
无种子和社交恢复钱包:它们如何运作以及转移了哪些风险
无种子和社交恢复钱包是避免单一种子短语作为唯一恢复工具的设计,使用分布式密钥共享(MPC)或由监护人驱动的智能合约钱包中的恢复规则。它们并没有消除风险,而是将风险从“一个泄露的短语=游戏结束”转移到链外可用性和政策控制或链上代码和治理。
关键要点
- 种子短语将控制集中在一个秘密中,因此丢失或泄露它可能导致资金无法恢复或立即被盗。
- 基于MPC构建的无种子钱包使用DKG和TSS的密钥共享进行签名,生成一个有效的签名,而无需在任何设备上重构完整的私钥。
- 社交恢复钱包通常是一个智能合约钱包,其中监护人可以根据链上规则恢复访问,通常与账户抽象一起讨论。
- 真正的选择在于恢复权限在哪里:链外参与者和MPC中的操作流程,还是链上代码和智能钱包中的可见规则。
为什么种子短语成为负担
种子短语钱包使自我保管变得清晰:一个12或24个单词的短语可以重建钱包的密钥,任何获得该短语的人都可以控制资金。这种简单性也是结构性问题。控制集中在一个秘密中,这使得网络钓鱼、恶意软件、被泄露的照片备份或丢失的纸质备份都可能导致完全损失。该资料中的来源将其框架化为单点故障:泄露它,资产可能被盗,丢失它,资产可能变得无法恢复。
这种失败模式就是为什么“没有种子短语的钱包”产品存在的原因。目标不是去除密码学,而是停止将一个物品作为用户与不可逆损失之间的唯一障碍。这涉及到更广泛的问题,即加密钱包类型的解释,其中有用的分类不是“热钱包与冷钱包”,而是“什么授权支出,以及当某些东西出现故障时,什么恢复控制”。
两种设计家族在来源中反复出现。一种在链上保持账户看起来像一个正常的单密钥账户,但改变了如何使用阈值密码学在链外生成签名。另一种将钱包移入链上代码,因此恢复和访问控制成为由合约强制执行的可编程规则。
交易是直接的:种子短语是脆弱但自包含的。无种子系统减少了一个被攻破的设备或一个被遗忘的备份的影响范围,但它们引入了新的依赖关系。本文的其余部分将精确定位这些依赖关系,因为那才是真正的风险所在。
无种子MPC钱包如何签署交易
在无种子钱包中点击“发送”和交易在链上落地之间发生三件事,而这些都不需要完整的私钥在任何设备上存在。ChainUp和1kx材料中描述的机制是基于分布式密钥生成(DKG)和阈值签名方案(TSS)的阈值签名。
一个常见的设置是2-of-3。ChainUp描述的分片通常分布在(1)用户的设备,(2)提供者服务器,以及(3)用于恢复的用户控制的备份共享。签名流程是:
1. 钱包发起特定消息或交易的签名请求。2. 每个参与的分片在本地使用其份额计算部分签名。3. 这些部分被组合成一个有效的签名,并广播到网络。
关键点是没有发生的事情:分片不会在内存、磁盘上或“仅仅一秒钟”内重新组装成完整的密钥。完整的密钥从未在任何单一设备上生成或存储,尽管从数学上讲,系统仍然为单个公钥生成签名。
这就是为什么“无种子”是一个用户体验标签,而不是没有密钥的声明。私钥仍然作为密码学对象存在,但从未集中。这改变了妥协的数学。手机被攻破产生一个分片,而没有另一个分片则毫无用处。提供者泄露产生一个分片,而没有用户端则同样无用。
它还改变了链上看到的内容。ChainUp和1kx都强调MPC签名发生在链外,并且可以看起来像链上的标准单签名交易。这使得MPC在隐私上相较于链上的多签名具有优势,因为签名者地址和签名聚合是可见的。
监护人如何进行社交恢复
与MPC不同,社交恢复钱包将恢复逻辑放在链上。来源将其框架化为智能合约钱包模型的一个特性:钱包由代码控制,而该代码可以强制执行自定义的访问控制和恢复规则。1kx明确列出可编程的恢复选项,如社交恢复、死者开关和混合模型。
监护人概念表面上很简单:如果用户丢失设备或凭证,一组受信任的方可以帮助恢复控制。Mitosis University来源将社交恢复钱包描述为使用基于监护人的恢复系统,并引用Safe和Argent作为例子。它还将该概念与ERC-4337放在一起讨论,因为它在账户抽象下被广泛讨论,因为它使得钱包行为比基本的外部拥有账户更具可编程性。
在机制上,重要的区别在于权威在哪里。在社交恢复设置中,恢复权威被编码在钱包的链上规则中。这使得政策变得清晰,并且可以被链强制执行。它还以链外政策系统无法做到的方式可审计,因为合约的授权逻辑是真相的来源。
这也是为什么“社交恢复只是多签名”是一个类别错误。多签名是一种支出授权方案,需要多个链上签名,并且在链上暴露签名者的参与。社交恢复是一种可以在智能合约钱包内部实现的恢复路径,可能与其他规则如支出限制或时间锁并存。
对于初学者来说,操作要点是监护人选择是治理,而不是密码学。监护人应该独立失败。如果每个监护人都可以通过相同的电子邮件提供商或手机运营商重置,则恢复系统继承了这种共享的失败模式。
在MPC和智能钱包之间的选择
重要的决策不是“有种子与没有种子”。而是:恢复权威在哪里,和当一方消失时什么会崩溃。来源清晰地对比了链外阈值签名系统和链上可编程钱包。
基于MPC的无种子钱包设计将关键行为集中在链外参与者和流程中。ChainUp指出连接性和可用性是一个实际障碍,因为签名需要多个方。如果一个所需的持有者离线,签名可能会被延迟。这就是安全胜利的隐藏成本:系统在抵御单设备妥协方面更安全,但对多个组件的可达性依赖更大。
智能合约钱包将权威推入链上代码。1kx将其框架化为链上问责制:授权政策和签名聚合在链上是明确的,这使得审计参与者和实施的规则变得更容易。相反,智能钱包在链上有一个足迹。多签名签名者集合和合约行为是可见的,这对某些用户来说可能是隐私的负担。
隐私是MPC在该数据包中具有结构性优势的地方。ChainUp和1kx都指出,MPC交易在链上可以与标准单签名交易无法区分。这意味着链不会像链上多签名那样宣传内部签名方案。
成本和灵活性也有所不同。1kx指出智能合约钱包需要部署合约,这会产生初始成本。作为交换,它们可以通过模块和自定义规则进行扩展。MPC保持链上表示更接近于正常账户,同时将复杂性转移到密码学和操作中。
风险、依赖关系和实际注意事项
昂贵的误解是无种子自动意味着更安全。无种子和社交恢复钱包重新分配风险,而新风险表现为依赖性和责任的表面。
对于MPC,ChainUp指出了三个具体障碍:来自密码协调的计算开销和延迟、对连接性和股东可用性的依赖,以及围绕“无钥匙”安全的用户教育挑战。1kx增加了另一类关注:链外责任。如果签名授权政策和批准法定人数在链外管理,用户就信任操作控制和实施质量。1kx还强调缺乏标准化,许多MPC解决方案是定制的或不是开源的,这使得独立审计和事后分析变得更加困难。
对于社交恢复,密码学很少是薄弱环节。薄弱环节是监护人流程。恢复流程可以在链上完美设计,但如果监护人被社会工程攻击、失去访问权限或共享相同的集中故障点,仍然会失败。这就是为什么恢复演练比营销标签更重要。模拟丢失手机事件,并确认回到控制的路径而不进行即兴发挥。
营销声明值得单独过滤。Safeheron声称大约58%的数字资产托管提供商已集成MPC钱包,机构采用约占MPC钱包用例的62%。它还报告了MPC钱包市场的市场规模数据以及更广泛的加密钱包市场预测。这些数字可能作为兴趣的信号有用,但本包并未证实该方法论。对钱包营销中的“AI驱动保护”叙述同样适用这种怀疑,因为来源本身承认对攻击减少的直接统计数据有限。
评估这些钱包类型的清晰方式是提前问一个操作性问题:如果提供商持有的分片或服务器宕机,用户是否仍然可以签名,恢复路径是什么。这个问题将真实的依赖模型暴露出来,这正是超越种子短语的关键所在。
这也是旧备份理念仍然重要的地方。Shamir备份方法将秘密分割成份额以进行恢复,但这与MPC门限签名是不同的工具。共享的教训在所有解释的加密钱包类型中是相同的:恢复是一个系统,而不是单词的截图。
总结
我看到“无种子钱包”被销售得好像私钥消失了一样。其实没有。密钥被分发,故障模式发生了变化。对于MPC,决定设计是否适合的问题是无聊且操作性的:如果提供商的分片离线,你是否仍然能获得签名,还是得到一个加载中图标和一个支持票。
我也看到人们把社交恢复当作一个复选框,然后选择所有以相同方式失败的监护人。如果每个监护人都可以通过同一个电子邮箱或同一个电话号码重置,那么钱包的恢复权威仅与该共享瓶颈一样强。最佳姿态是恢复演练,而不是口号。如果丢失手机的模拟很混乱,那么钱包就不是“无种子”的,只是陌生的风险。
来源
常见问题
无种子钱包和没有私钥的钱包是一样的吗?
不是。在MPC设计中,私钥在数学上仍然存在,但没有单个设备生成或存储完整的密钥。交易是通过使用阈值方案组合来自密钥份额的部分签名来签署的。
通行证钱包与无种子钱包有什么关系?
通行证钱包是一种用户体验模式,可以用基于设备的身份验证(如生物识别)替代输入或存储种子短语。在这里的来源中,无种子入门通常与Web2风格的登录和恢复相结合,而底层安全性仍然可以是MPC密钥份额或智能合约规则。
社交恢复和多重签名有什么区别?
多重签名是一种支出授权方案,要求多个链上签名,并在链上公开签名者的参与。社交恢复是一种恢复路径,通常在智能合约钱包中实现,监护人可以根据编程规则恢复访问权限。
MPC无种子钱包的主要缺点是什么?
MPC签名依赖于多个持有者的参与,这会产生连接性和可用性依赖。ChainUp还指出计算开销和用户教育是实际障碍,而1kx强调了许多实现中的链下问责和缺乏标准化。
MPC采用统计数据是否证明无种子钱包更安全?
不是。Safeheron报告了MPC钱包的采用和市场规模数据,但此数据包并未证实方法论或将这些数字与攻击减少的测量联系起来。将采用视为兴趣和分布,而不是安全保证。