Порівняння рішень з управління активами Web3: мультипідпис, MPC та CRVA

Автор: Shew, Сянжуан

У світі Web3 управління приватними ключами є питанням життя і смерті. Якщо приватний ключ гаманця буде вкрадений або загублений, мільйони доларів активів можуть зникнути в одну мить. Проте, абсолютна більшість людей звикли використовувати одноточкове управління приватними ключами, що подібно до того, як покласти всі яйця в один кошик, і в будь-який момент можна втратити всі активи, натрапивши на рибальське посилання, яке відправить їх хакерам.

Щоб впоратися з цією проблемою, у сфері блокчейну з'явилися різноманітні рішення. Від мультипідписних гаманців до MPC, а також до CRVA, запропонованого проектом DeepSafe, кожен технологічний прогрес відкриває нові шляхи для управління активами. У даній статті будуть розглянуті принципи, особливості та сфери застосування вищезгаданих трьох рішень для управління активами, щоб допомогти читачеві вибрати найбільш підходящий шлях.

Мультипідписний гаманець: задовільно, але не відмінно

Ідея мультипідписного гаманця походить від простої мудрості: не зосереджувати всі повноваження в одному місці. Ця думка вже давно широко використовується в реальному житті, наприклад, у розподілі влади та голосуванні в раді директорів.

Аналогічно, у Web3 багатопідписні гаманці створюють кілька незалежних ключів для розподілу ризиків. Найбільш поширеним є режим “M з N”, наприклад, у налаштуванні “2 з 3” система в цілому генерує три приватні ключі, але лише за умови, що будь-які два з цих приватних ключів підписують, можна дозволити вказаному рахунку виконати транзакцію.

Цей дизайн забезпечує певну стійкість до помилок — навіть якщо буде втрачено один з приватних ключів, активи все ще залишаються в безпеці та під контролем. Якщо у вас є кілька незалежних пристроїв для зберігання ключів, схема мультипідпису буде більш надійною.

!

Зазвичай мультипідписні гаманці технічно поділяються на дві категорії: одна - це звичайні мультипідписні гаманці, які зазвичай реалізуються за допомогою смарт-контрактів на блокчейні або супутніх компонентів на базовому рівні публічного блокчейну, і, як правило, не залежать від конкретних криптографічних інструментів. Інша категорія - це мультипідписні гаманці, які залежать від спеціальних криптографічних алгоритмів, безпека яких залежить від конкретного алгоритму, і іноді може повністю не вимагати участі смарт-контрактів на блокчейні. Нижче ми окремо обговоримо обидва варіанти.

Звичайна мультипідписна схема представляє: гаманець Safe та біткойн Taproot

Гаманець Safe є одним із найпопулярніших рішень для мультипідпису на сьогодні, реалізуючи мультипідпис за допомогою звичайних смарт-контрактів Solidity. У структурі гаманця Safe кожен учасник мультипідпису контролює окремий ключ, а смарт-контракт на ланцюзі виступає в ролі “арбітра”, і лише зібравши достатню кількість дійсних підписів, контракт затверджує виконання транзакцій, пов'язаних з мультипідписом.

Перевагою цього підходу є прозорість і можливість перевірки: усі правила мультипідпису чітко закодовані в смарт-контракті, і будь-хто може перевірити логіку коду. Крім того, користувачі можуть додати модулі до мультипідписного рахунку, щоб надати йому більш багатий функціонал, наприклад, обмеження максимальної суми коштів для кожної транзакції. Проте ця прозорість також означає, що деталі мультипідписного гаманця повністю публічні в блокчейні, що може розкрити структуру управління активами користувачів.

!

Окрім відомого багатопідписного рішення Safe Wallet в екосистемі Ethereum, в мережі Bitcoin також існують багатопідписні гаманці, побудовані на основі BTC-скрипта, наприклад, рішення, побудоване на основі оператора OP_CHECKMULTISIG. Цей оператор може перевіряти, чи відповідає кількість підписів, що містяться у скрипті розблокування UTXO, вимогам.

!

Варто звернути увагу, що згадані вище звичайні алгоритми мультипідпису підтримують “M-of-N”, але в подальшому описаних мультипідписах на основі певних криптографічних алгоритмів деякі підтримують лише режим “M-of-M”, тобто користувач має надати всі ключі, щоб здійснити транзакцію.

реалізація мультипідпису на криптографічному рівні

На криптографічному рівні можна реалізувати ефект мультипідпису за допомогою специфічних криптографічних алгоритмів, і такий підхід іноді може обійти участь смарт-контрактів на блокчейні. Ми зазвичай проводимо наступну класифікацію:

1. Багатопідпис алгоритм (Multisignatures). Цей алгоритм підпису підтримує лише режим “M-of-M”, користувач повинен одночасно подати всі підписи, що відповідають ключам.

2. Порогові підписи (Threshold Signatures). Цей алгоритм підтримує режим “M-of-N”, але, як правило, складність побудови є більшою, ніж у згаданих вище алгоритмах з множинними підписами.

3. Алгоритм розподілу ключів ( Secret sharing ). У дизайні цього алгоритму користувач може розділити єдиний приватний ключ на кілька частин, і коли користувач збере достатню кількість фрагментів приватного ключа, він зможе відновити оригінальний приватний ключ і згенерувати підпис.

Біткоїн після оновлення SegWit ( із ізольованими свідченнями впровадив алгоритм Шнорра, що природно дозволяє реалізувати багаторазову перевірку підписів. А в консенсусному шарі ефірі використовується алгоритм BLS-сторінкового порогу для реалізації найосновнішої функції голосування в системі PoS.

![Шнорр і Тапрут: Динамічний дует, який струшує мережу!])https://img-cdn.gateio.im/webp-social/moments-c7421c1700b8d77503a380e90ad3e63d.webp(

Ця схема мультипідпису, що спирається виключно на криптографічні алгоритми, має кращу сумісність, оскільки вона може не покладатися на смарт-контракти, наприклад, реалізуючи чисте офлайн-рішення.

Підпис, згенерований чисто криптографічною многопідписною схемою, повністю ідентичний за форматом підпису з традиційним одноразовим приватним ключем і може бути прийнятий будь-яким блокчейном, що підтримує стандартний формат підпису, тому має високу універсальність. Однак многопідписні алгоритми, засновані на специфічній криптографії, є досить складними, їх реалізація є дуже важкою, а в процесі використання часто потрібно покладатися на певні специфічні засоби.

) Реальні виклики технології мультипідпису

Хоча звичайні мультипідписні гаманці значно підвищують безпеку активів, вони також приносять нові ризики. Найочевиднішою проблемою є зростання складності операцій: кожна транзакція потребує узгодження та підтвердження з боку кількох учасників, що стає серйозною перешкодою в ситуаціях, чутливих до часу.

Більш серйозно, багатопідписні гаманці часто переносять ризики від управління приватними ключами на етапи координації та перевірки підписів. Як показує нещодавній випадок крадіжки на Bybit, зловмисники успішно обманули багатопідписних адміністраторів Bybit, вставивши фішинговий код інтерфейсу Safe у залежні від AWS потужності Safe, змусивши їх підписати фішингову угоду. Це демонструє, що навіть при використанні більш сучасних технологій багатопідпису, безпека інтерфейсу та етапів перевірки та координації підписів все ще має безліч уразливостей.

! []###https://img-cdn.gateio.im/webp-social/moments-18fac951ff23f33f32a1d7151782be3a.webp(

Крім того, не всі алгоритми підпису, що використовуються в блокчейнах, нативно підтримують мультипідпис. Наприклад, на кривій secp256k1, яка використовується в виконавчому шарі Ethereum, мультипідписних алгоритмів досить мало, що обмежує застосування мультипідписних гаманців в різних екосистемах. Для мереж, які потребують реалізації мультипідпису через смарт-контракти, існують також додаткові міркування, такі як вразливості контрактів та ризики оновлення.

MPC: Революційний прорив

Якщо мультипідписний гаманець покращує безпеку шляхом розподілу приватних ключів, то технологія MPC (мультипартійні обчислення з безпекою) йде ще далі, оскільки вона повністю усуває наявність цілого приватного ключа. У світі MPC цілісні приватні ключі ніколи не з'являються в жодному єдиному місці, навіть під час процесу генерації ключів. У той же час, MPC зазвичай підтримує більш просунуті функції, такі як оновлення приватних ключів або налаштування прав.

! [])https://img-cdn.gateio.im/webp-social/moments-3e0f8cc411f9c5edee87473c9f474c6d.webp(

У сценаріях використання криптовалюти робочий процес MPC демонструє унікальні переваги. На етапі генерування ключів кілька учасників генерують випадкові числа, а потім за допомогою складного криптографічного протоколу кожен учасник обчислює свій “фрагмент ключа”. Ці частини окремо не мають жодного значення, але вони математично взаємопов'язані і можуть спільно відповідати певному публічному ключу та адресі гаманця.

Коли потрібно підписати певну операцію в блокчейні, усі учасники можуть за допомогою своїх фрагментів ключів згенерувати “часткові підписи”, а потім за допомогою протоколу MPC巧妙地 об'єднати ці часткові підписи. Остаточний підпис за форматом повністю ідентичний підпису, створеному за допомогою єдиного приватного ключа, і зовнішній спостерігач навіть не зможе зрозуміти, що це підпис, згенерований за допомогою MPC.

Революційність цього дизайну полягає в тому, що протягом усього процесу повний приватний ключ жодного разу не з'являвся ніде. Навіть якщо зловмисник успішно зламає систему якогось учасника, він не зможе отримати повний приватний ключ, оскільки цей приватний ключ по суті ніколи не існував ніде.

) Суттєва різниця між MPC та мультипідписом

Хоча MPC та мультипідпис пов'язані з участю кількох сторін, між ними існують принципові відмінності. З погляду зовнішнього спостерігача, транзакції, створені за допомогою MPC, не відрізняються від звичайних одно підписних транзакцій, що забезпечує користувачам кращу конфіденційність.

! []###https://img-cdn.gateio.im/webp-social/moments-defc997a9dbed36ce34da3c2631d4718.webp(

Ця різниця також проявляється в аспектах сумісності. Мультимісцеві гаманці потребують рідної підтримки блокчейн-мережі або залежать від смарт-контрактів, що обмежує їх використання в певних місцях. Підписи, згенеровані за допомогою MPC, використовують стандартний формат ECDSA, який можна використовувати в будь-якому місці, що підтримує цей алгоритм підпису, включаючи Bitcoin, Ethereum та різні DeFi платформи.

Технологія MPC також забезпечує більшу гнучкість для налаштування параметрів безпеки. У традиційних мульти-підписних гаманцях зміна порогу підпису або кількості учасників зазвичай потребує створення нової адреси гаманця, що може призвести до ризиків. ) Звичайно, мульти-підписні гаманці на базі смарт-контрактів можуть зручно змінювати учасників та їхні права (, у той час як у системі MPC ці параметри можна налаштувати більш гнучко і простіше, не змінюючи облікові записи та код контрактів на ланцюзі, що забезпечує більшу зручність для управління активами.

) Виклики, з якими стикається MPC

Однак, хоча MPC є переважнішим за звичайні мультипідписи, все ж існують відповідні виклики. По-перше, це складність реалізації. Протокол MPC передбачає складні криптографічні обчислення та багатосторонню комунікацію, що ускладнює реалізацію та обслуговування системи. Будь-яка помилка може призвести до серйозних вразливостей у безпеці. У лютому 2025 року Ніколаос Макріяніс та інші виявили спосіб викрадення своїх ключів у гаманці MPC.

Витрати на продуктивність є ще однією проблемою. Протокол MPC вимагає складних обчислень і обміну даними між кількома сторонами, що споживає більше обчислювальних ресурсів і мережевої пропускної здатності, ніж традиційні односторонні операції. Хоча ці витрати в більшості випадків можуть бути прийнятними, у деяких ситуаціях з високими вимогами до продуктивності це може стати обмежуючим фактором. Крім того, системі MPC все ще потрібна онлайн-координація з боку всіх учасників для завершення підпису. Хоча ця координація є прозорою для користувачів, у випадках нестабільного мережевого з'єднання або коли деякі учасники офлайн, це може вплинути на доступність системи.

Крім того, MPC все ще не може забезпечити децентралізацію. У справі Multichain 2023 року 21 вузол, який брав участь у розрахунках MPC, контролювався однією особою, що є типовою атакою відьми. Цей випадок достатньо доводить, що прості декілька десятків вузлів на поверхні не можуть забезпечити високу гарантію децентралізації.

DeepSafe: побудова мережі безпечної верифікації наступного покоління

На фоні того, що технології мультипідпису та MPC вже стали відносно зрілими, команда DeepSafe запропонувала більш прогресивне рішення: CRVA (Криптографічний випадковий верифікаційний агент). Інновація DeepSafe полягає в тому, що вона не просто замінює існуючі технології підпису, а на основі вже існуючих рішень будує додатковий рівень безпечної верифікації.

Багато факторна перевірка CRVA

Основна ідея DeepSafe полягає в “подвійній страховці”: користувачі можуть продовжувати використовувати свої знайомі гаманцеві рішення, такі як гаманець Safe, коли угода з багатостороннім підписом буде подана в мережу після її завершення, вона автоматично буде передана в мережу CRVA для додаткової верифікації, подібно до 2FA багатофакторної верифікації Alipay.

У цій архітектурі CRVA виконує роль воротаря, перевіряючи кожну транзакцію відповідно до заздалегідь встановлених користувачем правил. Наприклад, обмеження на суму одноразової транзакції, білий список цільових адрес, частота транзакцій тощо; у разі аномальних ситуацій транзакцію можна в будь-який час перервати.

Переваги цього 2FA багатофакторного підтвердження полягають у тому, що навіть якщо процес мультипідпису буде скомпрометований (наприклад, у випадку фішингової атаки на фронтальній частині Bybit), CRVA як страховка все ще може відмовити в ризикових угодах відповідно до попередньо встановлених правил, захищаючи активи користувачів.

! []###https://img-cdn.gateio.im/webp-social/moments-425718cbadee8e962e697514dbd49b1d.webp(

) технологічне вдосконалення на базі традиційних рішень MPC

Щодо недоліків традиційних рішень для управління активами на основі MPC, рішення CRVA від DeepSafe внесло значні покращення. По-перше, мережеві вузли CRVA використовують форму доступу, засновану на заставі активів, і основна мережа буде офіційно запущена лише після досягнення приблизно 500 вузлів, за оцінками, активи, заставлені цими вузлами, надалі залишатимуться на рівні десятків мільйонів доларів або більше;

По-друге, для підвищення ефективності обчислення MPC/TSS CRVA буде випадковим чином обирати вузли за допомогою алгоритму лотереї, наприклад, кожні півгодини обирати 10 вузлів, які будуть виступати в ролі валідаторів, щоб перевірити, чи повинні запити користувачів бути затверджені, а потім генерувати відповідний пороговий підпис для їх пропуску. Щоб запобігти внутрішнім змовам або зовнішнім хакерським атакам, алгоритм лотереї CRVA використовує оригінальний циклічний VRF у поєднанні з ZK, щоб приховати особу обраних, що унеможливлює безпосереднє спостереження за обраними особами ззовні.

! []###https://img-cdn.gateio.im/webp-social/moments-1b71dbb2881f847407a5e41da7564648.webp(

Звичайно, лише досягти цього недостатньо, хоча зовнішній світ не знає, хто був обраний, але в цей момент сам обранець знає, тому все ще існує можливість змови. Щоб ще більше унеможливити змову, **всі вузли CRVA повинні запускати основний код у середовищі TEE апаратного забезпечення, що еквівалентно виконанню основної роботи в чорному ящику. Таким чином, ніхто не може дізнатися, чи був він обраний, **якщо тільки він не зможе зламати довірене апаратне забезпечення TEE, звичайно, згідно з нинішніми технологічними умовами, це дуже важко зробити.

У вище згаданої концепції основна ідея CRVA рішення DeepSafe, в реальному робочому процесі між вузлами в мережі CRVA має відбуватися величезна кількість широкомовних комунікацій та обміну інформацією, конкретний процес виглядає наступним чином:

1. Усі вузли перед входом у мережу CRVA повинні спочатку закласти активи в ланцюгу, залишивши відкритий ключ як реєстраційну інформацію. Цей відкритий ключ також називається “постійним відкритим ключем”.

2. Кожну годину мережа CRVA випадковим чином вибирає кілька вузлів. Але перед цим усі кандидати повинні локально згенерувати одноразовий “тимчасовий публічний ключ”, а також згенерувати ZKP, що підтверджує, що “тимчасовий публічний ключ” пов'язаний з “постійним публічним ключем”, записаним в ланцюзі; іншими словами, кожен повинен довести свою присутність у списку кандидатів за допомогою ZK, але не розкривати, хто він.

3. “Тимчасовий відкритий ключ” має значення для захисту конфіденційності. Якщо напряму провести жеребкування з набору “постійних відкритих ключів”, під час оголошення результатів всі відразу дізнаються, хто був обраний. Якщо ж усі розкриють лише одноразовий “тимчасовий відкритий ключ”, а потім вибрати кілька людей з набору “тимчасових відкритих ключів”, ви зможете дізнатися лише про свій виграш, але не про те, кому відповідають інші виграшні тимчасові відкриті ключі.

! [])https://img-cdn.gateio.im/webp-social/moments-caa631df9f9a68cdab81565ee7b25af0.webp(

4. Щоб ще більше запобігти витоку особистості, CRVA має намір зробити так, щоб ви самі не знали, що таке ваш “тимчасовий публічний ключ”. Процес генерації тимчасового публічного ключа відбувається в середовищі TEE вузла, і ви, запустивши TEE, не зможете побачити, що відбувається всередині.

5. Потім у TEE тимчасовий відкритий ключ шифрується в “незрозуміле” повідомлення, яке надсилається зовнішньому середовищу, лише певні вузли Relayer можуть його відновити. Звичайно, процес відновлення також відбувається в середовищі TEE вузла Relayer, і Relayer не знає, до яких кандидатів відповідають ці тимчасові відкриті ключі.

**6.**Relayer відновлює всі “тимчасові публічні ключі”, потім об'єднує їх і передає функції VRF на ланцюгу, з якої вибираються переможці, які потім перевіряють транзакційні запити, надіслані з фронтенду користувача, а потім на основі результатів перевірки генерують підпис порогу, і нарешті знову подають на ланцюг. (Слід зазначити, що тут Relayer також є прихованим і періодично вибирається.)

Можливо, хтось запитає, як же працювати, якщо жоден вузол не знає, чи був він вибраний? Насправді, як згадувалося раніше, кожен генерує “тимчасовий публічний ключ” у локальному TEE середовищі. Після того, як результати жеребкування будуть готові, ми просто транслюємо список, і кожен може передати його в TEE, щоб перевірити, чи був він обраний.

! [])https://img-cdn.gateio.im/webp-social/moments-1b4c70d0ea3fc3680e557033d51c11de.webp(

Ядром рішення DeepSafe є те, що майже всі важливі дії виконуються всередині апаратного забезпечення TEE, що робить їх недоступними для спостереження ззовні. Жоден з вузлів не знає, хто є обраним перевіряючим, що запобігає змові і значно підвищує витрати на зовнішні атаки. Щоб атакувати комітет CRVA, заснований на DeepSafe, теоретично потрібно атакувати всю мережу CRVA, а оскільки кожен вузол має захист TEE, складність атаки значно зростає.

А щодо випадків зловживання CRVA, оскільки CRVA є автоматизованою мережею вузлів, якщо в початковому коді, з якого вона запускається, немає зловмисної логіки, то не виникне ситуації, коли CRVA активно відмовляється співпрацювати з користувачем, тому це можна практично ігнорувати;

Якщо CRVA через відключення електроенергії, повені чи інші форс-мажори призведе до масового вимкнення вузлів, відповідно до процесів, згаданих у вищезазначеному плані, користувачі все ще матимуть можливість безпечно вивести свої активи. При цьому довірче припущення полягає в тому, що ми достатньо довіряємо CRVA, щоб вважати його децентралізованим і що він не буде свідомо вчиняти злочини (причини вже були достатньо пояснені раніше).

Підсумок

Розвиток технології підпису Web3 демонструє невтомні пошуки людства в сфері цифрової безпеки. Від початкового єдиного приватного ключа до мультипідписних гаманців, потім до MPC та нових рішень, таких як CRVA, кожен прогрес відкриває нові можливості для безпечного управління цифровими активами.

Проте прогрес технологій не означає ліквідацію ризиків. Кожна нова технологія, вирішуючи існуючі проблеми, також може вводити нові складнощі та ризикові точки. З інциденту з Bybit ми бачимо, що навіть використання передової технології мультипідпису не запобігло атакам, оскільки зловмисники змогли обійти технічний захист за допомогою соціальної інженерії та атак на постачальників. Це нагадує нам, що технологічні рішення повинні поєднуватися з хорошими операційними практиками та усвідомленням безпеки.

В кінці, безпека цифрових активів - це не лише технічна проблема, але й системний виклик. Незалежно від того, чи це мультипідпис, чи MPC, або CRVA, це лише спроби вирішення потенційних ризиків. З розвитком індустрії блокчейн у майбутньому все ще потрібно впроваджувати нові рішення, знаходячи більш безпечні та бездоверчі виходи.