從Multichain事件看多方計算錢包的正確管理方式

近期，某跨鏈協議的CEO被警方帶走，導致其全球團隊無法聯繫，且多方計算節點服務器的操作訪問密鑰被撤銷。這一事件揭示了該協議運營異常的原因，同時也引發了一個重要問題：爲何採用了多方計算技術仍面臨如此風險？

答案其實很簡單，該協議雖然使用了多方計算技術管理資金，但技術的去中心化並不等同於管理的去中心化。真正的去中心化需要在技術應用和管理方式上達成統一。

類似的案例並不少見。比如，比特幣是去中心化的，但如果一個礦工壟斷了全部算力，那麼算法的去中心化就失去了意義；以太坊也是去中心化的，但其創始人仍在強調分布式驗證技術的重要性，以避免中心化趨勢出現。

進一步了解公告細節可以發現，該協議出現問題的根源在於所有節點服務器實際上都在CEO的個人雲服務器帳戶下運行。這種節點服務的集中化與單一礦工壟斷全部算力在本質上是相同的，相當於CEO使用單一籤名錢包控制所有資產。因此，該協議的問題在於CEO不應掌控所有多方計算分片，且未提供極端情況下的備份解決方案。

那麼，如何才能充分發揮多方計算技術的特性呢？主要有以下三點：

1. 提高透明度，防範利益衝突；
2. 嚴格遵循去中心化的保管方式，避免權力過度集中；
3. 制定應對極端情況的預案。

利益衝突防範：拒絕不透明操作

在此次事件中，某公鏈也受到了嚴重影響。該公鏈創始人在論壇表示，之前得到了許多關於服務器去中心化、訪問和地理位置分布的保證。然而事後證明，這些保證並未兌現，而該公鏈方面也未能或無法驗證，選擇了簡單信任，最終遭受連帶損失。

可以看出，該跨鏈協議的多方計算方案實質上是一個"黑箱"。出現這種"黑箱"的原因是該協議既是服務的構建者，又是服務的使用者，這種角色的重合inevitably帶來了不透明性和潛在的作惡空間。解決這個問題的方法是引入一個完全中立、不存在利益衝突的第三方主體，即使用具備足夠公信力的第三方多方計算服務，而非自建服務。

利益衝突在Web3領域普遍存在，例如某些中心化交易所同時承擔了提供交易服務和替用戶保管資產的職能，且可以通過使用這些資金獲利，如參與鏈上挖礦、做市或投資。

回到本次事件，如果該跨鏈協議使用的是具備足夠公信力的第三方多方計算服務，至少在協議允許的情況下，服務提供商可以爲相關方提供托管方案的信息驗證，從而消除"黑箱"。

去中心化保管：避免單點風險

事後分析表明，CEO的單點風險是此次事件的直接原因。正確的做法應該是確保服務器、訪問和地理位置的分布。

一個理想的多方計算方案應採用3-3多方籤名（也可支持t-n閾值籤名設置），其中兩片由平台協管，通過高強度安全加密和可信執行環境確保安全，三方共同參與才能完成交易籤名，從而避免用戶的單點風險。

此外，由於業務通常是分層級的，因此訪問權限也應該是分層級的。可以採用多級私鑰派生的設計，在便於管理者控制全局的同時，也兼容一線操作人員管理特定權限，避免單點風險導致所有業務流程受阻。

最後，應採用在線異地多活分布式存儲、多級離線冷存儲備份、集成專業機構備份恢復服務等方案，確保最高級別的地理位置分布保證。這一系列機制可以最大程度地避免單點風險導致的資產損失或服務不可用，包括私鑰層面、人員層面和外部環境層面。

制定極端情況下的社交恢復預案

必須承認，沒有任何方案是完美無缺的。確保服務器、訪問和地理位置的去中心化可以解決部分問題，但並非全部。許多風險仍然存在，例如物理世界的不可抗力因素。在無法避免的情況下，我們需要思考當這種極端情況發生時如何應對。

基於此，可以構想一種針對物理世界不可抗力風險的"SOS模式"。這種服務可作爲非標準、可選服務向有需求的用戶提供，並根據實際需求進行定制化設計。除了傳統的私鑰分片外，還會設置若幹個SOS分片，SOS分片將與普通私鑰分片分開管理。

正常情況下，SOS分片不會發揮任何作用。而在特定情況下，SOS分片將被激活，例如緊急情況下私鑰分片管理人手動激活、私鑰分片斷連達到一定時間閾值、SOS分片主動發起緊急事件、按照既定規則的治理投票通過等。激活"SOS模式"後，SOS分片將代替私鑰分片發揮作用，實現緊急情況下的資產轉移或處置。

爲了防止SOS分片持有人作惡，可以增加一些限制條件，如設置"SOS模式"啓動的延遲生效，普通私鑰分片在這期間可以推翻"SOS模式"；或者"SOS模式"緊急轉移資產後設置鎖定期，期間不能進行進一步轉移，以防止資產流失。

通過這些措施，我們可以在充分利用多方計算技術優勢的同時，最大程度地降低各種風險，確保資產的安全和管理的有效性。