereum utilizou o algoritmo BLS de threshold para implementar a funcionalidade de votação mais essencial dentro do sistema PoS.

![Schnorr e Taproot: Uma Dupla Dinâmica Revolucionando a Rede!])https://img-cdn.gateio.im/webp-social/moments-c7421c1700b8d77503a380e90ad3e63d.webp(

Este esquema de multi-assinatura que depende apenas de algoritmos criptográficos tem uma melhor compatibilidade, pois pode ser implementado sem depender de contratos inteligentes, como a implementação de uma solução totalmente off-chain.

As assinaturas geradas por esquemas de múltiplas assinaturas puramente criptográficas são idênticas em formato às assinaturas de chave privada única tradicionais, podendo ser aceitas por qualquer blockchain que suporte formatos de assinatura padrão, o que confere uma grande versatilidade. No entanto, os algoritmos de múltiplas assinaturas baseados em criptografia específica são relativamente complexos e sua implementação é bastante difícil, muitas vezes exigindo a dependência de certas infraestruturas específicas durante o uso.

) Desafios reais da tecnologia de múltiplas assinaturas

Embora as carteiras multi-assinatura comuns aumentem significativamente a segurança dos ativos, também trazem novos riscos. O problema mais evidente é o aumento da complexidade operacional: cada transação requer coordenação e confirmação de várias partes, o que se torna um obstáculo significativo em cenários sensíveis ao tempo.

Mais grave ainda, as carteiras multi-assinatura frequentemente transferem o risco da gestão das chaves privadas para a coordenação e verificação das assinaturas. Como demonstrado no recente caso de roubo da Bybit, os atacantes conseguiram enganar os gestores multi-assinatura da Bybit para assinarem transações fraudulentas, implantando código de interface front-end de phishing no AWS, que a Safe depende. Isso mostra que, mesmo ao utilizar tecnologias multi-assinatura mais avançadas, a segurança da interface front-end e dos processos de verificação e coordenação das assinaturas ainda apresenta muitas vulnerabilidades.

![]###https://img-cdn.gateio.im/webp-social/moments-18fac951ff23f33f32a1d7151782be3a.webp(

Além disso, nem todos os algoritmos de assinatura utilizados em blockchains suportam nativamente a multiassinatura, como é o caso do algoritmo secp256k1 usado na camada de execução do Ethereum, onde existem poucas implementações de multiassinatura, limitando a aplicação de carteiras multiassinatura em diferentes ecossistemas. Para redes que necessitam implementar a multiassinatura através de contratos inteligentes, também existem considerações adicionais, como vulnerabilidades contratuais e riscos de atualização.

MPC: Uma Revolução

Se as carteiras multi-assinatura aumentam a segurança através da descentralização das chaves privadas, então a tecnologia MPC (Cálculo Seguro Multi-Partes) leva isso um passo adiante, eliminando fundamentalmente a existência de chaves privadas completas. No mundo do MPC, a chave privada completa nunca aparece em nenhum único local, nem mesmo durante o processo de geração de chaves. Ao mesmo tempo, o MPC geralmente suporta funcionalidades mais avançadas, como a atualização de chaves privadas ou a modificação de permissões.

![])https://img-cdn.gateio.im/webp-social/moments-3e0f8cc411f9c5edee87473c9f474c6d.webp(

No cenário de aplicação de criptomoedas, o fluxo de trabalho do MPC demonstra vantagens únicas. Na fase de geração de chaves, várias partes geram números aleatórios, e então, através de protocolos criptográficos complexos, cada parte calcula seu próprio “fragmento de chave”. Essas partes, vistas isoladamente, não têm significado, mas estão matematicamente interligadas e podem corresponder a uma chave pública e um endereço de carteira específicos.

Quando é necessário assinar uma operação na blockchain, cada parte envolvida pode gerar uma “assinatura parcial” usando seu próprio fragmento de chave, e em seguida combinar essas assinaturas parciais de forma inteligente através do protocolo MPC. A assinatura final gerada é idêntica em formato à assinatura de uma única chave privada, e observadores externos não conseguem perceber que esta é uma assinatura gerada pela infraestrutura MPC.

A revolução deste design reside no fato de que a chave privada completa nunca apareceu em nenhum lugar durante todo o processo. Mesmo que um atacante consiga invadir o sistema de alguma das partes envolvidas, ele não poderá obter a chave privada completa, pois esta chave, na sua essência, nunca existiu em nenhum lugar.

) A diferença essencial entre MPC e multi-assinatura

Embora MPC e multi-assinatura envolvam a participação de várias partes, há diferenças fundamentais entre os dois. Do ponto de vista de um observador externo, as transações geradas por MPC são indistinguíveis das transações comuns de assinatura única, o que proporciona melhor privacidade ao usuário.

![]###https://img-cdn.gateio.im/webp-social/moments-defc997a9dbed36ce34da3c2631d4718.webp(

Essa diferença também se reflete na compatibilidade. As carteiras multi-assinatura precisam do suporte nativo da rede blockchain ou dependem de contratos inteligentes, o que limita seu uso em certas áreas. Por outro lado, as assinaturas geradas por MPC utilizam o formato padrão ECDSA, o que permite seu uso em qualquer lugar que suporte esse algoritmo de assinatura, incluindo Bitcoin, Ethereum e várias plataformas DeFi.

A tecnologia MPC também oferece maior flexibilidade para ajustar os parâmetros de segurança. Em carteiras multisig tradicionais, alterar o limite de assinatura ou o número de participantes geralmente requer a criação de um novo endereço de carteira, o que traz riscos. ) Claro, carteiras multisig baseadas em contratos inteligentes podem modificar facilmente os participantes e suas permissões (, enquanto no sistema MPC, esses ajustes de parâmetros podem ser realizados de maneira mais flexível e simplificada, sem a necessidade de alterar contas em blockchain e código de contrato, proporcionando maior conveniência para a gestão de ativos.

) Desafios enfrentados pelo MPC

No entanto, embora o MPC seja superior ao multi-assinatura comum, ainda existem desafios correspondentes. Primeiro, a complexidade na implementação. O protocolo MPC envolve cálculos criptográficos complexos e comunicação entre múltiplas partes, o que torna a implementação e manutenção do sistema mais difícil. Qualquer bug pode levar a sérias vulnerabilidades de segurança. Em fevereiro de 2025, Nikolaos Makriyannis e outros descobriram um método para roubar suas chaves dentro da carteira MPC.

O custo de desempenho é outro problema. O protocolo MPC requer cálculos complexos e troca de dados entre várias partes, consumindo mais recursos computacionais e largura de banda de rede do que as operações de assinatura única tradicionais. Embora esse custo seja aceitável na maioria dos casos, ele pode se tornar um fator limitante em certos cenários com requisitos de desempenho extremamente altos. Além disso, o sistema MPC ainda precisa de coordenação online entre as partes participantes para completar a assinatura. Embora essa coordenação seja transparente para o usuário, pode afetar a disponibilidade do sistema em caso de conexão de rede instável ou se algumas partes estiverem offline.

Além disso, o MPC ainda não consegue garantir a descentralização. No caso do Multichain em 2023, os 21 nós que participaram do cálculo do MPC eram todos controlados por uma única pessoa, sendo um típico ataque de bruxa. Este fato é suficiente para provar que apenas uma superfície de dezenas de nós não pode oferecer uma alta garantia de descentralização.

DeepSafe: Construir a próxima geração de rede de validação segura

Com o contexto em que a tecnologia de multi-assinatura e MPC já está relativamente madura, a equipe da DeepSafe propôs uma solução mais inovadora: CRVA (Agente de Validação Aleatória Criptográfica). A inovação da DeepSafe reside no fato de que não se trata simplesmente de substituir a tecnologia de assinatura existente, mas de construir uma camada adicional de validação de segurança sobre as soluções já existentes.

Verificação multifatorial do CRVA

A ideia central do DeepSafe é “dupla garantia”: os usuários podem continuar a usar suas soluções de carteira familiares, como a carteira Safe, quando uma transação de múltiplas assinaturas é concluída e enviada para a blockchain, ela será automaticamente submetida à rede CRVA para validação adicional, semelhante à verificação de múltiplos fatores 2FA do Alipay.

Nesta arquitetura, o CRVA atua como um porteiro, revisando cada transação de acordo com as regras pré-definidas pelo usuário. Por exemplo, limites para transações individuais, listas brancas de endereços alvo, restrições de frequência de transação, etc., e pode interromper a transação a qualquer momento em caso de situações anormais.

A vantagem desta verificação de múltiplos fatores 2FA é que, mesmo que o processo de múltiplas assinaturas seja manipulado (como o ataque de phishing no front-end do evento Bybit), o CRVA, como uma medida de segurança, ainda pode recusar transações de risco com base em regras predefinidas, protegendo assim a segurança dos ativos dos usuários.

![]###https://img-cdn.gateio.im/webp-social/moments-425718cbadee8e962e697514dbd49b1d.webp(

) atualização técnica baseada em soluções MPC tradicionais

Para lidar com as deficiências das soluções tradicionais de gestão de ativos MPC, a solução CRVA da DeepSafe fez uma série de melhorias. Primeiro, os nós da rede CRVA utilizam um formato de acesso baseado em garantia de ativos, e a mainnet será oficialmente lançada apenas depois que cerca de 500 nós forem alcançados, estimando-se que os ativos garantidos por esses nós permanecerão a longo prazo na faixa de dezenas de milhões de dólares ou mais;

Em segundo lugar, para aumentar a eficiência do cálculo MPC/TSS, o CRVA selecionará aleatoriamente nós através de um algoritmo de sorteio, por exemplo, a cada meia hora, sorteando 10 nós, que atuarão como validadores para verificar se os pedidos dos usuários devem ser aprovados, e então gerar a respectiva assinatura de limite para liberar. Para evitar conluio interno ou ataques de hackers externos, o algoritmo de sorteio do CRVA utiliza um VRF circular original, combinado com ZK para ocultar a identidade dos selecionados, tornando impossível para o mundo exterior observar diretamente os escolhidos.

![]###https://img-cdn.gateio.im/webp-social/moments-1b71dbb2881f847407a5e41da7564648.webp(

Claro, apenas chegar a esse ponto não é suficiente. Embora o mundo exterior não saiba quem foi selecionado, neste momento, a própria pessoa escolhida sabe, portanto, ainda existe um caminho para conluio. Para eliminar ainda mais o conluio, **todos os nós do CRVA devem executar o código central em um ambiente de hardware TEE, o que equivale a colocar o trabalho central em uma caixa-preta. Assim, ninguém pode saber se foi escolhido, **a menos que consiga quebrar o hardware confiável TEE, o que, de acordo com as condições tecnológicas atuais, é extremamente difícil de se fazer.

O que foi mencionado acima é a ideia básica do plano CRVA da DeepSafe. No fluxo de trabalho real, os nós dentro da rede CRVA precisam realizar uma grande quantidade de comunicação de transmissão e troca de informações, e o processo específico é o seguinte:

1. Todos os nós devem primeiro fazer staking de ativos na cadeia antes de entrar na rede CRVA, deixando uma chave pública como informação de registro. Esta chave pública também é conhecida como “chave pública permanente”.

2. A cada 1 hora, a rede CRVA selecionará aleatoriamente alguns nós. Mas antes disso, todos os candidatos devem gerar localmente uma “chave pública temporária” única e ao mesmo tempo gerar ZKP para provar que a “chave pública temporária” está associada à “chave pública permanente” registrada na blockchain; em outras palavras, cada um deve provar sua existência na lista de candidatos através do ZK, mas sem revelar qual é.

3. A função da “chave pública temporária” é a proteção da privacidade. Se for feito um sorteio diretamente do conjunto de “chaves públicas permanentes”, ao divulgar os resultados, todos saberão exatamente quem foi eleito. Se as pessoas expuserem apenas uma “chave pública temporária” uma única vez e, em seguida, forem escolhidas algumas pessoas do conjunto de “chaves públicas temporárias”, você saberá no máximo que foi sorteado, mas não saberá a quem corresponde as outras chaves públicas temporárias sorteadas.

![])https://img-cdn.gateio.im/webp-social/moments-caa631df9f9a68cdab81565ee7b25af0.webp(

4. Para evitar ainda mais a divulgação da identidade, a CRVA pretende que você mesmo não saiba qual é a sua “chave pública temporária”. O processo de geração da chave pública temporária ocorre no ambiente TEE do nó, e você que está executando o TEE não consegue ver o que está acontecendo lá dentro.

**5.**Em seguida, dentro do TEE, a chave pública temporária em texto claro é criptografada como “dados corrompidos” antes de ser enviada ao exterior, apenas nós Relayer específicos podem restaurá-la. Claro, o processo de restauração também é concluído no ambiente TEE do nó Relayer, e o Relayer não sabe a quais candidatos essas chaves públicas temporárias correspondem.

**6.**Depois que o Relayer restaurar todas as “chaves públicas temporárias”, ele as reunirá e as enviará à função VRF na cadeia, que selecionará os vencedores. Essas pessoas verificarão os pedidos de transação enviados pela interface do usuário e, em seguida, gerarão uma assinatura de limite com base nos resultados da verificação, e finalmente, enviarão para a cadeia. (É importante notar que o Relayer aqui também tem uma identidade oculta e é selecionado periodicamente.)

Pode haver quem pergunte, já que cada nó não sabe se foi escolhido, como é que o trabalho pode prosseguir? Na verdade, como mencionado anteriormente, cada pessoa gera uma “chave pública temporária” no seu ambiente TEE local. Depois que o resultado do sorteio é divulgado, simplesmente transmitimos a lista; cada pessoa só precisa inserir a lista no TEE e verificar se foi selecionada.

![])https://img-cdn.gateio.im/webp-social/moments-1b4c70d0ea3fc3680e557033d51c11de.webp(

O núcleo da solução DeepSafe reside no fato de que quase todas as atividades importantes ocorrem dentro do hardware TEE, e não é possível observar o que acontece fora do TEE. Cada nó não sabe quem são os validadores selecionados, prevenindo conluíos maliciosos e aumentando significativamente o custo de ataques externos. Para atacar o comitê CRVA baseado no DeepSafe, teoricamente seria necessário atacar toda a rede CRVA, além do fato de que cada nó possui proteção TEE, tornando a dificuldade de ataque muito maior.

E no que diz respeito às situações de má conduta do CRVA, dado que o CRVA é um sistema de rede de nós automatizado, desde que o código inicial de arranque não contenha lógica maliciosa, não haverá situações em que o CRVA se recuse a cooperar com os utilizadores, portanto, pode ser basicamente ignorado;

Se o CRVA sofrer uma grande quantidade de interrupções de nós devido a força maior, como falta de energia ou inundação, os usuários ainda têm maneiras de retirar seus ativos com segurança, de acordo com o processo mencionado no plano acima. A suposição de confiança aqui é que confiamos que o CRVA é suficientemente descentralizado e não tomará ações maliciosas (a razão já foi suficientemente explicada anteriormente).

Resumo

O desenvolvimento da tecnologia de assinatura Web3 mostra a incansável exploração da humanidade na área da segurança digital. Desde a inicial chave privada única, passando pelas wallets multi-assinatura, até MPC e novas soluções emergentes como CRVA, cada avanço abre novas possibilidades para a gestão segura de ativos digitais.

No entanto, o avanço tecnológico não significa a eliminação de riscos. Cada nova tecnologia, ao resolver problemas existentes, também pode introduzir novas complexidades e pontos de risco. A partir do incidente da Bybit, vemos que mesmo com o uso de tecnologia de múltiplas assinaturas avançadas, os atacantes ainda podem contornar as proteções tecnológicas por meio de engenharia social e ataques à cadeia de suprimentos. Isso nos lembra que as soluções tecnológicas devem ser combinadas com boas práticas operacionais e consciência de segurança.

No final, a segurança dos ativos digitais não é apenas uma questão técnica, mas sim um desafio sistêmico. Seja através de multi-assinaturas, MPC ou CRVA, são apenas soluções experimentais para riscos potenciais. À medida que a indústria de blockchain evolui, será necessário continuar a inovar no futuro, em busca de caminhos mais seguros e sem necessidade de confiança.