比特币:私钥丢失也能找回？五分钟了解V神的秘密多重签名恢复方案_以太坊

写在前面：丢失钱包密码或私钥是加密货币用户经常会遇到的问题，那能否有方法可在最小化信任的同时，恢复丢失的密钥呢？这正是以太坊联合创始人vitalik等人正在探索的一个方向，而他们已编写了一个新的

EIP，并将其命名为秘密多重签名恢复方案。

昨日，知名黄金爱好者兼加密货币怀疑者PeterSchiff在Twitter上声称自己的钱包丢失了密码，因此无法访问自己的比特币。

Schiff接着补充说：

“所以现在我的比特币在本质上毫无价值，它也没有市场价值。我知道拥有比特币是个坏主意，但我从来没有意识到它是如此糟糕！”

Schiff在推特上公布自己的损失后，加密货币社区很快展开了讨论，例如MorganCreekDigital联合创始人兼合伙人AnthonyPompliano就提问他是否自己忘记了密码，而希夫对此的回答却是：“是我的钱包忘记了密码。”

看不下去的Pompliano只好耐心解释道：

“软件只是执行人类发出的命令，它不能‘忘记’任何事情，给我发邮件吧，我会尽力帮你找回丢失的比特币。”

不过根据Schiff的回答，他的比特币基本已无望找回了，他提到说：

“是EricVoorhees帮我准备的钱包，即便是他也觉得我无能为力。如果你有任何想法，欢迎尝试。”

看到这里，读者可能觉得这是一个非常悲伤的故事，一位加密货币怀疑者好不容易尝试了比特币，结果却因为自己忘记了密码而丢失了它们。而倘若他在多处备份好私钥，那么即使他忘记了钱包密码，也可以通过私钥访问自己的钱包。

当然，也有人会认为这是一个深刻的教训，它提醒我们要开发相关的技术，为类似的人群提供安全保障。

比如以太坊联合创始人vitalik就评论称：

LSD协议unshETH的合约部署私钥被泄露，已紧急暂停提款并联系黑客:6月1日消息，LSD协议unshETH发推表示，5月31日22:00左右，unshETH合约的其中一个部署私钥被泄露。出于谨慎起见，官方紧急暂停了unshETHETH的提款，根据我们的安全模型，unshETHETH存款（TVL达3500万美元）由多重签名+时间锁保护，并不处于风险之中。

此外一些附属协议合约（农场、跨链桥等）已经受到了攻击，正在与来自Coinbase、Stargate、Paladin Blockchain Security、Github以及ogle等白帽安全专家合作，以确保用户资金的安全，并预计影响范围将受到限制。同时官方已经联系黑客，试图协商返还资金和合约所有权，以限制对现有用户的影响。

金色财经此前报道，据多位KOL发推表示，LSDFi项目unshETH的金库出现安全问题，提醒用户将资金转出。原因系合约Owner被篡改，已通知项目官方，但官方尚未做出回复。[2023/6/1 11:51:47]

“对于人们用‘加密货币就是加密货币，你的工作就是要非常小心地在三个地方写下备份种子’来回答这个问题，我感到失望。我们可以，也应该创造更好的钱包技术，使得安全变得更容易实现。

例如，这里有一个社交恢复提案：https://t.co/tuSbHhXKgd?amp=1”

那V神所说的社交恢复提案具体是指什么呢？

下面我们就来简单了解一下吧。

EIP2429：秘密多重签名恢复

作者：RicardoGuilhermeSchmidt、MiguelMota、VitalikButerin、naxe

状态：草案

类别：ERC

创建日期：2019-12-07

要求：EIP

声音 | 陈伟星：私钥能保护身份确认、资产转移、数据使用、契约权力:今日，陈伟星在微博转发了Diffie教授于1976年发表的关于非对称加密的论文，并称，私钥能保护的包括：1.身份确认；2.资产转移；3.数据使用；4.契约权力。据悉，Whitfield Diffie被称为“现代密码学之父”。[2019/3/30]

摘要

一般来说，加密货币的一个糟糕体验是私钥丢失或暴露，这可能导致不可逆转的情况。

社交恢复被视为账户合约去中心化恢复的一种选择，然而社交恢复的使用，带来了人的因素，而人的因素通常是安全系统脆弱性的主要原因。

社交恢复的主要风险是：

合谋：如果一些用户知道他们是某个恢复的一部分，他们可能会对恢复攻击的执行感兴趣；

目标攻击：外部代理可能了解恢复的所有者，并瞄准执行恢复攻击所需最薄弱的点；

一般暴露：攻击者如果设法感染大型用户基础环境依赖项，并获得对多个身份的访问权限，也可能通过恢复对未受影响的用户产生副作用；

模拟攻击：针对性攻击可以了解用户的情况，并将该用户模拟到其社交对等方以执行恢复攻击。这变得更加令人关注，因为AI研究能够“深度伪造”其他人的声音和面部动作。

尽管还没有完美的解决方案来解决所有这些问题，但我们的目标是实现“信任最小化”控制者合约，并为用户可能使用的不同钱包启用互操作性。

据悉，该标准提出了一种定义存储在Melkle树中的地址列表方法，这些地址连同它们的权重和用户的个人秘密，将组成一个秘密集，而该秘密集可以在不直接危及用户的情况下公开，因为它仍然需要对地址列表中的总阈值进行人工验证。

该秘密集可以保存，例如存储在web2云存储当中，而不会严重影响安全性，这对于一些不信任自己，但也不希望信任某些特定实体的用户而言是非常有用的。

用户秘密永远不会在链中显示，显示的只是一个nonce哈希，每次恢复时它都会增加。恢复设置获取此哈希秘密nonce的哈希值的哈希值，这种双哈希方法被用于数学证明请求恢复的人知道该秘密，而不会泄露它。

动态 | 警惕使用IM软件传输私钥存在的泄露风险:最近，国外有安全研究人员0xDUDE披露了一个外泄的社交媒体监视数据库，其中包含3.64亿用户的资料和聊天记录。PeckShield研发副总裁吴家志认为：有不少新接触数字货币的用户，在使用钱包时可能会使用社交软件传输私钥，这在区块链世界是一种极为高风险的交互行为，一旦聊天资料遭泄露，就存在私钥丢失的可能，进而威胁到数字资产的安全。私钥是区块链世界拥有数字货币资产的证明，其重要性不言而喻。理论上电脑、手机、社交软件等任何联网的传输介质，都存在私钥泄露的可能。在此提醒新入行数字货币领域的用户尤其要注意私钥的安全性，建议以离线的形式如硬件(冷)钱包等方式安全性更高。[2019/3/4]

根据提案，用户可通过提供秘密以及加权地址列表来配置恢复。

user_secret_data可以是用户可猜测的半私有信息。而user_secret_type是可选的随机大整数，并将其与address_list一起导出为private_hash。

地址列表的总权重必须大于阈值，而阈值是一个常数：THRESHOLD=100*10^18。

而标准定义了生成可预测用户秘密的几种方法。

当生物识别技术可用时，应该使用它们，这是最简单的方法。

而当没有生物识别技术时，一组通常只有用户知道的诸多问题的标准表单，可被用于生成用户的秘密数据。所有可选的默认字段有：FullName、BirthDate、MotherName、MotherBirthdate、Nationality、FirstLove'sName、FirstPet'sName、ChildhoodNickname。

现场 | 王海舟：只有持有私钥才是真正地掌握资产:金色财经独家现场报道，比特派副总裁王海舟在由金色财经主办的第二期沙龙活动“金色沙龙论生态·数字货币钱包的开源之路”现场进行了主题演讲，他在演讲中表示，作为普通用户使用钱包，如果想要掌控的话，私钥要在自己的手里，这就是钱包存在的意义和价值。他说，在区块链行业，钱包的概念是完全不一样的，大家应该把它想象成一个工具，它帮你打造一个钥匙工具，它帮你打造完这把钥匙之后，这个钥匙是由你自己掌管的。他说，很多时候用户丢币了会找钱包方负责，但其实并不是这样，钱包帮你打造完一个私钥以后，这个私钥的保管是由你全权负责，这就是去中心化钱包的概念所在，如果把这把钥匙搞丢了，作为钱包方也没有办法找回来，只有自己持有私钥，才是真正地掌握自己的资产。[2018/11/9]

而密码派生方法，则类似于详细表单方法，但它只要求用户输入一些内容：FullName和Password。

地址列表

用户将定义监护人账户列表，该列表通过用户的联系人列表进行填充。导入选项和输入一个地址应该是很方便的，如图所示：

选择好监护人后，系统将提示用户定义每个监护人的权重：

这些地址存储在一个标准的merkle树当中，但是每个子叶必须与hash_to_peer进行哈希运算。

merkle_root被哈希为一个标准merkle树，它由keccak256(bytes32(hash_to_peer),uint256(weight),boolean(is_ens),bytes32(ethereum_address))格式的address_list子叶组成。

公告 | BM开发的钱包即将推出IOS版本 声明将解决私钥问题:据IMEOS消息，BM在EOS治理群中表示IOS版本的钱包即将推出，该钱包利用多签机制和时间延迟在未来可保证用户账号安全，解决私钥丢失、被盗等问题。[2018/6/27]

方案支持了ENS域名，当监护人拥有一个ENS域名时，应该使用ENS域名。根据EIP-137，如果使用了ENS域名，则is_ens必须为“true”。

列表中的地址可以是账户合约，如果是账户合约，则可以直接调用审批功能，也可以提供EIP-1271签名。而如果是外部拥有帐户，则应用ecrecover逻辑，但它们也可以直接调用approve函数。

weight设置此地址值相对于THRESHOLD常量的批准程度。

用户秘密数据哈希

对于多个用户而言，recovery_contract可能是相同的，这是用户正在使用的共享秘密多重签名合约地址；

user_secret_data是用户数据的纯格式字节数据，它从不暴露，也不会被保存。当private_hash是未知时，应向用户进行请求；

private_hash是keccak256(user_secret_data)，它从不暴露，可以用秘密集导出。这可以在所有恢复中重复使用；

merkle_root是通过对普通merkle树进行哈希运算得到的，它在执行时会被揭露；

weight_multipler定义要达到THRESHOLD需要乘以多少个单独权重；

hash_to_execute是keccak256(private_hash,address(recovery_contract),recovery_contract.nonce(user_address))，它仅在执行时公开，每次恢复都是唯一的，也被称为“显示哈希”。Nonce和恢复合约地址被用于允许重用private_hash；

hash_to_peer是keccak256，它在恢复授权请求时会公开，其被用于通过揭露public_hash种子来证明用户知道hash_to_execute和merkle_root，这也被称为“部分泄漏哈希”；

public_hash是keccak256，它自配置后就是公开的，只能使用一次，这也用于防止执行的重放。执行成功后，必须使用setup(bytes32,uint256)进行重配置；

恢复秘密集URL

恢复所需的所有信息都将存储在url类型标准中：

recovery=erc831_partaccount_contract"/"recovery_contract"/"private_hash|secret_type"/"address_list/weight_multiplererc831_part="ethereum:recovery-"account_contract=ADDRESSchain_id=1*DIGITrecovery_contract=ADDRESSprivate_hash="0x"64*HEXDIGsecret_type=UINTaddress_list=ethereum_address*(";"ethereum_address)weight_multipler=UINTethereum_address=ADDRESS/ENS_NAME"*"weightweight=UINTADDRESS="0x"40*HEXDIGparameters=parameter*("&"parameter)parameter=key"="valuekey=STRINGvalue=STRINGnotes=STRING

account_contract是指要进行恢复的账户合约，可以使用任何账户合约，因为恢复合约可以执行到任何接口或地址；

chain_id为所有地址定义了以太坊链，如果不存在，则预设为1；

recovery_contract执行恢复合约的逻辑，必须支持此文档中指定的ABI；

secret_type选择生成user_secret_data时使用的标准，在未给定private_hash时是必需的；

private_hash是user_secret_data的哈希，如果不存在，恢复将要求使用secret_type所选的标准来获取user_secret_data；

weight_multipler是每个weight将乘以的值，以达到THRESHOLD常数；

address_list是具有个人权重的地址列表，最好是另一个帐户合约，表明它们可用于恢复请求，但任何地址都可以帮助恢复。可以使用ENS域名，并在恢复过程中进行解析。总权重应高于THRESHOLD常数；

weight默认为Math.ceil(THRESHOLD/address_list.length)，由用户设置自定义；

parameters可能需要特定的secret_type；

如果需要的话，notes可用于密码提示；

恢复程序

当需要恢复时，用户需要将其

RecoverySecretSetURL加载到支持此标准的电子钱包中。根据配置的不同，当

private_hash不可用时，必须从对用户构成挑战的

user_secret_data处生成。

加载有效的密钥集时，它将提示哪些用户请求帮助。一些钱包或许能自动发送请求，而另一些钱包则允许用户共享这个HelpRecoverRequestURL。

该EIP鼓励尽可能使用预签名的消息EIP-191，这一点很重要，因为gas成本是一个常见的障碍。如果监护人选择的地址是帐户合约，则必须是EIP-1271才能使用预签名信息。建议的正常顺序如下：

在特殊情况下，如果账户合约无法签署信息，或者用户的钱包无法按照这个EIP上指定的格式签署信息，则也可以通过使用msg.sender的方法执行常规操作。

在这种情况下，监护人将不得不支付一小部分gas费用。

理论基础

user_secret_data从不公开，在用keccak256算法进行哈希运算一次后，它就成为从不公开的private_hash。理论上，应该使用生物特征技术，因为用户不太可能丢失他们的生物特征。而生物特征通常是不安全的，因为它们并不是真正的秘密，任何高分辨率相机实际上都可以读取大多数生物特征，而且这些信息通常也为政府所知。

当生物特征不可用时，用户数据表单仍然提供相当好的安全性，因为合约中存储的哈希是离源数据非常远的加盐哈希，即使只有名字被用作user_secret_data，也是很难发现的。这些数据越不可预测，就越能抵御目标攻击，而目标攻击仍需要发现用户列表并接收足够的授权。

在成功执行之后，需要重新配置以实现安全性保障。在经历一次恢复后，恢复合约必须禁用自身，并等待新的配置。

可能存在的攻击

需要注意的是，支持此EIP的钱包，应考虑用户可能被请求帮助恢复其他账户，而请求可能来自任何知道secret_set的人，包括合法拥有者或以某种方式获取secret_set的攻击者。

因此：

钱包必须询问用户请求的合法性，询问请求是否是通过个人验证后进行的；

用户必须知道，他们对自己的链上操作负有责任，并且必须验证恢复请求的合法性；

视频通话可能是通过AI伪造的，但攻击者需要图像和语音样本，例如互联网上的公共演讲内容；

为名人进行恢复的用户，永远不要信任视频通话，应该去尝试直接联系周围的人，以检查请求的合法性；

简评：这种方案正是针对PeterSchiff这样容易忘记钱包密码或私钥的群体而设计的，但其也存在着安全隐患，但对于加密货币的社会可扩展性而言是非常重要的，因为多数人会是和PeterSchiff类似的。

标签：比特币以太坊RESSEC马云购买200亿比特币现在怎样国内以太坊交易平台WCRESMouseCoin

PEPE热门资讯