TMA Wallet – eine nicht verwahrte MPC-Wallet für Ihre Telegram Mini App

JavaScript · Kryptowährungen · Kryptographie

Überblick

Hallo zusammen! Ich schätze, Sie wissen bereits, dass es seit etwa einem Jahr einen Boom an Mini-Apps in Telegram gibt jeder tippte auf den Hamster. Die meisten dieser Mini-Apps haben etwas mit Krypto zu tun. Viele Entwickler möchten ihren Benutzern eine Wallet innerhalb der App (EVM, TON, Solana usw.) zur Verfügung stellen – im Grunde ein virtuelles Konto, das aufgeladen werden kann, Geld abheben und, was am wichtigsten ist, Smart Contracts aufrufen kann.

Eine einfache, aber unsichere Lösung besteht darin, alle Schlüssel auf Ihrem Server zu speichern und Transaktionen im Namen des Benutzers durchzuführen. Wenn jemand Ihren Server hackt, gehen alle Kundengelder verloren. In diesem Szenario ist es schwierig, das Vertrauen der Menschen zu gewinnen.

Eine komplexe, aber umständliche Lösung ist eine Wallet, die der Benutzer auf ein Blatt Papier schreiben und selbst verwalten muss. In diesem Fall können Sie genauso gut WalletConnect verwenden oder gar keine Mini-App erstellen. Das Problem besteht darin, dass die Benutzeroberfläche Ihrer Mini-App problematisch werden könnte: Der Benutzer müsste jede Aktion in einer externen App bestätigen.

Wir suchten nach einer Option für unsere Mini-App, die die Sicherheit einer nicht verwahrten Wallet mit einer möglichst reibungslosen UX/UI bietet. Und wir haben es gefunden.

In diesem Artikel werde ich TMA Wallet (npm-Paket, Website, GitHub) besprechen – ein Open-Source-Wallet ohne Verwahrung für mehrere Parteien, das für jede Kette geeignet ist und mit dem funktioniert Kürzlich wurde die Telegram Cloud Storage API eingeführt.

Los geht's!

---

Sehr kurze Erklärung der Begriffe

• Wallet = Privater Schlüssel. Dieser private Schlüssel wird zum Signieren von Transaktionen verwendet und gewährt seinem Besitzer das Recht, die Gelder an einer bestimmten Blockchain-Adresse zu kontrollieren.

• Custodial Wallet = Eine Organisation besitzt Ihren privaten Schlüssel und kann in Ihrem Namen handeln. Ein klassisches Beispiel ist eine Krypto-Börse wie Binance. Das ist praktisch, erfordert aber großes Vertrauen in die Organisation.

• Non-custodial Wallet = Sie allein haben Ihren privaten Schlüssel. Es wird auf Ihrem Gerät gespeichert und alle Aktionen mit Ihrem Geld werden von Ihnen oder mit Ihrer Bestätigung durchgeführt. Das Hauptproblem ist, dass man leicht verlieren kann. Wenn Sie Ihren privaten Schlüssel verlieren, verlieren Sie Ihr Geld.

• MPC (Mehrparteienberechnung) = Ein Versuch, das Problem der „verlorenen Brieftasche“ zu lösen: Der Schlüssel ist in mehrere Teile gespalten, an verschiedenen Orten gespeichert und alle Teile werden benötigt eine Unterschrift für eine Transaktion bilden. In diesem Szenario haben Sie durch das Hacken einer Partei keinen Zugriff auf die Gelder des Benutzers. In der Zwischenzeit muss der Benutzer den Schlüssel nicht vollständig selbst speichern.

Eine nicht verwahrte MPC-Wallet ist also eine Wallet, bei der der private Schlüssel in Teile aufgeteilt ist, die an verschiedenen Orten gespeichert und nie von einer einzelnen Partei vollständig zusammengestellt werden.

---

Was genau ist TMA Wallet?

TMA Wallet ist eine nicht verwahrte Mehrparteien-Wallet (MPC), die Telegram Cloud Storage für die sichere Schlüsselspeicherung nutzt. Alles ist mit dem Telegram-Konto des Benutzers verknüpft, sodass er sich keine Startphrasen merken oder externe Wallets einrichten muss. Der Ablauf ist so reibungslos, dass Ihr Benutzer möglicherweise nicht einmal merkt, dass sich unter der Haube eine Krypto-Wallet befindet – Sie können eine völlig benutzerfreundliche Benutzeroberfläche erstellen und die Blockchain-Magie vor dem Benutzer verbergen.

Hier sind einige der Hauptvorteile:

1. Einfache Integration: Installieren Sie einfach das npm-Paket, fügen Sie es in Ihren Code ein und fertig. Jeder Benutzer Ihrer Mini-App hat jetzt eine Brieftasche.

2. Keine TON Connect- oder WalletConnect-Workarounds: Der Benutzer bleibt vollständig in Telegram; Alle Transaktionen werden „unter der Haube“ unterzeichnet.

3. MPC-Technologie: Der private Schlüssel ist für niemanden verfügbar – nicht für Telegram, nicht für Ihren Server, nicht für die Server von TMA Wallet. Es wird nur für ein paar Nanosekunden (beim Signieren einer Transaktion) auf dem Gerät des Benutzers zusammengesetzt und verschwindet dann.

4. Einfache Wiederherstellung: Telefon verloren? Kein Problem – besorgen Sie sich ein neues, melden Sie sich bei Telegram an und das Wallet wird automatisch wiederhergestellt.

5. Zugriff von mehreren Geräten: Wenn der Benutzer die Mini-App von einem Desktop-Client mit demselben Telegram-Konto öffnet, erhält er Zugriff auf dasselbe Wallet wie auf seinem Telefon.

6. Open-Source: Alles ist auf GitHub. Sie können die Sicherheit selbst überprüfen und verifizieren oder ein Audit in Auftrag geben.

7. Viem/Wagmi/Ethers.js-Unterstützung: Wenn Sie an einer EVM-kompatiblen Kette (Ethereum, BSC, Polygon usw.) arbeiten, können Sie Standardbibliotheken verwenden.

8. Unterstützt jede Kette: EVM-Ketten werden standardmäßig unterstützt, aber TMA Wallet ist im Grunde ein System zur separaten Speicherung jedes Geheimnisses. Sie könnten also einen privaten Schlüssel für TON, Solana oder jede andere Kette speichern.

---

Wie funktioniert es „unter der Haube“?

Wie ich bereits erwähnt habe, basiert TMA Wallet auf MPC-Prinzipien, bei denen der private Schlüssel effektiv zwischen mehreren Parteien geteilt und auf der Kundenseite nur kurz wieder zusammengesetzt wird, um Transaktionen zu signieren. Hier ist eine kurze Zusammenfassung:

1. Wenn der Benutzer Ihre Mini-App zum ersten Mal öffnet, generiert das Gerät des Benutzers einen ClientPublicKey und einen ClientSecretKey. Der ClientSecretKey wird im Telegram Cloud Storage gespeichert.

2. Der ClientPublicKey und WebApp.initData (von Telegram signiert) werden an den Server gesendet.

3. Der Server prüft, ob die Signatur von Telegram gültig ist und fordert (optional) den Benutzer zu einer zusätzlichen Authentifizierung (2FA) auf. Es ist optional und Sie müssen es nicht tun, wenn Sie es nicht möchten.

4. Der Server generiert dann einen IntermediaryKey, indem er (ClientPublicKey telegramUserId) mit seinem eigenen ServerSecretKey signiert. Dann verschlüsselt es diesen IntermediaryKey, bevor es ihn an den Client zurücksendet.

5. Der IntermediaryKey kehrt zum Client zurück und wird dort entschlüsselt.

6. Schließlich signiert der Client den IntermediaryKey mit ClientSecretKey, wodurch der WalletPrivateKey (der eigentliche private Schlüssel des Wallets) entsteht.

Dieser Schlüssel wird zum Signieren der Transaktion verwendet und wird niemals irgendwo langfristig gespeichert. Für jede neue Aktion wird diese Schrittkette (außer Schritt 1) ​​wiederholt.

Letztendlich sieht die Benutzeroberfläche der App perfekt aus: Die Anmeldung erfolgt dank der automatischen Authentifizierung in Mini-Apps reibungslos und Transaktionen erfolgen nahtlos, da es eine In-App-Wallet gibt.

---

Wie füge ich es zu meiner Mini-App hinzu?

1. Installieren Sie das SDK:

   npm install --save @tmawallet/sdk

1. Initialisieren Sie den Schlüssel in Ihrem Code:

   import { TMAWalletClient } from '@tmawallet/sdk';
   import { ethers } from 'ethers';

   // Don't forget to sign up at dash.tmawallet.com
   const myApiKey = '1234567812345678'; // Your API key
   const client = new TMAWalletClient(myApiKey);

   // Authorize the user and create/load their wallet
   await client.authenticate();

   console.log('Your wallet address: ', client.walletAddress);

1. Beispiel für die Durchführung einer Transaktion (hier mit Ethers.js):

   // Use TMA Wallet as the "signer" for ethers
   const provider = new ethers.JsonRpcProvider();
   const signer = client.getEthersSigner(provider);

   const tx = await signer.sendTransaction({
     to: '0x...',
     value: ethers.parseEther('1.0'),
   });
   console.log('Transaction hash:', tx.hash);

Und das ist es.

---

FAQ

Unten finden Sie Fragen (leicht bearbeitet) aus der README-Datei von TMA Wallet mit ihren Antworten:

Ist das definitiv sicher?

Ja, das ist der Kerngedanke. Dank des MPC-Protokolls haben weder die Server von TMA Wallet, Telegram noch Sie vollständigen Zugriff auf den privaten Schlüssel – nur der Benutzer hat diesen.

Muss ich Ihnen Zugriff auf den Token meines Bots gewähren?

Nein. Wir sind einer der ersten, der das neue asymmetrische Signaturschema von Telegram unterstützt. Wir benötigen lediglich die ID Ihres Bots, die bereits öffentlich ist.

Welche Blockchain kann unterstützt werden?

Beliebig. EVM-Blockchains (Ethereum usw.) funktionieren sofort mit ethers.js. Für etwas Benutzerdefiniertes können Sie die accessPrivateKey-Methode verwenden.

Was passiert, wenn der Benutzer sein Gerät verliert?

Solange sie Zugriff auf ihr Telegram-Konto haben, melden sie sich einfach auf einem neuen Gerät an und die Wallet wird automatisch wiederhergestellt. Es ist keine Seed-Phrase erforderlich.

Kann ich den Schlüssel sichern?

Technisch gesehen ja, aber das ist wahrscheinlich nicht nötig. Das Wallet kann bereits über Telegram wiederhergestellt werden. Wenn Sie möchten, können Sie dem Benutzer die Sicherung überlassen, dies geschieht jedoch auf eigenes Risiko.

---

Abschluss

Wir haben TMA Wallet in zwei unserer eigenen Apps verwendet. Eine davon ist bereits in Produktion (ich war am Anfang etwas schüchtern, den Link zu posten, aber ich denke, es ist in Ordnung, hier in der Fußzeile zu erwähnen: Only100x).

Es ist eine großartige Option für alle, die Telegram-Mini-Apps erstellen und den Benutzern eine sichere Wallet bieten möchten, ohne die UX mit externen Anschlüssen durcheinander zu bringen.

Probieren Sie es gerne aus und erkunden Sie die Dokumentation. Der gesamte Code des Projekts ist auf GitHub geöffnet. Viel Glück!

---

Tags:

Telegram-Mini-App · Krypto · nicht verwahrte Geldbörse · TMA-Brieftasche

Das obige ist der detaillierte Inhalt vonTMA Wallet – eine nicht verwahrte MPC-Wallet für Ihre Telegram Mini App. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!