MPC 錢包完整技術指南：多方計算錢包架構、安全模型與實作深度分析

執行摘要

多方計算（Multi-Party Computation，簡稱 MPC）錢包代表了區塊鏈資產安全管理的前沿技術方向。與傳統的單一私鑰錢包或硬體錢包不同，MPC 錢包將私鑰拆分為多個分片，由不同參與者持有，僅當足夠數量的分片協作時才能產生有效簽名。這種設計在私鑰從不完整呈現的前提下，實現了分散式信任與資產安全的完美結合2026 年第一季度。

截至 ，MPC 錢包技術已經從理論走向成熟應用。全球排名前 20 的加密貨幣機構中，已有超過 15 家採用 MPC 技術作為主要的資產管理解決方案。Fireblocks、Coinbase Wallet、BitGo 等主要服務商處理的 MPC 交易額累計超過 5000 億美元。本文將深入剖析 MPC 錢包的密碼學原理、主流實現方案、安全架構，並提供完整的部署指南與最佳實踐建議。

第一章：多方計算密碼學基礎

1.1 密碼學理論框架

多方計算的核心目標是讓多個參與方能夠共同計算一個函數的輸出，同時保持各自輸入的私密性。在區塊鏛錢包應用場景中，這意味著多个獨立實體可以共同產生一個有效的數位簽名，而任何單一實體都無法獲取完整私鑰或單獨完成簽名。

MPC 錢包的密碼學基礎建立在秘密分享（Secret Sharing）理論之上。秘密分享的概念最早由 Shamir 於 1979 年提出，其核心思想是將一個秘密值 S 拆分為 n 個分片，只有收集至少 k 個分片才能重建原始秘密，而任何少於 k 個分片都無法獲得關於 S 的任何資訊。這種 (k, n) 閾值方案為 MPC 錢包提供了數學上的安全性保證。

從資訊論的角度來看， Shamir 秘密分享具有完美安全性（Perfect Security）。對於任何少於 k 個分片的觀察者而言，原始秘密 S 與任何其他可能的值在機率分布上是完全不可區分的。這種安全性不依賴於任何計算假設，是無條件安全的。

1.2 Shamir 秘密分享方案詳解

Shamir 秘密分享的核心是拉格朗日插值多項式。假設我們需要保護的秘密是一個在有限域 F_p 上的隨機值 S，其中 p 是一個足夠大的質數。我們構造一個 k-1 次多項式：

f(x) = a_0 + a_1*x + a_2*x^2 + ... + a_{k-1}*x^{k-1}

其中 a0 = S（原始秘密），而係數 a1, a2, ..., a{k-1} 是隨機選擇的。對於每個參與者 i，我們計算分片 (xi, f(xi))，其中 x_i 是參與者的唯一識別符，通常選取 1, 2, ..., n。

重建秘密時，我們使用拉格朗日插值公式：

S = f(0) = Σ_{i=1}^{k} f(x_i) * L_i(0)

其中 L_i(0) 是拉格朗日基函數在 0 點的值：

L_i(0) = Π_{j≠i} x_j / (x_j - x_i)

這個過程的關鍵在於，任何只有 k-1 個分片的人嘗試重建秘密時，由於拉格朗日插值需要至少 k 個點才能唯一確定一個 k-1 次多項式，因此無法確定 f(0) 的唯一值。事實上，對於任何可能的秘密值 S'，都存在一個 k-1 次多項式 f'(x) 滿足 f'(0) = S' 且經過所有已知的分片點。

1.3 閾值簽名方案

雖然 Shamir 秘密分享提供了秘密重建的機制，但在區塊鏈應用中，我們通常不希望在簽名時重建完整私鑰。閾值簽名方案（Threshold Signature Scheme，簡稱 TSS）解決了這個問題，允許參與者直接產生部分簽名，這些部分簽名可以被合併為最終的完整簽名，而完整私鑰從未在任何時刻完整呈現。

BLS 閾值簽名是區塊鏈領域最常用的方案之一。BLS 簽名由 Boneh、Lynn 和 Shacham 於 2001 年提出，基於雙線性對（Pairing）構造。BLS 簽名的一個獨特特性是其簽名聚合能力——多個簽名可以合併為單一簽名，這與 MPC 錢包的多方協作場景天然契合。

BLS 閾值簽名的數學基礎如下：設 G1 和 G2 是兩個階為質數 p 的循環群，之間存在雙線性對 e: G1 × G2 → GT。私鑰 s 是一個隨機選擇的有限域元素，对應的公鑰為 P = s * G2。對於消息 m，簽名計算為 σ = H(m)^s，其中 H 是將消息映射到 G1 的雜湊函數。驗證過程為 e(σ, G2) = e(H(m), P)。

在閾值版本中，私鑰 s 被分散為 s1, s2, ..., sn，每個參與者只持有 si。對於消息 m，每個參與者計算部分簽名 σi = H(m)^{si}，這些部分簽名可以被聚合為完整簽名 σ = Π σi = H(m)^Σsi = H(m)^s。整個過程中，完整私鑰 s 從未被計算或呈現。

1.4 分散式金鑰生成

MPC 錢包部署的第一個關鍵階段是分散式金鑰生成（Distributed Key Generation，簡稱 DKG）。在傳統密鑰生成中，單一實體產生私鑰然後分發給各方，這在生成階段就存在單點風險。DKG 解決了這個問題，確保私鑰從生成的那一刻起就以分片形式存在。

Pedersen DKG 是最常用的分散式金鑰生成協議。假設有 n 個參與者，每個參與者執行以下步驟：

首先，每個參與者 i 選擇一個隨機的多項式 fi(x) = a{i,0} + a{i,1}x + ... + a{i,t-1}x^{t-1}，其中 t 是閾值。參與者計算對每個其他參與者 j 的分片 f_i(j)，並通過安全通道分發給參與者 j。

然後，每個參與者 j 收集所有來自其他參與者的分片，計算自己持有的完整分片 sj = Σi fi(j)。所有參與者共同計算公鑰 P = Σi a_{i,0} * G，這可以通過公開交換 commitment 來實現，而不會暴露任何私鑰分片。

最終，每個參與者 j 持有私鑰分片 s_j，而公鑰 P 對所有人是公開的。任何使用公鑰 P 驗證的簽名都可以由 t 個或更多參與者協作產生，而少於 t 個參與者無法產生有效簽名。

第二章：MPC 錢包架構設計

2.1 系統架構概述

MPC 錢包的系統架構通常包含四個主要層次：客戶端層、協調層、計算層和區塊鏈交互層。這種分層設計確保了各組件之間的職責分離，便於獨立升級和維護。

客戶端層負責用戶交互，包括交易構建、金額確認、Gas 參數設置等功能。在企業場景中，客戶端層通常還包含審批工作流、權限管理等企業級功能。

協調層管理 MPC 節點之間的通信，確保交易請求正確分發、部分簽名正確收集、並處理各種異常情況。協調層的實現可以是中心化的（如由服務商運營的消息伺服器）或去中心化的（如點對點通信）。

計算層是 MPC 錢包的核心，負責執行秘密分享、閾值簽名等密碼學運算。計算層可以運行在專用硬體上（硬體安全模組 HSM）、通用伺服器上（軟體實現）或兩者的結合。

區塊鏈交互層負責實際的區塊鏈通信，包括交易廣播、區塊確認、事件監聽等功能。這層通常需要處理區塊鏈網路的不穩定性、ReOrg 事件、以及各類區塊鏈特定的交互細節。

2.2 簽名計算流程詳解

MPC 錢包的簽名計算是一個精心設計的多方協作過程。以以太坊交易為例，整個流程可以分為以下階段：

交易構建階段：錢包客戶端首先構建未簽名的交易資料。這包括目標地址、轉帳金額、Gas 限額、Gas 價格、nonce 等參數。在 EIP-1559 實施後，交易還需要包含 maxFeePerGas 和 maxPriorityFeePerGas 參數。交易資料被序列化為 RLP 編碼，然後計算 Keccak-256 雜湊得到交易雜湊。

簽名請求分發：客戶端將交易雜湊廣播給所有 MPC 節點。在企業場景中，這通常通過安全的消息隊列或專用通信通道完成。每個 MPC 節點接收到簽名請求後，驗證請求的合法性——包括交易參數是否在允許範圍內、是否超過設定的金額上限、是否與黑名單地址交互等。

部分簽名計算：每個 MPC 節點使用自己持有的私鑰分片，結合交易雜湊，計算出部分簽名。這個計算過程完全在節點的本地執行，私鑰分片從不離開節點。部分簽名的計算遵循特定的簽名方案（如 BLS 或 ECDSA），具體算法取決於所使用的密碼學庫。

簽名聚合：當收集到足夠數量的有效部分簽名後，簽名聚合模組將這些部分簽名合併為最終的完整簽名。對於 ECDSA 閾值簽名，這通常涉及複雜的密碼學協議；對於 BLS 簽名，聚合過程相對簡單，只需將部分簽名相乘。

交易廣播：最終簽名被附加到原始交易資料上，形成完整簽名的交易。這個交易被廣播到以太坊網路，等待區塊確認。

整個過程中，最關鍵的設計原則是：完整私鑰從未以任何形式存在。任何單一節點被攻破都不足以盜取資產；同樣，任何單一節點的故障也不會阻止合法所有者使用自己的資產。

2.3 節點配置與部署模型

MPC 錢包的節點配置是安全性和可用性之間的關鍵權衡。常見的配置方案包括：

(2, 2) 閾值方案：這是最簡單的配置，需要 2 個分片中任意 2 個才能簽名。這種方案通常用於個人用戶場景——一個分片存儲在用戶設備上，另一個分片存儲在服務商的伺服器上。用戶設備丟失可以通過服務商分片恢復；服務商倒閉可以通過用戶設備分片重建。

(3, 5) 閾值方案：這是企業場景中最常見的配置。5 個分片分佈在不同地點，需要至少 3 個才能簽名。這種配置提供了良好的安全性——即使攻擊者控制了 2 個節點也無法盜取資產；同時也提供了可用性——即使 2 個節點同時故障，剩餘節點仍然可以處理交易。

(5, 9) 閾值方案：這種高閾值配置適用於管理大規模資產的機構。9 個分片可以分佈在不同部門、不同地理位置、甚至不同合作機構之間。5/9 的閾值確保了任何單一或少數部門無法獨立轉移資產，需要大多數同意才能執行操作。

部署模型的選擇同樣重要。雲端部署提供了便利性和可擴展性，但增加了對雲端提供商的安全依賴。本地部署提供了更強的控制，但增加了運維複雜性。混合部署（如將部分節點部署在雲端、部分部署在本地）是常見的折中方案。

第三章：主流 MPC 錢包實現方案

3.1 Fireblocks 企業級解決方案

Fireblocks 是目前市場領先的機構級 MPC 錢包平台，服務於超過 1500 家金融機構，包括銀行、對沖基金、交易所和資產管理公司。Fireblocks 的架構設計強調安全性和合規性的平衡。

Fireblocks 的核心是其專利的 MPC-CMP 協議（Multi-Party Computation - Computation Management Protocol）。該協議結合了 MPC 簽名和硬體安全模組（HSM），在保持 MPC 分散式信任優勢的同時，利用 HSM 保護金鑰分片免受軟體層面攻擊。

Fireblocks 架構包含三個主要層次。錢包層負責與區塊鏈交互，包括交易構建、簽名附加、交易廣播等功能。MPC 引擎層處理金鑰生成和簽名計算，這是核心的密碼學運算發生的地方。基礎設施層提供網路安全、審計日誌、災難恢復等企業級功能。

在安全認證方面，Fireblocks 獲得了 SOC 2 Type II 認證、ISO 27001 認證，並通過了多家知名安全公司的滲透測試。Fireblocks 還提供高達 3.75 億美元的保險覆蓋，為機構客戶提供額外的資產保護。

Fireblocks 的一個顯著特點是其對多鏈的支持。平台原生支持超過 30 條區塊鏈，包括以太坊、比特幣、Solana、Polygon、Avalanche、Cardano 等主流網路，以及所有主流的 Layer 2 解決方案。這使得機構客戶可以在單一平台上管理多鏈資產。

3.2 Coinbase Wallet SDK

Coinbase Wallet SDK 是面向開發者的 MPC 解決方案，允許應用程式集成 MPC 錢包功能而無需從頭構建複雜的密碼學基礎設施。該解決方案的核心特點是其「雲端備份」功能，用戶的私鑰被拆分為兩個分片，一個存儲在用戶設備上，另一個存儲在 Coinbase 的雲端基礎設施中。

Coinbase 的 MPC 實現採用了 (2, 2) 閾值方案，這意味著任何一個分片單獨都無法完成簽名。這種設計提供了以下安全保障：

用戶設備分片經過加密存儲，只有用戶知道解密密鑰。Coinbase 的雲端分片同樣經過加密，且 Coinbase 本身無法訪問用戶的解密金鑰。即使攻擊者成功入侵 Coinbase 的雲端伺服器，他們也只能獲得加密的分片，無法直接使用。

Coinbase Wallet SDK 的一個重要設計原則是用戶控制權。用戶可以隨時選擇不使用雲端備份功能，而是將兩個分片都存儲在用戶設備上（如果設備支持）。用戶還可以選擇將雲端分片存儲在自託管的 HSM 中，進一步減少對 Coinbase 的依賴。

對於開發者而言，Coinbase Wallet SDK 提供了易於集成的 API。開發者只需幾行代碼就可以為其應用添加 MPC 錢包功能，包括錢包創建、交易簽名、資產餘額查詢等常用功能。

3.3 Gnosis Safe 的 MPC 演進

Gnosis Safe（原名 Gnosis Safe，現品牌升級為 Safe）是以太坊生態系統中最受歡迎的多重簽名錢包。雖然傳統的 Safe 採用多簽名方案，但近年來該項目積極整合 MPC 技術，推出了 Safe{Core} MPC 服務。

Safe{Core} 的 MPC 實現與傳統多簽名錢包的主要區別在於效率。傳統多簽名錢包的每筆交易都需要 m 個獨立簽名，這在以太坊主網上可能成為顯著的成本——假設使用 3-of-5 配置，每筆交易都需要包含 3 個簽名，Gas 費用是單一簽名的 3 倍。

Safe{Core} 的 MPC 方案將多個簽名合併為單一閾值簽名，從用戶角度看與普通 EOA 交易無異，但實際上背後需要多方協作。這種設計保留了多簽名的安全特性（需要多人批准才能轉移資產），同時降低了 Gas 成本。

Safe{Core} 還提供了靈活的權限配置。企業用戶可以設置不同部門或不同角色需要不同數量的批准。例如，日常小額交易可能只需要 1 個批准，而大額轉帳可能需要 3 個批准。

3.4 BitGo 企業級托管

BitGo 是另一家主要的機構級 MPC 錢包提供商，專注於合規和審計追蹤。BitGo 的特點是其強調「可恢復性」和「可審計性」的設計理念。

BitGo 的 MPC 實現允許客戶完全控制自己的金鑰分片。客戶可以選擇將分片存儲在 BitGo 的托管基礎設施中，也可以選擇使用自托管的 HSM。BitGo 的系統設計確保即使 BitGo 本身停止運營，客戶也能夠使用自己持有的分片恢復資產。

在合規方面，BitGo 提供了完整的審計日誌和報告功能。所有交易請求、批准决策、簽名過程都被詳細記錄，機構客戶可以輕鬆滿足監管機構的審計要求。BitGo 還支持各種合規框架，包括 BSA/AML、SOX 等。

BitGo 的「熱錢包」和「冷錢包」分離設計是其安全策略的核心。大部分資產存儲在離線的冷錢包中，只有少量運營資金存放在熱錢包中。MPC 技術使得這種分離可以在保持安全性的同時，實現自動化的熱錢包運營。

第四章：安全性分析與風險評估

4.1 攻擊向量分類

MPC 錢包的安全性與傳統單私鑰錢包有本質區別。理解各種攻擊向量對於正確評估和管理風險至關重要。

外部攻擊者：在 (t, n) 閾值方案中，攻擊者需要獲取至少 t 個私鑰分片才能控制錢包。這意味著即使攻擊者成功入侵了用戶的電腦、雲端帳戶、甚至部分 MPC 節點，只要未達到閾值，資產就是安全的。這種「深度防禦」策略極大提高了抵禦專業攻擊者的能力。

假設配置為 (3, 5) 閾值：攻擊者需要同時控制 3 個或更多分片。這可能需要入侵 3 個獨立的系統——例如用戶的手機、雲端備份服務、以及一個 MPC 節點運營商的伺服器。這種多點入侵的複雜性遠高於傳統單一私鑰錢包。

內部威脅：MPC 錢包面臨的另一類威脅是內部人員的惡意行為。如果 MPC 分片由多人持有（例如企業的多位高管），這些人之間可能進行共謀（Collusion），未經授權轉移資產。

共謀攻擊的風險取決於閾值配置和分片持有者的獨立性。在 (t, n) 方案中，任何 t 個分片持有者聯合起來就可以轉移資產。在企業場景中，這意味著需要精心設計分片分配策略，確保沒有任何一個小團體能夠達到閾值。

通信通道攻擊：如果 MPC 節點之間的通信被監視或篡改，攻擊者可能干擾簽名過程或竊取部分簽名信息。高質量的 MPC 實現會使用傳輸層加密（TLS）和端到端加密來保護通信通道。

側信道攻擊：包括時間分析、功率分析、電磁輻射分析等物理攻擊向量。這些攻擊通常需要物理接觸設備，但在某些威脅模型中是需要考慮的。硬件安全模組（HSM）通常提供針對側信道攻擊的保護。

4.2 與其他錢包類型的比較

MPC 錢包 vs 硬體錢包：硬體錢包將私鑰存儲在專門設計的安全晶片中，這些晶片經過物理加固，能夠抵禦硬體層面的攻擊。硬體錢包的安全性依賴於物理安全和晶片設計的信任假設。

MPC 錢包的安全性則完全是密碼學層面的，不依賴於任何硬體信任假設。這使得 MPC 錢包在以下場景中具有優勢：

• 需要異地備份的場景：MPC 分片可以存儲在不同地理位置
• 需要多方共管的場景：企業財務、DAO 資金管理
• 需要避免單點硬體故障的場景：硬體錢包設備損壞可能導致資產永久丟失

然而，硬體錢包在以下方面仍有優勢：

• 抵禦設備被完全控制的攻擊：即使電腦被惡意軟體完全控制，硬體錢包仍能保護私鑰
• 離線簽名的便利性：硬體錢包可以完全離線操作
• 審計簡單性：硬體錢包的代碼庫相對較小，更容易審計

MPC 錢包 vs 多簽名錢包：傳統多簽名錢包（如 Gnosis Safe 的傳統配置）使用多個獨立的 EOA，每個 EOA 由不同的私鑰控制。執行交易時，需要收集足夠數量的獨立簽名。

MPC 錢包與多簽名錢包的主要區別在於：

• Gas 效率：MPC 閾值簽名只需要一個簽名位置，而多簽名需要 m 個
• 隱私：MPC 閾值簽名從外部無法判斷是多方協作的結果，多簽名則在鏈上清晰可見
• 靈活性：MPC 方案可以更容易地動態調整閾值參數

4.3 風險管理框架

基於以上分析，我們提出以下風險管理框架：

技術層面：選擇經過充分審計的 MPC 實現；使用硬件安全模組保護關鍵分片；實施強有力的通信安全措施；定期進行安全評估和滲透測試。

運營層面：實施分片分發的地理分散策略；建立明確的分片管理政策和流程；定期進行災難恢復演練；保持 MPC 節點軟體的及時更新。

合規層面：保留完整的審計日誌；實施 KYC/AML 程序；滿足監管機構的報告要求；定期進行合規審計。

第五章：實際部署與配置指南

5.1 部署流程概述

MPC 錢包的部署通常包括以下階段：

規劃階段：在部署之前，需要仔細規劃以下事項：確定資產規模和管理需求；選擇合適的閾值配置；決定部署模型（雲端、本地或混合）；選擇 MPC 服務提供商或決定自建；制定應急响应计划。

初始配置階段：一旦規劃完成，初始配置包括：創建 MPC 錢包並生成金鑰分片；分發金鑰分片給各持有者；配置簽名策略和權限規則；設置交易審批工作流；配置監控和報警規則。

測試階段：在正式使用之前，必須進行全面測試：測試正常交易流程；測試各種異常情況處理；測試災難恢復流程；進行安全評估。

正式運營：測試完成後，可以開始正式運營。這包括：啟動生產環境錢包；實施持續監控；定期審計和評估。

5.2 金鑰管理最佳實踐

分片分發：金鑰分片應該通過安全的方式分發。避免通過電子郵件或即時通訊傳送分片；使用專用的安全通信渠道；確保每個分片接收者是預期的人員。

存儲安全：每個分片持有者應該將分片存儲在安全的位置：使用硬體錢包或 HSM 存儲分片；啟用設備加密和遠程擦除功能；避免將分片存儲在雲端服務（除非使用專門的 MPC 雲端備份服務）。

訪問控制：實施嚴格的訪問控制：多因素認證訪問 MPC 系統；實施最小權限原則；定期審查訪問權限。

5.3 運維監控

持續的監控對於維護 MPC 錢包的安全至關重要：

交易監控：監控所有交易請求，包括：交易金額和頻率異常檢測；目標地址黑名單比對；與歷史模式的偏差檢測。

節點健康：監控 MPC 節點的狀態：節點可用性和響應時間；簽名請求處理延遲；異常登入嘗試。

審計日誌：維護完整的審計日誌：所有管理操作的記錄；所有交易請求和審批記錄；系統事件和錯誤。

結論

MPC 錢包代表了區塊鏈資產安全管理的重要進步。通過將私鑰拆分為多個分片，MPC 錢包在保持便捷性的同時，提供了超越傳統錢包的安全保障。隨著機構採用的加速，MPC 技術正在成為數位資產管理的標準配置。

然而，MPC 錢包並非萬能解決方案。正確理解其安全假設和限制、適切な配置和運維，對於實現預期的安全目標至關重要。組織在採用 MPC 錢包之前，應該進行全面的風險評估，並確保具備相應的技術和運營能力。

展望未來，MPC 技術將繼續演進。我們預期會看到更高效的密碼學協議、更好的硬體整合、以及更成熟的托管解決方案。這些進步將進一步推動區塊鏈技術在機構和企業領域的採用。