2018年12月,一个加拿大人,在遥远的印度去世了。而他的死讯,在2019年的第一个月传遍了整个区块链圈,并引起了巨大的震动和广泛的讨论。各家区块链媒体一拥而上进行剖析、扒皮,试图还原事情的真相。
事情简单来说,就是一个加拿大的数字货币交易平台QuadrigaCX的CEO,Gerald Cotton在印度旅行期间去世了。所有在该交易平台交易的数字货币,均保存在他的离线冷钱包中。而在最新的调查进展中,Gerald Cotton又被怀疑诈死,自导自演了一出意外死亡的大戏,而目的就是为了私吞交易平台价值1.5亿美金的数字资产。如需了解具体事件详情,可以阅读《意外还是阴谋?比特币交易所创始人离奇死亡,用户近2亿美元"上锁"!死亡证明漏洞百出?来看四大疑点》一文。
介于这个事件已经引发了巨大的讨论,今天我们在这里并不想讨论事情的始末,Gerald Cotton是否真的死亡也不是我们需要分析的地方。我们只想从该事件中发现一些问题,并向大家普及一些更为靠谱的数字资产及私钥的保管方式,让大家都能更为妥善地保管自己的数字资产。
私钥是什么,我们在这里就不做赘述了,网络上有很多相关的科普。谁掌握了私钥,谁就掌握了该私钥下对应所有地址下的资产。
技术安全
技术安全主要解决的是数字资产保管中的防黑防丢失问题。数字资产想要进行安全保管,就一定要防止私钥出现丢失的情况。最主要的防私钥丢失的技术手段就是通过算法来将私钥进行分块保存,同时配合最小签名数的机制,来增加签名丢失的容错率。而分块的主流方式有两种:私钥拆片和多重签名。
1私钥拆片技术
私钥拆片技术,顾名思义就是将单一私钥进行分拆,然后加密,再分片保存加密后的私钥。需要使用的时候,再将私钥重组进行签名。现在主流的私钥拆片技术为Shemir算法私钥拆片技术。而在该算法下,可以实现不需要集齐所有私钥碎片,只需要达到规定的最小私钥片数,就可以通过算法完成私钥重组,继而完成签名。
2多重签名技术
多重签名的实现方式与私钥拆片相反,它是由多个完整的私钥来通过算法计算,生成一个需由多个私钥参与计算才能调用的地址。在这种方法下,需要多个私钥共同完成签名,仅需要达到所需的最小签名数,就可以调用地址中的资产。
从降低私钥丢失的风险来看,这两种方式都能有效提升私钥丢失的容错率,但是这两种方式也各有利弊。私钥拆片技术的本质是将一个私钥进行分拆,而签名就一定需要组成完整的私钥,而出现完整私钥的地方就存在私钥被盗的风险。而多重签名的问题则在于,BTC底层技术中就支持多重签名,而以太坊底层技术中不支持多重签名,需要用智能合约来实现。所以多重签名在遇到不支持多重签名的公链时,需要投入较多的智能合约研发部署成本。但以最终的实现结果来看,在安全第一的区块链世界里,多重签名的安全性、抗风险性以及灵活性要优于私钥拆片。
如果QuadrigaCX平台的数字资产不采用单私钥保管方式,而是采用多重签名技术,那无论Gerald Cotton是否真实死亡,都可以由其他授权人凑齐最小签名数来完成签名工作,维持平台继续运转和平台客户资产的继续提取。
权力制衡
QuadrigaCX交易平台的实例中,除了单私钥保管的技术弊端外,更主要的还是中心化的管理方式。众所周知,区块链是一个去中心化的技术,主要就是要通过技术来解决中心化存在的信任问题。资产管理权力的集中化,往往都伴随着巨大的道德风险。1.5亿美金是一个非常庞大的数字,甚至超过一些太平洋岛国一年的全国GDP。放在任何人身上,相对1.5亿美金的诱惑,卷款走人能给他带来的风险都显得非常的微不足道。经验告诉我们,面对如此巨大的诱惑,道德大多数情况下都经受不住考验。从传统金融行业的经验来看,过分集中的资金管理权力,都会被重度监管。同时还会对关键流程上的关键节点进行分权管理,保证各方的制衡。
从传统金融视角来看,交易平台的主要作用是制定交易规则,提供交易设施,提升交易效率,实现高效的交易。其本身应该是不触碰任何资产的。而为交易平台提供资金管理和清结算登记的往往是其他一个或者多个机构。这样才能控制各方的权力在最小的范围内行使,控制道德风险。中国香港政府在2018年11月发布了《有关针对虚拟资产投资组合的管理公司、基金分销商及交易平台运营者的监管框架的声明》后,提出了交易平台的沙盒管理。据了解,与监管沟通较为密切的平台,均收到了监管部门虚拟资产应由第三方进行管理的建议。同时监管层还在文件中明确提出,虚拟资产的投资管理公司也建议去寻求第三方资产托管。而自此之后,大多数主流交易平台和量化团队,都开始寻找合作的虚拟资产托管方,进行合规合作。而合规经营,将是交易平台合法化正规化的第一步。
即使不考虑传统金融监管的要求,就企业内部管理来说,CEO掌握公司所有资产也是不符合公司内控原则的。在此情境下,催生了众多为企业或机构提供资产安全存管的服务商及供应商, 且目前的众多解决方案及管理策略,均围绕如何保护控制资产的私钥而展开。多重签名机制配合符合公司运营规范的审批流程,是企业低风险管理虚拟资产的必要手段,但需要大量的开发和技术力量来实现。
拿以太坊(ETH)举例,其多重签名甚至需要单独开发以太坊智能合约,经过多层安全测试和交易检验后,才能发布和提供相应功能。由于多重签名开发的复杂程度和所需投入,仅有很少的企业端热钱包可提供真正的多重签名功能,而大部分所谓的多重签名,多采用私钥拆分技术,即一种基于单私钥分片的措施,且拆分后的私钥分片存储于热端服务器中,结合企业内部的OA流程,来实现多人管理账户的需求。这类做法非完全意义上的多重签名,安全性有待斟酌。然而,部分针对企业开发的热钱包甚至仅提供简单的OA审批流程来控制单签账户,便将其宣传为需多个私钥才能完成的多重签名来混淆用户,导致用户虽付出高昂服务费,却无法使资产安全性得到质的提升。
InVault为了将传统公司的财务管理流程带入虚拟资产管理中,早已推出了流程可定制、权限可调节的虚拟资产管理钱包。多重签名这一核心功能是InVault在业务成立初期的主攻领域,已经过历时近一年的开发周期进行打磨和完善,且已经过专业第三方代码审计机构审计并达到优秀评级,可做到多重设备的冷热混合签名,并通过定期维护和升级底层代码,来充分保障地址及交易安全性。以此为依托,同时上线了HSM技术以及多种资产模块化定制托管方案,为需要管理虚拟资产的各类团队提供定制化服务,规范企业虚拟资产管理,降低虚拟资产管理中的风险。