近 400 万枚比特币可能已永久遗失,价值逾 150 亿美元

今年 2 月，加拿大最大加密货币交易平台之一 QuadrigaCX，发生因创始人科顿（Gerald Cotton）在印度骤逝，交易所冷钱包私钥不知所踪，高达 1.5 亿美元的客戶资产竟被锁死，震惊整个加密货币世界。事后经多方努力，技术人员终于成功进入 QuadrigaCX 的 6 个冷钱包，但却发现里头空空如也，外界甚至怀疑科顿可能是诈死。

这一惊人事件至今仍是桩悬案，但如此离谱情形之所以可能发生，加密货币私钥的难以保管正是技术面的核心原因。

私钥难以保管一直是阻碍加密货币普及的最大主因之一，并导致许多资产平白遗失。根据研究统计，自比特币于 2009 年发明以来，至今短短约 10 年间，其遗失量可能已达到惊人的近 400 万枚，占比特币总供应量约 2 成之多。这促使目前绝大多数、尤其是一般小型加密货币散户，都高度仰赖交易所等中心化平台来存放资产。

但，“我们既已有了比特币这个绝佳的去中心化系统，所有人却都把资产存放在 Coinbase 这样的中心化平台，那还有什么意义？”来自纽约康奈尔理工分校（Cornell Tech）的教授朱尔斯（Ari Juels）说。

图｜康奈尔理工分校（Cornell Tech）教授朱尔斯（Ari Juels）（来源：DeepTech）

这个问题启发了包含朱尔斯在内、一群来自著名加密货币及智能合约倡议联盟 IC3（Initiative for Cryptocurrencies and Contracts）研究人员的兴趣，并提出了一个针对区块链系统设计的抗流失动态秘密分享解决方案——CHURP，想要改变这个已造成近 400 万枚比特币损失的问题。

近 400 万枚比特币可能已永久遗失，价值逾 150 亿美元

这是根据纽约区块链研调公司 Chainalysis 在 2017 年所作估计。Chainalysis 通过对比特币区块链上所有交易地址纪录进行详细统计分析后判断，约有 379 万枚的比特币很可能已永久遗失，包含比特币发明人中本聪所持有的 100 万枚。这相当于占目前比特币总量的 17-23%。即便是目前币价跌至约 4000 美元，379 万枚比特币价值也高达逾 150 亿美元，超过整个匈牙利的 GDP。且这还只是 2017 年时的数字。

图｜约有 379 万枚比特币很可能已永久遗失（来源：Chainalysis）

导致加密货币遗失的原因有很多，但私人密钥难以保管、容易遗失，绝对是最主要的原因之一。比特币私钥是一连串由数字和字符组成的密码，所控制的不仅是资产，还有持有者的身份信息。遗失私钥往往会带来严重、且无可逆转的后果。

因此，许多加密货币持有者选择将资产存放在诸如 Coinbase、币安这样的中心化交易所。Coinbase 创始人 Brian Armstrong 就曾表示，其平台储存了整个比特币流通总量的 1 成之多。

加密货币储存高度中心化，违背区块链去中心化精神

不用说，这导致高度集中化的现象，不仅违背了区块链去中心化的核心精神，且实际上也并没有解决私钥保管的问题。而高度仰赖中心化平台又带来更多的各种骇客盗窃、坚守自盗、平台倒闭事件。但为什么，加密货币私钥保管的问题如此难以解决呢？即便是许多专家、甚至是区块链技术高手，也往往只能选择使用交易所中心化保管呢？

DeepTech 独家专访 CHURP 研究团队的主导成员，康奈尔理工分校教授朱尔斯（Ari Jules）及两名博士生迪帕克（Sai Krishna Deepak Maram）与张帆（Fan Zhang），首度曝光这一令人期待的研究项目。值得一提的是，包含张帆在内，这个团队有半数以上都是来自国内的清华、北大等本科毕业，知名计算机安全大牛、加州大学伯克利分校教授宋晓东（Dawn Song）亦参与了这项研究。

图｜CHURP 研究团队成员迪帕克（Sai Krishna Deepak Maram）与张帆（Fan Zhang）（来源：CHURP）

“维度切换”创新手法切割加密信息，私钥破解不再容易

研究团队对 DeepTech 表示，在中心化保管方案之外，过去行业中主流思考的替代方案是秘密分享（secret sharing）。也就是由一群 n 个区块链节点组成的委员会共同保管加密信息，攻击者必须攻破一定数量的节点才能成功得手。

以加密货币私钥为例，持有者可以将私钥信息，以分散的方式委托给某个由众多节点组成的委员会，单一节点无法取得完整密钥信息，只负责保管的工作。

但若是加密信息只能被固定节点分享，随着时间拉长，攻击者还是很容易逐步腐蚀整个网络。同时，这也无法处理现实世界中多数区块链系统都会有的节点流失（node churn）情形，也就是每个节点可能会随时加入或退出系统，导致委员会组成会随着时间而改变。

因此，许多商业化或开发中的区块链系统，都采用主动秘密共享（Proactive secret sharing, PSS）方案，定期更新节点信息，迫使攻击者除非能在很短时间腐蚀足够节点，否则无法攻破系统。

但研究团队指出，这只解决了一半的问题。张帆解释，PSS 假设攻击者无法在短时间内攻破委员会的一大部分。但若是当节点流失发生，攻击者只需要攻克每个委员会中的一小部分，一旦被攻克节点数总和超过了阈值，攻击就成功了。以此来说，PSS 完全是不安全的。

以加密货币私钥的例子来说明，假设一份密钥分给三个节点保管，而系统每天更新一次节点，但密钥分割方式不变。那么如果某个攻击者一天能攻破一个节点，那么，他在第二天所攻破的节点只要多攻破任意一个新的节点，实际上就能破解。

（来源：CHURP）

因此，CHURP 的关键创新在于提出了一个称为“维度切换”（dimension-switching）的做法，达到将加密信息进一步分割的目的，避免攻击者轻易攻破更新后的节点。

以研究团队的话来说，这相当于暂时性的“稀释”（dilute）加密信息，而后再经过主动化（proactivze）、重新聚集（concentrate again）的过程，恢复完整的加密信息。

（来源：CHURP）

朱尔斯说，这个概念，最刚开始其实是由目前仅博士班一年级的迪帕克所想出，他的这一创新构想与过去类似方案都并不完全相同。

迪帕克解释，我们观察到多数既有的系统都无法处理节点可能会加入或离开委员会的情况，但如果委员会的节点无法变动，那么这个系统就称不上是去中心化的。因为在去中心化的世界，节点是可能随时流动的。

“所以问题是，我们要如何以去中心化的方式储存加密信息？“迪帕克对 DeepTech 说，“这是我们提出 CHURP 的动机，希望打造一个真正去中心化、同时有效率的秘密分享解决方案。”

CHURP 是“CHUrn-Robust Proactive secret sharing”的简称。简言之，CHURP 可以在动态环境设定下进行安全的秘密分享，让众多节点组成的委员会可以长时间保管机密信息，包含加密货币的密钥。

除此之外，CHURP 的沟通复杂程度远低于此前的类似解决方案，在乐观状况下可以达到零节点失效的结果。根据研究团队实验成果，以 100 个节点为例，可以达到 2300 倍的效率提升。

（来源：CHURP）

从技术层面上来讲，CHURP 做出了几点做重要创新，包含：

一项高效率的新型态主动式（proactivization）架构方案

一项（二元非对称多项式）有效更改秘密共享门限（secret- sharing thresholds）的技术

一项针对有效多项式承诺方案（polynomial commitment scheme）秘钥初始化失败的预防机制

一项可以在非许可区块链点对点网络间进行低成本链下沟通的技术

CHURP 也呼应了 IC3 的 6 大挑战之一，即保密性（confidentiality）。“这基本上是区块链尚未被解决的最主要技术问题之一”，朱尔斯说，“没有企业想将他们的机密放在区块链上，这个问题必须要被解决，否则区块链无法变得实用。”

朱尔斯说，要求一般用户自行保管密钥是不合理的，而过去大家所仰赖的交由中心化平台保管模式，也丧失了区块链最根本的意义。如果我们想要实现真正的去中心化，那么这绝对是必须解决的技术问题之一。除此之外，他进一步指出，CHURP 其实还可以广泛与数位签章、预言机（Oracle Machine)、物联网装置，以及更多的区块链隐私性相关应用结合。

尽管研究团队表示，CHURP 目前尚没有明确的商业化计划，将会作为一个开源项目进行推广。不过团队成员张帆告诉 DeepTech，CHURP 仍将在开源模式下，争取吸引更多区块链项目采用，且目前确定已纳入由宋晓东创立的公链项目 Oasis Labs 的开发计划。

事实上，位于纽约罗斯福岛的康奈尔理工分校（Cornell Tech）2011 年才成立，目标之一就是推动纽约的创新创业生态系统，相当重视如何转化科研成果。如朱尔斯便是来自产业界，在康奈尔理工分校成立后才应聘投入学界。而他此前正是在推出了公钥加密技术的世界级信息安全解决方案大厂 RSA（已被 EMC 并购）任职。

但严格来说，CHURP 尽管做出了关键创新，但仍不能算是完全解决了私钥保管的问题。CHURP 的关键部分在于提出了一个创新方案让一个委员会既能保持动态、又能有效率地保管密钥。但除此之外还有其它部分议题需要解决，譬如如何组成委员会、用户如何将钥匙提供给委员会、委员会又如何分配保管钥匙等机制。

目前许多新生的区块链项目已经采用一种新型态的共识机制，称为 POS（Proof of Stake, 权益证明机制），不需要大量矿机挖矿验证链上交易，而是通过一群特定节点（node），相当于委员会（committe）的组织，来负责产出新区块。如 Algorand、EOS 等明星项目都属于此类。

但最传统、同时也还是当前最主流的两种加密货币，比特币和以太坊，都仍采用称为 PoW（Proof of Work, 工作量证明）的共识机制。这意味着其链上并无原生的委员会机制，类似 CHURP 方案若要应用，也还需要许多更进一步的开发工作。