Comparação de soluções de gestão de ativos Web3: multi-assinatura, MPC e CRVA

Escrito por: Shew, Xianrang

No mundo Web3, a gestão de chaves privadas é uma questão de vida ou morte; uma vez que a chave privada da carteira é roubada ou perdida, milhões de dólares em ativos podem desaparecer em um instante. No entanto, a grande maioria das pessoas tende a adotar uma gestão de chaves privadas uniponto, o que é como colocar todos os ovos em uma única cesta, podendo a qualquer momento, devido a um clique em um link de phishing, entregar todos os ativos a hackers.

Para enfrentar este problema, surgiram várias soluções no campo da blockchain. Desde carteiras multi-assinatura até MPC, passando pelo CRVA proposto pelo projeto DeepSafe, cada avanço tecnológico abre novos caminhos para a gestão de ativos. Este artigo irá explorar os princípios, características e cenários de aplicação das três soluções de gestão de ativos mencionadas, ajudando os leitores a escolher o caminho mais adequado para si.

Multi-sig wallet: suficiente, mas não excelente

A ideia da carteira multi-assinatura vem de uma sabedoria simples: não concentre todos os poderes em um só lugar. Este pensamento já é amplamente aplicado na realidade, como a separação de poderes e a votação do conselho.

Da mesma forma, no Web3, uma carteira multi-assinatura cria várias chaves independentes para dispersar riscos. O mais comum é o modelo “M-of-N”, por exemplo, em uma configuração “2-of-3”, o sistema gera um total de três chaves privadas, mas apenas duas delas precisam assinar para que a conta designada execute a transação.

Este design oferece uma certa capacidade de tolerância a falhas - mesmo que uma chave privada seja perdida, os ativos ainda permanecem seguros e sob controle. Se você tiver vários dispositivos independentes para armazenar as chaves, o esquema de múltiplas assinaturas será mais confiável.

Em geral, as wallets multi-assinatura são tecnicamente divididas em duas categorias: uma é a multi-assinatura convencional, que geralmente utiliza contratos inteligentes em chain ou componentes de suporte da camada base da blockchain para ser implementada, muitas vezes não dependendo de ferramentas criptográficas específicas. A outra é a wallet multi-assinatura que depende de algoritmos criptográficos especiais, cuja segurança depende do algoritmo específico, podendo às vezes não necessitar da participação de contratos em chain. Abaixo, discutiremos separadamente as duas soluções.

Proposta de multiassinatura convencional: Carteira Safe e Bitcoin Taproot

A carteira Safe, como uma das soluções de múltiplas assinaturas mais populares atualmente, utiliza contratos inteligentes Solidity convencionais para implementar assinaturas múltiplas. Na arquitetura da carteira Safe, cada participante da múltipla assinatura controla uma chave independente, enquanto o contrato inteligente na blockchain atua como um “árbitro”, permitindo que o contrato aprove as transações da conta associada à múltipla assinatura apenas quando um número suficiente de assinaturas válidas for coletado.

A vantagem deste método reside na transparência e na verificabilidade, uma vez que todas as regras de multisig estão claramente codificadas em contratos inteligentes, e qualquer pessoa pode auditar a lógica do código. Além disso, os usuários podem adicionar módulos à conta multisig, permitindo funcionalidades mais ricas, como a limitação do valor máximo de cada transação. No entanto, essa transparência também significa que os detalhes da carteira multisig estão completamente públicos na blockchain, o que pode expor a estrutura de gestão de ativos dos usuários.

Além da carteira Safe, que é uma conhecida solução de multi-assinatura dentro do ecossistema Ethereum, também existem carteiras multi-assinatura construídas na rede Bitcoin usando scripts BTC, como as soluções baseadas no opcode OP_CHECKMULTISIG. Este opcode pode verificar se o número de assinaturas contidas no script de desbloqueio UTXO atende aos requisitos.

Vale a pena notar que os algoritmos de multi-assinatura convencionais mencionados acima suportam “M-of-N”, mas a multi-assinatura baseada em algoritmos criptográficos específicos que será apresentada a seguir, alguns suportam apenas o modo “M-of-M”, ou seja, o usuário deve fornecer todas as chaves para realizar a transação.

Implementação de múltiplas assinaturas a nível de criptografia

No nível da criptografia, é possível alcançar o efeito de validação multi-assinada através de algoritmos criptográficos específicos, e essa solução às vezes pode dispensar a participação de contratos inteligentes na blockchain. Costumamos fazer a seguinte classificação:

1. Algoritmo de múltiplas assinaturas ( Multisignatures ). Este algoritmo de assinatura suporta apenas o modo “M-of-M”, onde o usuário deve submeter todas as assinaturas correspondentes às chaves de uma só vez.

2. Algoritmo de Assinatura de Limiar ( Assinaturas de Limiar ). Este algoritmo suporta o modo “M-of-N”, mas, de maneira geral, a dificuldade de construção é mais complexa em comparação com o algoritmo de múltiplas assinaturas mencionado acima.

3. Algoritmo de divisão de chave ( Compartilhamento secreto ). Neste design de algoritmo, o usuário pode dividir uma única chave privada em várias partes; quando o usuário coleta fragmentos suficientes da chave privada, pode restaurar a chave privada original e gerar uma assinatura.

O Bitcoin introduziu o algoritmo schnorr após a atualização SegWit (, que permite naturalmente a verificação de múltiplas assinaturas. A camada de consenso do Ethereum utilizou o algoritmo BLS de limiar para implementar a funcionalidade de votação mais central dentro do sistema PoS.

Este esquema de multi-assinatura que depende exclusivamente de algoritmos criptográficos tem melhor compatibilidade, pois pode ser implementado sem depender de contratos inteligentes, por exemplo, utilizando uma solução puramente off-chain.

As assinaturas geradas por esquemas de múltiplas assinaturas puramente criptográficos são idênticas em formato às assinaturas de chave privada única tradicionais, podendo ser aceitas por qualquer blockchain que suporte o formato de assinatura padrão, o que confere uma forte versatilidade. No entanto, os algoritmos de múltiplas assinaturas baseados em criptografia específica são relativamente complexos, tornando sua implementação muito difícil, e muitas vezes requerem a dependência de algumas infraestruturas específicas durante o uso.

Os desafios reais da tecnologia de multi-assinatura

Embora as carteiras multisig comuns aumentem significativamente a segurança dos ativos, também trazem novos riscos. O problema mais evidente é o aumento da complexidade operacional: cada transação requer coordenação e confirmação de várias partes, o que se torna um grande obstáculo em cenários sensíveis ao tempo.

Mais grave ainda, as carteiras multi-assinatura frequentemente transferem o risco da gestão das chaves privadas para a coordenação e verificação das assinaturas. Como demonstrado pelo recente roubo da Bybit, os atacantes conseguiram enganar os gestores de multi-assinatura da Bybit para que assinassem transações fraudulentas, implantando código de interface front-end de phishing no AWS que a Safe utiliza. Isso mostra que, mesmo usando tecnologia multi-assinatura mais avançada, a segurança da interface front-end e das etapas de verificação e coordenação das assinaturas ainda apresenta muitas vulnerabilidades.

Além disso, nem todos os algoritmos de assinatura usados em blockchains suportam nativamente a multiassinatura. Por exemplo, na curva secp 256 k 1 utilizada pela camada de execução do Ethereum, existem poucas implementações de algoritmos de multiassinatura, o que limita a aplicação de carteiras multiassinatura em diferentes ecossistemas. Para redes que precisam implementar a multiassinatura através de contratos inteligentes, também existem considerações adicionais, como vulnerabilidades de contratos e riscos de atualização.

MPC: uma quebra revolucionária

Se as carteiras multi-assinatura aumentam a segurança através da descentralização das chaves privadas, a tecnologia MPC (Cálculo Seguro Multi-Partes) leva isso um passo além, eliminando fundamentalmente a existência de uma chave privada completa. No mundo do MPC, a chave privada completa nunca aparece em nenhum local único, nem mesmo durante o processo de geração de chaves. Ao mesmo tempo, o MPC geralmente suporta funcionalidades mais avançadas, como a atualização de chaves privadas ou a modificação de permissões.

No contexto das aplicações de criptomoedas, o fluxo de trabalho do MPC demonstra vantagens únicas. Na fase de geração de chaves, várias partes geram números aleatórios, e depois, através de protocolos criptográficos complexos, cada parte calcula o seu próprio “fragmento de chave”. Esses fragmentos, vistos isoladamente, não têm qualquer significado, mas estão matematicamente interligados e podem corresponder conjuntamente a uma chave pública e um endereço de carteira específicos.

Quando é necessário assinar uma operação na blockchain, cada parte envolvida pode gerar “assinaturas parciais” usando seus próprios fragmentos de chave, e então combinar essas assinaturas parciais de forma inteligente através do protocolo MPC. A assinatura final gerada é idêntica em formato à assinatura de uma única chave privada, e observadores externos nem conseguem perceber que é uma assinatura gerada pela instalação MPC.

A revolução deste design reside no fato de que a chave privada completa nunca apareceu em nenhum lugar durante todo o processo. Mesmo que um atacante consiga invadir o sistema de uma das partes envolvidas, ele não poderá obter a chave privada completa, uma vez que esta chave, na sua essência, nunca existiu em nenhum lugar.

A diferença essencial entre MPC e multi-assinatura

Embora MPC e multi-assinaturas envolvam a participação de várias partes, existem diferenças fundamentais entre os dois. Do ponto de vista de um observador externo, as transações geradas por MPC não podem ser distinguidas das transações de assinatura única, o que oferece aos usuários uma melhor privacidade.

Essa diferença também se reflete na compatibilidade. As carteiras multi-assinatura requerem suporte nativo da rede blockchain ou dependem de contratos inteligentes, o que limita seu uso em certos locais. Por outro lado, as assinaturas geradas por MPC utilizam o formato padrão ECDSA, podendo ser utilizadas em qualquer lugar que suporte esse algoritmo de assinatura, incluindo Bitcoin, Ethereum e várias plataformas DeFi.

A tecnologia MPC também oferece maior flexibilidade para ajustar os parâmetros de segurança. Em carteiras multi-assinatura tradicionais, alterar o limiar de assinatura ou o número de participantes geralmente requer a criação de um novo endereço de carteira, o que traz riscos. ) Claro, carteiras multi-assinatura baseadas em contratos inteligentes podem modificar facilmente os participantes e suas permissões (, enquanto em um sistema MPC, esses ajustes de parâmetros podem ser feitos de forma mais flexível e simplificada, sem a necessidade de alterar contas e códigos de contrato na blockchain, proporcionando maior conveniência para a gestão de ativos.

Desafios enfrentados pelo MPC

No entanto, embora o MPC seja superior ao multi-assinatura comum, ainda existem desafios correspondentes. Primeiro, está a complexidade na implementação. O protocolo MPC envolve cálculos criptográficos complexos e comunicação entre múltiplas partes, o que torna a implementação e manutenção do sistema mais difíceis. Qualquer bug pode resultar em sérias vulnerabilidades de segurança. Em fevereiro de 2025, Nikolaos Makriyannis e outros descobriram um método para roubar suas chaves dentro da carteira MPC.

O custo de desempenho é outro desafio. O protocolo MPC requer cálculos complexos e troca de dados entre várias partes, consumindo mais recursos computacionais e largura de banda de rede do que as operações tradicionais de assinatura única. Embora esse custo seja aceitável na maioria dos casos, pode se tornar um fator limitante em certos cenários que exigem desempenho extremamente alto. Além disso, os sistemas MPC ainda precisam da coordenação online de todas as partes participantes para completar a assinatura. Embora essa coordenação seja transparente para o usuário, pode afetar a disponibilidade do sistema em casos de conexão de rede instável ou quando algumas partes estão offline.

Além disso, o MPC ainda não consegue garantir a descentralização. No caso do Multichain de 2023, os 21 nós que participaram do cálculo do MPC eram todos controlados por uma única pessoa, o que é um típico ataque de bruxa. Este caso é suficiente para provar que apenas a aparência de várias dezenas de nós não pode oferecer uma alta garantia de descentralização.

DeepSafe: Construindo a próxima geração de redes de validação seguras

Num contexto em que as tecnologias de multi-assinatura e MPC já estão relativamente maduras, a equipe do DeepSafe apresentou uma solução mais visionária: CRVA (Agente de Verificação Aleatória Criptográfica). A inovação do DeepSafe reside no fato de que não se trata de simplesmente substituir as tecnologias de assinatura existentes, mas sim de construir uma camada adicional de verificação de segurança com base nas soluções já existentes.

Verificação multifatorial do CRVA

A ideia central do DeepSafe é “dupla proteção”: os usuários podem continuar a usar suas soluções de carteira familiares, como a carteira Safe, quando uma transação de múltiplas assinaturas é concluída e enviada para a blockchain, ela será automaticamente enviada para a rede CRVA para uma verificação adicional, semelhante à verificação multifatorial 2FA do Alipay.

Nesta arquitetura, o CRVA atua como um porteiro, revisando cada transação de acordo com as regras pré-estabelecidas pelo usuário. Por exemplo, limites de valor por transação, lista branca de endereços de destino, frequência de transações e outras restrições; se houver alguma situação anômala, a transação pode ser interrompida a qualquer momento.

A vantagem deste 2FA de múltiplos fatores de autenticação é que, mesmo que o processo de múltiplas assinaturas seja manipulado (como o ataque de phishing no frontend no evento da Bybit), o CRVA, como seguro, ainda pode recusar transações de risco com base em regras predefinidas, protegendo a segurança dos ativos do usuário.

Atualização tecnológica baseada em soluções MPC tradicionais

Para abordar as deficiências das soluções tradicionais de gestão de ativos MPC, a solução CRVA da DeepSafe fez uma série de melhorias. Em primeiro lugar, os nós da rede CRVA adotam uma forma de acesso baseada em garantia de ativos, e a rede principal só será oficialmente lançada após atingir cerca de 500 nós. Estima-se que os ativos garantidos por esses nós se mantenham a longo prazo na casa das dezenas de milhões de dólares ou mais;

Em segundo lugar, para aumentar a eficiência do cálculo MPC/TSS, o CRVA selecionará aleatoriamente nós através de um algoritmo de sorteio, por exemplo, a cada meia hora, sorteando 10 nós, que atuarão como validadores para verificar se o pedido do usuário deve ser aprovado, e então gerar a assinatura de limite correspondente para liberar. Para prevenir conluio interno ou ataques de hackers externos, o algoritmo de sorteio do CRVA utiliza um VRF circular original, combinando ZK para ocultar a identidade dos selecionados, de modo que o exterior não possa observar diretamente os escolhidos.

Claro, apenas chegar a esse ponto não é suficiente. Embora o mundo exterior não saiba quem foi escolhido, o próprio selecionado sabe neste momento, portanto ainda há uma possibilidade de conluio. Para eliminar ainda mais o conluio, todos os nós da CRVA devem executar o código principal em um ambiente de hardware TEE, o que equivale a colocar o trabalho central dentro de uma caixa preta. Assim, ninguém pode saber se foi selecionado, a menos que consiga quebrar o hardware confiável TEE, o que, de acordo com as condições tecnológicas atuais, é extremamente difícil de fazer.

O que foi mencionado acima é a ideia básica da solução CRVA da DeepSafe. No fluxo de trabalho real, os nós dentro da rede CRVA precisam realizar uma grande quantidade de comunicação de broadcast e troca de informações, e o processo específico é o seguinte:

1. Todos os nós, antes de entrar na rede CRVA, devem primeiro fazer staking de ativos na blockchain, deixando uma chave pública como informação de registro. Esta chave pública também é conhecida como “chave pública permanente”.

2. A cada 1 hora, a rede CRVA selecionará aleatoriamente alguns nós. Mas antes disso, todos os candidatos devem gerar localmente uma “chave pública temporária” de uso único, ao mesmo tempo que geram um ZKP, provando que a “chave pública temporária” está relacionada à “chave pública permanente” registrada na cadeia; em outras palavras, todos devem provar através do ZK que estão na lista de candidatos, mas sem revelar quem são.

3. A função da “chave pública temporária” está na proteção da privacidade. Se escolher diretamente a partir do conjunto de “chaves públicas permanentes”, ao publicar os resultados, todos saberão imediatamente quem foi selecionado. Se todos expuserem apenas a “chave pública temporária” uma única vez, e depois escolherem algumas pessoas a partir do conjunto de “chaves públicas temporárias”, você só saberá que foi selecionado, mas não saberá a quem corresponde as outras chaves públicas temporárias selecionadas.

4. Para impedir ainda mais o vazamento de identidade, o CRVA pretende fazer com que você mesmo não saiba qual é a sua “chave pública temporária”. O processo de geração da chave pública temporária é realizado dentro do ambiente TEE do nó, e você, que está executando o TEE, não pode ver o que está acontecendo lá dentro.

5. Depois, a chave pública temporária em texto claro é criptografada como “dados corrompidos” dentro do TEE e enviada para o exterior, apenas nós Relayer específicos podem restaurá-la. Claro, o processo de restauração também é concluído no ambiente TEE do nó Relayer, e o Relayer não sabe a quais candidatos essas chaves públicas temporárias correspondem.

6. Após o Relayer restaurar todas as “chaves públicas temporárias”, ele as agrupa e as submete à função VRF na blockchain, a partir da qual são selecionados os ganhadores. Essas pessoas validam o pedido de transação enviado pelo front-end do usuário e, com base no resultado da validação, geram uma assinatura de limiar, que é então submetida à blockchain. (É importante notar que, aqui, o Relayer também tem sua identidade oculta e é selecionado periodicamente.)

Pode haver pessoas que se perguntam, uma vez que cada nó não sabe se foi selecionado ou não, como o trabalho pode prosseguir? Na verdade, como mencionado anteriormente, cada um gerará uma “chave pública temporária” no ambiente TEE local. Após a divulgação dos resultados do sorteio, nós simplesmente transmitimos a lista. Cada um apenas precisa inserir a lista no TEE e verificar se foi selecionado.

O núcleo da solução DeepSafe está no fato de que quase todas as atividades importantes ocorrem dentro do hardware TEE, tornando impossível observar o que acontece do lado de fora do TEE. Cada nó não sabe quem são os validadores escolhidos, prevenindo a conluio malicioso e aumentando significativamente o custo de ataques externos. Para atacar o comitê CRVA baseado em DeepSafe, teoricamente seria necessário atacar toda a rede CRVA, além de que cada nó possui proteção TEE, tornando a dificuldade do ataque muito maior.

Em relação à situação de má conduta da CRVA, uma vez que a CRVA é um sistema de rede de nós que opera de forma automatizada, desde que o código inicial de ativação não contenha lógica maliciosa, não haverá casos em que a CRVA se recuse a colaborar com o usuário, portanto, pode-se basicamente ignorar.

Se o CRVA sofrer uma paragem massiva de nós devido a força maior, como falta de eletricidade ou inundações, os usuários ainda têm um meio de retirar os seus ativos em segurança, de acordo com o processo mencionado no plano acima. A suposição de confiança aqui é que confiamos que o CRVA é suficientemente descentralizado e não tomará ações maliciosas (as razões já foram explicadas anteriormente).

Resumo

O desenvolvimento da tecnologia de assinatura Web3 mostra a incansável exploração da humanidade no campo da segurança digital. Desde a inicial chave privada única, passando pelas carteiras multisig, até o MPC e novas soluções como CRVA, cada avanço abre novas possibilidades para a gestão segura de ativos digitais.

No entanto, o avanço tecnológico não significa a eliminação do risco. Cada nova tecnologia, ao resolver problemas existentes, pode também introduzir novas complexidades e pontos de risco. A partir do evento da Bybit, vimos que, mesmo com a utilização de tecnologias avançadas de múltiplas assinaturas, os atacantes ainda podem contornar as proteções tecnológicas através de engenharia social e ataques à cadeia de suprimentos. Isso nos lembra que as soluções tecnológicas devem ser combinadas com boas práticas operacionais e conscientização sobre segurança.

No final, a segurança dos ativos digitais não é apenas um problema técnico, mas sim um desafio sistémico. Quer se trate de multi-assinatura, MPC ou CRVA, são apenas soluções experimentais para riscos potenciais. À medida que a indústria blockchain evolui, ainda será necessário inovar e encontrar maneiras mais seguras e sem confiança no futuro.