基于MPC的无私钥钱包，Web3入口的“突围”

“朋友们，欢迎来到 Web3 的世界。”

想象一个从 2012 年开始穿越的用户，当你向他介绍 NFT、Defi、SBT、去中心化身份等新概念时，他一定对这 10 年的飞速发展感到惊讶。

但是如果这位小伙伴想要连接钱包体验一下，却发现自己丢失了私钥，他可能会更加吃惊：

过去10年，我们对加密资产的管理和钱包的使用还停留在比特币诞生时的野蛮时代。

是的，私钥仍然是那个不可变的、易受攻击的致命弱点。 无论这些年来钱包的形态如何变化，对私钥的依赖丝毫没有减少。 一旦私钥丢失，一切都将丢失。

与此同时，安全、正确、合理地使用钱包也变得颇具挑战性。

仔细一看，今年8月，Solana上的Slope钱包因存储在服务器上的私钥和助记词泄露而被盗，导致超过800万美元的加密资产被盗； 而回顾历史，Chainalysis 的一份研究报告显示，截至 2021 年，约有 20% 的流通中的比特币会因为所有者不记得私钥而丢失。

或许精明的业内人士已经熟悉了各种安全课程； 但是对于圈外的新人来说想要进入Web3世界，在入口处就会遇到阻碍：

私钥、助记词、普通密码到底有什么区别？ 在纸上抄一串字是什么操作？ 哪里可以找到一台永远不联网的电脑来存放钱包文件？

对于普通用户来说，这根本不是一个合格的、友好的、可以理解的解决方案。 更夸张的是，这种直接暴露底层技术教育用户的方式已经持续了十几年。

究竟是什么决定了今天钱包的体验和使用方式？ 我们有更好的钱包解决方案吗？

当钱包成为 Web3 世界的主要入口比特币私钥分享网站，承载着用户身份、资产甚至​​声誉时，这些问题的答案是我们每个人都感兴趣的。

本文将尝试理清钱包的发展历程，对比现有各种方案的优缺点，并尝试回答上述问题。

从野蛮时代到现代，钱包形态的历史变迁

历史不会一蹴而就，而是一个渐进演变的过程。

从野蛮早期的比特币时代到现在火爆的Web3，钱包在整个行业十多年的变迁中也经历了形式上的不断变化。

但所有的变化都是建立在一个相对稳定的内核之上的。

从技术角度来看，钱包的核心其实就是一个公私钥管理器。 基于非对称加密等技术生成的私钥，意味着用户对钱包、地址（公钥）、资产拥有绝对的控制权。

围绕如何更好地存储和管理私钥，各类钱包纷纷交出了自己的答案。 而当将这些答案放在一起进行检验时，纸上就会出现钱包形态的变迁史。

以史为鉴，可知兴衰。 造型一次次变化的背后，也体现了钱包的优缺点。

在我们尝试拥有更好的钱包体验时，让我们来看看从过去到现在发生了什么。

CEX充当代理，尚未被感知的钱包

在比特币还只是小众实验的早期，这个行业正在疯狂发展。

无序、无畏、有些无知、勇敢的潮流制造者可能无法完全理解钱包和私钥的概念。 跳入加密世界的第一步可能是渴望在中心化交易所买卖。

这时候钱包还没有被感知到，交易所的账户更多的是充当钱包的角色：用户创建一个新的交易账户，里面会显示自己拥有的资产数量和数量。

这背后，你并不知道这些数字是否真的对应了等量的加密资产。

在最坏的情况下，早期交易所提供给你的资产数量很可能只是其数据库中凭空产生的一个字段； 充其量，交易所也会为你生成一个单独的地址，方便记录地址的地址。 发送和接收加密资产。

事实上，这是最早的托管钱包之一。

交易所会为你处理钱包中的资产。 你对资产的控制权不是来自私钥，而是取决于交易所的自律和秩序。

这样做的好处是，您只要记住登录密码，就可以方便、直接地完成资产管理、收发、交易，无需考虑任何技术细节； 而且缺点也很明显。 资产也可能随之消失。

2014年，曾经占全球交易份额70%的古老交易所Mt.Gox，因黑客窃取85万比特币，宣布暂停用户提现，随后宣布破产。 而这件事也成为行业发展中挥之不去的阴影。

现代劳动让你不了解自己的钱包，也不会察觉到风险的来临。

软件钱包，面对私钥和助记词

在交易所之外，有动手能力和技术背景的早期玩家也在探索。

下面两张图，年纪稍大的读者应该不会陌生。 Bticoin Core，一款古老的比特币钱包客户端软件，安装后甚至可以选择同步所有比特币历史账本的数据； MyEtherWallet，网页端以太坊钱包，可以通过网页完成钱包地址的创建和私钥管理。

当 Metamask 网页插件钱包越来越流行的今天，以上两者可能已经逐渐淡出了人们的视线。 但它们的共同点都指向“软件钱包”的概念：

基于本地计算机、浏览器或手机环境的可视化软件应用程序构建的钱包。

无论是哪种软件钱包，用户都将直接面对私钥和助记词，并承担妥善保管和备份的任务。 在早期的钱包中比特币私钥分享网站，有的甚至选择让用户备份Keystore文件——一种以加密形式存储私钥的JSON文件，需要输入钱包软件中设置的密码进行解密。

私钥、助记词、钱包密码。 三者的技术原理和区别在今天可能仍然是大量用户无法理解的，直接推给用户显得过于原始和粗糙。

这一切是怎么发生的？

目前的软件钱包都是基于公私钥体系和非对称加密。 私钥是一切的关键。 控制私钥也就控制了资产。

当用户直接面对钱包时，体验实际上经历了一轮优化：公钥通过转码成为用户看到的“钱包地址”，而私钥实际上是一个64位的16进制字符，即不利。 记录也容易记错，所以早在2013年，比特币社区就通过了BIP39协议：用算法将私钥转换成12到24个易记单词的字符串，也就是“助记词” “我们今天经常看到。 ”。

但神奇的是私钥和助记词系统在10年后依然没有太大变化。 你还是要牢牢掌控私钥，不能丢失也不能共享； 同时，你还需要把助记词仔细地抄在一张纸上。

当用户可以通过钱包掌控自己资产的命运时，不可避免地会面临单点故障的担忧：如果私钥/助记词丢失，那么一切都完了。

由于电脑、浏览器、手机等设备极易受到攻击，运行在其上的软件钱包也很容易成为攻击目标，因此保管私钥成为心理压力和运营成本两方面的问题。

据CertiK统计，自2022年以来因私钥泄露造成的损失至少为2.74亿美元，业内不乏Wintermute等专业做市商。 专业机构都保密，何况是普通用户？

远古遗留下来的私钥/助记词系统，可能永远是时不时引爆的炸弹。

硬件钱包，“硬盒”与“硬核”

当我们为如何更安全地保管私钥而焦虑时，硬件钱包出现了。

从用户的角度来看，硬件钱包是一个独立的盒子。 可以存储加密资产，使用时需要连接电脑等设备。

使用软件钱包时，由于私钥文件大多保存在硬盘上，仍然存在被攻击的风险。 硬件钱包直接将私钥文件存储在硬件钱包的芯片中，即插即用。 这样，私钥就与网络层完全隔离了。

换句话说，硬件钱包实际上创造了一个更安全的私钥存储环境。 但这并非没有代价。

想到硬件钱包，是不是有点眼熟？ 很多年前，网银转账需要配合U盾使用，那是一个味道。

众所周知，U盾已经逐渐退出了历史舞台，其中一个很重要的原因就是操作步骤相对复杂。 与如今流行的移动支付相比，显得笨拙、格格不入。

硬件钱包也是如此。 为了给私钥创造一个更安全的网下环境，普通用户需要额外购买硬件专门进行交易，还需要学习如何正确操作和保管助记词。

从某种程度上说，使用硬件钱包的硬核甚至比软件钱包差。

这不是一个用户友好的一刀切的解决方案。 如果在安全性和易用性之间选择前者，就注定了这只适用于少数人和少数场景。

同时，事实证明硬件钱包并不是 100% 安全的。 早在2017年，在美国拉斯维加斯举行的世界黑客大会DEFCON 25上，国外技术团队就向观众展示了如何破解比特币硬件钱包，最快的过程不到15秒。

使用硬件为私钥打造更安全的存储环境，似乎并不能彻底解决私钥本身的问题。

赛道在变，但症结依旧

从远到近，我们可以看到，在时间的长河中，钱包管理主体、用户界面、软硬件等都发生了变化和演变，也衍生出不同的小轨迹。

但保持不变的是，私钥仍然是一个令人担忧的症结所在。

将私钥的管理权交给用户，意义重大，但责任更大。 单点故障永远是我们心中的一块石头，也制约着圈外新用户的大规模进入、了解和体验。

打个不恰当的比喻，拿着一块石头，在不同的轨道上跑，只要担心石头掉下来，就很难跑出最快的时间。

我们是否有办法突破私钥的限制，让钱包解决方案更易用、更安全？

MPC钱包，新时代的突破口

当大部分钱包还困在古老私钥/助记词筑起的围墙中时，已经有人开始了异次元的突围尝试：

去掉私钥和助记词。

这听起来有点异端。 当“私钥就是安全”的观念深入人心的时候，去掉私钥反而让人更加担心。

但恐惧源于未知。 得益于MPC（secure multi-party computation）技术和区块链签名的结合，一种不需要私钥和助记词的MPC钱包悄然出现。

在圈内知名安全审计机构慢雾科技出品的《区块链黑暗森林自救手册》中，作者于贤也提出要尽快普及基于MPC的免私钥方案。

在深入研究了 MPC 的技术原理后，我们发现去掉私钥并不违反直觉。 相反，它自然地解决了当今大多数钱包中私钥带来的风险。

那么，MPC钱包方案有哪些优势，体验有何不同？

由于相关底层技术比较复杂，这里我们将放弃过多的技术细节，力求通俗易懂地回答上述问题。

让我们从两个熟悉的场景开始：钱包创建和交易。

当你创建一个传统钱包时，你实际上得到了一对匹配的公钥和私钥。 其中，公钥通过某种转换形成你的钱包地址，可以公开给他人； 而私钥在您自己手中，不能与他人共享。

接下来，您在钱包中发起交易。 实际上，你使用自己的私钥来签署和发布交易，这意味着“我同意这笔交易”； 其他人可以很容易地验证它确实是签名发出的，因为他们可以得到你的公钥（地址），所以经过一系列的验证，确定交易是有效的。

这时候如果我拿到了你的私钥，那么我也可以通过私钥的签名来执行交易，从而转移你地址中的资产。

这里的问题在于，传统钱包采用的是单方签名模式，严重依赖私钥的安全性。 我们只承认私钥的唯一性，但无法确定其存储环境背后的真正所有者或窃贼。

对于 MPC 钱包，情况略有不同。

首先，钱包是由多方共同创建的。 假设甲、乙、丙三方共同创建一个钱包地址，基于多方计算密钥生成协议，此时不会生成单独的私钥，但三方各自获得一个密钥片段（密钥共享）。

注意，三方都没有完整的私钥文件，而是三个不同的密钥片段。 没有一个分片能够单独控制钱包地址中的资产，但是每个分片都对应同一个钱包地址。

随后，发起交易时，多方安全计算和多重签名一起工作。 甲、乙、丙三方使用各自的密钥分片对一笔交易进行签名，可以通俗的理解为三个签名分片。

与多重签名钱包类似，也可以设置一个签名门槛，比如3个人必须全部签名才能发起交易。

此时，多方计算（Multi-Party Computing，MPC）将在不暴露每个密钥片段的情况下，将三个签名片段聚合起来，形成一个完整的多方签名。 其他人也可以轻松验证完整的多方签名与钱包地址之间的对应关系，从而确定交易有效。

在上面的MPC钱包场景中，你不用担心私钥的单点故障。 此时，不再生成单独的私钥，而是将私钥分解成多个片段，存放在不同的地方。 即使你手中的碎片被盗，其他人也无法通过单个碎片控制钱包中的资产；

同时，如果发现钥匙碎片丢失或被盗，MPC还可以执行钥匙碎片的刷新功能：用新的钥匙碎片替换每个人手中原有的钥匙碎片。 此时，被盗或丢失的钥匙碎片等同于“挂失”，失去了效用和价值；

最后，由于没有私钥，你也不用去尝试记下助记词，更不用担心相关的存储问题。

这样的方案和现在市面上依赖助记词和私钥的钱包在技术上是不同的，从“妥善保管私钥/助记词”到“为什么要保管私钥/助记词”，一个字的区别就可以造成巨大的差异用户体验和安全级别的差异。

回顾钱包形态的发展历程，再结合MPC钱包，可以发现其对私钥和助记词等老生常谈问题的处理更为合理和安全。 同时，随着相关产品的商业化和推广，旧有的钱包解决方案或将不可避免地受到冲击。

钱包赛道的新玩家正在突破私钥和助记词托管的高墙。

以Bitizen为例探索无私钥/助记词新体验

如果觉得概念抽象，那么从真正的MPC钱包产品入手可能更直观。

目前市场上面向大众的成熟可用的MPC钱包并不多。 在安全性、易用性、抗审查、隐私和多链生态兼容五个方面进行对比后，我们认为Bitizen钱包是目前各方面处理最好、方案最完善的钱包。 特别是在不牺牲任何安全性（甚至大幅提高安全性）、隐私和抗审查的情况下，直接将使用Web3钱包的用户体验提升到与Web2产品同等的易用性，这几乎完美契合了所有用户对 Web3 钱包的需求和想象。

与创建传统钱包时提示抄录助记词不同，在Bitizen钱包的创建页面，我们并没有看到任何关于私钥和助记词的提示。 从点击创建到生成，不到5秒，非常丝滑。 没有助记词和私钥，理解成本也不高，即开即用。

Bitizen也会要求用户备份资产，但不是采用助记词方式，而是采用常见的多因素认证方式：

用户验证邮箱后完成安全生物识别，确认多重特征与备份文件关联，以便日后随时随地方便、安全地恢复资产； 同时，密钥碎片将被加密，用于解密的密钥将被保存到一个仅由用户控制的云盘中。 多因素认证确保任何一个因素的攻击不会对整体安全产生任何影响。 例如，即使解密密钥本身被泄露，小偷也会发现它没有用，因为他无法匹配你的电子邮件和生物特征等，而盗窃本身也变得徒劳。

此外，Bitizen在MPC多重签名设计上给予用户更多的自由。

您可以选择添加新设备并将其设置为 2/3 模式。 此时你的设备1、设备2和Bitizen服务器有3个分片，任意两个分片可以合作确认交易。 这也意味着你可以选择绕过Bitizen钱包的服务器，仅使用自己的2台设备创建联合签名完成交易，完全掌握主动权。 这是除了安全性和易用性之外的另一个特点——抗审查。

你可能认为服务器、邮箱、生物识别、云盘不是Web3、中心化，甚至担心你的隐私泄露，但仔细了解Bitizen的设计细节后，我们发现实际情况与直觉完全相反.

首先，这些让我们感觉非常中心化的元素在Bitizen中被设计成可替换的（不是强制的）。 即使出现问题，也不会影响用户资产的安全性和可用性。 任何威胁。

其次，这些元素在 Bitizen 中经过精心加密或脱敏处理。 这些数据对包括 Bitizen 在内的第三方无用。 只有用户才能解密和查看，无需担心隐私泄露。

结合Bitizen资料中的描述会更容易理解：即使Bitizen的技术团队也无法知道谁在使用Bitizen钱包，即使Bitizen的服务器端数据完全被黑客控制，即使Bitizen的服务器宕机，关闭即使团队跑了，你的资产依然安全可用，你的隐私也不会泄露。

Bitizen 和 Citizen 的区别似乎包含了让更多人成为 Web3 数字公民的宏伟愿景； 但我们始终强调，用户大规模进入 Web3 世界需要时间。

虽然罗马不是一天建成的，但更新年久失修的大门和入口是实现愿景的可行途径。

像 Bitizen 这样基于 MPC 的钱包的出现，必然会重构用户进入 Web3 入口的方式和体验。 没有私钥和助记词的烦恼，也不用担心服务器作恶。 这才是钱包产品应该呈现给用户的态度。

关于各种钱包的技术原理，一篇文章很难详细展示。 10月21日，我们将联合Bitizen等钱包相关项目方、VC、行业KOL等嘉宾共同举办钱包科普活动。 两个小时后，我们将更详细地分析各种钱包背后的技术原理。 欢迎感兴趣的朋友通过下方链接扫码参与。