Cảnh báo rủi ro: Đề phòng huy động vốn bất hợp pháp dưới danh nghĩa 'tiền điện tử' và 'blockchain'. — Năm cơ quan bao gồm Ủy ban Giám sát Ngân hàng và Bảo hiểm
Thông tin
Khám phá
Tìm kiếm
Đăng nhập
简中
繁中
English
日本語
한국어
ภาษาไทย
Tiếng Việt
BTC
ETH
HTX
SOL
BNB
Xem thị trường
Giải thích toàn diện về ví mà không cần các từ dễ nhớ: đưa người dùng Web2 vào Web3
星球君的朋友们
Odaily资深作者
2022-11-18 14:20
Bài viết này có khoảng 7070 từ, đọc toàn bộ bài viết mất khoảng 11 phút
Ví không cần ghi nhớ là một bước tiến quan trọng để phổ biến Web3.

Tác giả gốc: Chen Li, Ivy Zeng, Ivo Entchev

Nguồn gốc: Youbi Capital

Đối với những người dùng Web2 mới sử dụng Web3, trải nghiệm lần đầu tiên (nói một cách nhẹ nhàng) là không mấy dễ chịu. Ví EOA truyền thống cần trải qua một loạt các quy trình phức tạp và cồng kềnh như tạo ví, quản lý khóa riêng và lưu trữ các từ ghi nhớ. Ví thế hệ tiếp theo không có từ ghi nhớ cố gắng giải quyết điểm khó khăn này bằng cách trừu tượng hóa các khóa riêng tư và từ ghi nhớ. Chỉ mất vài cú nhấp chuột để đăng nhập bằng các tài khoản xã hội Web2 thường được sử dụng để đạt được quy trình đăng nhập quen thuộc hơn. Do đó, ví ghi nhớ là một bước tiến quan trọng để phổ biến Web3.

Một cách để các nhà cung cấp ví triển khai ví không cần ghi nhớ là một giải pháp lưu ký tài khoản tập trung hoàn toàn. Tuy nhiên, điều này đi ngược lại mục đích ban đầu của các ứng dụng Web3. Giải pháp phù hợp không nên đánh đổi bằng việc người dùng mất quyền sở hữu tài khoản của họ và quyền tự quản lý để đạt được sự tiện lợi của việc trừu tượng hóa. Thay vào đó, một sự cân bằng thích hợp nên được thực hiện giữa hai dựa trên nhu cầu của người dùng.

Chúng tôi đang ở điểm uốn đưa người tiêu dùng Web2 đến Web3. Quá trình đăng nhập sẽ rất quan trọng trong giai đoạn tăng trưởng tiếp theo. Do đó, điều quan trọng là tạo trải nghiệm quản lý tài khoản và đăng nhập phù hợp với đặc tính phi tập trung của Web3, nhưng cũng có sự tiện lợi và khả năng tương tác của Web2.

tiêu đề cấp đầu tiên

Đánh đổi: Quản lý khóa không có khóa ghi nhớ VS tự quản lý

Tất cả các lần lặp lại gần đây của các sản phẩm ví có thể được phân tích bằng cách theo đuổi hai tính năng chính nhưng đan xen với nhau: quản lý khóa ít ghi nhớ và tự quản lý. Quản lý khóa ghi nhớ là nền tảng để đưa người dùng mới vào Web3 một cách liền mạch. Điều này có nghĩa là người dùng không cần cụm từ gốc hoặc khóa riêng tư để đăng nhập vào tài khoản của họ trong môi trường mới. Do đó, quy trình nhập cảnh và quản lý tài khoản của họ được trừu tượng hóa, tương tự như Web2.

Về mặt kỹ thuật, sự trừu tượng hóa này đạt được bằng cách nhà cung cấp ví ủy quyền các quyền của tài khoản khách hàng cho máy chủ hoặc bên thứ ba. Ví dụ: Magic Link yêu cầu người dùng được ủy quyền (chính thức) để truy cập các khóa mã hóa và giải mã chúng bằng khóa chính (được bảo vệ bởi dịch vụ ký quỹ tập trung HSM trên AWS). Các phương pháp khác cho phép phân quyền nhiều hơn bằng cách giảm nguy cơ lộ toàn bộ khóa bằng cách chia khóa riêng thành nhiều phần và lưu trữ chúng ở các vị trí khác nhau. Rõ ràng, người dùng cần phải đánh đổi giữa việc không có khóa riêng và các tính năng tự quản lý, điều này rất quan trọng (nếu không muốn nói là hoàn toàn bất khả xâm phạm) đối với nhiều người dùng tiền điện tử và vì lý do chính đáng. Khi các dịch vụ ví dựa vào bên thứ ba, các bên thứ ba đó có quyền kiểm duyệt các giao dịch và thậm chí chiếm đoạt tài sản. Họ có thể phải chịu sự điều chỉnh và can thiệp của chính phủ. Các dịch vụ ví phụ thuộc nhiều vào các nhà cung cấp dịch vụ cũng có nhiều khả năng bị gián đoạn trong trường hợp xảy ra sự cố hoặc tấn công độc hại.

tiêu đề cấp đầu tiên

Tìm số dư phù hợp: So sánh các ví ghi nhớ hiện có

Dựa trên khuôn khổ trên, chúng tôi đã điều tra một số ví đại diện không có từ dễ nhớ và phân tích chúng theo mức độ tự giám sát và các yếu tố liên quan khác. Những ví này là:

MagicLink,Web3Auth,Particle Network,Sequence,UniPass

Mô tả hình ảnh

Hình 1: Ứng dụng điện toán đám mây, MPC và hợp đồng thông minh trong thiết kế ví

Các ví EOA như Metamask, Imtoken và Phantom là những ví độc lập và bản địa hóa nhất, và tất nhiên là cồng kềnh nhất để sử dụng. Người dùng cần tìm hiểu cách giữ an toàn cho các cụm từ gốc hoặc khóa cá nhân và cách sử dụng chúng để nhập tài khoản vào thiết bị mới. Địa chỉ tài khoản được lấy từ khóa riêng tư. Nếu khóa riêng tư bị mất hoặc bị đánh cắp, địa chỉ tài khoản sẽ bị khóa vĩnh viễn hoặc không thể truy cập được.

Giải pháp thay thế tức thời nhất là sử dụng dịch vụ lưu trữ. Chẳng hạn như Magic Link. Người quản lý chỉ có thể cấp quyền truy cập tài khoản qua email hoặc đăng nhập mạng xã hội. Tuy nhiên, sự tiện lợi của dịch vụ ký quỹ thường đi kèm với rủi ro bảo mật chính và rủi ro tập trung.

Các cách tiếp cận phức tạp hơn thường liên quan đến MPC (SSS, TSS), chẳng hạn như Web3Auth và Particle Network. Bằng cách chia khóa thành nhiều phần, thông tin đăng nhập phải được xác thực bởi nhiều người nắm giữ khóa, phân cấp quản trị và giảm rủi ro tập trung hóa.

Ngoài ra, cũng có những người thành công khi kết hợp hợp đồng thông minh với MPC, giới thiệu logic quản lý tài khoản, cho phép người dùng xây dựng lại hoặc đặt lại khóa chính do MPC quản lý và giảm hơn nữa rủi ro tập trung. Cốt lõi của logic quản lý tài khoản là lựa chọn cái gọi là người giám hộ để đạt được khả năng tùy chỉnh sâu và loại bỏ sự phụ thuộc vào nhà cung cấp dịch vụ ví hoặc người giám hộ cụ thể.

Ngoài việc giải quyết sự đánh đổi giữa quản lý khóa không cần cụm từ và tự quản lý, các ví không cần cụm từ này cũng có thể được đánh giá trên sáu khía cạnh của trải nghiệm người dùng.

Phí gas:Phí gas được tạo trên chuỗi để tạo tài khoản hợp đồng thông minh (phí gas cho việc sử dụng thường xuyên gần bằng ví EOA)

Độ trễ: thời gian cần thiết cho quá trình tạo và nhập (ví dụ: ví hợp đồng thông minh thường mất nhiều thời gian hơn do quy trình trực tuyến)

Dễ dàng thay đổi thiết bị:Chuyển đổi mượt mà sang môi trường hoặc thiết bị mới

sự an toàn:Sự tồn tại của một điểm lỗi duy nhất, bao gồm cả việc bất kỳ bên nào, chẳng hạn như nhà cung cấp dịch vụ hoặc giao diện người dùng tích hợp, có khả năng để lộ, tái tạo hoặc đặt lại toàn bộ khóa hoặc thông tin xác thực để có toàn quyền kiểm soát tài khoản

lưu trữ:Tính khả dụng của dịch vụ và khả năng chống kiểm duyệt (tức là sự phụ thuộc của dịch vụ vào nhà cung cấp dịch vụ và liệu người giám sát có thể truy cập hoặc đóng băng tài khoản của khách hàng hay không)

Tính năng:Khả năng triển khai logic quản lý tài khoản bổ sung (ví dụ: phí nạp gas, đa chữ ký, chữ ký được ủy quyền)

tiêu đề cấp đầu tiên

Magic Link (ví EOA được lưu trữ)

Magic Link là một ví ít từ hạt giống hỗ trợ đăng nhập email và mạng xã hội. Sau khi được Magic Link ủy quyền, khách hàng có thể tải xuống bản sao khóa cá nhân của họ từ người quản lý khi họ đăng nhập vào tài khoản của mình trên một thiết bị mới, do đó tránh được việc lưu và sử dụng cụm từ dễ nhớ. Magic Link thuê ngoài phiên bản mã hóa của khóa riêng cho AWS HSM để phục vụ khách hàng trực tiếp nên Magic Link không lưu trữ khóa riêng ở dạng văn bản thuần túy.

Mô tả hình ảnh

Hình 2: Magic Link (Dịch vụ quản lý khóa AWS)

Mô tả hình ảnh

Hình 3: Đánh giá của chúng tôi về Magic Link

Phí gas:Thấp vì đó là ví EOA

Trì hoãn:Thấp, giống như Metamask

Thiết bị thay thế:Thật dễ dàng, khóa riêng tư được chuyển sang thiết bị mới bằng mã thông báo truy cập (Email/OAuth).

sự an toàn:Thấp. điểm thất bại duy nhất. Khóa riêng đầy đủ được hiển thị ở giao diện người dùng

Không được quản lý:Thấp. Phụ thuộc nhiều vào các máy chủ xác thực, dẫn đến tính khả dụng của dịch vụ kém và khả năng chống kiểm duyệt yếu

Tính năng:tiêu đề cấp đầu tiên

Web3Auth (Ví EOA được lưu trữ phân tán)

Web3Auth, nhà cung cấp dịch vụ ví phổ biến, cũng hỗ trợ đăng nhập xã hội, cho phép người dùng kết nối thông qua tài khoản xã hội để xác thực bản thân trong các ứng dụng khác nhau. Đã có nhiều ứng dụng Web2 và Web3 tích hợp Web3Auth, chẳng hạn như Chess.com, Opensea và Skyweaver. Không còn nghi ngờ gì nữa, đăng nhập xã hội là một hình thức xác thực hấp dẫn, nếu không muốn nói là liền mạch nhất cho bất kỳ ứng dụng hướng tới người dùng C-end nào.

Tuy nhiên, giống như Magic Link, quy trình đăng nhập mạng xã hội yêu cầu máy chủ tạo yêu cầu đăng nhập và ký yêu cầu đó bằng khóa ứng dụng, vì vậy quy trình này phải được tập trung. Mặc dù hợp đồng thông minh có thể xác minh chữ ký bằng cách sử dụng khóa công khai được tiết lộ cho máy chủ ủy quyền, nhưng đây không phải là quy trình thân thiện với người dùng cuối.

Để giảm rủi ro, Web3Auth thêm các khóa khác vào khóa OAuth, sau đó yêu cầu nhiều khóa ký tên cùng nhau để tạo lại khóa hoàn chỉnh. Khi người dùng đăng nhập vào tài khoản xã hội của họ (chẳng hạn như Gmail/Twitter) lần đầu tiên, theo cách phi tập trung, ba phân đoạn chính được tạo thông qua Chia sẻ bí mật Shamir (SSS), sau đó được lưu trữ riêng. Đây là cách các mảnh này được lưu trữ:

  • Chia sẻ thiết bị: Được tạo và lưu trữ trên thiết bị của người dùng, được tạo lại mỗi khi họ đăng nhập trên thiết bị mới

  • Phân đoạn đăng nhập OAuth: được tạo trên máy chủ OAuth, sau đó được chia nhỏ và lưu trữ trong mạng nút và sẽ chỉ nhận được một lần khi mã OAuth được xác minh

  • Mô tả hình ảnh

Hình 4: Web3Auth (Shamir Secret Sharing, đăng nhập mạng xã hội)

Hiện tại, cả phân đoạn OAuth và phân đoạn thay thế đều được kiểm soát bởi Web3Auth thông qua mạng Auth và hai phân đoạn này được sử dụng để tạo lại khóa riêng tư đầy đủ. Trong các dịch vụ tích hợp Web3Auth, chẳng hạn như Opensea và Sequence, người dùng có thể trực tiếp xác thực danh tính của họ và đăng nhập vào ứng dụng thông qua tài khoản xã hội mà không cần bất kỳ yêu cầu nào khác, điều này khiến Web3Auth trở thành người quản lý tài khoản duy nhất.

Mô tả hình ảnh

Hình 5: Đánh giá của chúng tôi về Web3Auth

Phí gas:Thấp. Không phải là ví hợp đồng thông minh

Trì hoãn:Thấp. đăng nhập ngay lập tức

Thiết bị thay thế:Đơn giản. Đăng nhập xã hội và mật khẩu, hoặc chỉ đăng nhập xã hội

sự an toàn:Thấp. người giám hộ duy nhất. Khóa riêng được hiển thị hoàn toàn ở giao diện người dùng

Không được quản lý:Thấp. Dịch vụ này phụ thuộc nhiều vào Web3Auth và không có khả năng chống lại sự kiểm duyệt

Tính năng:Thấp. Không phải là ví hợp đồng thông minh

tiêu đề cấp đầu tiên

Particle Network (ví EOA lưu ký phân tán)

Particle Network là một dịch vụ ví khác có tính năng đăng nhập bằng email hoặc mạng xã hội và sử dụng thuật toán dựa trên 2/2 MPC-TSS. Có hai bên trong quá trình tạo khóa, khách hàng và quan chức, những người cùng nhau tính toán khóa chung và mỗi bên giữ một khóa riêng. Chỉ phía khách hàng mới có thể bắt đầu quá trình ký kết.

Mô tả hình ảnh

Hình 6: Mạng hạt (MPC-TSS, đăng nhập mạng xã hội)

Thuật toán đa chữ ký TSS an toàn hơn SSS, vì thuật toán này sẽ không để lộ khóa riêng tư hoàn chỉnh trong toàn bộ quá trình. Tuy nhiên, trong sơ đồ 2/2 TSS, việc mất bất kỳ phần nào trong số hai phần của khóa sẽ không thể khôi phục được, điều này khiến tài khoản có nguy cơ bị khóa vĩnh viễn cao hơn.

Mô tả hình ảnh

Hình 7: Đánh giá của chúng tôi về Particle Network

Phí gas:Thấp, không phải là ví hợp đồng thông minh.

Trì hoãn:Thấp, 2/2 MPC rất hiệu quả.

Thiết bị thay thế:Đơn giản, gửi email OTP hoặc đăng nhập mạng xã hội

sự an toàn:Trung bình, khóa riêng tư đầy đủ không tồn tại và cũng không bao giờ bị lộ. Xác minh đăng nhập xã hội vẫn tập trung

Không được quản lý:Thấp. Phía máy chủ có thể tạm dừng dịch vụ hoặc kiểm duyệt giao dịch.

Tính năng:Thấp. Không phải là ví hợp đồng thông minh

Thử nghiệm của chúng tôi về ví Particle Network là tạihttps://wallet.particle.networktiêu đề cấp đầu tiên

Sequence (ví hợp đồng thông minh ký quỹ phân tán)

Sequence là ví hợp đồng thông minh đa chữ ký hỗ trợ cả đăng nhập email hoặc mạng xã hội bằng cách ủy thác một trong ba khóa cho Web3Auth. Nó cho phép các nhà phát triển linh hoạt hơn trong việc quản lý bảo mật tài khoản. Ngoài ra, với tư cách là ví hợp đồng thông minh, Sequence hỗ trợ thiết lập logic bổ sung trong các trường hợp sử dụng khác nhau để cải thiện trải nghiệm người dùng. Hiện tại, một số trò chơi và ứng dụng Web3 đã áp dụng Sequence.

Ví Sequence hiện được bảo mật bằng ba khóa riêng đủ để tạo ra trọng lượng đa số nhằm giành toàn quyền kiểm soát tài khoản: khóa phiên, khóa gardian và khóa Torus.

  • Khóa phiên được lưu trữ trong IndexedDB của trình duyệt.

  • Các khóa Guardian được giữ trên Horizon (Sequence Server).

  • Mô tả hình ảnh

Hình 8: Trình tự (hợp đồng thông minh, SSS)

So với Web3Auth, Sequence thêm tùy chọn lưu trữ phi tập trung hơn nữa cho nhà phát triển hoặc khách hàng. Hiện tại, Sequence cho phép người dùng gọi trực tiếp các khóa Torus và khóa người giám hộ bằng tài khoản xã hội của họ khi đăng nhập vào một thiết bị mới để giảm ma sát và cải thiện trải nghiệm người dùng.

Mô tả hình ảnh

Hình 9: Đánh giá của chúng tôi về Sequence

Phí gas:thấp-trung bình

Trên Ethereum: 270 nghìn gwei là khoảng 5-12 đô la (Giá gas là 15-30 gwei, ETH là 1500 đô la) để tạo tài khoản.

Trên Polygon: $0,0068-0,015 (Giá gas 47 gwei, MATIC là $0,9) để tạo tài khoản

Trì hoãn:Trung bình, thường mất 15 giây cho lần đăng nhập đầu tiên, 10 - 20 giây cho lần đăng nhập mạng xã hội

Thiết bị thay thế:Đơn giản. đăng nhập xã hội

sự an toàn:Thấp. điểm thất bại duy nhất. Trong quá trình triển khai hiện tại, chỉ có khóa Torus là đủ để đăng nhập

Không được quản lý:Thấp. Trong quá trình triển khai hiện tại, chỉ có khóa Torus là đủ để đăng nhập

Tính năng:tiêu đề cấp đầu tiên

UniPass (Ví hợp đồng thông minh giám sát thụ động được phân phối)

UniPass cũng là một ví hợp đồng thông minh được xây dựng trên quản lý khóa MPC. Nó kế thừa tất cả các chức năng tuyệt vời của hợp đồng thông minh và ví MPC. So với Sequence, nó sử dụng khóa miền (DKIM) của email gardian để xác thực yêu cầu đặt lại thay vì sử dụng khóa gardian và khóa xã hội. Người dùng có thể chỉ cần gửi email từ tài khoản email được thiết lập trước của họ để đặt lại khóa chính.

Cơ chế đặt lại dựa trên DKIM là: người dùng gửi email ở một định dạng nhất định, nội dung chứa địa chỉ email được băm và ký bởi DomainKeys, sau đó bất kỳ dịch vụ RPC nào được sử dụng để phát giá trị băm đã ký để gọi đặt lại hợp đồng thông minh chức năng. Xác minh chữ ký khóa miền của các email giám hộ trên chuỗi, như thể hiện trong Hình 10.

Mô tả hình ảnh

Hình 10: Khôi phục UniPass DKIM

Trong thiết kế này, vẫn có thể coi email của người giám hộ (email gardian) đóng vai trò là người giám sát, nhưng điều này mang tính thụ động, vì không có nhà cung cấp dịch vụ cụ thể nào trong toàn bộ quá trình và không có rủi ro bị xem xét. Phương pháp này giúp giảm đáng kể nguy cơ nhà cung cấp dịch vụ bị tấn công bởi các cuộc tấn công độc hại bên trong hoặc bên ngoài và giảm khả năng nhà cung cấp dịch vụ lưu trữ bị kiểm duyệt. Quyền truy cập vào tài khoản không chỉ được bảo vệ bởi môi trường bảo mật của dịch vụ email mà còn vô hình với thế giới bên ngoài (liên kết giữa địa chỉ email và tài khoản được mã hóa bằng công nghệ zk và không ai biết hộp thư tương ứng với cái gì ví của bạn là).

Mô tả hình ảnh

Hình 11: Quá trình đăng nhập UniPass 2/2 MPC-TSS

Mô tả hình ảnh

Hình 12: Đánh giá của chúng tôi về Unipass

Phí gas:thấp đến trung bình. Chi phí tạo tài khoản trên Polygon: 80k-130k wei là $0,0033-$0,005 (Giá gas là 15-30 gwei, giá MATIC là $0,9)

Trì hoãn:trung bình

Thiết bị thay thế:trung bình. Email OTP + Mật khẩu. Người dùng không thể chỉ cần nhập tài khoản thông qua đăng nhập xã hội

sự an toàn:cao. Tin tặc cần bẻ khóa hai email (mối quan hệ giữa địa chỉ và email được ẩn bởi zk-tech) để vào tài khoản của khách hàng, điều này gần như là không thể.

Không được quản lý:trung bình. Tính sẵn sàng của dịch vụ cao, ngay cả khi UniPass chính thức ngừng dịch vụ, khách hàng vẫn có thể truy cập vào ví của họ; không quan sát thấy ký quỹ.

Tính năng:tóm tắt

tóm tắt

Mô tả hình ảnh

liên kết gốc

liên kết gốc

Web3.0
cái ví
Chào mừng tham gia cộng đồng chính thức của Odaily
Nhóm đăng ký
https://t.me/Odaily_News
Nhóm trò chuyện
https://t.me/Odaily_CryptoPunk
Tài khoản chính thức
https://twitter.com/OdailyChina
Nhóm trò chuyện
https://t.me/Odaily_CryptoPunk
Bài viết đề xuất
GIGGLE đã trải qua một hành trình đầy thăng trầm; ai là người phải chịu trách nhiệm cho sự sụp đổ đột ngột của hệ sinh thái BSC?
Diễn đàn Tài sản kỹ thuật số Hồng Kông năm 2025 đã kết thúc thành công và Ethereum HK Hub do SNZ khởi xướng đã được ra mắt.
GMPayer: Trung tâm thanh toán x402 chuỗi chéo dành cho các tác nhân AI
Tóm tắt AI
Trở về đầu trang
Ví không cần ghi nhớ là một bước tiến quan trọng để phổ biến Web3.
Thư viện tác giả
星球君的朋友们
$PING tăng gấp 8 lần chỉ trong một ngày. Liệu câu chuyện về x402 có lặp lại "cơn sốt chữ khắc"?
Psy Protocol chính thức ra mắt mạng thử nghiệm công khai, kết hợp quy mô và tốc độ cấp độ Internet với bảo mật cấp độ Bitcoin
Phân tích độc quyền | Giải mã chiến lược nền tảng đằng sau khoản lợi ích 100 triệu đô la của LBank
Bảng xếp hạng bài viết nóng
Daily
Weekly
Nếu tình trạng này tiếp diễn, sẽ không còn ai giao dịch tiền điện tử nữa.
Nếu tình trạng này tiếp diễn, sẽ không còn ai giao dịch tiền điện tử nữa.
Sách trắng Bitcoin kỷ niệm 17 năm: Nửa biển, nửa lửa
Tại sao chúng ta vẫn cần Bitcoin sau 17 năm?
Tháo rời toàn bộ: X402 muốn khắc phục "khoảng cách thanh toán" trên internet, nhưng lại rơi vào cái bẫy cũ.
Gate Research: BTC phục hồi và ổn định từ mức thấp, chủ đề về vốn hóa vừa và nhỏ trở nên sôi động, các lĩnh vực riêng tư và AI trở thành trọng tâm đầu tư.
Tải ứng dụng Odaily Nhật Báo Hành Tinh
Hãy để một số người hiểu Web3.0 trước
IOS
Android