Not cool, but very important application infrastructure

Crypto tools on the market are divided into non-custodial and custodial according to the type of wallet custody.
Non-custodial: the most widely used, such as the metamask wallet, each transaction requires manual operation. The advantage is that it does not leak private keys and is relatively safe. But the disadvantage is that it is based on browser plug-ins and has limited functions.
Custodial: There are relatively few users, most of whom are high-frequency traders, such as trading bots. The advantage is that it is easy to use, like the cex mode, which can automatically execute the set trading tasks. The disadvantage is that the private key is exposed, which may lead to the theft of tokens. The Dexx platform platform caused a sensation some time ago. The private key leakage incident of all user wallets, up to 20 million US dollars in assets were stolen.

I personally believe that wallet security is the premise of all encryption behaviors, and all behaviors that expose private keys are dangerous.

Will the secure and powerful encryption tools (of course there will be some limitations) be popular? Can we achieve it?

Here are some of my thoughts after a period of technical exploration:

  1. Many encryption tools are based on browser plug-ins, but the interaction between them and wallet plug-ins must be participated by users, such as signing, confirming transactions, etc. If this model is moved to the desktop, and some interaction optimization is performed, more powerful tools can be produced.
  2. First, develop a desktop wallet application and open source it. Open source means that everyone can audit the code to prevent the program from having backdoors that threaten the wallet private key, such as plain text storage, being sent to the server, etc. Of course, the application functions are far more than these, such as batch generation of wallets, batch management of wallets, and secure backup of wallet private keys.
  3. Then design a set of secure transaction signature protocols, and all external applications can request signatures from wallet applications to encrypt data, confirm transactions, etc.
  4. Then develop various encryption tools (closed source) based on the wallet, similar to snaps on metamask. At this time, you can use the characteristics of desktop applications to interact with the operating system, such as scheduled tasks, reading and writing files, etc., which are more powerful than browser plug-ins and even have most of the capabilities of server applications.

The product form is a wallet desktop application + a large number of encryption tool plug-ins, similar to utools. Its ultimate vision is to become a desktop encryption tool ecosystem. After I investigated the market applications, I am very sure that it can make more browser encryption tools more secure, such as mct, bbctool, cointool, slerftools, abot, etc. Of course, this is also an opportunity.

Now I have started some work on these ideas, and everyone is welcome to put forward ideas and suggestions.


市场上的加密工具根据钱包托管类型,分为非托管和托管。
非托管:使用最为广泛,比如 metamask 钱包,每笔交易需要手动操作。优点是不泄漏私钥,比较安全。但缺点是因为基于浏览器插件,功能受局限。
托管:用户相对较少,大多是高频率交易者,比如交易 bot。优点是使用方便,像 cex 模式,可以自动执行设定的交易任务。缺点是暴露了私钥,有可能导致代币被盗。前段时间弄的沸沸扬扬的 Dexx 平台所有用户钱包私钥泄漏事件,高达 2000w 美元资产被盗。

我个人认为,钱包安全是一切加密行为的前提,所有私钥暴露的行为都是危险的。

那安全又功能强大的加密工具(当然会有一些限制),是否会受到欢迎?我们是否可以实现它?

下面是我经过了一段时间技术探索后的一些想法:
1.很多加密工具是基于浏览器插件,但是它们与钱包插件之间交互必须用户参与,比如签名、确认交易等。如果把这套模式搬到桌面端,再进行一些交互优化,可以生产出更强大的工具。
2.首先开发一款桌面钱包应用并开源。开源意味着所有人可以审计代码,杜绝程序有威胁钱包私钥的后门,比如明文存储、被发送到服务端等。当然应用功能远不止这些,比如批量生成钱包、批量管理钱包、安全备份钱包私钥等。
3.然后设计一套安全的交易签名协议,所有外部应用可以向钱包应用请求签名加密数据、确认交易等。
4.再基于钱包开发各种各样的加密工具(闭源),类似 metamask 上 snaps,这时可以运用桌面应用的特性,与操作系统进行交互,比如定时任务、读写文件等,比浏览器插件功能更为强大,甚至拥有服务器应用的大部分能力。

产品形态是钱包桌面应用 + 大量加密工具插件,与 utools 类似,它最终愿景是成为一个桌面端的加密工具生态。在我调研了市场应用后,非常确定它可以让更多的浏览器加密工具更加安全,比如 mct、bbctool、cointool、slerftools、abot 等,当然这也是机会。

现在我已经开始了关于这些想法的一些工作,欢迎大家提出想法和建议。

1 Like

在 23 年早期,社区讨论过这个话题,就是做一个更强大安全的桌面端 Wallet 工具,可以批量存储和管理钱包等,所以当时 1998 做了 wallet.sh GitHub - lxdao-official/wallet.sh: a wallet manager script for terminal, connect and interaction with multi account automatically 做一些验证。

后来不再跟进的原因主要有以下几个:

  1. 最早钱包的形态就是 PC 的,从 Bitcoin 的钱包开始,直接在客户端上进行操作。MetaMask 作为早期以浏览器插件的形式开创了这个新型体验,直接带来了极大的发展。所以浏览器的模式其实是一种进步。
  2. 桌面端的钱包有很多比较成熟了,我看调研里面少了老牌的类似 https://www.exodus.com/ 这样的项目,看起来这个才是你的直接市场竞争对手?他们是从 2015 年开始做的。也可以看看发展的情况。此外很多硬件钱包例如 Onekey 等,也提供了 PC 的 Wallet,而且是用硬件签名来控制操作。
  3. 关于大量加密工具,记得之前类似 utools 有一个 detools 来着,整合了很多插件和工具,不知道现在发展的如何。

我个人感觉走专业化好一点,例如 mct 这样的,就是针对部分人群提供专业的工具,比如批量撸毛和管理账号等。大规模应用的话,桌面端用户体验再怎么通信也是比不上网页直接点击弹出方便。当然最后大概率都是手机上的 App 直接扫码,毕竟 Web2 的经验来看,大家最高频的还是使用手机。

1 Like

批量管理钱包的需求是真实存在的,虽然用户群体相对没那么广泛,但是需求程度更高。另外 script 形态用户体验很差,并没有运用好 pc 端的高可交互性,也没有打通其它工具。

浏览器模式更进一步,是因为 web 使用者非常多,这个是发展的必然,但浏览器插件模式有它的弊端,我个人想法是做出来的应用,使用 walletconnect 协议和 pc 优势补齐一些生态位,针对多钱包使用者、高频加密工具使用者等。

exodus 在调研范围,它的主要特性是资产管理,并不是针对钱包本身(只有1个钱包),所以不是一个方向。另外我的想法有一些是受 exodus 可以 install app 的启发,这种模式本身是一种好的扩展生态行为。OneKey桌面端主要是打通硬件本身,联动 mobile app,加上一些资产管理,它的重点是在硬件生态本身。不过硬件钱包开放性很好,接入sdk 整合到我的想法应用里,是一个很好的安全扩展;其它桌面钱包调研了一圈,要么是浏览器app,要么是 mobile app 的补位,针对钱包本身进行管理的,一个都没有。

detools 没有在调研范围,大概看了下,没有参考性。utools 市场发展的还可以,已经完成了一个生态的搭建。

调研的结果是市场上面并没有一款专业的桌面钱包管理工具。我的想法是突出安全 + 加密工具生态。
安全是指钱包管理工具是开源的,安装包是可验证的,而不是现在市场上的 web 工具,在浏览器上面暴露助记词和私钥非常不安全。浏览器插件相对还好一点,但前提一定是开源。
加密工具生态是建立在安全钱包的基础上,单个功能面向用户群体更窄,需求程度更高。可以有很多发挥的空间。比如我个人开发智能合约,多钱包重度使用,废弃过不少钱包(方便部署,暴露私钥),那有没有一种方式即方便开发,又可以不用暴露私钥的方式?在我的想法里面,是可以解决的。比如有服务器钱包私钥使用的场景,如何管理,也是一个非常重要的使用场景。很多普通用户也是有多个钱包,如何更好的管理,市面上并没有成熟的解决方案,这也是一个切入点。
在我个人看来,很多web(非插件)加密工具,安全度是不够的,是否安全完全凭作者良心。根据我的市场调研结果,用户是没有什么选择的空间,如果有更安全的肯定更好。另外 web 应用有一些弊端在于浏览器本身的限制,我的想法是技术上基于客户端,可以带来功能更强大的应用。

3 Likes

hi @kahn.yuan Forge 组有个事项是 what to build,目前刚刚启动,正在收集各种 idea,后续会进一步讨论和完善,我把这个想法记录在里面了,方便的话可以帮忙完善下,担心自己没有整理好~

我之前写过一份,可以补充进来。大概什么会进行 what to build?

目前还在收集想法,后续会集中讨论,然后研究下怎么推进这些idea