- B  C# N& H* q0 S- g! s
写在前面：丢失钱包密码或私钥是加密货币用户经常会遇到的问题，那能否有方法可在最小化信任的同时，恢复丢失的密钥呢？这正是以太坊联合创始人vitalik等人正在探索的一个方向，而他们已编写了一个新的EIP（以太坊改进提案），并将其命名为秘密多重签名恢复（Secret Multisig Recovery）方案。# A' H4 j! D! k' J7 I+ v+ M1 y

8 h- A* i/ |; j. C4 p) i2 z9 i& v1 Y昨日，知名黄金爱好者兼加密货币怀疑者Peter Schiff 在Twitter上声称自己的钱包丢失了密码，因此无法访问自己的比特币。
# x- u; |4 }5 o3 F1 J; ySchiff接着补充说：0 h5 X* \% B2 l( B4 T
6 U4 V1 S. Q( w  L
“所以现在我的比特币在本质上毫无价值，它也没有市场价值。我知道拥有比特币是个坏主意，但我从来没有意识到它是如此糟糕！”; e# Y0 m1 R3 _9 N! S

$ Q0 G7 B$ b7 T3 |4 I& r
* }9 l7 Q4 P6 r: ~( mSchiff在推特上公布自己的损失后，加密货币社区很快展开了讨论，例如Morgan Creek Digital 联合创始人兼合伙人Anthony Pompliano就提问他是否自己忘记了密码，而Schiff对此的回答却是：“是我的钱包忘记了密码。”( f/ H; b4 F( j2 q& |: }& \
看不下去的Pompliano只好耐心解释道：
. z+ L% J8 `9 V* ~; M+ q7 G& m8 o4 u8 L# w  Y
“软件只是执行人类发出的命令，它不能‘忘记’任何事情，给我发邮件吧，我会尽力帮你找回丢失的比特币。”9 J7 ?7 a* Q, _, G0 I
不过根据Schiff的回答，他的比特币基本已无望找回了，他提到说：
6 P3 ^# G* M+ F' F& o
+ i8 L7 k* U  G7 K7 r$ N) v- M“是Eric Voorhees（注：ShapeShift首席执行官）帮我准备的钱包，即便是他也觉得我无能为力。如果你有任何想法，欢迎尝试。”, X5 r- d$ W! w: j6 a. B" A$ Z
' m: B/ a0 C; ~4 r# Q1 M2 }/ e7 m1 B
看到这里，读者可能觉得这是一个非常悲伤的故事，一位加密货币怀疑者好不容易尝试了比特币，结果却因为自己忘记了密码而丢失了它们。而倘若他在多处备份好私钥，那么即使他忘记了钱包密码，也可以通过私钥访问自己的钱包。9 Q; m$ z2 s9 N. W1 }7 }" P. {
当然，也有人会认为这是一个深刻的教训，它提醒我们要开发相关的技术，为类似的人群提供安全保障。
  \+ x, F2 @+ Q0 W1 S( D) Q% @+ j3 `比如以太坊联合创始人vitalik就评论称：
3 u$ e" K4 Y4 `  n% _" H6 U+ V1 _/ R! k" |
“对于人们用‘加密货币就是加密货币，你的工作就是要非常小心地在三个地方写下备份种子’来回答这个问题，我感到失望。我们可以，也应该创造更好的钱包技术，使得安全变得更容易实现。- y* I9 x0 b2 m
例如，这里有一个社交恢复提案：https://t.co/tuSbHhXKgd?amp=1
& G' M( H7 W& _; h" d3 q那V神所说的社交恢复提案具体是指什么呢？" b; t2 H0 {0 A0 ^/ l6 `# |
下面我们就来简单了解一下吧。
6 @0 K, X# m1 H. A+ [4 uEIP 2429：秘密多重签名恢复  m. x: I4 H7 Z* q
作者：Ricardo Guilherme Schmidt（ricardo3@status.im）、Miguel Mota（@Miguel Mota）、Vitalik Buterin（@vbuterin）、naxe（@ngmachado）# M0 F# @2 E! D& u% M8 N7 Y
状态：草案3 A, S& S* u9 p5 a3 x
类别：ERC, }; M+ h2 J4 o% G/ B, W
创建日期：2019-12-07
* M5 W. Z* y6 k要求：EIP （137, 191, 831, 1271, 1344, 2470）
) i2 g  \3 M% j* \; p+ q5 F摘要
$ Z, }4 b, Y. v/ i4 P3 F一般来说，加密货币的一个糟糕体验是私钥丢失或暴露，这可能导致不可逆转的情况。( W; J4 q$ m5 |
社交恢复被视为账户合约去中心化恢复的一种选择，然而社交恢复的使用，带来了人的因素，而人的因素通常是安全系统脆弱性的主要原因。& v' f% }: ]& Y/ b+ {8 x
社交恢复的主要风险是：
' q' {2 o4 J) F8 A& L$ n合谋：如果一些用户知道他们是某个恢复的一部分，他们可能会对恢复攻击的执行感兴趣；目标攻击：外部代理可能了解恢复的所有者，并瞄准执行恢复攻击所需最薄弱的点；一般暴露：攻击者如果设法感染大型用户基础环境依赖项，并获得对多个身份的访问权限，也可能通过恢复对未受影响的用户产生副作用；模拟攻击：针对性攻击可以了解用户的情况，并将该用户模拟到其社交对等方以执行恢复攻击。这变得更加令人关注，因为AI研究能够“深度伪造”其他人的声音和面部动作。
0 V: u$ v' T% ~+ Q& a: u
# h! f) |9 a% c; Z$ E7 G尽管还没有完美的解决方案来解决所有这些问题，但我们的目标是实现“信任最小化”控制者合约，并为用户可能使用的不同钱包启用互操作性。# f0 o3 `7 ^% V$ J9 h
据悉，该标准提出了一种定义存储在Melkle树中的地址列表方法，这些地址连同它们的权重和用户的个人秘密，将组成一个秘密集，而该秘密集可以在不直接危及用户的情况下公开，因为它仍然需要对地址列表中的总阈值进行人工验证。
( R2 `9 g3 c4 E" L- ^该秘密集可以保存，例如存储在web2云存储当中，而不会严重影响安全性，这对于一些不信任自己，但也不希望信任某些特定实体的用户而言是非常有用的。
: ^& i; H( T' w8 r2 X; N" _用户秘密永远不会在链中显示，显示的只是一个nonce哈希，每次恢复时它都会增加。恢复设置获取此哈希秘密nonce的哈希值的哈希值（hash of a hash），这种双哈希方法被用于数学证明请求恢复的人知道该秘密，而不会泄露它。. R; h" Q0 T7 Q( w- n! N: p# A
根据提案，用户可通过提供秘密（user_secret_data）以及加权地址列表（address_list）来配置恢复。. R! G2 U% C# o( V- ~6 p6 T
user_secret_data可以是用户可猜测的半私有信息。而user_secret_type是可选的随机大整数，并将其与address_list一起导出为private_hash 。
2 X. ~# E) W2 L7 E( U  x) t+ L地址列表的总权重必须大于阈值，而阈值是一个常数：THRESHOLD = 100 * 10^18。+ l! E6 x3 T6 S) I; e
而标准定义了生成可预测用户秘密的几种方法。8 f0 f8 {7 W+ B2 u% N2 h# E

1 }5 G: R! H, t8 D2 u3 s当生物识别（biometrics，例如指纹、面部和瞳孔）技术可用时，应该使用它们，这是最简单的方法。8 I7 o( R6 ^. b2 X- A

: \1 Q& r; E/ z而当没有生物识别技术时，一组通常只有用户知道的诸多问题的标准表单，可被用于生成用户的秘密数据。所有可选的默认字段有：Full Name（全名）、Birth Date（生日）、Mother Name（母亲名字）、Mother Birthdate（母亲生日）、Nationality（国籍）、First Love’s Name（初恋者姓名）、First Pet’s Name（第一只宠物名）、Childhood Nickname（童年昵称）。
8 T2 ^# ]1 h( y2 x) ~1 I
& \2 p% t, S' O而密码派生方法，则类似于详细表单方法，但它只要求用户输入一些内容：Full Name（全名）和Password（密码）。$ i# C. H1 U. ]: p4 L4 k$ d
地址列表" Z, _6 z. b* o2 t* B0 J
用户将定义监护人账户列表，该列表通过用户的联系人列表进行填充。导入选项和输入一个地址应该是很方便的，如图所示：
' ~: t$ X: q0 `  x; O# r; T# s
( {- e; u0 y$ n; o" R  i" a. I选择好监护人后，系统将提示用户定义每个监护人的权重：: v2 Q3 u/ d- |7 X% h

/ r3 {+ |; P' N6 O# U, ~这些地址存储在一个标准的merkle树当中，但是每个子叶必须与hash_to_peer进行哈希运算。/ r3 s3 ^! }$ F/ [" {1 D2 w
merkle_root被哈希为一个标准merkle树，它由keccak256(bytes32(hash_to_peer), uint256(weight), boolean(is_ens), bytes32(ethereum_address))格式的address_list 子叶组成。
/ j' G. c' k1 Q- R5 W9 M0 D方案支持了ENS域名，当监护人拥有一个ENS域名时，应该使用ENS域名。根据EIP-137，如果使用了ENS域名，则is_ens必须为“true”。
0 z/ u" a& f2 c7 K8 m  R- R列表中的地址可以是账户合约，如果是账户合约，则可以直接调用审批功能，也可以提供EIP-1271签名。而如果是外部拥有帐户，则应用ecrecover逻辑，但它们也可以直接调用approve函数。8 }; @' `( a! O% `
weight设置此地址值相对于THRESHOLD常量的批准程度。
! b/ u- ]6 d( _# E  n
9 a  `. B0 |4 T用户秘密数据哈希
3 [) T9 h3 Z% v8 \2 g0 D) n& C% B7 B/ _8 g) D
对于多个用户而言，recovery_contract可能是相同的，这是用户正在使用的共享秘密多重签名合约地址；user_secret_data是用户数据的纯格式字节数据，它从不暴露，也不会被保存。当private_hash是未知时，应向用户进行请求；private_hash是keccak256(user_secret_data)，它从不暴露，可以用秘密集导出。这可以在所有恢复中重复使用；merkle_root是通过对普通merkle树进行哈希运算得到的，它在执行时会被揭露；weight_multipler定义要达到THRESHOLD需要乘以多少个单独权重；hash_to_execute是keccak256(private_hash, address(recovery_contract), recovery_contract.nonce(user_address))，它仅在执行时公开，每次恢复都是唯一的，也被称为“显示哈希”。Nonce和恢复合约地址被用于允许重用private_hash；hash_to_peer是keccak256（hash_to_execute），它在恢复授权请求时会公开，其被用于通过揭露public_hash种子来证明用户知道hash_to_execute和merkle_root，这也被称为“部分泄漏哈希”；public_hash是keccak256（hash_to_peer，merkle_root，weight_multiplier），它自配置后就是公开的，只能使用一次，这也用于防止执行的重放。执行成功后，必须使用setup(bytes32,uint256)进行重配置；6 O" g% q  H8 Z6 \; k

. C7 I. X# p7 x2 G% Q- l3 c; t恢复秘密集URL
9 v' Z+ ^; u1 Z# D9 \
8 i/ I7 N0 \) O, Q* p恢复所需的所有信息都将存储在url类型标准中：5 `( |4 R. l0 Q& y
recovery = erc831_part account_contract [ "@" chain_id ] "/" recovery_contract "/" private_hash | secret_type "/" address_list / weight_multipler [ "?" parameters ] [ "#" notes ]
( u8 C# ]1 c7 o* ~- serc831_part = "ethereum:recovery-"! K- c0 ^0 ]2 u
account_contract = ADDRESS
5 r' r8 B$ d6 L6 fchain_id = 1*DIGIT
" G6 y# |' W* o! U: O4 W6 {1 erecovery_contract = ADDRESS' ?  F, Y, C1 Q. [: }5 c
private_hash = "0x" 64*HEXDIG8 z+ X' S7 B: d/ @3 B
secret_type = UINT' l2 A" C1 D/ E  P/ h
address_list = ethereum_address *( ";" ethereum_address )
: n" F( u0 Q0 T5 `* O: Qweight_multipler = UINT8 k: }7 p; d/ z" m, I& l9 X
ethereum_address = ADDRESS / ENS_NAME "*" weight
3 Z2 U7 P0 R! P1 W: ~weight = UINT; v3 m. O& e! |, o7 H2 P: u
ADDRESS = "0x" 40*HEXDIG7 |+ E* |; C) D" V: d; V7 ?# N
parameters = parameter *( "&" parameter )
" @# i/ A9 i& T6 Vparameter = key "=" value
+ H7 L: C) K- M7 o! w2 m5 j7 Zkey = STRING% g9 _+ ?$ l/ J4 k/ w$ ?
value = STRING
% l9 L  ]% j: }- Qnotes = STRING
+ m1 f, K6 M  F1 B. k6 aaccount_contract是指要进行恢复的账户合约，可以使用任何账户合约，因为恢复合约可以执行到任何接口或地址（如常规多重签名）；chain_id为所有地址定义了以太坊链，如果不存在，则预设为1（主网）；recovery_contract 执行恢复合约的逻辑，必须支持此文档中指定的ABI；secret_type选择生成user_secret_data时使用的标准，在未给定private_hash时是必需的；private_hash是user_secret_data的哈希，如果不存在，恢复将要求使用secret_type所选的标准来获取user_secret_data；weight_multipler 是每个weight将乘以的值，以达到THRESHOLD常数；address_list是具有个人权重的地址列表，最好是另一个帐户合约，表明它们可用于恢复请求，但任何地址都可以帮助恢复。可以使用ENS域名，并在恢复过程中进行解析。总权重应高于THRESHOLD常数；weight默认为Math.ceil(THRESHOLD / address_list.length)，由用户设置自定义；parameters可能需要特定的secret_type；如果需要的话，notes可用于密码提示；
# ]  t# x0 ~5 [6 ^& M% t7 R2 t. k$ }( ^& j
恢复程序) \0 D6 y, `6 d  d9 o  s
当需要恢复时，用户需要将其Recovery Secret Set URL（恢复密钥集URL）加载到支持此标准的电子钱包中。根据配置的不同，当private_hash（私有哈希）不可用时，必须从对用户构成挑战的user_secret_data处生成。1 M0 b2 ]. i% N& W4 ~  n4 m: }1 Y
加载有效的密钥集时，它将提示哪些用户请求帮助。一些钱包或许能自动发送请求，而另一些钱包则允许用户共享这个Help Recover Request URL（帮助恢复请求URL）。' ^: U) C9 k) X! s
该EIP鼓励尽可能使用预签名的消息EIP-191，这一点很重要，因为gas成本是一个常见的障碍。如果监护人选择的地址是帐户合约，则必须是EIP-1271才能使用预签名信息。建议的正常顺序如下：: C* x) J7 O0 p; n& j+ \! d3 X

9 E& O0 {# h! q' J1 \5 g9 L在特殊情况下，如果账户合约无法签署信息，或者用户的钱包无法按照这个EIP上指定的格式签署信息，则也可以通过使用msg.sender的方法执行常规操作。
; R& W; ]0 C  q4 M0 w. j6 R! L在这种情况下，监护人将不得不支付一小部分gas费用。
6 J' B0 u6 ]: x9 Q6 P1 |* ^
; u1 ?6 ~2 p) h7 X8 Z理论基础. s8 i/ C! i2 d8 e3 @
user_secret_data从不公开，在用keccak256算法进行哈希运算一次后，它就成为从不公开的private_hash。理论上，应该使用生物特征技术，因为用户不太可能丢失他们的生物特征。而生物特征通常是不安全的，因为它们并不是真正的秘密，任何高分辨率相机实际上都可以读取大多数生物特征，而且这些信息通常也为政府所知。( K& N( k0 x/ {( u
当生物特征不可用时，用户数据表单仍然提供相当好的安全性，因为合约中存储的哈希是离源数据非常远的加盐（salted ）哈希，即使只有名字被用作user_secret_data，也是很难发现的。这些数据越不可预测，就越能抵御目标攻击，而目标攻击仍需要发现用户列表并接收足够的授权。
2 g; e2 E9 U$ d在成功执行之后，需要重新配置以实现安全性保障。在经历一次恢复后，恢复合约必须禁用自身，并等待新的配置。* j1 h2 c- Y% p1 h+ z2 W5 c
可能存在的攻击
) `- B5 e+ k9 ?7 B  Q需要注意的是，支持此EIP的钱包，应考虑用户可能被请求帮助恢复其他账户，而请求可能来自任何知道secret_set的人，包括合法拥有者或以某种方式获取secret_set的攻击者。
  A# E- ?6 B3 }. m因此：
+ o" G% Y/ U2 B- Q$ Q* {& [钱包必须询问用户请求的合法性，询问请求是否是通过个人验证后进行的；用户必须知道，他们对自己的链上操作负有责任（在某些国家是道德的、合法的），并且必须验证恢复请求的合法性；视频通话可能是通过AI伪造的，但攻击者需要图像和语音样本，例如互联网上的公共演讲内容；为名人进行恢复的用户，永远不要信任视频通话，应该去尝试直接联系周围的人，以检查请求的合法性；
+ ?' u; i1 i* [# |6 ?0 v5 I6 s简评：这种方案正是针对Peter Schiff这样容易忘记钱包密码或私钥的群体而设计的，但其也存在着安全隐患，而它对加密货币的社会可扩展性而言是非常重要的，因为多数人在最初接触加密货币时会和Peter Schiff类似。本文省略了很多技术细节内容，有兴趣的读者可以看原提案内容：https://gitlab.com/status-im/docs/EIPs/blob/secret-multisig-recovery/EIPS/eip-2429.md