特別感謝來自Argent的Itamar Lesuisse和Loopring的Daniel Wang的反饋。
讓加密貨幣和區塊鏈應用程式對普通用戶可用的最大挑戰之一是安全性:我們如何防止用戶的資金丟失或被盜?丟失和盜幣是一個嚴重的問題,經常使無辜的區塊鏈用戶損失數千美元,甚至在某些情況下浪費了他們的大部分淨資產。
多年來,人們提出了許多解決方案:紙錢包、硬體錢包和我曾經最喜歡的多重籤名錢包。事實上,它們已經導致了安全方面的顯著改善。然而,這些解決方案都有各種各樣的缺陷——有時提供的防止盜幣和丟失的額外保護遠遠低於實際需要,有時使用起來很麻煩,導致很少被採用,有時兩者兼而有之。但最近出現了一種更好的替代方案:一種更新的智能合約錢包,被稱為「社交恢復錢包」(social recovery wallet)。與以前的選擇相比,這些錢包有可能提供高水平的安全性和更好的可用性,但在它們能夠方便地廣泛部署之前,還有一段路要走。這篇文章將討論什麼是社交恢復錢包,為什麼它們很重要,以及我們如何並且應該在整個生態系統中更廣泛地採用它們。
錢包安全是一個很大的問題
幾乎從一開始,錢包安全問題就一直困擾著區塊鏈生態系統。甚至在2011年,當比特幣幾乎是唯一的加密貨幣時,加密貨幣的丟失和盜幣就非常猖獗。事實上,在我加入以太坊之前,作為Bitcoin Magazine的聯合創始人和作者,我寫了一整篇文章,詳細描述了當時已經發生的黑客攻擊、丟幣和盜幣的恐怖。
這裡有一個案例:
昨晚晚上9點左右,我點擊了一個連結去CoinChat[.]freetzi[.]。com -系統提示我運行java。我按照提示做了(以為這是一個合法的聊天室),但什麼也沒發生。我關閉了窗口,沒去想這件事。大約14分鐘後,我打開我的bitcoin-qt錢包,發現一筆我沒有批准的交易(幾乎是我錢包的全部金額)去錢包1Es3QVvKN1qA2p6me7jLCVMZpQXVXWPNTC…
此人的損失是2.07比特幣,在當時價值300美元,今天超過7萬美元。這是另一個案例:
2011年6月,Bitcointalk成員allinvain損失了2.5萬比特幣(當時價值50萬美元),原因是一個未知的入侵者以某種方式直接訪問了他的電腦。攻擊者能夠訪問allinvain的wallet.dat文件,並迅速清空錢包——通過從allinvain的電腦本身發送交易,或簡單地上傳wallet.dat文件並清空他自己的電腦。
按現在的價值計算,這相當於損失了近10億美元。但盜幣並不是唯一的問題。丟失自己的私鑰也會造成損失。這是Stefan Thomas的案例:
比特幣開發者Stefan Thomas的錢包有三個備份——一個加密U盤、一個Dropbox帳戶和一個Virtualbox虛擬機。然而,他設法刪除了其中兩個,並忘記了第三個的密碼,從而永遠失去了7000比特幣(當時價值12.5萬美元)的訪問權限。Thomas的回應是:「」從那以後,我一直致力於創造更好的客戶。」
對比特幣生態系統的一項分析表明,每天可能會丟失1500個比特幣——這是比特幣用戶在交易費用上花費的十倍多,多年來累計起來相當於總供應量的20%。這些故事和數字都同樣指向了一個無法迴避的事實:錢包安全問題的重要性是巨大的,它不應該被低估。
很容易看出為什麼錢包的安全性很容易被低估的社會和心理原因:人們自然會擔心在總是評頭論足的公眾面前顯得粗心或愚蠢,而且很多人都把自己的資金被黑的經歷留給了自己。資金的損失更糟糕,因為人們普遍(儘管在我看來非常不正確)覺得「除了你自己,沒有人可以怪」。但現實是,包括區塊鏈在內的數位技術的全部意義,是讓人類更容易從事非常複雜的任務,而不必施加極端的腦力勞動,或生活在不斷擔心犯錯的恐懼中。一個僅能解決丟失和盜幣的生態系統是12步教程,不太安全的折衷措施和不太偶然的半諷刺「為你的損失道歉」,這將很難得到廣泛採用。
因此,在不要求所有加密貨幣用戶將個人安全變成全職愛好的情況下,減少丟失和盜幣發生的數量的解決方案對該行業非常有價值。
單靠硬體錢包還不夠
硬體錢包經常被吹捧為加密貨幣基金管理的最佳技術。硬體錢包是一種專門的硬體設備,它可以連接到你的電腦或手機上(通過USB)。它包含一個專門的晶片,只能生成私鑰和籤署交易。交易將在你的電腦或手機上啟動,必須在硬體錢包上確認後才能發送。私鑰保存在你的硬體錢包上,這樣黑客入侵你的電腦或手機時就無法耗盡你的資金。
硬體錢包是一個顯著的改進,它們當然會保護Java聊天室的受害者,但它們並不完美。我認為硬體錢包存在兩個主要問題:
供應鏈攻擊:如果你購買了一個硬體錢包,你就信任了許多參與生產它的參與者——設計錢包的公司、生產它的工廠,以及參與運輸它的每個人,他們可以用一個贗品替換它。硬體錢包是此類攻擊的潛在磁石:被盜資金與被盜設備數量的比例非常高。值得讚揚的是,像Ledger這樣的硬體錢包製造商已經採取了許多措施來防範這些風險,但一些風險仍然存在。從根本上說,硬體設備不能像開源軟體那樣被審計。
還有一個故障點:如果有人站在你身後,發現你在輸入密碼,然後就偷了你的硬體錢包,他們就會偷走你的資金。如果你丟失了你的硬體錢包,那麼你就會丟失你的資金——除非硬體錢包在安裝時生成並輸出備份,但正如我們將看到的那樣,這些都有自己的問題……僅靠助記詞是不夠的
許多錢包,無論是硬體還是軟體,都有一個設置過程,在此過程中它們會輸出一個助記詞短語,這是一個人類可讀的12到24單詞的錢包根私鑰編碼。助記詞短語是如下:
如果您丟失了錢包,但您擁有助記詞,您可以在設置新錢包時輸入短語來恢復您的帳戶,因為助記詞短語包含根密鑰,您的所有其他密鑰都可以從該根密鑰生成。
助記詞短語可以防止丟失,但對於盜幣卻毫無用處。更糟糕的是,他們為盜幣添加了一個新的載體。如果你有一個標準的硬體錢包+助記詞備份組合,那麼有人偷了你的硬體錢包+ PIN或助記詞備份就會盜走你的資金。此外,保存助記短語,而不是偶然地把它扔掉本身就是一項非同小可的腦力勞動。
盜幣的問題可以緩解如果你把短語分成兩半並給朋友一半,但是(i)實際上幾乎沒有人提倡這種行為;(ii)存在安全問題,就像助記詞短語很短(128位),那麼一個精明的和主動的攻擊者竊取一塊可以強行通過所有\(2 ^{64}\)可能的組合找到另一個;(iii)進一步增加了精神負擔。
那我們需要什麼呢?
我們需要的是一個滿足三個關鍵條件的錢包設計:
沒有單一的故障點:沒有單一的東西(理想情況下,沒有一起運送的東西集合),如果被盜,可以讓攻擊者訪問您的資金,或者如果丟失,可以拒絕您訪問您的資金。
低腦力消耗:儘可能不要求用戶學習陌生的新習慣,也不需要花費腦力去記住某些特定的行為模式。
最大程度地簡化交易:大多數正常的活動應該不會比使用普通錢包花費更多的精力(例如:Metamask…)。
多重籤名是個不錯的選擇!
早在2013年,解決這些問題的最佳技術是多重籤名。你可以有一個帶有三把鑰匙的錢包,需要其中任意兩把鑰匙才能發送交易。
這項技術最初是在比特幣生態系統中開發的,但優秀的多重籤名錢包(例如:Gnosis Safe)現在以太坊也存在。多重籤名錢包在組織中已經非常成功:以太坊基金會使用4-of-7 多重籤名錢包來存儲其資金,以太坊生態系統中的許多其他組織也是如此。
對於一個為持有多重籤名錢包的個人,主要的挑戰是:誰持有資金,以及如何批准交易?最常見的公式是「由您(例如,筆記本電腦和電話)持有兩個容易訪問但分開的密鑰,還有第三個更安全但不可訪問的備份,由朋友或機構離線保存」。
這是相當安全的:沒有任何單一的設備可能丟失或被盜,從而導致您失去使用資金的權限。但安全性遠非完美無缺:如果你可以偷別人的筆記本電腦,通常也不是很難偷他們的手機。易用性也是一個挑戰,因為現在每筆交易都需要用兩臺設備進行兩次確認。
社交恢復會更好
這讓我們想到了我最喜歡的保護錢包的方法:社交康復。社交恢復系統的工作原理如下:
1、只有一個「籤名密鑰」可用於批准交易
2、至少有3名(或更多)「監護人」,其中大多數人可以合作更改帳戶的籤名密鑰。
籤名密鑰具有添加或刪除監護人的功能,但需要經過一段時間(通常為1-3天)之後才可以。
在所有正常的情況下,用戶可以像普通的錢包一樣簡單地使用他們的社交恢復錢包,用他們的籤名密鑰籤署消息,這樣籤署的每一筆交易都可以通過一次確認快速完成,就像在「傳統」錢包(如Metamask)中一樣。
如果用戶丟失了他們的籤名密鑰,這時社交恢復功能就會啟動。用戶只需聯繫他們的監護人,讓他們籤署一項特殊的交易,將錢包合同中註冊的籤名公鑰更改為一個新的籤名。這很簡單:他們可以簡單地訪問一個網頁,比如security.loopring。查看恢復請求並對其進行籤名。對每個監護人來說就像交易Uniswap一樣簡單。
有許多可能的選擇供您選擇誰作為監護人。三個最常見的選擇是:
錢包持有人自己擁有的其他設備(或紙助記詞)
朋友和家人
機構會在收到您的電話號碼或電子郵件的確認之後籤署恢復信息,或者在重要的情況下,通過視頻電話親自核實您的身份
監護人很容易添加:你可以簡單地輸入他們的ENS名稱或ETH地址來添加監護人,儘管大多數社交恢復錢包會要求監護人在恢復網頁上簽署交易以同意添加。在任何設計合理的社交恢復錢包中,不需要下載和使用同一個錢包;他們可以簡單地使用他們現有的以太坊錢包,無論它是哪種類型的錢包。考慮到添加監護人的高度便利性,如果您足夠幸運,您的社交圈子已經由以太坊用戶組成,我個人傾向於更高的監護人數(理想情況下是7個以上)以增加安全性。如果您已經有了一個錢包,那麼就不需要監護人不斷努力:您所做的任何恢復操作都將通過您現有的錢包來完成。如果您不認識許多其他活躍的以太坊用戶,那麼您相信在技術上有能力的少量監護人是最好的。
為了減少監護人受到攻擊和串通的風險,你的監護人不必公開:事實上,他們不需要知道彼此的身份。這可以通過兩種方式實現。首先,與其將監護人的地址直接存儲在鏈上,還不如將地址列表的哈希存儲在鏈上,錢包所有者只需在恢復時發布完整的列表即可。其次,可以要求每個監護人確定性地生成一個新的單一用途地址,他們將僅用於特定的恢復;除非實際需要恢復,否則它們不需要使用該地址實際發送任何交易。為了補充這些技術保護,建議選擇來自不同社會圈子的多元化監護人(理想情況下包括一個機構監護人);這些建議結合在一起將使監護人很難同時受到攻擊或串通一氣。
如果您死亡或永久喪失行為能力,那麼監護人可以公開宣布自己的身份,這樣他們就可以找到對方,追回您的資金。
社交恢復錢包不是一種背叛,而是「加密價值」的一種表達。
對於使用任何形式的多重籤名、社交恢復或其他形式的建議,一種常見的回應是,這種解決方案可以追溯到「信任人」的想法,也就是對區塊鏈和加密貨幣行業價值的背叛。雖然我理解人們乍看之下會這麼想的原因,但我想說的是,這種批評源於對加密技術的基本誤解。
對我來說,加密貨幣的目標從來都不是消除對所有信任的需要。相反,加密的目的是給人們訪問加密和經濟基石,給人們更多的選擇在該信任誰,而且允許人們建立更多的約束形式的信任:賦予某人代表您的權力做一些事情而不給他們權力為所欲為。從這個角度來看,多重籤名和社交恢復是這一原則的完美表達:每個參與者對接受或拒絕交易的能力都有一些影響,但沒有人可以單方面移動資金。這種更為複雜的邏輯允許建立一個遠比由一個人或密鑰單方面控制資金更安全的機制。
人類的輸入應該謹慎使用,而不是完全拋棄,這一基本理念非常強大,因為它與人類大腦的優點和缺點很好地結合在一起。人類的大腦不太適合記住密碼和追蹤紙質錢包,但它是用來追蹤與他人關係的專用晶片。這種影響在非技術性用戶身上表現得更強:他們可能在錢包和密碼上更吃力,但他們同樣擅長「選擇7個不會合夥對付我的人」這樣的社交任務。如果我們至少能從人類的輸入中提取一些信息,使之成為一種機制,而不使這些輸入變成攻擊和利用的媒介,那麼我們就應該弄清楚如何做到這一點。社會恢復是非常強勁的:要讓一個擁有7監護人的錢包收到損害,這7個監護人中的4個將需要以某種方式相互發現並同意竊取資金,而其中的任何一個都不會給所有者帶來小費。當然,這是一個艱巨的挑戰比攻擊純粹由一個人保護的錢包更為重要。
社交恢復如何防止盜幣?
如上所述的社交恢復解決您丟失錢包的風險。但是仍然存在您的籤名密鑰被盜的風險:有人在您登錄後侵入您的計算機,在您身後潛行並擊中您,甚至只是使用一些用戶界面故障來欺騙您進行籤名您不打算籤署的交易。
我們可以通過添加保險庫來擴展社交恢復,以解決這些問題。每個社交恢復錢包都可以自帶一個自動生成的保險庫。資產可以移動到保險庫只需發送他們到保險庫的地址,但他們可以移動出保險庫只有一個星期的延遲。在這一延遲期間,籤名密鑰(或監護人)可以取消交易。如果需要,還可以對保險庫進行編程,以便可以立即進行一些有限的財務操作(例如:白名單代幣之間的Uniswap交易)可以毫不延遲地完成。
現有的社交恢復錢包
目前,實現社交恢復的錢包主要有Argent錢包和Loopring錢包兩種:
Argent錢包是目前使用的第一個主要的,也是最受歡迎的「智能合約錢包」,社交恢復是其主要賣點之一。Argent錢包包含一個可以添加和刪除監護人的接口:
為了防止盜幣,錢包有每日限額:達到該金額的交易是即時的,但超過該金額的交易需要監護人批准才能完成提款。
Loopring錢包最出名的是由Loopring(當然包括對Loopring的支持)的開發者建立的,一個用於支付和去中心化交易的ZK rollup。但是,Loopring錢包還有一個社交恢復功能,它的工作原理與Argent錢包非常相似。在這兩種情況下,錢包公司都免費提供一個監護人,它依靠手機發送的確認碼來驗證你的身份。對於其他監護人,您可以添加相同錢包的其他用戶,或提供任何以太坊用戶的以太坊地址。
兩種情況下的用戶體驗都非常流暢。有兩個主要的挑戰。首先,這兩種情況下的平滑性都依賴於錢包製造商運行的中央「中繼器」,該中繼器將籤名消息作為交易重新發布。第二,費用高。幸運的是,這兩個問題都可以克服。
遷移到Layer 2(rollps)可以解決剩餘的挑戰
如上所述,有兩個關鍵的挑戰:(1)依賴於中繼器來解決交易;(2)高交易費用。第一個挑戰是對中繼器的依賴,這是以太坊應用程式中一個日益普遍的問題。之所以會出現這個問題,是因為以太坊中存在兩種類型的帳戶:外部擁有的帳戶(EOAs),即由單個私鑰控制的帳戶,以及合約。在以太坊,有一個規則,每個交易必須從EOA開始;最初的意圖是EOAs表示「用戶」,合約表示「應用程式」,並且應用程式只能在用戶與應用程式對話的情況下運行。如果我們想要擁有更複雜策略的錢包,比如多重籤名和社交恢復,我們需要使用合約來代表用戶。但這帶來了一個挑戰:如果您的資金是在合約中,您需要有一些其他帳戶,其中有ETH,才可以開始每筆交易,並且它還需要相當多的ETH,以防萬一交易費用變得很高。
Argent和Loopring通過親自運行一個「中繼器」來解決這個問題。中繼器偵聽用戶提交的鏈外數字籤名「消息」,並將這些消息包裝在一個事務中並發布到鏈上。但從長遠來看,這是一個糟糕的解決方案,它增加了一個額外的中心點。如果中繼器關閉了,用戶確實需要發送一個事務,他們總是可以從他們自己的EOA發送它,但不管怎樣,在中心化和不方便之間引入了一個新的權衡。人們努力解決這個問題,並在不集中的情況下獲得便利;主要的兩個類別要麼圍繞著創建一個廣義的去中心化中繼網絡,要麼圍繞著修改以太坊協議本身,以允許交易從合約開始。但這兩種解決方案都不能解決交易費用問題,事實上,由於智能合約本身就更複雜,它們使問題變得更糟。
幸運的是,我們可以同時解決這兩個問題,方法是尋找第三種解決方案:將生態系統轉移到Layer 2協議上,如optimistic rollps和ZK rollps。optimistic rollps和ZK rollps都可以通過內置的帳戶抽象來設計,從而避免對中繼器的任何需求。現有的錢包開發者已經在關注rollps,但最終遷移到rollps是一個整個生態系統的挑戰。
在整個生態系統範圍內大規模遷移到rollup是一個很好的機會,可以扭轉以太坊生態系統早期的錯誤,並讓多重籤名和智能合約錢包在幫助保護用戶資金方面發揮更核心的作用。但這需要更廣泛地認識到,錢包安全是一個挑戰,我們在應對和挑戰方面還遠遠不夠。多重籤名和社交恢復不一定是故事的結局,也許還有更好的設計。但轉向rollps的簡單改革,並確保這些rollps將智能合約錢包視為頭等公民,是實現這一目標的重要一步。