Pendapat terbaru Vitalik: Bagaimana cara memilih wali untuk dompet multi-tanda tangan dan dompet pemulihan sosial?

Judul asli: Bagaimana pendapat saya tentang memilih wali untuk dompet sig dan pemulihan sosial Penulis asli: Vitalik Buterin Penyusun: Qianwen, ChainCatcher
 
Dompet multisig (seperti Gnosis Safe) adalah cara sederhana dan aman untuk menyimpan dana, memungkinkan Anda menikmati sebagian besar manfaat hak asuh mandiri - ketika entitas terpusat yang tampaknya dapat dipercaya menjadi tidak dapat dipercaya, dana Anda juga tidak akan hilang. Namun pada saat yang sama, Anda tidak perlu mengambil risiko bertanggung jawab atas keseluruhan pengaturan keamanan. Saya pribadi menggunakan dompet multi-tanda tangan untuk menyimpan sebagian besar dana saya, seperti halnya Ethereum Foundation.
Konsep lain yang mirip dengan dompet multi-tanda tangan adalah dompet pemulihan sosial — satu kunci dapat digunakan untuk menandatangani transaksi, tetapi jika kunci tersebut hilang, sekelompok kunci yang dipegang orang lain dapat digunakan untuk memulihkan dana. Dompet pemulihan sosial lebih mudah digunakan daripada dompet multi-tanda tangan, terutama dengan meningkatnya abstraksi akun ERC-4337 dan Soul Wallet yang akan datang, yang akan membuat teknologi lebih ramah pengguna. Setelah dompet pemulihan sosial menjadi cukup matang, saran saya adalah menggunakan dompet panas pemulihan sosial untuk menyimpan sebagian kecil dana individu atau organisasi; dan menggunakan multisig untuk dompet dingin untuk menyimpan tabungan individu atau organisasi.
Baik dompet multisig maupun dompet pemulihan sosial mengandalkan konsep “penjaga”: sekumpulan alamat N, yang biasanya dipegang oleh orang lain, yang mana M dapat menyetujui tindakan (misalnya, N=6 dan M=4 dapat ditetapkan). Dalam kasus dompet multitanda tangan, setiap transaksi harus ditandatangani oleh M dari N wali. Dalam kasus dompet pemulihan sosial, satu kunci dapat menandatangani transaksi, tetapi jika kunci tersebut hilang, M dari N wali harus menandatangani pesan untuk mengatur ulang kunci tersebut.
Dua pertanyaan kunci untuk menggunakan dompet multi-tanda tangan dan dompet pemulihan sosial secara aman adalah: (i) siapa yang Anda pilih sebagai wali, dan (ii) instruksi apa yang Anda berikan kepada mereka? Tulisan ini akan menguraikan bagaimana saya memandang masalah ini, yang sebagian besarnya juga berlaku untuk dompet multisig dan pemulihan sosial yang digunakan untuk mengamankan dana pribadi dan organisasi.
Apa yang kita inginkan dari para Penjaga?
Minimalkan risiko kehilangan kunci.
Minimalkan kemungkinan mereka berkolusi untuk mencuri dana Anda atau dipaksa melakukannya.
Meski kedua risiko di atas tidak dapat dihindari, risiko masing-masing Wali harus sedapat mungkin tidak saling berkaitan - Anda ingin meminimalkan kesamaan di antaranya, karena risiko umum seperti itu dapat menimbulkan risiko yang menyebabkan banyak Wali Anda tidak berdaya atau terpengaruh pada saat yang bersamaan.
Jawaban atas pertanyaan ini sederhana, tetapi ini memandu semua pilihan saya terkait Wali:
Perangkat Anda sendiri dapat menjadi wali Anda, tetapi jangan biarkan terlalu banyak perangkat menjadi wali Anda.
Pertama-tama, setidaknya satu wali akan menjadi dompet di perangkat Anda sendiri. Ini normal. Bagaimanapun, itu adalah dana Anda sendiri dan tidak ada alasan bahwa itu akan memengaruhi desentralisasi. Namun, begitu Anda memiliki lebih dari satu Penjaga di bawah kendali Anda, Anda menghadapi dilema yang rumit: Anda kurang memercayai orang lain dan memusatkan lebih banyak kekuatan pada diri Anda sendiri, yang dapat berisiko jika Anda diretas, dipaksa, dilumpuhkan, atau dibunuh.
Pengalaman saya adalah seharusnya ada cukup banyak wali yang berada di bawah kendali orang lain. Jika Anda menghilang, ada cukup banyak penjaga lain yang dapat memulihkan dana Anda. Artinya, Anda harus mengendalikan setidaknya satu wali dan maksimal wali N-M. Selain itu, setiap penjaga harus menggunakan perangkat terpisah (laptop, ponsel, telepon lama, dll.).
Pilihlah Wali yang jarang Anda ajak bicara, atau lebih baik lagi jika Anda tidak mengenalnya.
Idealnya, Wali tidak boleh tahu siapa pihak lainnya. Ini sangat mengurangi risiko mereka berkolusi, dan lagi pula, mereka tidak punya alasan kuat untuk saling mengenal. Jika sesuatu terjadi pada Anda, mereka masih dapat menemukan satu sama lain karena ada prosedur standar yang jelas yang secara alami akan dipikirkan orang dalam situasi seperti itu (misalnya, menghubungi keluarga Anda).
Selain itu, Anda ingin meminimalkan keterhubungan antara Wali: jangan pilih dua Wali yang tinggal di kota yang sama (atau lebih baik lagi, negara yang sama), atau dua Wali yang menggunakan jenis dompet yang sama, dan seimbangkan antara sistem operasi yang berbeda.
Wali harus mengajukan pertanyaan keamanan sebelum menyetujui suatu tindakan:
Saat Anda meminta wali untuk menyetujui tindakan bagi Anda (dalam multisig, ini adalah transaksi; dalam dompet pemulihan sosial, ini adalah penggantian kunci akun Anda), mereka tidak boleh langsung memulai tindakan tersebut. Ini adalah bencana bagi keamanan: jika seseorang meretas akun obrolan Anda, mereka dapat memindai pesan Anda, mencari tahu siapa wali Anda, menghubungi masing-masing dari mereka dan meminta mereka untuk mengonfirmasi, lalu mencuri dana Anda.
Untuk menghindari hal ini, proses yang saya sukai adalah menginstruksikan wali untuk mengajukan pertanyaan kerahasiaan. Saat Anda meminta konfirmasi atas tindakan Anda, Wali harus menanyakan sesuatu yang hanya Anda berdua dan sedikit orang lain yang tahu (misalnya, "Makanan apa yang kita makan saat terakhir kali bertemu?"), dan hanya mengonfirmasi tindakan tersebut jika Anda memberikan jawaban yang benar.
Pilihan yang wajar adalah panggilan suara atau video, tetapi di era di mana AI semakin piawai dalam membuat kepalsuan, hal ini tidak lagi dapat dipercaya, jadi Anda mungkin ingin menggabungkan panggilan suara/video dengan mengajukan semacam pertanyaan keamanan.
Jika Anda seorang "veteran Degen", pastikan Wali Anda dapat bereaksi dengan cepat. Jika tidak, Anda tidak perlu membuat permintaan seperti itu.
Jika apa yang Anda lakukan dengan kontrak on-chain berisiko tinggi, Anda mungkin perlu bertindak cepat: jika ada celah dalam kontrak, tarik dana Anda. Jika Anda akan dilikuidasi, transfer uangnya keluar, dll. Jika Anda memiliki kebutuhan ini, maka Anda akan ingin mencari Wali yang dapat bertindak cepat dalam waktu singkat (dan karena itu di zona waktu yang berbeda sehingga ada cukup Wali yang tersedia untuk menyelesaikan transaksi pada waktu tertentu) untuk melindungi dana Anda. Akan tetapi, jika Anda tidak melakukan hal semacam ini, maka kecepatan tidaklah begitu penting, dan faktanya malah bisa jadi merugikan, karena meyakinkan orang untuk bertindak cepat merupakan taktik rekayasa sosial umum yang digunakan oleh para peretas, dan jika orang merasa muak dengan semangat ini, hal tersebut sebenarnya bisa menjadi hal yang baik.
Setiap Wali diuji setidaknya setahun sekali
Lakukan operasi uji coba setidaknya setahun sekali. Idealnya, lakukan dua operasi pengujian per tahun, satu dengan separuh penjaga dan satu lagi dengan separuh lainnya. Ini memastikan wali Anda tidak lupa atau kehilangan akunnya.
Pertanyaan yang lebih lanjut: Privasi
Salah satu tantangan dengan wali adalah saat ini tidak ada teknologi yang dapat menjaga privasi keuangan Anda dari gangguan wali. Namun, ini adalah masalah teknis yang dapat dipecahkan secara teknis: alih-alih menjaga akun Anda secara langsung, penjaga menjaga kontrak "aman", dan hubungan antara akun Anda dan brankas tersebut disembunyikan.
Sangat mudah untuk menyembunyikan tautan hingga Anda perlu memulihkannya: misalnya, akun Anda dapat memiliki kontrak CREATE2 yang hanya dapat dibuat oleh brankas. Namun, jika Anda ingin tautan tetap tersembunyi setelah pemulihan, diperlukan teknologi ZK-SNARK yang lebih canggih. Saya berharap masalah ini akan teratasi perlahan-lahan dalam beberapa tahun ke depan.