によって書かれた: シュー、不滅の土壌 Web3の世界では、秘密鍵の管理は非常に重要な問題です。一度でもウォレットの秘密鍵が盗まれたり失われたりすると、数百万ドルの資産が一瞬で消えてしまいます。しかし、大多数の人々は単一のポイントで秘密鍵を管理することに慣れており、これはすべての卵を一つのバスケットに入れているようなもので、いつでもフィッシングリンクを踏んでしまうことで全ての資産をハッカーに渡してしまう可能性があります。 この問題に対処するために、ブロックチェーン分野ではさまざまな解決策が登場しました。マルチシグウォレットからMPC、そしてDeepSafeプロジェクトが提案したCRVAに至るまで、技術の進歩は資産管理に新しい道を切り開いてきました。本稿では、上記の三つの資産管理ソリューションの原理、特徴、適用シーンを探り、読者が自分に最も適した道を選ぶ手助けをします。 マルチシグウォレット:合格だが、優秀ではない マルチシグウォレットの理念は、すべての権限を一箇所に集中させないという素朴な知恵に基づいています。この考え方は、現実の世界で広く応用されています。例えば、三権分立や取締役会の投票などです。 同様に、Web3では、マルチシグウォレットがリスクを分散するために複数の独立したキーを作成します。最も一般的なのは「M-of-N」モデルで、たとえば「2-of-3」の設定では、システムは合計で3つの秘密鍵を生成しますが、そのうちの任意の2つの秘密鍵が署名を生成すれば、指定されたアカウントが取引を実行できます。 この設計は一定のフォールトトレランスを提供します——特定の秘密鍵を失っても、資産は安全に管理できます。複数の独立したデバイスを使用して鍵を保存している場合、マルチシグ方案はより信頼性があります。 一般的に、マルチシグウォレットは技術的に2つのカテゴリーに分かれます。一つは一般的なマルチシグで、主にオンチェーンのスマートコントラクトやパブリックチェーンの基盤コンポーネントを使用して実現され、特定の暗号学的ツールに依存しないことが多いです。もう一つは、特殊な暗号学的アルゴリズムに依存するマルチシグウォレットで、そのセキュリティは具体的なアルゴリズムに依存し、時にはオンチェーンの契約の参加を全く必要としないこともあります。以下では、これらの2つのソリューションについてそれぞれ議論します。 通常のマルチシグプランは、Safe WalletとビットコインTaprootを表します Safe 財布は現在最も人気のあるマルチシグソリューションの一つで、一般的な Solidity スマートコントラクトを使用してマルチシグを実現しています。Safe 財布のアーキテクチャでは、各マルチシグ参加者が独立したキーを制御し、オンチェーンのスマートコントラクトが「仲裁者」として機能します。有効な署名が必要な数を集めた場合にのみ、コントラクトはマルチシグ関連アカウントの取引を承認します。 この方法の利点は透明性と検証可能性にあります。すべてのマルチシグルールはスマートコントラクトに明確にコーディングされており、誰でもコードのロジックを監査できます。さらに、ユーザーはマルチシグアカウントにモジュールを追加して、各取引の資金上限を制限するなど、より豊富な機能を持たせることができます。しかし、この透明性は、マルチシグウォレットの詳細がブロックチェーン上で完全に公開されていることを意味し、ユーザーの資産管理構造が明らかになる可能性があります。 SafeウォレットのようなEthereumエコシステム内の有名なマルチシグソリューションの他に、ビットコインネットワーク内にもBTCスクリプトを使用して構築されたマルチシグウォレットが存在します。例えば、OP_CHECKMULTISIGオペコードに基づいて構築されたソリューションです。このオペコードは、UTXOのロック解除スクリプトに含まれる署名の数が要件を満たしているかどうかを検証できます。 注目すべきは、上述の一般的なマルチシグアルゴリズムはすべて「M-of-N」をサポートしていますが、後述する特定の暗号アルゴリズムに基づくマルチシグの中には、いくつかが「M-of-M」モードのみをサポートしていることです。つまり、ユーザーはすべてのキーを提供する必要があり、取引を行うことができます。 暗号学的なマルチシグの実現 暗号学のレベルでは、特定の暗号アルゴリズムを使用してマルチシグ検証の効果を実現できますが、この方法は時にはチェーン上のスマートコントラクトの関与を回避することができます。私たちは通常、次のように分類します: 1.マルチシグアルゴリズム(マルチシグネチャ)。この署名アルゴリズムは "M-of-M" モードのみをサポートしており、ユーザーはすべてのキーに対応する署名を一度に提出する必要があります。2.閾値署名アルゴリズム(Threshold Signatures)。このアルゴリズムは "M-of-N" モードをサポートしていますが、一般的には上に述べたマルチシグアルゴリズムに比べて構築の難易度が高いです。3.鍵分割アルゴリズム(Secret sharing)。このアルゴリズムの設計では、ユーザーは単一の秘密鍵を複数の部分に分割でき、ユーザーが十分な秘密鍵の断片を収集すると、元の秘密鍵を復元し、署名を生成できます。ビットコインは隔離証明のアップグレード(SegWit)後にSchnorrアルゴリズムを導入し、自然にマルチシグ検証を実現しました。一方、イーサリアムのコンセンサスレイヤーはBLS閾値アルゴリズムを使用してPoSシステム内の最も重要な投票機能を実現しています。 この単純に暗号アルゴリズムに依存するマルチシグソリューションは、スマートコントラクトに依存せず、純粋なオフチェーンソリューションを使用して実現できるため、より良い互換性を持っています。 純粋な暗号学に基づくマルチシグネチャ方式で生成された署名は、従来の単一の秘密鍵署名と形式的に完全に同じであり、標準署名形式をサポートする任意のブロックチェーンによって受け入れられるため、非常に強い汎用性を持っています。しかし、特定の暗号学に基づくマルチシグネチャアルゴリズムは比較的複雑で、実装が非常に難しく、使用する際には特定の施設に依存することが多いです。 マルチシグ技術の現実的な課題 一般的なマルチシグウォレットは資産の安全性を大幅に向上させる一方で、新たなリスクももたらします。最も明らかな問題は操作の複雑性が増すことです:各取引のたびに複数の関係者の調整と確認が必要で、時間に敏感なシナリオでは重大な障害となります。 より深刻なことに、マルチシグウォレットはしばしばリスクをプライベートキーの管理から署名の調整と検証の段階に移します。最近発生したBybitの盗難事件のように、攻撃者はSafeが依存するAWS施設にフィッシングのSafeフロントエンドインターフェースコードを埋め込むことで、Bybitのマルチシグ管理者を騙してフィッシング取引に署名させることに成功しました。これは、より高度なマルチシグ技術を使用しても、フロントエンドインターフェースと署名の検証および調整の段階のセキュリティには依然として多くの脆弱性があることを示しています。 さらに、すべてのブロックチェーンで使用される署名アルゴリズムがネイティブにマルチシグをサポートしているわけではなく、例えばイーサリアムの実行層で使用されるsecp 256 k 1曲線ではマルチシグアルゴリズムが少なく、異なるエコシステムにおけるマルチシグウォレットの適用が制限されています。スマートコントラクトを通じてマルチシグを実現する必要があるネットワークに対しては、コントラクトの脆弱性やアップグレードリスクなどの追加の考慮事項も存在します。 MPC:革命的なブレークスルー マルチシグウォレットが分散したプライベートキーを使用してセキュリティを向上させるとすれば、MPC(マルチパーティ計算)技術はさらに一歩進んでいます。MPCの世界では、完全なプライベートキーは決して単一の場所に現れず、キー生成プロセスにおいてさえもそうです。同時に、MPCはプライベートキーの更新や権限の調整など、より高度な機能をサポートすることが多いです。 暗号通貨のアプリケーションシーンにおいて、MPCのワークフローは独自の利点を示しています。鍵生成段階では、複数の参加者がそれぞれランダムな数を生成し、複雑な暗号プロトコルを通じて、各参加者が自分の「鍵の断片」を計算します。これらの断片は単独では何の意味もありませんが、数学的には相互に関連しており、特定の公開鍵とウォレットアドレスに共同で対応できます。 特定のブロックチェーン操作に署名する必要がある場合、各参加者は自分の秘密鍵の断片を用いて「部分署名」を生成し、その後MPCプロトコルを通じてこれらの部分署名を巧妙に組み合わせます。最終的に生成される署名は、単一の秘密鍵による署名と形式的には完全に同じであり、外部の観察者にはこれはMPC施設によって生成された署名であるとは分かりません。 このデザインの革新性は、全過程を通じて完全なプライベートキーがどこにも現れないことです。たとえ攻撃者が参加者のシステムに侵入できたとしても、完全なプライベートキーを取得することはできません。なぜなら、このプライベートキーは本質的にどこにも存在しないからです。 MPCとマルチシグの本質的な違い MPCとマルチシグはどちらも複数の当事者が関与しますが、本質的には根本的な違いがあります。外部の観察者から見ると、MPCによって生成された取引は通常のシングルサイン取引と区別がつかず、ユーザーにより良いプライバシーを提供します。 この違いは互換性の面にも表れています。マルチシグウォレットはブロックチェーンネットワークのネイティブサポートが必要であるか、スマートコントラクトに依存しているため、特定の場所での使用が制限されます。一方、MPCによって生成された署名は標準のECDSAフォーマットを使用しており、この署名アルゴリズムをサポートする任意の場所で使用でき、ビットコイン、イーサリアム、さまざまなDeFiプラットフォームにも対応しています。 MPC技術は、安全パラメータを調整するためのより大きな柔軟性も提供します。従来のマルチシグウォレットでは、署名の閾値や参加者の数を変更するには、新しいウォレットアドレスを作成する必要があり、リスクを伴います。(もちろん、スマートコントラクトに基づくマルチシグウォレットは、参加者およびその権限を簡単に変更できます)が、MPCシステムでは、これらのパラメータの調整がより柔軟かつ簡潔に行うことができ、オンチェーンアカウントやコントラクトコードを変更する必要がなく、資産管理により大きな便利さを提供します。 MPCが直面している課題 しかし、MPCは通常のマルチシグよりも優れているものの、相応の課題が存在します。まず、実装の複雑さです。MPCプロトコルは複雑な暗号計算と多者通信を含んでおり、システムの実装と維持がより困難になります。どんなバグも深刻なセキュリティ脆弱性を引き起こす可能性があります。2025年2月、Nikolaos MakriyannisらはMPCウォレット内で鍵を盗む方法を発見しました。 性能コストはもう一つの課題です。MPCプロトコルは複数の当事者間で複雑な計算とデータ交換を必要とし、従来の単一署名操作よりも多くの計算リソースとネットワーク帯域を消費します。このコストはほとんどの場合受け入れ可能ですが、性能要求が非常に高い特定のシナリオでは制約要因となる可能性があります。さらに、MPCシステムは署名を完了するために各参加者のオンライン調整が必要です。この調整はユーザーには透明ですが、ネットワーク接続が不安定であったり、特定の参加者がオフラインである場合、システムの可用性に影響を与える可能性があります。 さらに、MPCは依然として分散化を保証できず、2023年のMultichainのケースでは、MPC計算に参加する21のノードがすべて一人によって管理されており、典型的なウィッチハント攻撃です。この事実は、表面的に見える数十のノードだけでは高い分散化の保証を提供できないことを十分に示しています。 DeepSafe:次世代のセキュリティ検証ネットワークの構築 マルチシグとMPC技術が比較的成熟した背景の中で、DeepSafeチームはより先見性のあるソリューションを提案しました:CRVA(暗号ランダム検証エージェント)。DeepSafeの革新は、既存の署名技術を単純に置き換えるのではなく、既存のソリューションの上に追加のセキュリティ検証レイヤーを構築している点です。 CRVAの多要素認証 DeepSafeの核心思想は「二重保険」であり、ユーザーはSafeウォレットなどの慣れ親しんだウォレットソリューションを引き続き使用できます。マルチシグの取引がチェーンに提出されると、自動的にCRVAネットワークに送信され、追加の検証が行われます。これはAlipayの2FA多要素認証に似ています。 このアーキテクチャでは、CRVAがゲートキーパーとして機能し、ユーザーが事前に設定したルールに基づいて各トランザクションを審査します。例えば、1回のトランザクションの上限、ターゲットアドレスのホワイトリスト、トランザクションの頻度などの制限があり、異常な状況が発生した場合はいつでもトランザクションを中断できます。 この2FA多要素認証の利点は、マルチシグプロセスが操作された場合(Bybitの事件でのフロントエンドフィッシング攻撃のように)、保険としてのCRVAが事前に設定されたルールに基づいてリスクのある取引を拒否できるため、ユーザーの資産の安全を守ることができる点です。 従来のMPCソリューションに基づく技術のアップグレード 従来のMPC資産管理ソリューションの不足に対して、DeepSafeのCRVAソリューションは多くの改善を行いました。まず、CRVAネットワークノードは資産のステーキングによるアクセス形式を採用しており、約500ノードに達した後に正式にメインネットが起動します。推定によれば、これらのノードがステークした資産は長期にわたって数千万ドル以上を維持することになるでしょう。 次に、MPC/TSS計算の効率を向上させるために、CRVAは抽選アルゴリズムを使用してノードをランダムに選択します。たとえば、30分ごとに10個のノードを抽選し、それらをバリデーターとして使用し、ユーザーのリクエストが通過すべきかどうかを検証します。その後、対応する閾値署名を生成してリリースします。内部の共謀や外部のハッカー攻撃を防ぐために、CRVAの抽選アルゴリズムはオリジナルの環状VRFを採用し、ZKを組み合わせて選ばれた者の身元を隠し、外部から選ばれた者を直接観測できないようにしています。 もちろん、これだけでは不十分です。外部の人々は誰が選ばれたか知らないが、選ばれた本人は知っているため、依然として共謀の道があります。共謀をさらに防ぐために、CRVAのすべてのノードはコアコードをTEEハードウェア環境内で実行する必要があります。これは、コアの作業をブラックボックスの中で行うことに相当します。これにより、誰も自分が選ばれたかどうか知ることができなくなります。TEEの信頼できるハードウェアを破ることができない限り、もちろん現在の技術条件では、それは非常に難しいことです。 上記で説明したのは、DeepSafeのCRVAソリューションの基本的な考え方ですが、実際の作業フローにおいて、CRVAネットワーク内のノード間で大量のブロードキャスト通信と情報交換が行われます。その具体的なフローは以下の通りです: 1. すべてのノードは、CRVAネットワークに入る前に、まずチェーン上で資産をステーキングし、登録情報として公開鍵を残す必要があります。この公開鍵は「永続公開鍵」とも呼ばれます。 2. 1時間ごとに、CRVAネットワークはランダムにいくつかのノードを選択します。しかし、その前に、すべての候補者はローカルで一時的な「テンポラリ公鍵」を生成し、その際にZKPを生成して、「テンポラリ公鍵」とチェーン上に記録された「パーマネント公鍵」との関連を証明する必要があります。言い換えれば、誰もがZKを通じて自分が候補者リストに存在していることを証明しなければなりませんが、自分が誰であるかは明かさないのです; 3.「一時的な公開鍵」の役割はプライバシー保護にあります。「永続的な公開鍵」の集合から直接抽選を行い、結果を公表すると、誰が当選したかが直接わかってしまいます。もしみんなが一回限りの「一時的な公開鍵」だけを公開し、その「一時的な公開鍵」の集合から数人を選出すれば、自分が当選したことは最大限に知っているが、他の当選者の一時的な公開鍵が誰に対応しているのかはわからないのです。 4.さらなる身分漏洩を防ぐために、CRVAはあなた自身が自分の「一時的公開鍵」が何であるかを知らないようにするつもりです。一時的公開鍵の生成プロセスはノードのTEE環境内で完了し、TEEを実行しているあなたは内部で何が起こっているかを見ることができません。 5.その後、TEE内で一時的な公開鍵の平文を「ランダムデータ」に暗号化して外部に送信します。特定のリレイヤーノードのみが復元できます。もちろん、復元プロセスもリレイヤーノードのTEE環境内で行われ、リレイヤーはこれらの一時的な公開鍵がどの候補者に対応しているかを知りません。 6.リレイヤーはすべての「一時公開鍵」を復元した後、それらを統一して集約し、チェーン上のVRF関数に提出します。そこから当選者を抽選し、これらの人々がユーザーのフロントエンドから送信された取引リクエストを検証します。そして、検証結果に基づいて閾値署名を生成し、最後にそれをチェーン上に提出します。(注意が必要なのは、ここでのリレイヤーも実際には身元を隠して定期的に抽選されるということです) おそらく誰かが尋ねるでしょう、各ノードは自分が選ばれたかどうかわからないのに、作業はどのように進むのでしょうか?実際、前述のように、各人はローカルのTEE環境内で「一時的な公開鍵」を生成します。抽選結果が出た後、私たちは直接リストをブロードキャストします。各人はリストをTEEに渡し、自分が選ばれたかどうかを確認するだけです。 DeepSafe このソリューションの核心は、ほとんどすべての重要な活動が TEE ハードウェア内で行われているため、TEE 外部からは何が起こっているかを観測できないことです。各ノードは選ばれた検証者が誰であるかを知らず、共謀を防ぎ、外部からの攻撃コストを大幅に増加させます。DeepSafe に基づく CRVA 委員会を攻撃するには、理論的には全 CRVA ネットワークを攻撃する必要があり、さらに各ノードに TEE 保護があるため、攻撃の難易度は大幅に上昇します。 CRVAによる悪用の状況については、CRVAが自動化されたノードネットワークシステムであるため、初期起動時のコードに悪意のあるロジックが含まれていなければ、CRVAがユーザーとの協力を拒否することは基本的にないため、ほとんど無視できます。 もしCRVAが停電や洪水などの不可抗力によりノードが大量にダウンした場合、上記のプランで述べられているプロセスに従って、ユーザーは依然として資産を安全に引き出す方法があります。ここにある信頼の前提は、私たちがCRVAが十分に分散化されていて、故意に悪事を働かないと信じていることです(理由は前述の通りです)。 まとめ Web3の署名技術の発展の歴史は、人類がデジタルセキュリティ分野での絶え間ない探求を示しています。最初の単一の秘密鍵から、マルチシグウォレット、次いでMPC、さらにはCRVAなどの新興ソリューションに至るまで、各進展はデジタル資産の安全な管理に新たな可能性を開いています。 しかし、技術の進歩はリスクの排除を意味するものではありません。新しい技術は既存の問題を解決する一方で、新たな複雑性やリスクを引き起こす可能性があります。Bybitの事件からもわかるように、先進的なマルチシグ技術を使用しても、攻撃者は社会工学やサプライチェーン攻撃を通じて技術的な防護を回避することができます。これは、技術的な解決策は良好な運用慣行とセキュリティ意識と結びつける必要があることを私たちに思い出させます。 最終的に、デジタル資産の安全性は単なる技術的な問題ではなく、システム全体の課題です。マルチシグやMPC、あるいはCRVAなどは、潜在的なリスクへの試みとしての解決策に過ぎません。ブロックチェーン業界の発展に伴い、未来にはさらなる革新が求められ、より安全で信頼を必要としない解決策を探し続ける必要があります。
Web3 資産管理ソリューション比較:マルチシグネチャー、MPC と CRV
によって書かれた: シュー、不滅の土壌
Web3の世界では、秘密鍵の管理は非常に重要な問題です。一度でもウォレットの秘密鍵が盗まれたり失われたりすると、数百万ドルの資産が一瞬で消えてしまいます。しかし、大多数の人々は単一のポイントで秘密鍵を管理することに慣れており、これはすべての卵を一つのバスケットに入れているようなもので、いつでもフィッシングリンクを踏んでしまうことで全ての資産をハッカーに渡してしまう可能性があります。
この問題に対処するために、ブロックチェーン分野ではさまざまな解決策が登場しました。マルチシグウォレットからMPC、そしてDeepSafeプロジェクトが提案したCRVAに至るまで、技術の進歩は資産管理に新しい道を切り開いてきました。本稿では、上記の三つの資産管理ソリューションの原理、特徴、適用シーンを探り、読者が自分に最も適した道を選ぶ手助けをします。
マルチシグウォレット:合格だが、優秀ではない
マルチシグウォレットの理念は、すべての権限を一箇所に集中させないという素朴な知恵に基づいています。この考え方は、現実の世界で広く応用されています。例えば、三権分立や取締役会の投票などです。
同様に、Web3では、マルチシグウォレットがリスクを分散するために複数の独立したキーを作成します。最も一般的なのは「M-of-N」モデルで、たとえば「2-of-3」の設定では、システムは合計で3つの秘密鍵を生成しますが、そのうちの任意の2つの秘密鍵が署名を生成すれば、指定されたアカウントが取引を実行できます。
この設計は一定のフォールトトレランスを提供します——特定の秘密鍵を失っても、資産は安全に管理できます。複数の独立したデバイスを使用して鍵を保存している場合、マルチシグ方案はより信頼性があります。
一般的に、マルチシグウォレットは技術的に2つのカテゴリーに分かれます。一つは一般的なマルチシグで、主にオンチェーンのスマートコントラクトやパブリックチェーンの基盤コンポーネントを使用して実現され、特定の暗号学的ツールに依存しないことが多いです。もう一つは、特殊な暗号学的アルゴリズムに依存するマルチシグウォレットで、そのセキュリティは具体的なアルゴリズムに依存し、時にはオンチェーンの契約の参加を全く必要としないこともあります。以下では、これらの2つのソリューションについてそれぞれ議論します。
通常のマルチシグプランは、Safe WalletとビットコインTaprootを表します
Safe 財布は現在最も人気のあるマルチシグソリューションの一つで、一般的な Solidity スマートコントラクトを使用してマルチシグを実現しています。Safe 財布のアーキテクチャでは、各マルチシグ参加者が独立したキーを制御し、オンチェーンのスマートコントラクトが「仲裁者」として機能します。有効な署名が必要な数を集めた場合にのみ、コントラクトはマルチシグ関連アカウントの取引を承認します。
この方法の利点は透明性と検証可能性にあります。すべてのマルチシグルールはスマートコントラクトに明確にコーディングされており、誰でもコードのロジックを監査できます。さらに、ユーザーはマルチシグアカウントにモジュールを追加して、各取引の資金上限を制限するなど、より豊富な機能を持たせることができます。しかし、この透明性は、マルチシグウォレットの詳細がブロックチェーン上で完全に公開されていることを意味し、ユーザーの資産管理構造が明らかになる可能性があります。
SafeウォレットのようなEthereumエコシステム内の有名なマルチシグソリューションの他に、ビットコインネットワーク内にもBTCスクリプトを使用して構築されたマルチシグウォレットが存在します。例えば、OP_CHECKMULTISIGオペコードに基づいて構築されたソリューションです。このオペコードは、UTXOのロック解除スクリプトに含まれる署名の数が要件を満たしているかどうかを検証できます。
注目すべきは、上述の一般的なマルチシグアルゴリズムはすべて「M-of-N」をサポートしていますが、後述する特定の暗号アルゴリズムに基づくマルチシグの中には、いくつかが「M-of-M」モードのみをサポートしていることです。つまり、ユーザーはすべてのキーを提供する必要があり、取引を行うことができます。
暗号学的なマルチシグの実現
暗号学のレベルでは、特定の暗号アルゴリズムを使用してマルチシグ検証の効果を実現できますが、この方法は時にはチェーン上のスマートコントラクトの関与を回避することができます。私たちは通常、次のように分類します:
1.マルチシグアルゴリズム(マルチシグネチャ)。この署名アルゴリズムは “M-of-M” モードのみをサポートしており、ユーザーはすべてのキーに対応する署名を一度に提出する必要があります。
2.閾値署名アルゴリズム(Threshold Signatures)。このアルゴリズムは “M-of-N” モードをサポートしていますが、一般的には上に述べたマルチシグアルゴリズムに比べて構築の難易度が高いです。
3.鍵分割アルゴリズム(Secret sharing)。このアルゴリズムの設計では、ユーザーは単一の秘密鍵を複数の部分に分割でき、ユーザーが十分な秘密鍵の断片を収集すると、元の秘密鍵を復元し、署名を生成できます。
ビットコインは隔離証明のアップグレード(SegWit)後にSchnorrアルゴリズムを導入し、自然にマルチシグ検証を実現しました。一方、イーサリアムのコンセンサスレイヤーはBLS閾値アルゴリズムを使用してPoSシステム内の最も重要な投票機能を実現しています。
この単純に暗号アルゴリズムに依存するマルチシグソリューションは、スマートコントラクトに依存せず、純粋なオフチェーンソリューションを使用して実現できるため、より良い互換性を持っています。
純粋な暗号学に基づくマルチシグネチャ方式で生成された署名は、従来の単一の秘密鍵署名と形式的に完全に同じであり、標準署名形式をサポートする任意のブロックチェーンによって受け入れられるため、非常に強い汎用性を持っています。しかし、特定の暗号学に基づくマルチシグネチャアルゴリズムは比較的複雑で、実装が非常に難しく、使用する際には特定の施設に依存することが多いです。
マルチシグ技術の現実的な課題
一般的なマルチシグウォレットは資産の安全性を大幅に向上させる一方で、新たなリスクももたらします。最も明らかな問題は操作の複雑性が増すことです:各取引のたびに複数の関係者の調整と確認が必要で、時間に敏感なシナリオでは重大な障害となります。
より深刻なことに、マルチシグウォレットはしばしばリスクをプライベートキーの管理から署名の調整と検証の段階に移します。最近発生したBybitの盗難事件のように、攻撃者はSafeが依存するAWS施設にフィッシングのSafeフロントエンドインターフェースコードを埋め込むことで、Bybitのマルチシグ管理者を騙してフィッシング取引に署名させることに成功しました。これは、より高度なマルチシグ技術を使用しても、フロントエンドインターフェースと署名の検証および調整の段階のセキュリティには依然として多くの脆弱性があることを示しています。
さらに、すべてのブロックチェーンで使用される署名アルゴリズムがネイティブにマルチシグをサポートしているわけではなく、例えばイーサリアムの実行層で使用されるsecp 256 k 1曲線ではマルチシグアルゴリズムが少なく、異なるエコシステムにおけるマルチシグウォレットの適用が制限されています。スマートコントラクトを通じてマルチシグを実現する必要があるネットワークに対しては、コントラクトの脆弱性やアップグレードリスクなどの追加の考慮事項も存在します。
MPC:革命的なブレークスルー
マルチシグウォレットが分散したプライベートキーを使用してセキュリティを向上させるとすれば、MPC(マルチパーティ計算)技術はさらに一歩進んでいます。MPCの世界では、完全なプライベートキーは決して単一の場所に現れず、キー生成プロセスにおいてさえもそうです。同時に、MPCはプライベートキーの更新や権限の調整など、より高度な機能をサポートすることが多いです。
暗号通貨のアプリケーションシーンにおいて、MPCのワークフローは独自の利点を示しています。鍵生成段階では、複数の参加者がそれぞれランダムな数を生成し、複雑な暗号プロトコルを通じて、各参加者が自分の「鍵の断片」を計算します。これらの断片は単独では何の意味もありませんが、数学的には相互に関連しており、特定の公開鍵とウォレットアドレスに共同で対応できます。
特定のブロックチェーン操作に署名する必要がある場合、各参加者は自分の秘密鍵の断片を用いて「部分署名」を生成し、その後MPCプロトコルを通じてこれらの部分署名を巧妙に組み合わせます。最終的に生成される署名は、単一の秘密鍵による署名と形式的には完全に同じであり、外部の観察者にはこれはMPC施設によって生成された署名であるとは分かりません。
このデザインの革新性は、全過程を通じて完全なプライベートキーがどこにも現れないことです。たとえ攻撃者が参加者のシステムに侵入できたとしても、完全なプライベートキーを取得することはできません。なぜなら、このプライベートキーは本質的にどこにも存在しないからです。
MPCとマルチシグの本質的な違い
MPCとマルチシグはどちらも複数の当事者が関与しますが、本質的には根本的な違いがあります。外部の観察者から見ると、MPCによって生成された取引は通常のシングルサイン取引と区別がつかず、ユーザーにより良いプライバシーを提供します。
この違いは互換性の面にも表れています。マルチシグウォレットはブロックチェーンネットワークのネイティブサポートが必要であるか、スマートコントラクトに依存しているため、特定の場所での使用が制限されます。一方、MPCによって生成された署名は標準のECDSAフォーマットを使用しており、この署名アルゴリズムをサポートする任意の場所で使用でき、ビットコイン、イーサリアム、さまざまなDeFiプラットフォームにも対応しています。
MPC技術は、安全パラメータを調整するためのより大きな柔軟性も提供します。従来のマルチシグウォレットでは、署名の閾値や参加者の数を変更するには、新しいウォレットアドレスを作成する必要があり、リスクを伴います。(もちろん、スマートコントラクトに基づくマルチシグウォレットは、参加者およびその権限を簡単に変更できます)が、MPCシステムでは、これらのパラメータの調整がより柔軟かつ簡潔に行うことができ、オンチェーンアカウントやコントラクトコードを変更する必要がなく、資産管理により大きな便利さを提供します。
MPCが直面している課題
しかし、MPCは通常のマルチシグよりも優れているものの、相応の課題が存在します。まず、実装の複雑さです。MPCプロトコルは複雑な暗号計算と多者通信を含んでおり、システムの実装と維持がより困難になります。どんなバグも深刻なセキュリティ脆弱性を引き起こす可能性があります。2025年2月、Nikolaos MakriyannisらはMPCウォレット内で鍵を盗む方法を発見しました。
性能コストはもう一つの課題です。MPCプロトコルは複数の当事者間で複雑な計算とデータ交換を必要とし、従来の単一署名操作よりも多くの計算リソースとネットワーク帯域を消費します。このコストはほとんどの場合受け入れ可能ですが、性能要求が非常に高い特定のシナリオでは制約要因となる可能性があります。さらに、MPCシステムは署名を完了するために各参加者のオンライン調整が必要です。この調整はユーザーには透明ですが、ネットワーク接続が不安定であったり、特定の参加者がオフラインである場合、システムの可用性に影響を与える可能性があります。
さらに、MPCは依然として分散化を保証できず、2023年のMultichainのケースでは、MPC計算に参加する21のノードがすべて一人によって管理されており、典型的なウィッチハント攻撃です。この事実は、表面的に見える数十のノードだけでは高い分散化の保証を提供できないことを十分に示しています。
DeepSafe:次世代のセキュリティ検証ネットワークの構築
マルチシグとMPC技術が比較的成熟した背景の中で、DeepSafeチームはより先見性のあるソリューションを提案しました:CRVA(暗号ランダム検証エージェント)。DeepSafeの革新は、既存の署名技術を単純に置き換えるのではなく、既存のソリューションの上に追加のセキュリティ検証レイヤーを構築している点です。
CRVAの多要素認証
DeepSafeの核心思想は「二重保険」であり、ユーザーはSafeウォレットなどの慣れ親しんだウォレットソリューションを引き続き使用できます。マルチシグの取引がチェーンに提出されると、自動的にCRVAネットワークに送信され、追加の検証が行われます。これはAlipayの2FA多要素認証に似ています。
このアーキテクチャでは、CRVAがゲートキーパーとして機能し、ユーザーが事前に設定したルールに基づいて各トランザクションを審査します。例えば、1回のトランザクションの上限、ターゲットアドレスのホワイトリスト、トランザクションの頻度などの制限があり、異常な状況が発生した場合はいつでもトランザクションを中断できます。
この2FA多要素認証の利点は、マルチシグプロセスが操作された場合(Bybitの事件でのフロントエンドフィッシング攻撃のように)、保険としてのCRVAが事前に設定されたルールに基づいてリスクのある取引を拒否できるため、ユーザーの資産の安全を守ることができる点です。
従来のMPCソリューションに基づく技術のアップグレード
従来のMPC資産管理ソリューションの不足に対して、DeepSafeのCRVAソリューションは多くの改善を行いました。まず、CRVAネットワークノードは資産のステーキングによるアクセス形式を採用しており、約500ノードに達した後に正式にメインネットが起動します。推定によれば、これらのノードがステークした資産は長期にわたって数千万ドル以上を維持することになるでしょう。
次に、MPC/TSS計算の効率を向上させるために、CRVAは抽選アルゴリズムを使用してノードをランダムに選択します。たとえば、30分ごとに10個のノードを抽選し、それらをバリデーターとして使用し、ユーザーのリクエストが通過すべきかどうかを検証します。その後、対応する閾値署名を生成してリリースします。内部の共謀や外部のハッカー攻撃を防ぐために、CRVAの抽選アルゴリズムはオリジナルの環状VRFを採用し、ZKを組み合わせて選ばれた者の身元を隠し、外部から選ばれた者を直接観測できないようにしています。
もちろん、これだけでは不十分です。外部の人々は誰が選ばれたか知らないが、選ばれた本人は知っているため、依然として共謀の道があります。共謀をさらに防ぐために、CRVAのすべてのノードはコアコードをTEEハードウェア環境内で実行する必要があります。これは、コアの作業をブラックボックスの中で行うことに相当します。これにより、誰も自分が選ばれたかどうか知ることができなくなります。TEEの信頼できるハードウェアを破ることができない限り、もちろん現在の技術条件では、それは非常に難しいことです。
上記で説明したのは、DeepSafeのCRVAソリューションの基本的な考え方ですが、実際の作業フローにおいて、CRVAネットワーク内のノード間で大量のブロードキャスト通信と情報交換が行われます。その具体的なフローは以下の通りです:
すべてのノードは、CRVAネットワークに入る前に、まずチェーン上で資産をステーキングし、登録情報として公開鍵を残す必要があります。この公開鍵は「永続公開鍵」とも呼ばれます。
1時間ごとに、CRVAネットワークはランダムにいくつかのノードを選択します。しかし、その前に、すべての候補者はローカルで一時的な「テンポラリ公鍵」を生成し、その際にZKPを生成して、「テンポラリ公鍵」とチェーン上に記録された「パーマネント公鍵」との関連を証明する必要があります。言い換えれば、誰もがZKを通じて自分が候補者リストに存在していることを証明しなければなりませんが、自分が誰であるかは明かさないのです;
3.「一時的な公開鍵」の役割はプライバシー保護にあります。「永続的な公開鍵」の集合から直接抽選を行い、結果を公表すると、誰が当選したかが直接わかってしまいます。もしみんなが一回限りの「一時的な公開鍵」だけを公開し、その「一時的な公開鍵」の集合から数人を選出すれば、自分が当選したことは最大限に知っているが、他の当選者の一時的な公開鍵が誰に対応しているのかはわからないのです。
4.さらなる身分漏洩を防ぐために、CRVAはあなた自身が自分の「一時的公開鍵」が何であるかを知らないようにするつもりです。一時的公開鍵の生成プロセスはノードのTEE環境内で完了し、TEEを実行しているあなたは内部で何が起こっているかを見ることができません。
5.その後、TEE内で一時的な公開鍵の平文を「ランダムデータ」に暗号化して外部に送信します。特定のリレイヤーノードのみが復元できます。もちろん、復元プロセスもリレイヤーノードのTEE環境内で行われ、リレイヤーはこれらの一時的な公開鍵がどの候補者に対応しているかを知りません。
6.リレイヤーはすべての「一時公開鍵」を復元した後、それらを統一して集約し、チェーン上のVRF関数に提出します。そこから当選者を抽選し、これらの人々がユーザーのフロントエンドから送信された取引リクエストを検証します。そして、検証結果に基づいて閾値署名を生成し、最後にそれをチェーン上に提出します。(注意が必要なのは、ここでのリレイヤーも実際には身元を隠して定期的に抽選されるということです)
おそらく誰かが尋ねるでしょう、各ノードは自分が選ばれたかどうかわからないのに、作業はどのように進むのでしょうか?実際、前述のように、各人はローカルのTEE環境内で「一時的な公開鍵」を生成します。抽選結果が出た後、私たちは直接リストをブロードキャストします。各人はリストをTEEに渡し、自分が選ばれたかどうかを確認するだけです。
DeepSafe このソリューションの核心は、ほとんどすべての重要な活動が TEE ハードウェア内で行われているため、TEE 外部からは何が起こっているかを観測できないことです。各ノードは選ばれた検証者が誰であるかを知らず、共謀を防ぎ、外部からの攻撃コストを大幅に増加させます。DeepSafe に基づく CRVA 委員会を攻撃するには、理論的には全 CRVA ネットワークを攻撃する必要があり、さらに各ノードに TEE 保護があるため、攻撃の難易度は大幅に上昇します。
CRVAによる悪用の状況については、CRVAが自動化されたノードネットワークシステムであるため、初期起動時のコードに悪意のあるロジックが含まれていなければ、CRVAがユーザーとの協力を拒否することは基本的にないため、ほとんど無視できます。
もしCRVAが停電や洪水などの不可抗力によりノードが大量にダウンした場合、上記のプランで述べられているプロセスに従って、ユーザーは依然として資産を安全に引き出す方法があります。ここにある信頼の前提は、私たちがCRVAが十分に分散化されていて、故意に悪事を働かないと信じていることです(理由は前述の通りです)。
まとめ
Web3の署名技術の発展の歴史は、人類がデジタルセキュリティ分野での絶え間ない探求を示しています。最初の単一の秘密鍵から、マルチシグウォレット、次いでMPC、さらにはCRVAなどの新興ソリューションに至るまで、各進展はデジタル資産の安全な管理に新たな可能性を開いています。
しかし、技術の進歩はリスクの排除を意味するものではありません。新しい技術は既存の問題を解決する一方で、新たな複雑性やリスクを引き起こす可能性があります。Bybitの事件からもわかるように、先進的なマルチシグ技術を使用しても、攻撃者は社会工学やサプライチェーン攻撃を通じて技術的な防護を回避することができます。これは、技術的な解決策は良好な運用慣行とセキュリティ意識と結びつける必要があることを私たちに思い出させます。
最終的に、デジタル資産の安全性は単なる技術的な問題ではなく、システム全体の課題です。マルチシグやMPC、あるいはCRVAなどは、潜在的なリスクへの試みとしての解決策に過ぎません。ブロックチェーン業界の発展に伴い、未来にはさらなる革新が求められ、より安全で信頼を必要としない解決策を探し続ける必要があります。