index
index
คู่มือสำหรับมือใหม่
เริ่มต้นที่นี่
หลักสูตร
บทความที่เกี่ยวข้อง
ทั้งหมดAltcoinsBitcoinBlockchainDeFiEthereumMetaverseNFTTradingTutorielFuturesTrading BotsBRC-20GameFiDAOTendances macroPortefeuillesInscriptionTechnologieMemeIASocialFiDePinStablecoinStaking LiquideFinanceRWABlockchains modulairesZéro-Knowledge Proof RestakingOutils crypto AirdropProduits GateSécuritéAnalyse de projet CryptoPulseRechercheL'écosystème TONLayer 2 SolanaPaiementsMiningSujets d'actualitéP2PL'écosystème SuiAbstraction de chaîneOptionLectures rapidesVidéoRapport Journalier
อภิธานศัพท์
ศูนย์วิจัย
คอลเลกชั่นของฉัน
Creator Incentive
กำลังดำเนินการ
สมรภูมิของครีเอเตอร์
Campus Ambassador
เทศกาลสำหรับเหล่าวิดีโอครีเอเตอร์
Daily Study Challenge
เช็คอินจุดฮอตสปอต
Learn
Portefeuille Web3 sans seedé : Équilibrer la sécurité et la commodité

Portefeuille Web3 sans seedé : Équilibrer la sécurité et la commodité

Intermédiaire
BlockchainPortefeuilles
5/27/2024, 11:52:16 AM
L'essence des portefeuilles sans graine réside dans le compromis entre une sécurité accrue et la commodité de la connexion de l'utilisateur. En conséquence, une garde partielle ou une récupération sociale par contrat intelligent est nécessaire pour faire face au risque de perte de clé. Cet article présente plusieurs méthodes de mise en œuvre pour atteindre la fonctionnalité sans graine, notamment les portefeuilles MPC, les portefeuilles de contrat intelligent et la solution hybride de portefeuille intelligent MPC+ d'Unipass. Bien que les portefeuilles de contrat intelligent ne puissent pas atteindre directement la fonctionnalité sans graine, leur mécanisme de récupération sociale offre une sécurité pour le stockage de clé à faible sécurité, se rapprochant davantage des valeurs décentralisées de Web3.

En résumé ;

Pourquoi les portefeuilles sans graines sont nécessaires :

Les "portefeuilles sans graines" ne sont pas une technologie de portefeuille spécifique, mais une expérience fonctionnelle : les utilisateurs n'ont plus besoin de gérer des mnémoniques complexes et peuvent se connecter à l'aide d'un mot de passe par e-mail. En conséquence, la barrière à l'utilisation des portefeuilles est considérablement réduite, ce qui rend l'expérience utilisateur plus proche des produits Web2.

L'essence de ces portefeuilles est de permettre la perte de mot de passe, ce qui signifie que les actifs peuvent toujours être conservés en toute sécurité et l'accès au portefeuille peut éventuellement être restauré même en cas de perte de mot de passe. Ainsi, les utilisateurs n'ont plus besoin de stocker méticuleusement des mnémoniques hors ligne, mais peuvent stocker des mots de passe de manière moins sécurisée, y compris le stockage cloud, le stockage local mobile, la garde par des tiers, etc. Cela permet aux produits d'améliorer l'expérience utilisateur en concevant des expériences de connexion conviviales pour les débutants.

Il existe plusieurs voies techniques pour mettre en œuvre la fonctionnalité sans graine, y compris le MPC et les contrats intelligents. Cependant, quelle que soit la technologie utilisée, il y a toujours une certaine supposition de confiance impliquée — que ce soit en faisant confiance à des intermédiaires de garde ou en faisant confiance à des contrats intelligents, la sécurité du portefeuille n'est pas uniquement entre les mains des utilisateurs. Pour ceux ayant des exigences de sécurité extrêmement élevées, cela peut ne pas être le meilleur choix; cependant, pour le grand public, les portefeuilles sans graines peuvent en effet abaisser la barrière à l'entrée pour Web3.

Solutions de mise en œuvre pour les portefeuilles sans graine :

Cet article présente trois solutions d'implémentation principales disponibles sur le marché.

Portefeuille MPC 2.1

La première approche grand public est le MPC (Calcul multipartite). Il s'agit d'une solution hors chaîne, une autre couche de technologie en dehors des portefeuilles. En d'autres termes, tout portefeuille utilisant la technologie MPC pour protéger les clés privées peut être appelé un portefeuille MPC.

Les portefeuilles MPC utilisent la technologie SSS ou TSS pour générer plusieurs fragments de clés privées, répartis parmi plusieurs participants. Lors de l'utilisation du portefeuille, chaque partie génère un ensemble complet de données à signer en utilisant son fragment sans exposer les fragments de chaque partie.

Les portefeuilles MPC peuvent définir de manière flexible des stratégies de seuil, telles que l'exigence d'au moins 2 des 3 fragments pour participer à la signature ou l'exigence que tous les 2 fragments participent à la signature. Cependant, il convient de noter que si la perte de mot de passe est autorisée, le schéma de stockage des fragments affecte toujours la sécurité du portefeuille. Par exemple, le stockage hébergé par le projet repose davantage sur l'intégrité du projet. Actuellement, la stratégie de seuil et les schémas de stockage des portefeuilles MPC ne sont pas normalisés et il n'existe pas de norme industrielle. Les différents schémas utilisés par chaque portefeuille reflètent également différentes stratégies de conception de sécurité.

Le schéma de shard privé des portefeuilles MPC peut éviter efficacement les défaillances ponctuelles : même si un seul shard est perdu, les actifs dans le portefeuille peuvent être préservés, et les shards peuvent être mis à jour sans changer la clé privée, réalisant ainsi la récupération du mot de passe. De plus, toutes les implémentations des portefeuilles MPC sont hors chaîne, générant finalement une seule signature de clé privée, ce qui les rend plus efficaces en termes de ressources par rapport aux multi-signatures de contrats intelligents.

Les portefeuilles MPC typiques incluent Web3Auth, Particle Network, Openblock, etc.

Web3Auth utilise le schéma SSS (Shamir Secret Sharing) pour le partage de clés. La différence entre SSS et TSS (Threshold Signature Scheme) est que SSS exige d'abord qu'une seule partie génère une clé privée, puis partage et distribue la clé privée de manière cryptographique à différentes parties, et lors de la signature, la clé privée complète doit être reconstruite, d'où il existe encore un risque d'exposition dans le frontend. D'autre part, TSS effectue à la fois la génération de clés et les étapes de signature par le biais de l'informatique distribuée sans nécessiter de reconstruction, évitant ainsi les risques d'exposition. Le schéma SSS introduit certaines vulnérabilités de sécurité dans Web3Auth, c'est pourquoi les portefeuilles MPC plus récents utilisent généralement TSS.

La figure ci-dessous montre le modèle 2-3, qui est le modèle de base utilisé par Web3Auth, nécessitant la participation de 2 des 3 shards pour la signature. Parmi eux, les shards de l'appareil sont stockés sur l'appareil local de l'utilisateur ; les shards de connexion OAuth sont en outre divisés et stockés par le réseau de nœuds ; les shards de sauvegarde sont stockés par l'utilisateur lui-même, soit sur un appareil séparé, soit accessible via un mot de passe.

Source: https://web3auth.io/docs/overview/gestion-des-cles/

Lorsque les utilisateurs se connectent, ils obtiennent d'abord des fragments de connexion OAuth via des fournisseurs de connexion tiers tels que Gmail. Ensuite, ils utilisent les fragments de l'appareil stockés sur leur appareil local pour reconstruire la clé privée complète. Lorsqu'un utilisateur se connecte à partir d'un nouvel appareil, il doit simultanément utiliser le troisième fragment, qui est le fragment de sauvegarde, pour terminer le processus de connexion. De plus, les utilisateurs peuvent également définir eux-mêmes différents modèles de seuil, tels que 3-4, 4-5, et ainsi de suite.

Source :https://web3auth.io/docs/overview/web3auth-for-wallets

Particle Network adopte TSS, qui est relativement plus sécurisé par rapport à SSS. Son modèle de seuil utilise 2-2, où le client et le fournisseur détiennent chacun une partie des shards. Les shards côté client sont stockés dans le cloud par Particle ou un fournisseur de services cloud tiers et sont accessibles après vérification via un OTP par e-mail ou une connexion sociale. Cependant, la clé côté client est essentiellement non protégée et le fournisseur de services peut accéder à cette clé. Cette solution repose sur la confiance du client envers Particle ou le fournisseur tiers.

L'acquisition de clients est un défi auquel tous les portefeuilles sont confrontés car la grande majorité du marché ToC a déjà été occupée. Tant Web3Auth que Particle Network utilisent une stratégie ToB, obtenant des utilisateurs via des prestataires de services de projets. Il convient de noter que le jeu Web3 'Power of Women', qui a utilisé les services de portefeuille de Particle Network, a déjà été classé en tête du classement général des jeux dans le Google Play Store des États-Unis, devenant un cas de référence pour pénétrer le marché des jeux Web3. Les portefeuilles MPC offrent une expérience de connexion fluide, ce qui est crucial pour les jeux Free to Play car cela abaisse considérablement la barrière à l'entrée. On peut anticiper qu'à l'avenir, les projets Web3 à faible barrière adopteront probablement des expériences de connexion similaires à grande échelle.

Source :https://foresightnews.pro/article/detail/14777

Portefeuille de contrat intelligent

Le « portefeuille MPC » mentionné ci-dessus est un portefeuille qui utilise la technologie MPC pour stocker des clés privées, et le « portefeuille de contrat intelligent » est un type de portefeuille.

Il existe deux types de portefeuilles dans EVM, l'un est le portefeuille EOA (Externally Owned Accounts**), qui est contrôlé par n'importe qui grâce à une clé privée; l'autre est le portefeuille CA (Contract Accounts), qui est déployé sur la blockchain et contrôlé par le code de contrat. C'est aussi un portefeuille de contrat intelligent.

La plupart des portefeuilles que nous utilisons actuellement sont des portefeuilles EOA, tels que Little Fox. Étant donné que les portefeuilles de contrats intelligents peuvent personnaliser les codes de contrat, ils peuvent implémenter beaucoup plus de fonctions que les portefeuilles EOA, telles que la récupération de compte, la logique d’exécution prédéfinie, etc. Cependant, ils ne sont pas très populaires actuellement, principalement en raison de leur coût d’utilisation élevé. Les transactions entraîneront des frais de gaz supplémentaires par rapport au portefeuille EOA. Par conséquent, les scénarios d’utilisation actuels se situent principalement au niveau de la gestion institutionnelle, tels que la « multi-signature », et sont rarement utilisés par les utilisateurs individuels. De plus, les portefeuilles de contrats intelligents n’ont pas de clés privées et ne peuvent pas vérifier les signatures, de sorte que les transactions doivent toujours être initiées par un portefeuille EOA. Si les utilisateurs individuels souhaitent utiliser des portefeuilles de contrats intelligents, ils doivent également conserver les clés de portefeuille EOA séparément, qui sont encore très complexes.

Dans la piste du portefeuille de contrat intelligent pour les utilisateurs individuels, Argent est un pionnier et opère depuis 2019. Argent se compose de deux produits:

1) Le portefeuille d'application mobile "Argent" implémente la fonctionnalité sans graines sur ETH et zkSync; il y a également le produit "Argent Vault" sur ETH, qui fournit une fonction de récupération sociale;

2) Le portefeuille plug-in pour navigateur "Argent X" n'est disponible que sur StarkNet. Il s'agit d'un portefeuille basé sur l'Abstraction de Compte, qui sera expliqué plus tard.

Commençons par examiner le premier produit, le portefeuille mobile Argent, dans lequel « Vault » est le portefeuille de contrat intelligent traditionnel.

Commençons par nous intéresser au premier produit, le portefeuille mobile Argent, où le « Vault » est essentiellement un portefeuille de contrats intelligents traditionnel.

Comme mentionné précédemment, les portefeuilles de contrats intelligents sur l’EVM (Ethereum Virtual Machine) n’ont pas de clés privées et ne peuvent pas signer de transactions. Par conséquent, lors de l’utilisation de l’application mobile Argent, un utilisateur génère d’abord un portefeuille EOA (compte détenu en externe), puis génère un portefeuille de contrats intelligents « Vault ». Cette étape nécessite des frais de gaz supplémentaires.

La fonctionnalité "sans graines" est mise en œuvre lors de la génération du portefeuille EOA. La clé privée est stockée localement sur le téléphone de l'utilisateur et ne peut pas être exportée. Les utilisateurs n'ont besoin que d'un e-mail ou d'un numéro de téléphone pour s'inscrire et générer le portefeuille EOA. Pendant ce temps, une clé privée de sauvegarde est stockée dans le cloud, qui est utilisée lorsque l'utilisateur change d'appareil. Les étapes spécifiques sont les suivantes : la clé privée de sauvegarde chiffrée est stockée dans l'iCloud de l'utilisateur, et Argent détient la clé de déchiffrement. Lorsque l'utilisateur change d'appareil, il récupère la clé privée chiffrée depuis iCloud, puis vérifie par e-mail ou par téléphone avec Argent pour obtenir la clé de déchiffrement, obtenant ainsi la clé privée de sauvegarde. De plus, avant d'envoyer la clé de déchiffrement, Argent notifie l'utilisateur et attend deux jours, offrant un ample délai tampon pour éviter le vol.


Interface Mobile Argent

La fonctionnalité de "Récupération sociale" est implémentée après la génération de la "Coffre-fort" via le portefeuille de contrat intelligent, actuellement disponible uniquement sur Ethereum. Il convient de noter que la fonctionnalité de "Coffre-fort" n'est disponible que pour les utilisateurs ayant des dépôts de 50 000 $ ou plus, établissant un seuil relativement élevé. Après la configuration du Coffre-fort, les utilisateurs peuvent ajouter des Gardiens, qui peuvent être n'importe quel portefeuille, y compris EOA (Compte Possédé Externellement) ou CA (Compte de Contrat). Ces portefeuilles désignés peuvent signer et générer un nouveau compte en tant que propriétaire du portefeuille dans le cas où l'utilisateur perd ses clés, permettant ainsi une récupération sociale. De plus, le propriétaire du portefeuille peut déterminer si les Gardiens doivent approuver les transactions, si une transaction peut avoir lieu dans un délai spécifié, etc.

Interface Mobile Argent

Selon Dune, il y a actuellement plus de 70 000 portefeuilles de contrats Argent, avec un total de 76 000 ETH stockés.

Jetons un coup d'œil au deuxième produit, le plug-in de navigateur "Argent X". La récente valorisation élevée d'Argent est davantage due à Argent X car c'est le premier portefeuille sur StarkNet et un portefeuille basé sur l'abstraction de compte, ce qui représente une nouvelle direction dans la trajectoire des portefeuilles.

"L'abstraction de compte" est un concept de consensus dans la communauté Ethereum concernant la direction du développement des portefeuilles. Il peut être simplement résumé comme le découplage de l'entité (compte) dans l'EVM de l'entité (paire de clés ou signataire) qui possède l'actif mobile. En d'autres termes, il s'agit de transformer tous les comptes en CA[2]. Comme mentionné précédemment, EOA et CA sont deux types de comptes dans l'EVM. CA ne peut pas vérifier les signatures, il doit donc compter sur EOA pour initier activement les transactions. Après la réalisation de l'abstraction de compte, CA ne dépendra plus d'EOA pour initier les transactions, offrant ainsi plus de fonctionnalités de personnalisation.

Cela semble prometteur, mais il y a encore de nombreux problèmes ici. Tout d'abord, il reste de nombreux défis techniques à surmonter. Par exemple, la fonctionnalité actuelle d'Argent X est très limitée, et la fonction de récupération sociale avec les Gardiens n'a pas encore été mise en place sur Ethereum. Deuxièmement, le problème des frais de gaz auquel les portefeuilles de contrats intelligents ont toujours été confrontés existe toujours. Bien qu'il y ait eu des améliorations sur les solutions de couche 2, elles ne sont toujours pas aussi efficaces que les portefeuilles EOA sur la même chaîne. La solution ultime au problème des frais de gaz est de diluer les dépenses supplémentaires à travers des transactions groupées. De ce point de vue, les portefeuilles de contrats intelligents ont le potentiel d'être moins chers que les portefeuilles EOA à l'avenir. Bien sûr, cela dépend de la vitesse de développement des différents projets dans le domaine.

Solution hybride de contrat intelligent MPC+

Le "portefeuille MPC" et le "portefeuille de contrat intelligent" décrits précédemment sont en fait deux dimensions de description. Le premier est une couche supplémentaire de technologie de vérification hors chaîne empilée sur le dessus du portefeuille, tandis que le second est un type de portefeuille lui-même (par rapport aux portefeuilles EOA). Ces deux types de portefeuilles ne sont pas mutuellement exclusifs. Il existe des solutions hybrides qui combinent les deux : Unipass est un portefeuille de contrat intelligent qui intègre la technologie MPC.

Une caractéristique typique des portefeuilles de contrats intelligents est la capacité de configurer plusieurs clés pour gérer le même compte. Par exemple, dans Argent Vault, les utilisateurs peuvent ajouter des Gardiens pour générer un nouveau compte et le définir comme propriétaire du portefeuille si l'utilisateur perd ses clés. Dans Gnosis Safe, les utilisateurs peuvent ajouter plusieurs portefeuilles pour obtenir des signatures de seuil. De même, Unipass gère les comptes à travers une série de clés avec des poids de rôle. Il est plus diversifié qu'Argent Vault et Gnosis Safe, se composant principalement de trois rôles:

1) Propriétaire : L'ensemble de clés associé à ce type de rôle peut contrôler le compte et possède la plus haute autorité;

2) Opérateur : Ce type de clé peut être utilisé pour les transferts, les contrats interactifs, l'autorisation, etc., et est le rôle le plus couramment utilisé par les utilisateurs;

3) Gardiens : Ce type de clé peut être utilisé pour restaurer le compte lorsque d'autres clés sont perdues.

L'effet est équivalent à la récupération sociale de Argent Vault. Ce qui est plus avancé avec Unipass, c'est que Argent Vault ne permet que de lier des portefeuilles EOA en tant que Gardiens, tandis que Unipass peut lier des adresses e-mail au lieu de portefeuilles pour la récupération sociale, ce qui abaisse considérablement le seuil de l'utilisateur.

Source :https://docs.wallet.unipass.id/architecture/key-management

Les fonctions ci-dessus reflètent les caractéristiques du portefeuille de contrat intelligent, et MPC se reflète dans la clé principale sur l'image ci-dessus. La clé principale est la clé principale générée par défaut pour les utilisateurs, comprenant les rôles de Propriétaire et d'Opérateur. On peut dire que c'est la clé la plus importante dans le compte Unipass, et la génération et la gestion de cette clé utilisent la technologie MPC.

La solution MPC rencontre un tel dilemme dans le stockage fragmenté : si les fragments clients sont conservés par l'utilisateur, il y a un risque de perte ; si les fragments clients sont en réalité encore conservés par un tiers (comme Particle Network), il y a un risque de centralisation, le mot de passe peut être accessible par le fournisseur de services. Unipass a choisi la première option : les mots de passe dans les fragments clients sont conservés par les utilisateurs eux-mêmes et peuvent être perdus. En cas de perte, ils peuvent être socialement restaurés par l'intermédiaire des Gardiens. Comparé aux portefeuilles MPC purs, Unipass garantit la sécurité des comptes grâce à la récupération sociale des contrats intelligents tout en maintenant la décentralisation.

Source: https://docs.wallet.unipass.id/architecture/master-key

De plus, Unipass prend également en charge le protocole ERC-4337, qui peut fournir des fonctionnalités mises en œuvre grâce à l'abstraction de compte à l'avenir.

  1. Résumé

À partir du scénario de 'sans graine', cet article explore plusieurs méthodes d'implémentation typiques. La première est les portefeuilles MPC purs représentés par Web3Auth et Particle Network, qui sont toujours des portefeuilles EOA mais avec des clés privées fragmentées. La solution MPC est simple et efficace mais fait face à des risques de centralisation ou de perte de clé. La deuxième est les portefeuilles de contrats intelligents représentés par Argent, qui met en œuvre une fonctionnalité sans graine en stockant les clés localement sur le téléphone et assure la sécurité du compte grâce à une récupération sociale de contrat intelligent pour résoudre la perte de clé. Le troisième est la solution de portefeuille intelligent hybride MPC+ d'Unipass, qui réalise une fonctionnalité sans graine grâce à la technologie MPC pour les clés principales et met en œuvre une récupération sociale grâce à une gestion de pondération de rôle de contrat intelligent, atteignant le même objectif qu'Argent.

On peut constater que le terme "sans graines" est essentiellement un compromis : utiliser un niveau de sécurité inférieur pour stocker les clés afin d'améliorer la commodité de la connexion de l'utilisateur. De manière correspondante, soit une garde partielle est utilisée pour traiter les risques de perte de clés, soit une récupération sociale par contrat intelligent est utilisée pour garantir la sécurité. Les portefeuilles de contrats intelligents ne peuvent pas implémenter directement la fonctionnalité sans graines, mais leur mécanisme de récupération sociale peut fournir une garantie de secours pour le stockage de clés à faible sécurité, et les méthodes de mise en œuvre décentralisées sont plus conformes aux valeurs Web3.

Cependant, une autre question qui vaut la peine d'être considérée est : quel type d'utilisateurs ont besoin de portefeuilles sans graines ? Les utilisateurs Web3 ont souvent plusieurs petits comptes, et la décision d'enregistrer un nouveau portefeuille dépend entièrement des portefeuilles intégrés par les projets. Dans ce contexte, les portefeuilles sans graines semblent plus adaptés aux utilisateurs Web2. Mais ces utilisateurs sont généralement plus difficiles à convertir en utilisateurs Web3 à forte valeur ajoutée et nécessitent des coûts d'éducation et d'acquisition de clients plus élevés. Les portefeuilles sans graines sont confrontés à un problème similaire à la piste sociale : comment attirer un grand nombre d'utilisateurs avec des attributs d'actifs faibles ?

Avertissement:

  1. Cet article est repris de [ Miroir]. Tous les droits d'auteur appartiennent à l'auteur original [BlockChainTeahouse]. Si vous avez des objections à cette réimpression, veuillez contacter le Portail Apprendreéquipe, et ils s'en occuperont rapidement.
  2. Clause de non-responsabilité : Les points de vue et opinions exprimés dans cet article sont uniquement ceux de l'auteur et ne constituent aucun conseil en investissement.
  3. Les traductions de l'article dans d'autres langues sont effectuées par l'équipe Gate Learn. Sauf mention contraire, la copie, la distribution ou le plagiat des articles traduits est interdit.

แชร์

เนื้อหา

TL;DR

Portefeuille Web3 sans seedé : Équilibrer la sécurité et la commodité

Intermédiaire5/27/2024, 11:52:16 AM
L'essence des portefeuilles sans graine réside dans le compromis entre une sécurité accrue et la commodité de la connexion de l'utilisateur. En conséquence, une garde partielle ou une récupération sociale par contrat intelligent est nécessaire pour faire face au risque de perte de clé. Cet article présente plusieurs méthodes de mise en œuvre pour atteindre la fonctionnalité sans graine, notamment les portefeuilles MPC, les portefeuilles de contrat intelligent et la solution hybride de portefeuille intelligent MPC+ d'Unipass. Bien que les portefeuilles de contrat intelligent ne puissent pas atteindre directement la fonctionnalité sans graine, leur mécanisme de récupération sociale offre une sécurité pour le stockage de clé à faible sécurité, se rapprochant davantage des valeurs décentralisées de Web3.
BlockchainPortefeuilles

TL;DR

En résumé ;

Pourquoi les portefeuilles sans graines sont nécessaires :

Les "portefeuilles sans graines" ne sont pas une technologie de portefeuille spécifique, mais une expérience fonctionnelle : les utilisateurs n'ont plus besoin de gérer des mnémoniques complexes et peuvent se connecter à l'aide d'un mot de passe par e-mail. En conséquence, la barrière à l'utilisation des portefeuilles est considérablement réduite, ce qui rend l'expérience utilisateur plus proche des produits Web2.

L'essence de ces portefeuilles est de permettre la perte de mot de passe, ce qui signifie que les actifs peuvent toujours être conservés en toute sécurité et l'accès au portefeuille peut éventuellement être restauré même en cas de perte de mot de passe. Ainsi, les utilisateurs n'ont plus besoin de stocker méticuleusement des mnémoniques hors ligne, mais peuvent stocker des mots de passe de manière moins sécurisée, y compris le stockage cloud, le stockage local mobile, la garde par des tiers, etc. Cela permet aux produits d'améliorer l'expérience utilisateur en concevant des expériences de connexion conviviales pour les débutants.

Il existe plusieurs voies techniques pour mettre en œuvre la fonctionnalité sans graine, y compris le MPC et les contrats intelligents. Cependant, quelle que soit la technologie utilisée, il y a toujours une certaine supposition de confiance impliquée — que ce soit en faisant confiance à des intermédiaires de garde ou en faisant confiance à des contrats intelligents, la sécurité du portefeuille n'est pas uniquement entre les mains des utilisateurs. Pour ceux ayant des exigences de sécurité extrêmement élevées, cela peut ne pas être le meilleur choix; cependant, pour le grand public, les portefeuilles sans graines peuvent en effet abaisser la barrière à l'entrée pour Web3.

Solutions de mise en œuvre pour les portefeuilles sans graine :

Cet article présente trois solutions d'implémentation principales disponibles sur le marché.

Portefeuille MPC 2.1

La première approche grand public est le MPC (Calcul multipartite). Il s'agit d'une solution hors chaîne, une autre couche de technologie en dehors des portefeuilles. En d'autres termes, tout portefeuille utilisant la technologie MPC pour protéger les clés privées peut être appelé un portefeuille MPC.

Les portefeuilles MPC utilisent la technologie SSS ou TSS pour générer plusieurs fragments de clés privées, répartis parmi plusieurs participants. Lors de l'utilisation du portefeuille, chaque partie génère un ensemble complet de données à signer en utilisant son fragment sans exposer les fragments de chaque partie.

Les portefeuilles MPC peuvent définir de manière flexible des stratégies de seuil, telles que l'exigence d'au moins 2 des 3 fragments pour participer à la signature ou l'exigence que tous les 2 fragments participent à la signature. Cependant, il convient de noter que si la perte de mot de passe est autorisée, le schéma de stockage des fragments affecte toujours la sécurité du portefeuille. Par exemple, le stockage hébergé par le projet repose davantage sur l'intégrité du projet. Actuellement, la stratégie de seuil et les schémas de stockage des portefeuilles MPC ne sont pas normalisés et il n'existe pas de norme industrielle. Les différents schémas utilisés par chaque portefeuille reflètent également différentes stratégies de conception de sécurité.

Le schéma de shard privé des portefeuilles MPC peut éviter efficacement les défaillances ponctuelles : même si un seul shard est perdu, les actifs dans le portefeuille peuvent être préservés, et les shards peuvent être mis à jour sans changer la clé privée, réalisant ainsi la récupération du mot de passe. De plus, toutes les implémentations des portefeuilles MPC sont hors chaîne, générant finalement une seule signature de clé privée, ce qui les rend plus efficaces en termes de ressources par rapport aux multi-signatures de contrats intelligents.

Les portefeuilles MPC typiques incluent Web3Auth, Particle Network, Openblock, etc.

Web3Auth utilise le schéma SSS (Shamir Secret Sharing) pour le partage de clés. La différence entre SSS et TSS (Threshold Signature Scheme) est que SSS exige d'abord qu'une seule partie génère une clé privée, puis partage et distribue la clé privée de manière cryptographique à différentes parties, et lors de la signature, la clé privée complète doit être reconstruite, d'où il existe encore un risque d'exposition dans le frontend. D'autre part, TSS effectue à la fois la génération de clés et les étapes de signature par le biais de l'informatique distribuée sans nécessiter de reconstruction, évitant ainsi les risques d'exposition. Le schéma SSS introduit certaines vulnérabilités de sécurité dans Web3Auth, c'est pourquoi les portefeuilles MPC plus récents utilisent généralement TSS.

La figure ci-dessous montre le modèle 2-3, qui est le modèle de base utilisé par Web3Auth, nécessitant la participation de 2 des 3 shards pour la signature. Parmi eux, les shards de l'appareil sont stockés sur l'appareil local de l'utilisateur ; les shards de connexion OAuth sont en outre divisés et stockés par le réseau de nœuds ; les shards de sauvegarde sont stockés par l'utilisateur lui-même, soit sur un appareil séparé, soit accessible via un mot de passe.

Source: https://web3auth.io/docs/overview/gestion-des-cles/

Lorsque les utilisateurs se connectent, ils obtiennent d'abord des fragments de connexion OAuth via des fournisseurs de connexion tiers tels que Gmail. Ensuite, ils utilisent les fragments de l'appareil stockés sur leur appareil local pour reconstruire la clé privée complète. Lorsqu'un utilisateur se connecte à partir d'un nouvel appareil, il doit simultanément utiliser le troisième fragment, qui est le fragment de sauvegarde, pour terminer le processus de connexion. De plus, les utilisateurs peuvent également définir eux-mêmes différents modèles de seuil, tels que 3-4, 4-5, et ainsi de suite.

Source :https://web3auth.io/docs/overview/web3auth-for-wallets

Particle Network adopte TSS, qui est relativement plus sécurisé par rapport à SSS. Son modèle de seuil utilise 2-2, où le client et le fournisseur détiennent chacun une partie des shards. Les shards côté client sont stockés dans le cloud par Particle ou un fournisseur de services cloud tiers et sont accessibles après vérification via un OTP par e-mail ou une connexion sociale. Cependant, la clé côté client est essentiellement non protégée et le fournisseur de services peut accéder à cette clé. Cette solution repose sur la confiance du client envers Particle ou le fournisseur tiers.

L'acquisition de clients est un défi auquel tous les portefeuilles sont confrontés car la grande majorité du marché ToC a déjà été occupée. Tant Web3Auth que Particle Network utilisent une stratégie ToB, obtenant des utilisateurs via des prestataires de services de projets. Il convient de noter que le jeu Web3 'Power of Women', qui a utilisé les services de portefeuille de Particle Network, a déjà été classé en tête du classement général des jeux dans le Google Play Store des États-Unis, devenant un cas de référence pour pénétrer le marché des jeux Web3. Les portefeuilles MPC offrent une expérience de connexion fluide, ce qui est crucial pour les jeux Free to Play car cela abaisse considérablement la barrière à l'entrée. On peut anticiper qu'à l'avenir, les projets Web3 à faible barrière adopteront probablement des expériences de connexion similaires à grande échelle.

Source :https://foresightnews.pro/article/detail/14777

Portefeuille de contrat intelligent

Le « portefeuille MPC » mentionné ci-dessus est un portefeuille qui utilise la technologie MPC pour stocker des clés privées, et le « portefeuille de contrat intelligent » est un type de portefeuille.

Il existe deux types de portefeuilles dans EVM, l'un est le portefeuille EOA (Externally Owned Accounts**), qui est contrôlé par n'importe qui grâce à une clé privée; l'autre est le portefeuille CA (Contract Accounts), qui est déployé sur la blockchain et contrôlé par le code de contrat. C'est aussi un portefeuille de contrat intelligent.

La plupart des portefeuilles que nous utilisons actuellement sont des portefeuilles EOA, tels que Little Fox. Étant donné que les portefeuilles de contrats intelligents peuvent personnaliser les codes de contrat, ils peuvent implémenter beaucoup plus de fonctions que les portefeuilles EOA, telles que la récupération de compte, la logique d’exécution prédéfinie, etc. Cependant, ils ne sont pas très populaires actuellement, principalement en raison de leur coût d’utilisation élevé. Les transactions entraîneront des frais de gaz supplémentaires par rapport au portefeuille EOA. Par conséquent, les scénarios d’utilisation actuels se situent principalement au niveau de la gestion institutionnelle, tels que la « multi-signature », et sont rarement utilisés par les utilisateurs individuels. De plus, les portefeuilles de contrats intelligents n’ont pas de clés privées et ne peuvent pas vérifier les signatures, de sorte que les transactions doivent toujours être initiées par un portefeuille EOA. Si les utilisateurs individuels souhaitent utiliser des portefeuilles de contrats intelligents, ils doivent également conserver les clés de portefeuille EOA séparément, qui sont encore très complexes.

Dans la piste du portefeuille de contrat intelligent pour les utilisateurs individuels, Argent est un pionnier et opère depuis 2019. Argent se compose de deux produits:

1) Le portefeuille d'application mobile "Argent" implémente la fonctionnalité sans graines sur ETH et zkSync; il y a également le produit "Argent Vault" sur ETH, qui fournit une fonction de récupération sociale;

2) Le portefeuille plug-in pour navigateur "Argent X" n'est disponible que sur StarkNet. Il s'agit d'un portefeuille basé sur l'Abstraction de Compte, qui sera expliqué plus tard.

Commençons par examiner le premier produit, le portefeuille mobile Argent, dans lequel « Vault » est le portefeuille de contrat intelligent traditionnel.

Commençons par nous intéresser au premier produit, le portefeuille mobile Argent, où le « Vault » est essentiellement un portefeuille de contrats intelligents traditionnel.

Comme mentionné précédemment, les portefeuilles de contrats intelligents sur l’EVM (Ethereum Virtual Machine) n’ont pas de clés privées et ne peuvent pas signer de transactions. Par conséquent, lors de l’utilisation de l’application mobile Argent, un utilisateur génère d’abord un portefeuille EOA (compte détenu en externe), puis génère un portefeuille de contrats intelligents « Vault ». Cette étape nécessite des frais de gaz supplémentaires.

La fonctionnalité "sans graines" est mise en œuvre lors de la génération du portefeuille EOA. La clé privée est stockée localement sur le téléphone de l'utilisateur et ne peut pas être exportée. Les utilisateurs n'ont besoin que d'un e-mail ou d'un numéro de téléphone pour s'inscrire et générer le portefeuille EOA. Pendant ce temps, une clé privée de sauvegarde est stockée dans le cloud, qui est utilisée lorsque l'utilisateur change d'appareil. Les étapes spécifiques sont les suivantes : la clé privée de sauvegarde chiffrée est stockée dans l'iCloud de l'utilisateur, et Argent détient la clé de déchiffrement. Lorsque l'utilisateur change d'appareil, il récupère la clé privée chiffrée depuis iCloud, puis vérifie par e-mail ou par téléphone avec Argent pour obtenir la clé de déchiffrement, obtenant ainsi la clé privée de sauvegarde. De plus, avant d'envoyer la clé de déchiffrement, Argent notifie l'utilisateur et attend deux jours, offrant un ample délai tampon pour éviter le vol.


Interface Mobile Argent

La fonctionnalité de "Récupération sociale" est implémentée après la génération de la "Coffre-fort" via le portefeuille de contrat intelligent, actuellement disponible uniquement sur Ethereum. Il convient de noter que la fonctionnalité de "Coffre-fort" n'est disponible que pour les utilisateurs ayant des dépôts de 50 000 $ ou plus, établissant un seuil relativement élevé. Après la configuration du Coffre-fort, les utilisateurs peuvent ajouter des Gardiens, qui peuvent être n'importe quel portefeuille, y compris EOA (Compte Possédé Externellement) ou CA (Compte de Contrat). Ces portefeuilles désignés peuvent signer et générer un nouveau compte en tant que propriétaire du portefeuille dans le cas où l'utilisateur perd ses clés, permettant ainsi une récupération sociale. De plus, le propriétaire du portefeuille peut déterminer si les Gardiens doivent approuver les transactions, si une transaction peut avoir lieu dans un délai spécifié, etc.

Interface Mobile Argent

Selon Dune, il y a actuellement plus de 70 000 portefeuilles de contrats Argent, avec un total de 76 000 ETH stockés.

Jetons un coup d'œil au deuxième produit, le plug-in de navigateur "Argent X". La récente valorisation élevée d'Argent est davantage due à Argent X car c'est le premier portefeuille sur StarkNet et un portefeuille basé sur l'abstraction de compte, ce qui représente une nouvelle direction dans la trajectoire des portefeuilles.

"L'abstraction de compte" est un concept de consensus dans la communauté Ethereum concernant la direction du développement des portefeuilles. Il peut être simplement résumé comme le découplage de l'entité (compte) dans l'EVM de l'entité (paire de clés ou signataire) qui possède l'actif mobile. En d'autres termes, il s'agit de transformer tous les comptes en CA[2]. Comme mentionné précédemment, EOA et CA sont deux types de comptes dans l'EVM. CA ne peut pas vérifier les signatures, il doit donc compter sur EOA pour initier activement les transactions. Après la réalisation de l'abstraction de compte, CA ne dépendra plus d'EOA pour initier les transactions, offrant ainsi plus de fonctionnalités de personnalisation.

Cela semble prometteur, mais il y a encore de nombreux problèmes ici. Tout d'abord, il reste de nombreux défis techniques à surmonter. Par exemple, la fonctionnalité actuelle d'Argent X est très limitée, et la fonction de récupération sociale avec les Gardiens n'a pas encore été mise en place sur Ethereum. Deuxièmement, le problème des frais de gaz auquel les portefeuilles de contrats intelligents ont toujours été confrontés existe toujours. Bien qu'il y ait eu des améliorations sur les solutions de couche 2, elles ne sont toujours pas aussi efficaces que les portefeuilles EOA sur la même chaîne. La solution ultime au problème des frais de gaz est de diluer les dépenses supplémentaires à travers des transactions groupées. De ce point de vue, les portefeuilles de contrats intelligents ont le potentiel d'être moins chers que les portefeuilles EOA à l'avenir. Bien sûr, cela dépend de la vitesse de développement des différents projets dans le domaine.

Solution hybride de contrat intelligent MPC+

Le "portefeuille MPC" et le "portefeuille de contrat intelligent" décrits précédemment sont en fait deux dimensions de description. Le premier est une couche supplémentaire de technologie de vérification hors chaîne empilée sur le dessus du portefeuille, tandis que le second est un type de portefeuille lui-même (par rapport aux portefeuilles EOA). Ces deux types de portefeuilles ne sont pas mutuellement exclusifs. Il existe des solutions hybrides qui combinent les deux : Unipass est un portefeuille de contrat intelligent qui intègre la technologie MPC.

Une caractéristique typique des portefeuilles de contrats intelligents est la capacité de configurer plusieurs clés pour gérer le même compte. Par exemple, dans Argent Vault, les utilisateurs peuvent ajouter des Gardiens pour générer un nouveau compte et le définir comme propriétaire du portefeuille si l'utilisateur perd ses clés. Dans Gnosis Safe, les utilisateurs peuvent ajouter plusieurs portefeuilles pour obtenir des signatures de seuil. De même, Unipass gère les comptes à travers une série de clés avec des poids de rôle. Il est plus diversifié qu'Argent Vault et Gnosis Safe, se composant principalement de trois rôles:

1) Propriétaire : L'ensemble de clés associé à ce type de rôle peut contrôler le compte et possède la plus haute autorité;

2) Opérateur : Ce type de clé peut être utilisé pour les transferts, les contrats interactifs, l'autorisation, etc., et est le rôle le plus couramment utilisé par les utilisateurs;

3) Gardiens : Ce type de clé peut être utilisé pour restaurer le compte lorsque d'autres clés sont perdues.

L'effet est équivalent à la récupération sociale de Argent Vault. Ce qui est plus avancé avec Unipass, c'est que Argent Vault ne permet que de lier des portefeuilles EOA en tant que Gardiens, tandis que Unipass peut lier des adresses e-mail au lieu de portefeuilles pour la récupération sociale, ce qui abaisse considérablement le seuil de l'utilisateur.

Source :https://docs.wallet.unipass.id/architecture/key-management

Les fonctions ci-dessus reflètent les caractéristiques du portefeuille de contrat intelligent, et MPC se reflète dans la clé principale sur l'image ci-dessus. La clé principale est la clé principale générée par défaut pour les utilisateurs, comprenant les rôles de Propriétaire et d'Opérateur. On peut dire que c'est la clé la plus importante dans le compte Unipass, et la génération et la gestion de cette clé utilisent la technologie MPC.

La solution MPC rencontre un tel dilemme dans le stockage fragmenté : si les fragments clients sont conservés par l'utilisateur, il y a un risque de perte ; si les fragments clients sont en réalité encore conservés par un tiers (comme Particle Network), il y a un risque de centralisation, le mot de passe peut être accessible par le fournisseur de services. Unipass a choisi la première option : les mots de passe dans les fragments clients sont conservés par les utilisateurs eux-mêmes et peuvent être perdus. En cas de perte, ils peuvent être socialement restaurés par l'intermédiaire des Gardiens. Comparé aux portefeuilles MPC purs, Unipass garantit la sécurité des comptes grâce à la récupération sociale des contrats intelligents tout en maintenant la décentralisation.

Source: https://docs.wallet.unipass.id/architecture/master-key

De plus, Unipass prend également en charge le protocole ERC-4337, qui peut fournir des fonctionnalités mises en œuvre grâce à l'abstraction de compte à l'avenir.

  1. Résumé

À partir du scénario de 'sans graine', cet article explore plusieurs méthodes d'implémentation typiques. La première est les portefeuilles MPC purs représentés par Web3Auth et Particle Network, qui sont toujours des portefeuilles EOA mais avec des clés privées fragmentées. La solution MPC est simple et efficace mais fait face à des risques de centralisation ou de perte de clé. La deuxième est les portefeuilles de contrats intelligents représentés par Argent, qui met en œuvre une fonctionnalité sans graine en stockant les clés localement sur le téléphone et assure la sécurité du compte grâce à une récupération sociale de contrat intelligent pour résoudre la perte de clé. Le troisième est la solution de portefeuille intelligent hybride MPC+ d'Unipass, qui réalise une fonctionnalité sans graine grâce à la technologie MPC pour les clés principales et met en œuvre une récupération sociale grâce à une gestion de pondération de rôle de contrat intelligent, atteignant le même objectif qu'Argent.

On peut constater que le terme "sans graines" est essentiellement un compromis : utiliser un niveau de sécurité inférieur pour stocker les clés afin d'améliorer la commodité de la connexion de l'utilisateur. De manière correspondante, soit une garde partielle est utilisée pour traiter les risques de perte de clés, soit une récupération sociale par contrat intelligent est utilisée pour garantir la sécurité. Les portefeuilles de contrats intelligents ne peuvent pas implémenter directement la fonctionnalité sans graines, mais leur mécanisme de récupération sociale peut fournir une garantie de secours pour le stockage de clés à faible sécurité, et les méthodes de mise en œuvre décentralisées sont plus conformes aux valeurs Web3.

Cependant, une autre question qui vaut la peine d'être considérée est : quel type d'utilisateurs ont besoin de portefeuilles sans graines ? Les utilisateurs Web3 ont souvent plusieurs petits comptes, et la décision d'enregistrer un nouveau portefeuille dépend entièrement des portefeuilles intégrés par les projets. Dans ce contexte, les portefeuilles sans graines semblent plus adaptés aux utilisateurs Web2. Mais ces utilisateurs sont généralement plus difficiles à convertir en utilisateurs Web3 à forte valeur ajoutée et nécessitent des coûts d'éducation et d'acquisition de clients plus élevés. Les portefeuilles sans graines sont confrontés à un problème similaire à la piste sociale : comment attirer un grand nombre d'utilisateurs avec des attributs d'actifs faibles ?

Avertissement:

  1. Cet article est repris de [ Miroir]. Tous les droits d'auteur appartiennent à l'auteur original [BlockChainTeahouse]. Si vous avez des objections à cette réimpression, veuillez contacter le Portail Apprendreéquipe, et ils s'en occuperont rapidement.
  2. Clause de non-responsabilité : Les points de vue et opinions exprimés dans cet article sont uniquement ceux de l'auteur et ne constituent aucun conseil en investissement.
  3. Les traductions de l'article dans d'autres langues sont effectuées par l'équipe Gate Learn. Sauf mention contraire, la copie, la distribution ou le plagiat des articles traduits est interdit.
เริ่มตอนนี้
สมัครและรับรางวัล
$100