亚马逊AWS官方博客

Golden Goose 携手亚马逊云科技,打造资金安全的链抽象生息协议

Cycle Network 是一个无需信任的链抽象基础设施,通过可验证的状态聚合提供无桥流动性抽象,支持所有 EVM 和 Non-EVM 生态网络。这使用户能够在无信任、安全和全链环境中无桥式和 dApps 进行交互。

CycleNetwork 由 Binance Labs S7 孵化,同时获得全球多个知名投资机构的投资,如新加坡主权基金淡马锡控股的 Vertex Ventures,Summer Capital、LiquidityTech Protocol、Manta Foundation、Skyland 和 Web3Port 等。

CycleNetwork 近期推出了首个链抽象全链生息产品 Golden Goose,并与 AWS Nitro Enclaves 合作,共同构建运行环境,实现加密存储私钥,同时确保运行与管理的安全性。

Golden Goose 与 AWS Nitro Enclaves

基于 Cycle Network 的链抽象能力,Golden Goose 打造了一款支持全链的生息协议,充分利用 Cycle 的全链流动性抽象技术,实现了在多条链上捕捉 DeFi 收益场景。Cycle Network 提供的无需信任的多链互通能力,也确保了资金交互的安全性。

作为一款支持链抽象的 DeFi 收益协议,Golden Goose 的一大亮点是对多链资产的支持,同时拥有安全高效的收益渠道。借助 Cycle Network 的 Virtualization 链抽象技术,Golden Goose 能够高效管理多链资产,让用户将多个链上的主流资产(如稳定币 USDT、LRT 类与 LST 类资产)进行统一的收益管理。此外,Cycle Network 的可验证状态聚合(VSA)技术,确保了 Golden Goose 在跨链环境中稳定、安全地生成收益。无需依赖传统跨链桥,Golden Goose 可直接为用户提供无缝的多链收益体验,有效提升资金流动性并优化投资回报。

为了保障用户资产和操作的安全性,Golden Goose 不仅关注多链场景下的资产安全,还特别注重保护涉及敏感数据(如私钥生成、签名和加密)的过程。为此,Golden Goose 采用了 AWS Nitro Enclaves 解决方案。AWS Nitro Enclaves 能创建隔离的计算环境,专门用于安全处理高度敏感的数据,如私钥生成和加密操作。同时,Nitro Enclaves 使用与 EC2 实例相同的 Nitro 管理程序技术,提供 CPU 和内存的全面隔离,进一步提升了数据安全性。

整体架构

下图展示了 AWS Nitro Enclave 在保护 Golden Goose 密钥管理方面的重要作用。私钥生成和签名操作都在 Nitro Enclave 中完成,确保敏感操作始终在受信任的计算环境中执行。

为了实现私钥的加密存储,私钥在 Nitro Enclave 内生成后,会通过 Nitro Enclave 的 vsock-proxy 安全链路向 AWS KMS 请求一个数据密钥(Data Key)。KMS 随后返回数据密钥,Enclave 使用明文 Data Key 对私钥进行加密,并在加密完成后立即清除明文 Data Key。加密后的私钥和加密后的 Data Key 一并发送到 Parent 主机的系统服务存储。Parent 系统服务仅存储加密结果,不直接处理明文私钥或 Data Key。

在私钥签名过程中,Parent 系统服务将加密的私钥和 Data Key 发送回 Enclave。Enclave 使用 vsock-proxy 向 AWS KMS 请求解密 Data Key,KMS 在通过安全链路验证 Enclave 身份后返回解密后的 Data Key(仅在 Enclave 内部可用)。Enclave 使用解密后的 Data Key 解密私钥,并完成对输入哈希值的签名,最后返回签名结果。

整个架构的设计涵盖三大技术重点:

  • 安全运行环境:AWS Nitro Enclave

在 Cycle Network 和 Golden Goose 系统中,私钥的生成、签名和加密操作均在 Nitro Enclave 内部完成。Nitro Enclave 提供内存隔离、最小化攻击面以及 Attestation(证明机制)等安全特性,全方位保证了私钥操作在隔离环境中完成,显著降低泄露风险。

  • 私钥加密存储:AWS KMS

Cycle Network 和 Golden Goose 借助 AWS Key Management Service (KMS) 实现系统私钥的安全加密存储。KMS 提供精细化的访问控制策略,仅授权的 Nitro Enclave 和 EC2 实例可以访问 KMS 进行加解密操作。同时,KMS 借助 Nitro Enclave 的 Attestation Document 机制验证请求发起者的可信性,并通过签名和加密技术确保通信链路的安全。

  • 运维安全管理:堡垒机

为防止运维人员滥用权限,Cycle Network 通过堡垒机增强运维安全管理。例如:通过堡垒机限制访问权限,仅允许授权人员访问指定系统;记录所有操作的审计日志,确保所有行为可追溯;对敏感操作进行实时通知和告警,有效降低风险。

总结

Cycle Network 的 Golden Goose 以 AWS 基础设施作为安全性的核心基石,结合 AWS Nitro Enclave、AWS KMS 和堡垒机服务,大幅提升了私钥生成、签名和加密操作的安全性。它为用户提供了一个多链高效、稳定、安全,且具备 DeFi 收益机会的生息产品,有效缓解了当前 Web3 行业流动性割裂的瓶颈问题。在保障用户账户安全的同时,Cycle Network 和Golden Goose 为基于链抽象的大规模 DeFi 应用奠定了坚实的基础。

本篇作者

Ethan Wang

分布式高并发平台核心设计者,擅长构建高效稳定的系统架构,深度关注区块链技术,对 EVM、UTXO、Cosmos 等主流区块链系统有深入理解。在钱包安全领域拥有丰富的经验,熟悉各种安全机制,能够有效保障数字资产的安全性和完整性,致力于推动区块链技术在复杂业务场景中的落地和发展。

Clara Cheng

Cycle Network 业务发展主管,拥有来自领先交易所和研究机构的区块链、web3 和加密风险投资方面的丰富专业知识,擅长协助初创公司找到最符合其业务目标和产品路线图的技术。

Kelvin Guo

亚马逊云科技资深解决方案架构师。主要技术方向为 MLOps、DevOps、容器、数据分析。20+年软件开发、项目管理、敏捷思想落地、工程效能咨询和落地经验。