Redline DAO深度研究——为什么看好Web3钱包的未来？

钱包安全、门槛和审查阻力

钱包中的所有内容都是围绕私钥构建的。 钱包本质上是1.创建私钥，2.保管私钥，3.使用私钥，4.备份私钥，5.恢复私钥的工具。 目前主流的私钥备份/恢复方案是助记词，即注册钱包时出现的12/24个单词组合：

助记词可以推导出私钥的明文。 当用户将钱包迁移到新设备时，只需在钱包APP上输入助记词即可推导出私钥，从而重新获得对钱包的控制权。 对于用户来说，私钥=助记词，但这两个概念在钱包的日常使用中还是有区别的：助记词是用户私钥的备份恢复计划打个比方：助记词相当于复制你的密钥，当您的密钥丢失，您可以通过助记词重新生成相同的密钥

由于私钥是我们与区块链网络交互的唯一凭证，我们的责任是保证我们的钱包私钥和助记词的安全。 最安全的创建账户方式当然是在离线环境下，通过代码运行随机数（私钥）和SHA256算法生成自己的地址，但无疑这个门槛太高了，也不是适合大多数用户。 因此，用户在选择钱包时，需要考虑三点：安全性、门槛和抗审查：

安全性：黑客破解钱包私钥/助记词的成本有多高？ 以硬件钱包为例，黑客只能通过钓鱼或线下窃取私钥的方式获取用户的私钥。 门槛：钱包的易用性如何？ Metamask注册过程中，用户需要记录12个助记词，更换设备时需要重新输入12个助记词，而币安的交易所注册和设备更换登录可以通过邮箱一键登录完成。 反审查：钱包最终的控制权是否掌握在用户手中？ 如果钱包APP会保存用户输入的助记词，并以明文形式上传到服务器，黑客就可以通过破解服务器窃取用户的钱包。 而且即使没有黑客攻击，Slope项目方也有自我防备的可能，并没有做到抗审查。

钱包主要有两大类：非托管钱包和中心化托管钱包。

非托管钱包：用户自己保管助记词以主流钱包Metamask为例，MetaMask是一款非托管（或自我托管）的加密货币钱包。 非托管意味着 MetaMask 不存储任何关于钱包的数据，私钥数据在本地的浏览器或移动应用程序中。 当用户需要进行链上签名活动时，Metamask 会从本地文件中调用私钥进行签名。 但是，如果用户的私钥和助记词丢失/被盗，Metamask将无法帮助用户找回，用户的资产也将永久丢失。 被公认为最安全的硬件钱包（如Ledger），它使用硬件设备离线生成私钥和钱包地址，然后将该地址的公钥导入到网页钱包如Metamask，然后通过确认当需要签名时，Ledger 硬件离线。 由于私钥根本不接触互联网，黑客很难盗取硬件钱包。 私钥。 但是，如果用户丢失了助记词或者被钓鱼，硬件钱包的保护作用也会归零，用户的资产依然会被盗：

Coinbase/Binance等Custody wallet交易所钱包都采用了托管钱包的方式。 不同的是，Coinbase中显示的账户不是用户自己的私钥，而是Coinbase程序中显示的账号，而不是Etherscan。 上图的链上资产可以理解为用户信任Coinbase，将资产委托给Coinbase，而不是拥有资产，因此Coinbase账户无法与Uniswap等dAPP进行交互

一般来说，在托管钱包中，项目方代为保管助记词，注册和恢复钱包的门槛较低，但钱包的安全取决于项目方而非用户本身，并且项目方对钱包有实际控制权； 非托管钱包 助记词掌握在用户手中，注册和恢复钱包的门槛高，但安全性和抗审查性非常高。

助记符方案的缺陷

随着WEB3的不断发展，越来越多的需求和应用场景涌现，链上生态蓬勃发展。 特别是2021年的Defi Summer，吸引了大量原本只在交易所交易的用户将资产迁移到链上，截至2022年3月，MetaMask的月活跃用户数已达3000万，但在同时，助记词作为最主流的助记词账户恢复方案，成为了黑客的主要目标：对于普通用户来说，最常见的钱包被盗事件是助记词被复制到剪贴板，或者存储在本地的私钥文件被盗遇到钓鱼网站被盗

继续以 Metamask 为例，黑客可以从两个地方获取存储的助记词和私钥：

助记词钱包创建后，用户需要保存生成的助记词。 一般建议用纸笔抄在一张白纸上，妥善保管。 但是有些懒人会利用剪贴板复制粘贴保存在Doc文档，甚至微信聊天记录中，如果黑客在用户的手机/电脑上安装了恶意软件，并时刻监控用户的剪贴板，就可以窃取刚刚创建的私钥。 例如，QuickQ VPN被曝复制用户剪贴板窃取助记词私钥。 同时，Metamask一般会将私钥加密保存在创建钱包的本地设备上，以供随时调用。 如果是安装在Chrome上的Metamask插件：在Windows上的存储位置，Metamask的私钥存储地址为：C:\Users\USER_NAME\AppData\Local\Google\Chrome\User Data\Default\Local Extension设置\nkbihfbeogaeaaoehlefnkodbefgpgknn。 Mac上的存储位置：Library>Application Support>Google>Chrome>Default>Local Extension Settings>nkbihfbeogaeaaoehlefnkodbefgpgknn，即Metamask的安全依赖于Chrome的安全。 一旦Chrome的防火墙被黑，黑客就可以获得用户的地址私钥，转移所有资产。这就是为什么硬件钱包比Metamask等插件钱包更安全的原因

除了 Metamask 之外，一些非托管钱包甚至都不是高度抗审查的，例如 Solana 上的 Slope 钱包被盗：当 Slope 的移动应用程序创建一个 Phantom 钱包时，它会通过 TLS 将助记词发送到他们的哨兵服务器。 种子短语然后以明文形式存储，这意味着任何有权访问 Sentry 的人都可以访问用户的私钥。

此外，还有更多值得我们反思的钱包安全事件：

EOA账号被盗

分布式资本创始人钱包被盗：链接神博因助记词泄露钱包被盗。 盗窃时使用的钱包是 Trust Wallet。 被盗金额包括约3823万美元的USDC、16.07 ETH、720,000 USDT和4.13 BTC。 Wintermute钱包遭到攻击，损失约1.6亿美元。 被盗的原因是Wintermute使用Profanity创建了一个Vanity钱包（从0x0000000开始，可以在调用智能合约时节省Gas）：LinkProfanity的设计目的是帮助人们生成一个具有特殊视觉效果的账户，比如accounts以特殊字符开头或结尾，另一方面，一些开发人员使用它来生成以许多 0 开头的帐户。 Profanity在获得第一个32位私钥SeedPrivateKey后，为了与需要的账户地址进行碰撞，会通过固定算法不断迭代私钥，最高可达200​​万次（数值来源于1inch披露的文章） . 当PublicKey已知时，我们可以通过枚举SeedPrivateKey和Iterator得到SeedPrivateKey。 计算量大约是2^32次200万次，算力大的显卡几天甚至几个小时就可以完成。

合约账号被盗

Paraswap合约部署地址被盗：链接 根据慢雾调查报告：黑客地址（0xf358..7036）已获取ParaSwap Deployer和QANplatform Deployer的私钥权限。 黑客从 ParaSwap Deployer 中提取了 1000 美元，并将其转入和转出 QANplatform 部署者地址作为测试。 利用AML平台分析0xf358..7036，我们发现黑客还窃取了The SolaVerse Deployer等几个知名地址。 到目前为止比特币多签钱包，黑客已经窃取了超过 17 万美元的资金。 Ronin Bridge 今年 3 月被黑，损失 173600 ETH 和 2550 万 USDC：Link 黑客编造了一个不存在的公司，通过 Linkedin 和 WhatsApp 勾搭上了 Axie 的高级工程师比特币多签钱包，用新的工作机会引诱他，并安排了面试终于开出了丰厚的薪水，但是offer文件有毒，所以成功黑进了Axie系统，窃取了工程师部署合约EOA地址的私钥。

助记词方案除了是黑客的主要目标之外，也是阻止新用户进入WEB3的高门槛。

创建钱包时，为了安全起见，需要手动抄录12个字，最好不要将本白皮书拍照保存。即使我们使用可信的开源密码保存软件（如1password），也无法使用方便的复制和粘贴保存，因为存在剪贴板被盗的风险。 输入12个字

保留一张写着12个字的白纸，听起来很不靠谱，也不靠谱3：我们期待生活在元宇宙的未来，但我们的账户安全取决于一张宋代发明的白纸。 至此，这两步足以劝退大部分web2玩家。 毕竟在web2的世界，大部分的注册流程都可以使用google账号/ios账号一键登录。

新的无助记词账号恢复方案

为了降低钱包的门槛，吸引更多用户使用WEB3，我们需要在不失钱包安全性和抗审查性的前提下，使用Web2这样的社交账号登录方案。 因此，我们需要一个更方便、更安全的账号恢复方案，而目前所有的讨论都指向一个结局：没有助记词。 无助词目前有两种实施方案：MPC方案和社会恢复方案。

MPC方案：私钥由多方共同计算生成，避免客户端因私钥丢失或被盗而导致的单点事故。 可以理解为：MPC是一个3FA，每一种验证方式持有一个钥匙碎片，而门锁并没有一把钥匙，当其中一个钥匙碎片丢失时，用户可以使用其他验证方式来找回丢失的钥匙fragments 社会恢复方案：将资金存储在智能合约中，通过EOA Wallet控制的多重签名/单签名方案，并指定一个可信的第三方监护人。 当EOA钱包私钥丢失时，第三方监护人将取代合约的控制权，用户无需保存助记词。 当前的讨论通常将社交恢复和账户抽象钱包并排讨论。 ，需要注意的是，社会恢复方案是智能合约的一个标准和功能，由EIP-2429于2019年提出，意味着用户可以通过守护者更改合约的控制私钥； 最近热议的EIP-4337是关于账户抽象的讨论，我们会在后面的章节讨论MPC方案

MPC方案是在创建EOA钱包时，多方共同创建私钥碎片。 2019年，CRYPTO 2019发表论文《**Two-Party Elliptic Curve Digital Signature Based on Secure Multi-Party Computation》**，正式将MPC的实现带入大家的视野。 MPC 代表安全多方计算。

多方计算 (MPC) 是密码学的一个分支，始于近 40 年前，由 Andrew C. Yao 开创。 使用多方计算，私钥的生成不再需要在单点完成，而可以由一群互不信任的多方（n方）（n个分片私钥）共同计算持有。 这种技术就是DKG（Distributed Key Generation）分布式密钥的生成可以以允许不同类型访问结构的方式进行：常规的“t out of n”（只要t out of n私钥片段参与签名，它可以被证明是有效的签名）设置将能够在不损害安全性的情况下承受与私钥相关的操作中的任意失败。 门限签名方案（TSS）是这种分布式密钥生成（DKG）和分布式签名的组合的名称。同时，当其中一个私钥碎片丢失/暴露时，MPC解决方案支持恢复和替换私钥碎片，达到不改变账户，保证账户安全的效果

MPC方案实现了账户创建、使用、存储、备份和恢复过程中没有完整的私钥。 通过多方联合生成/持有私钥分片和“t out of n”的TSS门限签名方案，实现了比Metamask更高的水平。 单点生成/持有私钥钱包等更高便利性。安全和抗审查：与传统助记词方案相比，大大提高了用户的安全性，甚至可以媲美硬件钱包

安全性 **无私钥/助记词：**在钱包生成过程中，各方（钱包项目方和用户）通过MPC生成私钥片段，整个过程中从未出现过完整的私钥，可以据了解，MPC是真正的没有私钥的钱包，大大增加了黑客入侵的成本：即使黑客入侵用户本地设备，也只能获取私钥碎片。只有黑客掌握了其服务器钱包+用户本地设备，可以窃取用户的财产。 门槛：社交登录：用户可以通过邮箱等认证方式在MPC钱包上创建账户（假设MPC钱包采用2/2签名方案，即两个私钥片段可以同时签名），反审查：中心化机构（钱包端/备份设备）仅持有账户私钥片段，无法控制用户账户社交恢复计划

社交恢复解决方案部署在智能合约账户上。 智能合约钱包可以理解为用EOA账户部署一个管理链上资金的合约。 与普通智能合约一样，部署者的EOA钱包拥有对智能合约的控制权

在 EIP-2929 提案提出两年后，2021 年，Vitalik 首次在论坛中提出了一个用于社会恢复的钱包应用案例：

在创建智能合约钱包时，用户可以指定其他 EOA 地址作为“监护人”。 “监护人”地址需要在链上签名确认。 支付gas费用户的EOA账户作为“签名私钥”，可用于批准至少3名（或以上）“监护人”EOA账户的交易，不能批准交易，但可以更改“签名私钥”。 更改“签名私钥”也需要“监护人”支付gas费进行签名确认，签名私钥具有添加或删除监护人的功能，但整个过程需要一段时间（一般为1-3天） ). 在日常使用场景中，用户可以像普通钱包一样使用带有社交恢复功能的智能合约钱包（如Argent、Loopring），通过签名密钥确认交易。这样每笔交易都可以通过一次确认快速完成，就像在传统钱包中（例如 Metamask）

创建私钥

保留私钥

使用私钥

备份私钥

用户第一次使用web3，想注册一个钱包，但是需要在web3中找到三个已经有EOA钱包的信任好友，让他们交gas fee成为他们的监护人

如果用户要补偿朋友的gas费，用新创建的钱包进行3笔转账，那么创建一个钱包一共需要6笔gas费，而MPC钱包创建一个账户是没有成本的

恢复私钥

但是在私钥的安全性方面，还没有达到MPC钱包的高度：

被攻击的代价：黑客仍然可以通过侵入用户设备获取完整的私钥。 也就是说，用户只有在私钥丢失的场景下才使用智能合约钱包，并且有额外的手段找回私钥。 审查抵抗力低：由于社会恢复计划需要指定“监护人”，因此存在“监护人”相互串通的可能性。 社交恢复的主要风险是： 串通：如果一些用户知道他们是恢复的一部分，他们可能会执行恢复攻击利益； 有针对性的攻击：外部代理可能知道恢复的所有者，并针对执行恢复攻击所需的最弱点； 一般暴露：如果攻击者设法感染大量用户基础环境依赖项并获得访问多个身份的权限，这也可能通过恢复对未受影响的用户产生副作用

MPC 方案 vs 社会恢复方案：安全性、门槛、抗审查性

大规模采用的未来：Web3 钱包

有了无助记词的账户恢复方案，我们可以期待新一代的Web3钱包，即可以使用邮箱注册登录的钱包。我们选取MPC钱包和账户抽象钱包的代表项目分别进行分析：在用户接入方面，都达到了无助记词的低门槛，我们分别在安全和抗审查方面进行了评估

比特币

MPC钱包中，抗审查和便利性更彻底的Bitizen钱包采用了2/3的TSS方案。 我们从钱包的安全性和抗审查性来分析一下：

安全性：为了实现强审查，用户完成钱包注册后，用户可以使用第二台设备通过蓝牙备份私钥碎片，使用2/3TSS方案：Bitizen服务器，用户本地设备和用户的第二台设备由于钱包创建过程中没有生成完整的私钥，所以没有助记词：用户的Bitizen账户会与用户的云盘和邮箱关联，用户只能正常使用Bitizen钱包通过使用电子邮件地址登录。 鉴权后，可以对存储在Bitizen云端的私钥片段和本地设备存储的私钥片段进行签名（2/3）。 第二台设备通过蓝牙备份好私钥碎片后，完全可以离线存储，平日也不需要使用。 到（签名只需要通过Bitizen的服务器和用户的主设备完成） Backup 将本地的私钥碎片备份到用户的云盘 当用户需要更换设备登录时，只需要通过邮箱和人脸鉴权后，Bitizen会请求用户从云盘备份的私钥碎片中恢复，同理，当用户设备误丢失/删除Bitizen的本地文件时，私钥碎片可以通过云盘恢复。 当用户连云盘都登录不了的时候，Bitizen会通过服务器。 私钥碎片和用户的第二备份设备，重新计算私钥碎片，让用户恢复正常使用

来源：反审查：2/3的TSS方案让用户对自己的钱包拥有绝对的控制权（2/3的私钥碎片掌握在用户手中），即使Bitizen破产或跑路，用户也可以仍然正常控制他们的钱包

通票

账户抽象钱包 以 Unipass 为例。 Unipass采用智能合约+MPC钱包的方式，结合了两种方案的优点：

在交易方面，您可以使用钱包支持的任何代币（主流、流动性强的代币）来支付gas费。 在私钥的保管上，采用MPC(2/2)和TSS技术分布式生成私钥，不存在私钥被黑客单点获取的可能：私钥key分为两块，一块保存在Unipass服务器上，另一块保存在用户本地设备上。 在恢复私钥时，Unipass 使用**域密钥识别邮件** (DKIM) 方案，用户可以使用电子邮件地址作为“监护人”，而不是其他 EOA 地址。 这大大降低了用户寻找监护人的门槛：不需要监护人使用区块链，只需要监护人的邮箱

来源：

低门槛—>高适用性

低门槛钱包并不是钱包应用的终点，目前的Web3基础设施与Web2的传统金融相比还有一定的距离。 Visa提供的自动扣款和定时自动支付功能给用户带来了极大的便利，但在以太坊上实现起来还是有一定的难度。 账户抽象账户可能是下一个高度适用的区块链钱包叙事：Visa发表文章《自托管钱包自动支付（Auto Payments for Self-Custodial Wallets）》，探索使用账户抽象钱包Argent在星网网络上实现自动可编程支付，允许用户使用自托管钱包自动支付而无需签署每笔交易。 而账户抽象钱包又是如何实现的呢？ 这个概念实际上已经存在了很长时间。

账户抽象——从 EIP-2938 到 EIP-4337

随着EIP-4337的提出，账户抽象的话题重新回到了大家的视线。 社会恢复方案和账户抽象（使用智能合约作为EOA钱包，即账户抽象）早于EIP-1271提出，Argent等钱包已经在StarkNet等Layer 2完成应用。 最近社区热议的EIP-4337方案（账户抽象）有何不同？

从2015年的EIP-86到最近大热的EIP-4337，开发者的核心思想围绕着“合约就是钱包”，账户抽象让用户可以直观的与主网进行交互。 通过这种方式，用户可以精确控制账户的关键权限。 既然规定了EOA账户的代码，就无法在EOA钱包上进行模块化和功能化设计，比如增加批量转账/社交恢复等功能，所以大家把突破口放在了智能合约上。 最接近 EIP-4337 的提案是 EIP-2938。 EIP-2938也定义了新的智能合约运行协议，但需要在共识层进行修改，开发者维护难度大。 EIP-4337的主要创新是主网不需要共识级的协议变更。

细化用例权限控制： 细化EOA的单签名权限：授予用户A合约中X TokenB的转账金额，授予用户B合约授权tokenC的交易权限，而不是转账权限。 当合约长期不用时，自动将合约使用权转移给Gas 支付方式多样化：他人支付或任何代币支付 自动扣除/自动退款 拥抱Web3的未来

俗话说web2用户48亿，22年web3用户才刚刚过亿。 我们仍处于区块链发展的早期狂野阶段。

来源：

回到文章开头的问题：“我愿意为自己的资产承担多大的风险和责任？”，能否既要记住自己的私钥，又要保证钱包不丢失？

一直听到传统VC问：有没有什么场景只有web3可以做，web2做不到？ 我们认为 Web3 钱包是面对传统 web2 的例子之一：只有在 web3 的去中心化网络中，我们才能期待一个满足审查制度、安全性和用户体验的好钱包。 不要承担责任。 这样一款钱包的出现，也是 47 亿 web2 用户拥抱 web3 未来的重要基础：钱包不仅是 web3 的第一入口，更是链上域名（如 ENS），灵魂绑定代币（Soul-Bounded Token），如果没有安全的钱包环境，web3乐高的建设就没有坚实的基础。

我们需要更认真地思考。 熊市出手的机会不多。 MPC 向我们展示了 EOA 钱包更易于使用和更安全的未来，并且可以适配当前所有的 EVM 链。 智能合约接入dAPP还有很长的路要走，社会复苏计划目前看起来乏力，但智能合约未来的可能性令人兴奋。 我们想赌谁？ 我们将用真金白银交出这份答卷。

2022 年对加密货币来说是黑暗的一年，但我们仍然相信未来是光明的。 我们是魔兽世界中的觉醒术士，我们想创造一个没有人可以从我们这里夺走生命虹吸的世界（除非提案被投票通过）

免责声明：本文部分内容基于对 Web3 Wallet Bitizen 首席执行官 Winson 的采访。 Bitizen 是 Redline DAO 的投资组合之一。 我们要感谢 Bitizen 和 Winson 对本文的支持。