Multichain 사건을 통해 본 MPC 지갑의 올바른 관리 방법

저자： Loki, 신화기술 고급 연구원

1. Multichain 사건이暴露한 MPC 지갑 관리의 문제는 무엇인가?

7월 14일, Multichain은 CEO Zhaojun이 5월 21일 자택에서 경찰에 의해 체포되었으며, 이후 Multichain 글로벌 팀과의 연락이 끊겼다고 트윗했습니다. 팀은 MPC 노드 운영자와 연락하여 MPC 노드 서버의 운영 접근 키가 철회되었다는 사실을 알게 되었습니다.

이 트윗은 Multichain 운영의 비정상적인 원인을 드러내었고, 모두에게 질문을 던졌습니다: 왜 Multichain은 MPC를 사용하면서도 이러한 위험에 직면했는가? 답은 매우 간단합니다. Multichain은 MPC 기술을 사용하여 금고를 관리하고 있지만, 탈중앙화 기술을 채택하는 것이 탈중앙화와 동일하지 않으며, 기술 채택과 관리 방식에서 탈중앙화의 통일성을 실현해야 합니다.

유사한 사례는 많습니다. BTC는 탈중앙화되어 있지만, 한 채굴자가 100%의 해시 파워를 독점한다면 알고리즘의 탈중앙화는 무의미합니다; ETH는 탈중앙화되어 있지만, 비탈릭은 여전히 DVT(분산 검증 기술)의 중요성을 강조하여 중앙화 경향을 피하고자 합니다.

Multichain도 마찬가지입니다. 공지의 세부 사항을 더 살펴보면, Multichain의 문제는 모든 노드 서버가 실제로 Zhaojun의 개인 클라우드 서버 계정 하에 운영되고 있다는 사실입니다. 이러한 노드 서버의 집중화는 한 채굴자가 100%의 해시 파워를 독점하는 것과 본질적으로 동일합니다. Multichain의 관리 방식은 Zhaojun이 단일 서명 지갑으로 모든 자산을 통제하는 것과 같습니다. 이러한 점에서 Multichain의 문제는 Zhaojun이 모든 MPC 조각을 통제해서는 안 되며, 극단적인 불가항력 상황에서의 백업 솔루션을 제공하지 않았다는 것입니다.

다음 질문은 어떻게 MPC 기술의 특성을 효과적으로 발휘할 수 있는가입니다. 주요 사항은 다음과 같습니다:

(1) 이해 충돌을 방지하기 위한 더 강력한 투명성 제공 ;

(2) 권력의 과도한 집중을 피하기 위해 탈중앙화된 보관 방식을 엄격히 준수 ;

(3) 극단적인 불가항력에 대한 대응 계획 마련 .

• 【 이해 충돌 방지: 블랙박스 거부 】

이번 사건에서 주목해야 할 사실은 Fantom도 큰 영향을 받았다는 것입니다. FTM 창립자 AC는 포럼에서 Multichain의 실패가 "중대한 타격"이라고 언급하며, 이전에 팀으로부터 서버의 탈중앙화, 접근 및 지리적 위치 분포에 대한 많은 보장을 받았다고 밝혔습니다. 사후 분석해보면, Multichain은 【서버, 접근, 지리적 위치 분포의 보장】을 이행하지 않았고, Fantom은 이를 검증하지 않거나 검증할 방법이 없었으며, 단순히 Multichain을 믿기로 선택하여 결국 연쇄적인 영향을 받게 되었습니다.

Multichain의 MPC 솔루션은 본질적으로 "블랙박스"이며, 이 "블랙박스"가 발생한 이유는 Multichain이 서비스의 구축자이자 사용자라는 점입니다. 이러한 속성의 집중은 불투명성과 악용 가능성을 초래합니다. 이 문제를 해결하는 방법은 이해 충돌에 관련되지 않은 완전히 중립적인 제3자 주체를 도입하는 것이며, 즉 충분한 신뢰성을 갖춘 제3자 MPC 서비스를 사용하여 자체 구축한 MPC 서비스를 대체하는 것입니다.

크로스 체인 브릿지를 제외하고, Web3에서는 이해 충돌이 일반적으로 존재합니다. 예를 들어, 중앙화 거래소는 거래 서비스 제공과 사용자 자산 보관 기능을 동시에 수행하며, 거래소는 이러한 자금을 사용하여 이익을 얻을 수 있습니다. 사실 이것이 Sinohope가 Openloop를 구축하는 출발점이기도 하며, 신뢰는 검증할 수 없고, 신뢰할 수 있는 메커니즘이 악용을 방지하는 유일한 방법입니다.

이번 사건으로 돌아가서, 만약 Multichain이 충분한 신뢰성을 갖춘 제3자 MPC 서비스를 사용했다면, 적어도 Multichain이 허용하는 경우 서비스 제공자는 Fantom과 같은 이해 관계자에게 호스팅 솔루션의 정보 검증을 제공하여 "블랙박스"를 제거할 수 있었을 것입니다.

• 【탈중앙화 보관: 단일 지점 위험 거부】

사후 분석해보면, Zhaojun의 단일 지점 위험이 사건의 직접적인 원인이며, AC의 응답은 우리가 올바른 방법을 제시합니다: 【서버, 접근, 지리적 위치 분포의 보장】을 확보해야 합니다. 이러한 요소들은 Sinohope가 제품을 구축할 때 따르는 법칙이기도 합니다.

우선, Sinohope는 3-3 다자 서명 솔루션을 채택하고 있으며(또한 t-n 임계값 서명 설정을 지원), 그 중 2조각은 플랫폼이 공동 관리하며, 고강도 보안 암호화 + 신뢰할 수 있는 실행 환경을 통해 안전성을 확보합니다. 세 당사자가 공동으로 참여해야 거래 서명을 완료할 수 있어 사용자의 단일 지점 위험을 피할 수 있습니다.

그림: Sinohope MPC-TSS 기술 원리

둘째, 일반적으로 비즈니스는 계층적으로 구성되므로 접근도 계층적으로 이루어져야 합니다. 따라서 Sinohope는 다단계 개인 키 파생 설계를 채택하여 관리자가 전체를 관리하는 동시에 일선 운영자가 특정 권한을 관리할 수 있도록 하여 단일 지점 위험으로 인해 모든 비즈니스 프로세스가 중단되는 것을 방지합니다.

마지막으로, Sinohope는 온라인 원거리 다중 활성 분산 저장, 3단계 오프라인 콜드 스토리지 백업, 전문 기관 백업 복구 서비스 통합 등의 솔루션을 채택하여 최고의 【지리적 위치 분포 보장】을 확보하였습니다. 이 일련의 메커니즘은 단일 지점 위험으로 인한 자산 손실 또는 서비스 불가를 최대한 방지할 수 있습니다. 이는 개인 키, 인력 및 외부 환경 측면에서 모두 포함됩니다.

• 【극단적인 상황에서의 사회적 복구 계획 마련】

모든 솔루션이 완벽하지 않다는 것은 부인할 수 없는 사실입니다. 서버, 접근, 지리적 위치의 탈중앙화를 보장하는 것은 일부 문제를 해결할 수 있지만, 전부는 아닙니다. 우리는 여전히 많은 위험이 존재한다는 것을 인정해야 합니다. 예를 들어 물리적 세계의 불가항력적 요소가 있습니다. 피할 수 없는 상황에서 우리는 이러한 극단적인 불가항력 상황이 발생했을 때 어떻게 대응해야 할지를 고민해야 합니다.

이에 따라 Sinohope는 물리적 세계의 불가항력 위험에 대한 【SOS 모드】를 구상하였습니다. 이 서비스는 비표준 선택 서비스로 필요한 사용자에게 제공되며, 실제 요구에 따라 맞춤형 설계가 이루어집니다. 이 모드는 전통적인 개인 키 조각 외에도 여러 개의 SOS 조각을 설정하여 일반 개인 키 조각과 분리하여 관리됩니다.

정상적인 경우, SOS 조각은 아무런 작용을 하지 않습니다. 그러나 특정 상황에서는 SOS 조각이 활성화됩니다. 예를 들어 긴급 상황에서 개인 키 조각 관리자가 수동으로 활성화하거나, 개인 키 조각의 연결이 일정 시간 임계값에 도달하거나, SOS 조각이 긴급 사건을 주도적으로 발동하거나, 정해진 규칙에 따라 거버넌스 투표를 통해 통과됩니다. 【SOS 모드】가 활성화되면, SOS 조각은 개인 키 조각을 대신하여 작용하여 긴급 상황에서 자산 이전 또는 자산 처분을 실현합니다.

물론 SOS 조각 소유자가 악용하는 것을 방지하기 위해 몇 가지 제한 조건을 추가할 수 있습니다. 예를 들어 【SOS 모드】 시작의 지연 발효를 설정하거나, 이 기간 동안 일반 개인 키 조각이 【SOS 모드】를 무효화할 수 있도록 하거나, 【SOS 모드】 긴급 자산 이전 후 잠금 기간을 설정하여 이 기간 동안 추가 이전을 금지하여 자산 유출을 방지할 수 있습니다.