亚马逊AWS官方博客
Golden Goose 携手亚马逊云科技,打造资金安全的链抽象生息协议
![]() |
Cycle Network 是一个无需信任的链抽象基础设施,通过可验证的状态聚合提供无桥流动性抽象,支持所有 EVM 和 Non-EVM 生态网络。这使用户能够在无信任、安全和全链环境中无桥式和 dApps 进行交互。
CycleNetwork 由 Binance Labs S7 孵化,同时获得全球多个知名投资机构的投资,如新加坡主权基金淡马锡控股的 Vertex Ventures,Summer Capital、LiquidityTech Protocol、Manta Foundation、Skyland 和 Web3Port 等。
CycleNetwork 近期推出了首个链抽象全链生息产品 Golden Goose,并与 AWS Nitro Enclaves 合作,共同构建运行环境,实现加密存储私钥,同时确保运行与管理的安全性。
Golden Goose 与 AWS Nitro Enclaves
基于 Cycle Network 的链抽象能力,Golden Goose 打造了一款支持全链的生息协议,充分利用 Cycle 的全链流动性抽象技术,实现了在多条链上捕捉 DeFi 收益场景。Cycle Network 提供的无需信任的多链互通能力,也确保了资金交互的安全性。
作为一款支持链抽象的 DeFi 收益协议,Golden Goose 的一大亮点是对多链资产的支持,同时拥有安全高效的收益渠道。借助 Cycle Network 的 Virtualization 链抽象技术,Golden Goose 能够高效管理多链资产,让用户将多个链上的主流资产(如稳定币 USDT、LRT 类与 LST 类资产)进行统一的收益管理。此外,Cycle Network 的可验证状态聚合(VSA)技术,确保了 Golden Goose 在跨链环境中稳定、安全地生成收益。无需依赖传统跨链桥,Golden Goose 可直接为用户提供无缝的多链收益体验,有效提升资金流动性并优化投资回报。
为了保障用户资产和操作的安全性,Golden Goose 不仅关注多链场景下的资产安全,还特别注重保护涉及敏感数据(如私钥生成、签名和加密)的过程。为此,Golden Goose 采用了 AWS Nitro Enclaves 解决方案。AWS Nitro Enclaves 能创建隔离的计算环境,专门用于安全处理高度敏感的数据,如私钥生成和加密操作。同时,Nitro Enclaves 使用与 EC2 实例相同的 Nitro 管理程序技术,提供 CPU 和内存的全面隔离,进一步提升了数据安全性。
整体架构
下图展示了 AWS Nitro Enclave 在保护 Golden Goose 密钥管理方面的重要作用。私钥生成和签名操作都在 Nitro Enclave 中完成,确保敏感操作始终在受信任的计算环境中执行。
![]() |
为了实现私钥的加密存储,私钥在 Nitro Enclave 内生成后,会通过 Nitro Enclave 的 vsock-proxy 安全链路向 AWS KMS 请求一个数据密钥(Data Key)。KMS 随后返回数据密钥,Enclave 使用明文 Data Key 对私钥进行加密,并在加密完成后立即清除明文 Data Key。加密后的私钥和加密后的 Data Key 一并发送到 Parent 主机的系统服务存储。Parent 系统服务仅存储加密结果,不直接处理明文私钥或 Data Key。
在私钥签名过程中,Parent 系统服务将加密的私钥和 Data Key 发送回 Enclave。Enclave 使用 vsock-proxy 向 AWS KMS 请求解密 Data Key,KMS 在通过安全链路验证 Enclave 身份后返回解密后的 Data Key(仅在 Enclave 内部可用)。Enclave 使用解密后的 Data Key 解密私钥,并完成对输入哈希值的签名,最后返回签名结果。
整个架构的设计涵盖三大技术重点:
- 安全运行环境:AWS Nitro Enclave
在 Cycle Network 和 Golden Goose 系统中,私钥的生成、签名和加密操作均在 Nitro Enclave 内部完成。Nitro Enclave 提供内存隔离、最小化攻击面以及 Attestation(证明机制)等安全特性,全方位保证了私钥操作在隔离环境中完成,显著降低泄露风险。
- 私钥加密存储:AWS KMS
Cycle Network 和 Golden Goose 借助 AWS Key Management Service (KMS) 实现系统私钥的安全加密存储。KMS 提供精细化的访问控制策略,仅授权的 Nitro Enclave 和 EC2 实例可以访问 KMS 进行加解密操作。同时,KMS 借助 Nitro Enclave 的 Attestation Document 机制验证请求发起者的可信性,并通过签名和加密技术确保通信链路的安全。
- 运维安全管理:堡垒机
为防止运维人员滥用权限,Cycle Network 通过堡垒机增强运维安全管理。例如:通过堡垒机限制访问权限,仅允许授权人员访问指定系统;记录所有操作的审计日志,确保所有行为可追溯;对敏感操作进行实时通知和告警,有效降低风险。
总结
Cycle Network 的 Golden Goose 以 AWS 基础设施作为安全性的核心基石,结合 AWS Nitro Enclave、AWS KMS 和堡垒机服务,大幅提升了私钥生成、签名和加密操作的安全性。它为用户提供了一个多链高效、稳定、安全,且具备 DeFi 收益机会的生息产品,有效缓解了当前 Web3 行业流动性割裂的瓶颈问题。在保障用户账户安全的同时,Cycle Network 和Golden Goose 为基于链抽象的大规模 DeFi 应用奠定了坚实的基础。