ZenGo是一个使用多方计算（MPC）技术的安全Web 3钱包。

最近，CertiK的SkyFall团队对众多移动钱包进行了彻底的审计和研究，发现ZenGo的MPC解决方案提供了比普通移动钱包更强大的安全防御措施——ZenGo的钱包用户，尤其是那些高价值的钱包用户可以防御来自高级攻击者的直接攻击：例如利用零日漏洞或高级恶意软件在用户设备上获得root权限。

该威胁是最新出现且仅被CertiK团队发现，因此MPC钱包开发者请务必注意攻击细节！

防御特权攻击者是具有挑战性的。我们在报告结果中提出了一个新的攻击方式——针对ZenGo中的MPC方法攻击向量。于是我们立即向ZenGo报告了这个安全问题，同时ZenGo也迅速做出了回应并修复了该问题。

本文我们将深入探讨该发现的技术细节，并分享我们是如何与ZenGo合作以提高MPC钱包的整体安全性的。

基于我们对ZenGo安全设计的彻底审查和他们对问题的专业回应，CertiK认为ZenGo可以被称为目前市场上安全度较高的钱包解决方案。

什么是MPC？

多方计算（MPC），有时也被称为安全多方计算（SMPC），是密码学的一个领域。它允许多方联合签署交易，同时确保每一方的密钥不被泄露。

因为MPC技术可以在多方之间分配密钥从而消除任何单点故障，因此可以让用户更好地保护Web 3私钥，这种方法也通常被称为 "阈值签名"，目前已被许多Web 3托管人和钱包开发者采用以保护Web 3资产。其中，ZenGo是最广为人知且使用率最高的MPC钱包开发商之一。

如下图所示，该钱包并不是由一个传统的私钥来控制签署交易，而是由多个私钥分片参与交易签署过程，并产生一个最终签名从而进行验证。

产生签名的普通MPC设计

通过本次研究，我们已认识到与MPC方法相关的挑战和潜在的安全风险对于Web 3资产保护的重要性。于是我们想要通过探索和解决这些挑战来更好地保护Web3用户。

因此我们可以想一下这个问题：与传统的加密钱包相比，为什么MPC钱包可以提供更高的安全性？它又是如何做到的？

ZenGo MPC设计和安全保证

在评估了不同Web 3钱包的设计后，我们研究了MPC的Web 3钱包——我们评估了市场上最受推崇的MPC钱包之一，同时也是头部的自我托管MPC钱包——ZenGo。

本次评估我们采用了与之前研究概述中相同的威胁模型：“如果你的设备被植入了恶意软件，那么该钱包还能保护你的资产吗？”