SSP Editorial Team

Modes de défaillance multisig et comment SSP les atténue

·10 min de lecture·Par SSP Editorial Team
Couverture bleu marine SSP avec icônes bouclier, clé, œil barré et CPU sur dégradé sombre, chapitre modes de défaillance de Multisig Deep Dive

Voici l'article de clôture de Multisig Deep Dive. Au fil des six pièces précédentes, nous avons monté l'image : ce qu'est le multisig, quel seuil choisir, le câblage BIP48, l'agrégation Schnorr, la comparaison avec la social-recovery, et l'UX single-signer qui relie tout ça pour de vrais humains. L'abstraction fonctionne bien en conditions normales. Cet article parle des conditions anormales.

Tout portefeuille multisig a des modes de défaillance prévisibles — des endroits où la confortable abstraction single-signer casse et où le protocole sous-jacent devient visible. Savoir quelles défaillances correspondent à quelles récupérations fait la différence entre un incident stressant et un incident routinier. Nous parcourons cinq d'entre eux, dans l'ordre où ils sont le plus susceptibles de se produire, avec ce que SSP fait concrètement (et ce que vous devez faire) dans chaque cas.

TL;DR

  • Mode 1 : un appareil perdu, la seed de cet appareil intacte. Récupération triviale — installez SSP sur un appareil de remplacement, restaurez depuis la seed, ré-appairez. Pas de fonds à risque.
  • Mode 2 : un appareil perdu et sa seed perdue. Le portefeuille est affaibli mais pas perdu : dépensez depuis votre appareil restant en utilisant votre seconde seed comme unique clé de récupération, puis déplacez les fonds vers un portefeuille fraîchement appairé.
  • Mode 3 : un appareil est compromis par malware/phishing. Les fonds sont en sécurité parce que l'attaquant n'a qu'une seule des deux signatures. Vous contenez la brèche en ré-appairant avec un appareil propre ; SSP ne peut pas être vidé depuis un seul appareil compromis.
  • Mode 4 : la couche de coordination de SSP est indisponible. Désagréable, pas catastrophique. La coordination, c'est du transport de métadonnées ; le portefeuille multisig sous-jacent est récupérable par n'importe quel logiciel compatible BIP48 avec les deux seeds.
  • Mode 5 : les deux appareils et les deux papiers de seed détruits en même temps. C'est le seul mode catastrophique, et c'est aussi celui pour lequel votre check-list self-custody est conçue pour rendre géographiquement improbable.

Lire cet article une fois suffit. Pas besoin de l'apprendre par cœur. L'idée est que pour chaque défaillance dont votre vous futur pourrait s'inquiéter, il existe une réponse spécifique et exécutable.

Mode 1 : un seul appareil perdu, seed intacte

C'est la défaillance la plus fréquente : vous changez de téléphone, vous faites tomber votre laptop, ou vous faites une réinstall propre de l'OS. L'appareil qui exécutait une moitié de votre portefeuille SSP a disparu, mais la seed phrase pour cette moitié est toujours à sa place (parce que vous avez suivi la check-list des 1000 premiers et l'avez physiquement séparée).

La récupération :

  1. Installez SSP sur un appareil de remplacement (téléphone neuf, laptop neuf, etc.).
  2. Restaurez cette moitié depuis sa seed phrase.
  3. Ré-appairez avec votre appareil survivant. SSP vous guide pour remontrer chaque appareil à l'autre — la couche de coordination multisig détecte le même xpub sur le nouvel appareil et l'accepte.
  4. Continuez à utiliser le portefeuille normalement. L'identité on-chain du portefeuille est inchangée — même adresse, même solde, même historique.

À aucun moment vos fonds sont à risque pendant ce flux. La seed phrase est faite exactement pour ça : reconstituer une moitié de signature à partir de zéro. La raison pour laquelle l'onboarding SSP insiste tant sur la sauvegarde séparée des deux seeds, c'est que c'est la récupération que vous payez.

Coût en temps : ~20 minutes si vous avez votre papier de seed sous la main.

Mode 2 : appareil et sa seed perdus

La version plus difficile du mode 1 : vous avez perdu un appareil et son papier de seed en même temps. Incendie domestique, inondation, vol d'un seul emplacement physique, etc. Vous ne pouvez plus reconstituer cette moitié de signature à partir de sa propre seed.

C'est précisément le cas où la décision 2-of-2 vs 2-of-3 montre ses conséquences. Sous 2-of-2 — le default SSP — il vous reste exactement une moitié de signature (l'appareil survivant, avec sa propre seed). Sous 2-of-3, vous auriez deux clés sur trois et pourriez dépenser sans urgence ; sous 2-of-2, vous ne pouvez plus rien dépenser depuis ce portefeuille, parce que la chaîne exige toujours les deux signatures originales.

La récupération :

  1. Pas de panique. Les fonds sont en sécurité — aucun attaquant ne peut les dépenser non plus, parce qu'ils sont sous une règle 2-of-2.
  2. Vérifiez que la seed de votre appareil survivant est toujours sauvegardée et accessible. C'est subitement votre seul filet de sécurité.
  3. Configurez un nouveau portefeuille SSP sur une paire d'appareils neufs (votre appareil restant et un nouvel appareil, chacun avec de nouvelles seeds).
  4. Envoyez les fonds de l'ancien portefeuille — attendez, vous ne pouvez pas. Le 2-of-2 est cassé.

Hum. L'étape 4 révèle la vérité honnête sur le 2-of-2 : dans ce mode de défaillance précis, les fonds sont gelés. Pas volés. Pas perdus au sens cryptographique. Ils sont toujours à l'adresse on-chain. Mais vous ne pouvez pas les déplacer, parce que le portefeuille applique la règle de dépense 2-of-2 et vous n'avez qu'une moitié.

Ce que vous pouvez faire, c'est recréer le portefeuille. Concrètement : l'appareil survivant a toujours sa seed, vous configurez un appareil flambant neuf avec une nouvelle seed, vous les appairez en nouveau portefeuille 2-of-2, et vous dépensez de l'ancien portefeuille vers le nouveau en — et c'est la clé — combinant la seed originale survivante avec celle perdue récupérée d'ailleurs. Si vous n'avez aucune autre copie de la seed perdue, les fonds sont véritablement coincés.

C'est pourquoi l'instruction de la check-list « deux seeds, deux emplacements physiquement séparés, dont l'un ignifuge » n'est pas de la paranoïa. C'est la réponse au mode 2. Si vous ne deviez suivre qu'un seul conseil de self-custody, suivez les meilleures pratiques de seed phrase pour les deux seeds SSP. Le reste du portefeuille est bien conçu autour de l'hypothèse que vous l'avez fait.

Mode 3 : un appareil compromis

Imaginez le scénario plus sinistre : votre laptop est compromis par un malware. L'extension du navigateur est toujours installée ; l'attaquant a potentiellement observé votre usage, peut avoir un accès complet à la clé de signature de cet appareil. Qu'obtient-il ?

Sous un hot wallet single-sig — il obtient tout. Le portefeuille est vidé dès que vous essayez la prochaine dépense (ou avant, si le malware peut initier des dépenses silencieusement).

Sous un portefeuille SSP 2-of-2, il n'obtient rien pour l'instant. Il a une signature ; la chaîne en exige deux. Il ne peut pas dépenser seul. Au maximum, il peut fabriquer une proposition de transaction, la pousser à votre téléphone via la couche de coordination de SSP, et espérer que vous l'approuviez sur le téléphone sans rien remarquer.

C'est ici que la discussion sur l'UX single-signer croise la sécurité. L'étape de confirmation sur le téléphone n'est pas un petit raffinement d'UX ; c'est la seule chose entre un laptop compromis et un portefeuille vidé. Lisez les détails de la transaction sur le téléphone. Comparez l'adresse du destinataire. Comparez le montant. Si quelque chose semble suspect, n'approuvez pas, peu importe comment la prompt est arrivée là.

La réponse de confinement quand vous découvrez une compromission :

  1. Depuis votre appareil non compromis, envoyez vos fonds vers un portefeuille SSP flambant neuf (configuré sur deux nouveaux appareils, deux nouvelles seeds). C'est une seule transaction multisig — les deux anciens appareils doivent signer une fois, mais juste après vous cessez d'utiliser celui qui est compromis.
  2. Effacez l'appareil compromis. Reset usine ; pas juste désinstaller l'extension.
  3. Traitez la seed compromise comme brûlée. Ne réimportez jamais cette seed précise ; considérez-la fuitée.

Ce confinement est bien plus rapide et à enjeux plus faibles que l'équivalent pour un portefeuille single-sig, où il faut prendre l'attaquant de vitesse. Avec multisig, vous avez le temps d'agir calmement parce que l'attaquant est bloqué sans la seconde signature. La pièce des sept modes de défaillance de la série précédente le met en termes monétaires : la majorité des pertes en self-custody retail sont des compromissions d'une seule clé, et 2-of-2 est la réponse au scénario le plus fréquent.

Mode 4 : la couche de coordination de SSP est indisponible

Que se passe-t-il si SSP, l'entreprise, a une panne ? Ou si le service de coordination qui transporte les PSBT entre votre extension de navigateur et votre téléphone est down ? Ou si vous avez décidé que vous ne voulez plus utiliser SSP du tout ?

La réponse honnête est que la couche de coordination est du transport de métadonnées — pratique mais pas porteuse. Le vrai portefeuille vit on-chain, dérivé de vos deux seeds BIP48. Si le serveur de signature de SSP est down pendant une heure, vous pouvez attendre une heure. Down pendant une semaine, c'est embêtant. Down pour toujours, vous pouvez quand même récupérer le portefeuille en chargeant les deux seeds dans n'importe quel autre portefeuille compatible BIP48 — Sparrow sur Bitcoin, Electrum, les descriptor wallets de Bitcoin Core, des clients multisig équivalents sur les chaînes EVM, etc.

Le chemin de récupération ici :

  1. Confirmez que le souci est du côté de SSP (vs. vos appareils locaux) — la page de statut SSP ou ses canaux communautaires le diront.
  2. Si vous devez dépenser urgemment, installez un portefeuille tiers qui supporte le chemin multisig BIP48. Sparrow est le choix le plus convivial pour Bitcoin ; pour l'EVM, vous utiliseriez Safe ou un client multisig similaire.
  3. Chargez les deux seeds dans ce portefeuille tiers. La même adresse apparaît, le même solde, la même capacité de dépense.
  4. Signez et diffusez normalement de là.

La raison pour laquelle vous pouvez faire ça — la raison pour laquelle ce n'est pas une affirmation marketing mais une propriété vérifiable — est que SSP utilise des standards. L'article BIP48 et Qu'est-ce que le multisig 2-of-2 le parcourent. SSP est le front-end pratique au-dessus d'un portefeuille qui existe indépendamment de SSP.

En pratique, l'infrastructure de signature de SSP est construite pour une haute disponibilité — mais la garantie que le portefeuille est récupérable sans SSP est ce qui fait que la commodité importe plutôt qu'elle ne vous effraie.

Mode 5 : les deux appareils et les deux seeds détruits simultanément

C'est le mode de défaillance catastrophique et il mérite d'être dit clairement : si vous perdez les deux moitiés de signature et les deux sauvegardes de seed dans le même événement, le portefeuille est définitivement inaccessible. Les fonds sont toujours on-chain, à l'adresse multisig, mais personne — y compris SSP — ne peut les déplacer. C'est le prix de la vraie self-custody ; la même propriété qui fait que SSP ne peut pas geler vos fonds fait qu'il ne peut pas non plus les dégeler.

La défense est géographique et structurelle :

  • Les deux seeds vivent dans des emplacements physiquement séparés. La check-list des 1000 premiers parle de « pièce différente, bâtiment différent si possible ».
  • Au moins une des seeds vit dans un contenant ignifuge.
  • Si votre encours est assez large pour le justifier, vous finissez par migrer vers 2-of-3 — ajouter une troisième clé (souvent gardée chez un avocat, un membre de la famille, ou dans un coffre bancaire) réduit la surface catastrophique de « les deux emplacements physiques détruits » à « deux quelconques de trois emplacements détruits ».

Le cadrage honnête est que ce mode de défaillance échange probabilité contre sévérité. Les portefeuilles single-key tombent en panne bien plus souvent (modes 1 et 3 dominent les données) mais avec une sévérité par incident plus faible. Le multisig avec séparation géographique des seeds réduit la fréquence de panne d'un ordre de grandeur mais relève légèrement la sévérité par incident. La plupart des utilisateurs y gagnent.

L'introduction Meet SSP Wallet cadre le produit comme outil pour self-custody retail sophistiquée. La gravité du mode 5 est en partie pourquoi ce cadrage est honnête — le produit est conçu pour des gens prêts à traiter les papiers de seed comme une infrastructure porteuse, pas comme un truc qu'on écrit une fois puis qu'on oublie.

Ce que ça signifie pour vous

Conclusions de clôture :

  1. La plupart des modes de défaillance ont des récupérations routinières. Les modes 1, 3 et 4 — de loin les plus fréquents — ont des chemins de récupération bien définis et peu stressants. Le modèle 2-of-2 fait vraiment ce qu'il promet : il absorbe les compromissions ponctuelles et vous donne le temps de répondre.
  2. Le cas catastrophique est géographique, pas cryptographique. Le mode 5, c'est ce dont vos meilleures pratiques de seed phrase parlent. La cryptographie du portefeuille est bien auditée ; la surface de défaillance qui reste, c'est de savoir si vous avez stocké les deux seeds dans des endroits physiquement distincts et durables.
  3. Vous avez maintenant l'image complète. Cette série (article 1, article 2, article 3, article 4, article 5, article 6, celui-ci) a couvert ce qu'est le multisig, quand choisir quel seuil, comment c'est câblé ensemble, ce que l'agrégation change, comment les modèles de récupération diffèrent, pourquoi l'UX se ressent comme elle se ressent, et à quoi ressemble chaque mode de défaillance opérationnellement. La série Self-Custody Fundamentals qui la précède vous a donné le pourquoi ; cette série vous a donné le comment. À partir d'ici, le travail est de discipline opérationnelle : hygiène des sauvegardes, répétitions périodiques de récupération, et la patience de faire des récupérations mode 1 / 2 / 3 / 4 calmement quand ça arrive.

Le portefeuille est bien conçu. La variable qui reste, c'est vous.

Partager cet article

Articles connexes

Couverture bleu marine SSP avec icônes de clé, éclair et bouclier sur dégradé sombre, chapitre UX single-signer de Multisig Deep Dive

Multisig single-signer : comment SSP fait que deux appareils ressemblent à un portefeuille

Comment SSP réduit le multisig 2-of-2 en UX single-signer, ce qui est caché, où ça casse, et pourquoi la friction visible est la sécurité.

9 min read
Couverture bleu marine SSP avec icônes de clé, bouclier, empreinte et cadenas sur dégradé sombre, chapitre comparatif social-recovery de Multisig Deep Dive

Social recovery vs multisig : deux réponses à la perte d'une clé

Le multisig protège contre le vol ; la social recovery contre la perte. Comparaison côte à côte de quand chacun gagne en setup solo, conjoint et d'équipe.

8 min read
Couverture bleu marine SSP avec icônes de clé, bouclier, CPU et éclair sur dégradé sombre, chapitre Schnorr de la série Multisig Deep Dive

Signatures Schnorr et agrégation multisig

Comment la linéarité de Schnorr fait du multisig une signature on-chain unique, ce que fait MuSig2 et ce que l agrégation change pour SSP.

9 min read