Vitalik：社交恢复钱包+Rollup二层方案是未来趋势

链得得

｜得区块链者得天下｜

Vitalik认为社交恢复钱包可以比传统钱包更安全，迁移到rollup二层解决方案可以有效解决社交恢复钱包目前面临的两大问题：1、依赖中心化中继器（relayers），2、高交易费用。

作者| 巴氏信息源| 巴氏资讯

特别感谢来自 Argent 团队的 Itamar Lesuisse 和来自 Loopring 的 Daniel Wang 的反馈。

让普通用户可以使用加密货币和区块链应用程序的挑战之一是安全性：我们如何防止用户丢失或资金被盗？ 丢失和盗窃是一个严重的问题，通常会让无辜的区块链用户损失数千美元，在某些情况下，还会损失他们净资产的很大一部分。

多年来，业界出现了很多解决方案，比如：纸钱包、硬件钱包，还有我自己最喜欢的多重签名钱包。 事实上，他们已经大大提高了安全性。

然而，这些解决方案都有各种缺点，有时钱包提供的额外防盗和丢失保护比需要的少得多，有时钱包笨重且难以使用，导致这些钱包的采用率非常低，有时会存在这些问题。 而最近，出现了一种更好的替代方案：一种称为“社交恢复钱包”的新型智能合约钱包。

这些钱包有可能提供高级别的安全性，以及比以前的选项更好的可用性，但在它们能够被轻松和广泛采用之前还有一段路要走。 这篇文章将讨论什么是“社交恢复钱包”，为什么它们很重要，以及我们如何在整个生态系统中更广泛地采用它们。

-1-

钱包安全是一个大问题

钱包安全问题自区块链生态系统诞生之初就一直是眼中钉。 即使在 2011 年，当时比特币几乎是唯一的加密货币，相关的损失和盗窃也很猖獗。 事实上，在创建以太坊之前，我作为比特币杂志的联合创始人和作者写了一整篇文章，详细描述了当时发生的可怕的黑客攻击、损失和盗窃。

这是一个例子：

“昨晚太平洋时间 9:00 左右，我点击了 CoinChat[.]freetzi[.]com 的链接，系统提示我运行 java。我做了（认为这是一个合法的聊天室）但什么也没发生。我关闭了窗口并没有多想。大约 14 分钟后，我打开了我的 bitcoin-qt 钱包，看到了一笔未经我批准的交易，我钱包里的所有资金都被转移到了 1Es3QVvKN1qA2p6me7jLCVMZpQXVXWPNTC……”

该男子损失了 2.07 BTC（当时价值约 300 美元），以今天的价格计算超过 70,000 美元。 另一个例子：

“Bitcointalk 论坛成员‘allinvain’在 2011 年 6 月损失了 25,000 BTC（当时价值 500,000 美元），当时一名未知的攻击者直接侵入了他的计算机。攻击者可以访问 allinvain 的 wallet.dat 文件，并且钱包很快被清空。这是要么是从 allinvain 的电脑发送的交易，要么只是将这个 wallet.dat 钱包文件传递给攻击者本人，然后在他自己的机器上清空。”

按今天的价值计算，'allinvain' 损失了近 10 亿美元。 但盗窃并不是唯一的问题，丢失私钥的代价也可能非常高，这是 Stefan Thomas 的一个例子：

“比特币开发者 Stefan Thomas 拥有三个钱包备份、一个加密的 U 盘、一个 Dropbox 帐户和一个 Virtualbox 虚拟机。 然而，他删除了两个备份并忘记了第三个的密码，这让他永远无法访问他的 7000BTC（当时价值 12.5 万美元）。 托马斯的回应是：“从那时起（我）就一直致力于创造更好的客户。”

对比特币生态系统的分析表明，全球用户每天可能损失 1500 BTC，这是比特币用户交易手续费的 10 倍。 多年来丢失的比特币总量占总供应量的20%。 这些事件和数据都指向一个无法回避的事实：钱包安全的重要性不可小觑。

很容易得出钱包安全性被如此低估的社会和心理原因：人们自然担心在不断评判的公众面前显得粗心或愚蠢，因此许多人隐瞒了他们的资金被黑客入侵的经历。 资金损失更为严重，因为人们普遍认为“怪不得自己”。

但现实情况是，包括区块链在内的数字技术的全部意义在于让人类更容易地从事非常复杂的任务，而不必付出巨大的脑力劳动，也不必时刻担心犯错。 如果一个生态系统对丢失和盗窃的唯一解决方案是 12 步教程、安全性较低的措施以及并非偶然的半讽刺“为您的损失道歉”方案，那么它就很难得到广泛使用。

因此，在不要求所有加密货币用户将个人安全变成全职爱好的情况下减少丢失和被盗数量的解决方案对行业来说将是非常有价值的。

-2-

仅有硬件钱包是不够的

硬件钱包通常被吹捧为管理加密货币资金的最佳技术，是一种连接到您的计算机或手机（例如通过 USB）并包含用于签署交易的专用密钥和芯片的专用硬件设备。 交易将在您的电脑或手机上发起，必须在硬件钱包上确认后才能发送。 私钥保存在您的硬件钱包中，因此闯入您的计算机或手机的攻击者无法窃取您的资金。

硬件钱包是一个显着的改进，它们当然可以保护 java 聊天室的受害者，但它们并不完美，我看到硬件钱包有两个主要问题：

供应链攻击：如果你买了一个硬件钱包，你就相信参与生产它的许多参与者（包括设计钱包的公司、生产它的工厂以及参与运输它的每个人）他们可以使用假货来销售而不是一个钱包。 硬件钱包可以吸引此类攻击：被盗资金与相关设备数量的比率非常高。 值得赞扬的是，Ledger 等硬件钱包供应商已经采取了很多措施来防范这些风险，但仍然存在一些风险。 从根本上说，硬件设备不能像开源软件那样被审计。

仍然存在单点故障风险：如果有人窃取了您的硬件钱包并获取了您的 PIN 码，他们就可以窃取您的资金。 如果你丢失了你的硬件钱包，那么你就失去了你的资金。 除非硬件钱包在设置时生成并导出备份，但正如我们将看到的，这些措施有其自身的问题......

—3—

助记词不够友好

许多钱包，无论是硬件还是软件，都有一个输出助记词的设置过程，助记词是钱包根私钥的人类可读的 12 字或 24 字表示。 单词短语，例如下面是一个24字的助记词：

vote dance type subject valley fall 用法 丝绸

作文午餐背书月球明显种族丝带钥匙

已经箭头使戏剧敏锐的调查教训残酷

如果您丢失了钱包，但您有一个助记词，您可以在设置新钱包时输入助记词来恢复您的帐户，因为助记词包含可以生成所有其他密钥的根密钥。

助记词有助于防止丢失，但不能防止被盗。 更糟糕的是，他们增加了一个新的盗窃途径：如果你有标准的硬件钱包+助记词备份组合，那么窃取你的硬件钱包+密码或助记词备份的人就可以窃取你的资金。 此外，保护助记短语而不是不小心将其丢弃本身就是一项不平凡的任务。

如果把这个助记词分成两半，分给你的朋友一半，盗窃的问题可以缓解，但是（1）几乎没有人会做，（2）存在安全问题，因为这个助记词非常短（128 位），因此可能存在老练且有动机的攻击者。 如果他得到了一半的助记词，他可能会通过暴力碰撞可能的组合来找到另一个助记词。 助记词的一部分，以及（3）它进一步增加了精神压力。

—4—

那么，我们需要什么？

我们需要的是满足三个关键标准的钱包设计：

没有单点故障：如果被盗，攻击者无法简单地访问您的资金；

心理负荷低：尽可能低，不应该要求用户学习一些奇怪的新习惯，也不应该强迫用户始终记住遵循某种行为模式。

交易的最大便利性：大多数正常活动不需要比普通钱包（如 Status、Metamask 等）付出更多的努力；

—5—

多重签名很好！

早在 2013 年，解决这些问题的最佳技术就是多重签名 (multisig)。 你可以拥有一个拥有三把钥匙的钱包，只要其中任意两把签名，你就可以发送交易。

这项技术最初是在比特币生态系统中开发的，但是 Gnosis Safe 等优秀的多重签名钱包现在也可以在以太坊上运行。 多重签名钱包在组织内非常成功：以太坊基金会使用 4-of-7 多重签名钱包来存储资金，以太坊生态系统中的许多其他组织也是如此。

而对于个人而言，使用多重签名钱包的主要挑战是：谁持有资金，他们如何批准交易？ 最常见的公式是“您拥有两个易于访问但独立的密钥（笔记本电脑或手机），以及第三个更安全但可访问的备份，离线存储或由朋友或机构托管。”

这非常安全：即使其中一台设备丢失或被盗，您仍然可以使用您的资金。 但安全性远非完美：如果你能偷别人的笔记本电脑，偷他们的手机通常也不难。 可用性也是一个挑战，因为现在每笔交易都需要使用两台设备进行两次确认。

—6—

社会恢复是更好的选择

这让我想到了我最喜欢的钱包保护方法：社交恢复。 社会恢复系统的工作原理如下：

只能使用一个“签名密钥”来批准交易；

有一组（至少3个或更多）“守护者”，他们中的大多数可以合作更改账户的签名密钥。

签名密钥可以添加或删除监护人，但会有一个延迟期（通常为 1-3 天）。

在所有正常情况下，用户只需像普通钱包一样使用他们的社交恢复钱包，使用他们的签名密钥对消息进行签名，这样每个签名的交易都可以通过单击确认来完成，就像在“传统”钱包（例如 Metamask）中一样。

如果用户丢失了他们的签名密钥，社会恢复就会开始。用户只需要联系他们的监护人并让他们签署一项特殊交易，将钱包合约中注册的签名公钥更改为新的。 这很简单：他们只需转到 security.Loopring.io 等页面，登录，查看恢复请求并签名。 对于每个监护人来说，操作就像进行 Uniswap 交易一样简单。

关于选择谁作为监护人，有很多可能的选择。 三个最常见的选项是：

钱包持有人自己拥有的其他设备（或纸质助记词）；

朋友和家人;

机构，如果他们确认了您的电话号码或电子邮件，或者在高价值情况下，通过视频通话亲自验证您的身份，机构将签署恢复消息；

添加监护人很容易：你只需要输入他们的 ENS 域名或 ETH 地址就可以添加监护人，尽管大多数社交恢复钱包都需要监护人在恢复网页中签署交易以同意添加监护人。

在任何设计得当的社交恢复钱包中，监护人不需要下载和使用同一个钱包。 他们只是使用现有的以太坊钱包，不管它是什么类型的钱包。 考虑到添加监护人的便利性高，如果你足够幸运，你的社交圈已经由以太坊用户组成，我个人倾向于增加监护人的数量（最好是7+）以提高安全性。

如果你已经有了一个钱包，那么你就不需要一直在脑子里试图成为一个管理员：你所做的任何恢复操作都将通过你现有的钱包来完成。 如果您不认识很多其他活跃的以太坊用户，那么您信任的几个技术上有能力的监护人是最好的。

为降低监护人攻击或勾结的风险，您不必披露您的监护人：事实上，他们不需要知道彼此的身份。 这可以通过两种方式实现，首先，不必将监护人的地址直接存储在链上，地址列表的哈希存储在链上，钱包所有者只需要在恢复时发布完整列表。 其次，可以要求每个监护人确定性地生成一个新的单一用途地址，他们只会将其用于特定的恢复。 他们不需要使用该地址实际发送任何交易，除非确实需要恢复。

为了补充这些技术保护，建议从不同的社会圈子中选择不同的监护人集合（最好包括机构监护人），这使得监护人很难同时受到攻击或串通。

如果持有人死亡或永久丧失行为能力，监护人可以公开宣布他们的身份，以便他们可以找到对方并收回您的资金。

—7—

Social Recovery 钱包不是背叛，而是“加密价值”的体现

对使用任何形式的多重签名钱包、社交恢复或其他方式的建议的普遍反应是比特币钱包客户端，这种解决方案依赖于“信任人”，这也是对区块链价值的背叛和加密货币行业。 虽然我理解人们为什么会这样想，但我认为这种批评源于对加密应该是什么的根本误解。

对我来说，加密的目的绝不是完全消除对信任的需求。 相反，加密的目标是让人们能够访问加密和经济构建块，给人们更多的信任选择，并进一步允许人们建立更多受限形式的信任：赋予某人代表你做某些事情的权力，而不要给他们做任何事情的权力。

从这个角度来看，多重签名和社会恢复是这一原则的完美体现：每个参与者对接受或拒绝交易的能力都有一定影响，但没有人可以单方面转移资金。 这种更复杂的逻辑使得社交恢复钱包设置的安全性远高于只有一个人或一把钥匙单方面控制资金的安全性。

这个基本想法——人类输入应该被节制地使用而不是简单地被丢弃——之所以有效，是因为它非常适合人脑的优势和劣势。 人脑非常不擅长记住密码和跟踪纸钱包，但它是跟踪与他人关系的 ASIC。

对于普通用户来说，这种效果甚至更强：他们可能更难处理钱包和密码，但他们同样擅长“选择 7 个不会串通的人”这样的社交任务。 如果我们至少可以从人类输入中提取一些信息到一种机制中，而不会将这些输入转化为用于攻击和利用的载体，那么我们应该弄清楚如何做。

社会恢复非常强大：要窃取一个有 7 个监护人的钱包，需要 7 个监护人中的 4 个以某种方式相互发现并同意窃取钱包中的资金而不让他们中的任何一个可以通知所有者：这是当然比攻击一个纯粹由一个人保护的钱包要困难得多。

-8-

社会恢复如何防止盗窃？

上面解释的社会恢复涉及您丢失钱包的风险。 但是仍然存在签名密钥被盗的风险：有人侵入您的计算机，在您已经登录时偷偷溜到您身后，并使用一些 UI 故障来诱使您签署您不打算签署的交易。

我们可以通过添加保险库来扩展社会恢复来处理此类问题。 每个社交恢复钱包都可以自动生成金库。 只需将资产发送到金库的地址即可将资产移至金库，但只能在一周的延迟期后将其移出金库。

在此延迟期间，签名密钥（或扩展为监护人）可以取消交易。 如果需要，还可以对金库进行编程，以便可以立即完成一些有限的金融操作（例如一些白名单代币之间的 Uniswap 交易）。

-9-

现有的社交恢复钱包

目前，实现社交恢复的两个主要钱包是Argent Wallet和Loopring Wallet：

Argent Wallet 是最早也是最受欢迎的“智能合约钱包”，社交恢复是其主要卖点之一。 Argent 钱包包含一个可以添加和删除监护人的界面：

为防止盗窃，钱包有每日限额：达到该金额的交易是即时的，而超过该金额的交易需要监护人批准才能最终提款。

Loopring 钱包由 Loopring 协议的开发人员构建，这是一种用于支付和去中心化交易的 ZK rollup 协议。 Loopring 钱包还具有与 Argent 非常相似的社交恢复功能。

在这两种情况下，钱包公司都免费提供监护人，监护人依靠从您手机发送的确认码来验证您的身份。 对于其他监护人，您可以添加同一钱包的其他用户，或通过提供他们的以太坊地址来添加任何以太坊用户。

两个钱包的用户体验都非常流畅。 但他们面临两大挑战。 首先，这两个钱包的稳定性都依赖于钱包提供商运行的“中继器”，它们将签名消息重新发布为交易。 第二，成本非常高。 幸运的是，这两个问题都是可以克服的。

—10—

迁移到第 2 层（汇总）解决剩余的挑战

如上所述，社交恢复钱包面临两个关键挑战：（1）依赖中继者处理交易，以及（2）高交易费用。 第一个挑战是对中继器的依赖，这是以太坊应用面临的普遍问题。 出现这个问题是因为以太坊中有两种账户：外部拥有账户（EOAs）和合约账户，前者是由单一私钥控制的账户。

在以太坊中，有一条规定，每笔交易都必须以 EOA 开头。 本意是EOA代表“用户”，合约代表“应用”。 只有当用户与应用程序对话时，应用程序才能运行。 如果我们想让钱包有更复杂的策略，比如多重签名和社交恢复，我们需要用合约来代表用户。

但这带来了一个挑战：如果你的资金放在一个合约中，你需要有一些其他的有 ETH 的账户来支付每笔交易，那么它需要相当多的 ETH，反交易费用变得非常高。

Argent 和 Loopring 通过自己运行“中继器”来解决这个问题。 这个“中继器”负责监听用户提交的经过数字签名的链下“消息”，将这些消息包装在交易中并在链上发布。

但从长远来看，这是一个糟糕的解决方案，它增加了一个额外的中心点。 如果“中继器”（relayer）宕机，而用户确实需要发送交易，他们总是可以从他们的 EOA 账户发送，但在中心化和不便之间引入了新的权衡。

有尝试解决这个无需中心化就可以获得便利的问题，主要的两类围绕着构建一个通用的去中心化中继网络或修改以太坊协议本身以允许交易从合约开始。 但这些解决方案都没有解决交易费用的问题，事实上，它们使问题变得更糟，因为智能合约本身更加复杂。

幸运的是，我们可以通过找到第三种解决方案同时解决这两个问题：将生态系统转移到第 2 层协议，例如 optimistic rollup 和 ZK rollup。 Optimistic 和 ZK rollups 都可以设计为内置帐户抽象，避免对“中继器”的任何需求。

现有的钱包开发人员已经在致力于 rollup 解决方案，但最终迁移到 rollup 对整个生态系统来说是一个挑战。

整个生态向rollup的大规模迁移，是扭转以太坊生态早期失误，让多重签名和智能合约钱包在帮助保障用户资金安全方面发挥更重要作用的绝佳机会。

但这需要更广泛的认识比特币钱包客户端，即钱包安全是一项挑战，而我们在应对和挑战它方面做得还不够。 多重签名和社会恢复不一定是故事的结局，可能会有更好的设计。 但简单的改革，即迁移到 rollups，并确保这些 rollups 将智能合约钱包视为一等公民，是实现这一目标的重要一步。