MPC 钱包技术实现

本文档详细介绍 MPC（多方计算）钱包的技术原理、产品功能和安全架构。本 MPC 方案基于 Lindell 17 论文，并扩展为 2-of-n 门限方案。

一、概述

1.1 什么是 MPC 钱包？

MPC（Multi-Party Computation）钱包将私钥拆分为多个"份额"（shares），分布在不同参与方之间。签名时各方协作完成计算，私钥本身从不完整出现。

1.2 为什么需要 MPC 钱包？

消除第三方信任依赖
增强数据隐私
消除单点故障（SPOF）
减少冷存储依赖
提供接近 Web2 的用户体验

1.3 行业发展

公司	时间	类型	面向用户
Unbound Security	2018	托管	机构
Zengo	2018	托管	机构
Fireblocks	2018	托管	机构
Liminal	2021	托管	机构

| Coinbase | 2023.03 | 自托管 | 个人及更多 | | Binance | 2023.11 | 自托管 | 个人 |

关键问题：MPC 不存在 BIP 级别的共识方案，业界基本都基于著名密码学论文私有实现，导致了 MPC 钱包孤岛化的问题。

二、产品功能

2.1 功能总览

2.2 各功能说明

功能	参与方	说明
创建	服务端 + 客户端	服务端在 Enclave 内生成 share1，客户端生成 share2 和 share3
备份	客户端	加密 share3 后备份到第三方（如 iCloud）
签名	share1 + share2	通过数学和密码学协作完成签名
恢复	share1 + share3	用备份的 share3 结合 share1 重新生成新的三个 share
逃逸	share1 + share2	计算出完整私钥，转换为普通 EOA 钱包

三、技术原理

3.1 Shamir 秘密分享（SSS）

核心原理

一句话理解：两个点确定一条直线，三个点确定一条抛物线（拉格朗日插值法）。

构造 $t - 1$ 次多项式：

F (x) = u + a_{1} x + a_{2} x^{2} + . . . + a_{t - 1} x^{t - 1}

秘密（如私钥）编码为常数项 $u$ （即 $F (0)$ ）
在曲线上取 $n$ 个不同的点分配给 $n$ 个参与者
任意 $t$ 个点可通过拉格朗日插值恢复秘密
少于 $t$ 个点无法获取任何关于秘密的信息

举例（银行卡密码）

假设银行卡密码是 $u$ ，构造 $F (x) = u + a_{1} x$ ：

在直线上取两个点分别给两人
需要时两人提供各自的点
两点确定一条直线，算出 $F (0) = u$ 即密码

SSS 的缺点

Dealer 作恶：分发错误的分片
Player 作恶：恢复阶段提供错误分片

→ 因此单纯 SSS 不够安全，需要 DKG 和 VSS 增强。

3.2 分布式密钥生成（DKG）

目标：不需要 Dealer（中心化分发者），每个参与方自己生成秘密并互相分享。

关键特点：

完整私钥从未在任何单一实体中出现
实际使用中采用 VSS（可验证秘密分享） 代替 SSS，防止作弊
采用 Feldman's VSS 方案

3.3 从 2-2 到 2-n 的扩展

创新点：基于拉格朗日插值权重，将 Lindell 17 的 2-2 方案扩展到 2-n。

群体私钥定义

Lindell 17 原始： $x = x_{1} \times x_{2}$
扩展： $x = x_{1} + x_{2}$ （便于扩展到多方）

权重计算

假设多项式 $y = 1 + 2 x$ ，群体私钥 = 1

三个点 $(1, 2)$ 、 $(2, 3)$ 、 $(3, 4)$ ，取任意两点计算权重：

$w_{1} = y_{1} \cdot L_{1} (0) = 2 \cdot \frac{0 - 2}{1 - 2} = 4$
$w_{2} = y_{2} \cdot L_{2} (0) = 3 \cdot \frac{0 - 1}{2 - 1} = - 3$
验证： $w_{1} + w_{2} = 4 + (- 3) = 1$ = 群体私钥 ✅

一句话总结：已知直线上两点，通过拉格朗日权重计算出两个值，其和等于 y 轴截距（群体私钥）。

3.4 阈值签名（与 ECDSA 对比）

步骤	标准 ECDSA	阈值签名（2方）
1. 公钥 Q	生成私钥 $x$ ， $Q = x \cdot G$	$x = x_{1} + x_{2}$ ，通过 DH 密钥交换计算 $Q$
2. 混淆密钥 k	随机生成 $k$	P1 生成 $k_{1}$ ，P2 生成 $k_{2}$ ， $k = k_{1} \times k_{2}$
3. 混淆公钥 R	$R = k \cdot G$	通过 DH 交换计算群体 $R$
4. 计算 r	$r = R_{x} mod n$	同 ECDSA
5. 计算 s	$s = k^{- 1} (H (m) + r \cdot x)$	使用 Paillier 同态加密协作计算

Paillier 同态加密

核心特性（加同态）：仅已知公钥和两个加密消息 $E (m_{1})$ 和 $E (m_{2})$ ，不解密即可计算出 $E (m_{1} + m_{2})$ 。

群体签名计算公式：

s = (k_{1} \cdot k_{2})^{- 1} \cdot (H (m) + r \cdot (x_{1} + x_{2})) mod n

展开后：

s = (k_{2}^{- 1} \cdot H (m) + r \cdot k_{2}^{- 1} \cdot (x_{2} + x_{1})) \cdot k_{1}^{- 1} mod n

P2 将部分计算结果用 Paillier 加密发给 P1，P1 利用同态性质完成最终计算。

验签

签名结果与 EOA 完全一致，因此验签无差别。

注意：MPC 签名中临时密钥 $k$ 使用不确定性随机算法（而非 RFC6979），导致相同数据每次签名结果不同。这对某些 L2（如 dYdX）会有影响。

3.5 备份与恢复

云恢复

当用户设备的 share2 丢失，使用 share1 + share3 恢复：

通过拉格朗日插值计算缺失的 share2：

f (x_{2}) = y_{1} \cdot \frac{x_{3} - x_{2}}{x_{3} - x_{1}} + y_{3} \cdot \frac{x_{2} - x_{1}}{x_{3} - x_{1}}

三个点的横坐标是 MPC 协议预定义的常量。

逃逸

使用拉格朗日插值恢复完整私钥 $f (0)$ ：

f (0) = y_{1} \cdot \frac{0 - x_{2}}{x_{1} - x_{2}} + y_{2} \cdot \frac{0 - x_{1}}{x_{2} - x_{1}}

四、安全架构

4.1 三层安全保障

4.2 Share1 鉴权

所有与服务端的交互均携带鉴权 token，每次请求先过用户中心。

4.3 传输安全

端内存有 RSA 公钥，服务端存有对应 RSA 私钥
端内生成随机 AES key，用 RSA 公钥加密后发送给服务端
服务端解密后暂存 AES key
后续通信均用此 AES key 对称加密

先非对称、再对称——兼顾安全性和性能。

4.4 计算安全：TEE

使用 AWS Nitro Enclaves 可信执行环境：

操作	流程
加密存储	share1 在 Enclave 内生成 → 调用 KMS 生成 data key → 用 data key 加密 share1 → 加密的 share1 + 加密的 data key 存入 DB
解密使用	从 DB 取出 → 将 data key 发送到 KMS 解密 → 在 Enclave 内解密 share1

关键：share1 的加密和解密全程在 TEE 内完成，外部无法访问。

五、总结与展望

技术总结

维度	方案
门限方案	Lindell 17 扩展到 2-of-n
密钥生成	DKG + Feldman's VSS
门限签名	拉格朗日权重 + DH 交换 + Paillier 同态加密
传输安全	RSA + AES 混合加密
计算安全	AWS Nitro Enclaves

当前问题

用户量较少，接入新链开发成本高
部分用户质疑中心化服务安全性
Web3 用户已接受助记词/私钥概念，MPC 对他们是"伪需求"
交互触发验证，影响体验

未来方向

MPC 技术积累可复用于新场景，如（底层 MPC + 上层 AA 方案，用户无感创建钱包）。

MPC 钱包技术实现 ​

一、概述 ​

1.1 什么是 MPC 钱包？ ​

1.2 为什么需要 MPC 钱包？ ​

1.3 行业发展 ​

二、产品功能 ​

2.1 功能总览 ​

2.2 各功能说明 ​

三、技术原理 ​

3.1 Shamir 秘密分享（SSS） ​

核心原理 ​

举例（银行卡密码） ​

SSS 的缺点 ​

3.2 分布式密钥生成（DKG） ​

3.3 从 2-2 到 2-n 的扩展 ​

群体私钥定义 ​

权重计算 ​

3.4 阈值签名（与 ECDSA 对比） ​

Paillier 同态加密 ​

验签 ​

3.5 备份与恢复 ​

云恢复 ​

逃逸 ​

四、安全架构 ​

4.1 三层安全保障 ​

4.2 Share1 鉴权 ​

4.3 传输安全 ​

4.4 计算安全：TEE ​

五、总结与展望 ​

技术总结 ​

当前问题 ​

未来方向 ​