Kalau kamu mengikuti seri ini, kamu sudah membangun gambaran tentang multisig sebagai aturan pembelanjaan: m dari n kunci menandatangani, chain memberlakukan ambang, uang bergerak. Kita sudah bicara tentang protokol, jalur derivasi, dan horizon agregasi Schnorr. Di setiap titik, pertanyaan yang dijawab adalah: siapa yang harus menandatangani agar uang bergerak?
Artikel ini tentang pertanyaan berbeda: apa yang terjadi kalau salah satu penandatangan itu hilang selamanya? Multisig punya satu jawaban. Social recovery punya jawaban lain. Mereka kelihatannya mirip secara marketing — keduanya melibatkan "lebih dari satu orang" — tapi memecahkan masalah berbeda. Tulisan ini adalah perbandingan berdampingan, supaya kamu berhenti mencampur keduanya.
TL;DR
- Multisig menjawab siapa yang bisa belanja sekarang. Setiap transaksi butuh ambang cosigner untuk menandatangani. Blockchain sendiri yang memberlakukan ini.
- Social recovery menjawab siapa yang bisa membantu saya kembali masuk kalau kunci saya hilang. Dompet punya satu penandatangan normal (kamu). Sekumpulan terpisah "guardian" bisa secara kolektif menyetujui transaksi pemulihan yang mengarahkan ulang dompet ke kunci baru.
- Multisig aktif di setiap pembelanjaan. Social recovery pasif sampai kamu memanggilnya — dan bahkan saat itu, yang dia lakukan adalah mengganti kunci pembelanjaan, bukan ikut menandatangani pembelanjaanmu.
- Keduanya melindungi kamu dari kehilangan akses. Hanya multisig yang sungguh-sungguh melindungi kamu dari penyerang mendapatkan akses, karena hanya multisig yang menuntut banyak tanda tangan untuk pembelanjaan normal.
- Mereka tidak saling eksklusif. Setup dunia nyata yang paling tangguh menggabungkan aturan pembelanjaan multisig dengan cara bergaya social-recovery untuk merotasi salah satu kunci penandatangan kalau hilang.
Apa "social recovery" sebenarnya
Social recovery, dalam pengertian yang dipopulerkan ekosistem Ethereum, datang dari dompet smart-contract — Argent adalah proof of concept awal, Safe dan ekosistem ERC-4337 menjadikannya mainstream. Mekanisme: dompetmu adalah smart contract, dikendalikan dalam operasi normal oleh satu kunci tanda tangan. Kontrak juga punya fungsi recoverWallet(newKey) bawaan yang hanya bisa dipanggil oleh kuorum guardian yang kamu nominasi saat menyiapkan dompet.
Guardian tidak ikut menandatangani transaksi harianmu. Mereka tidak bisa belanja atas namamu. Kuasa mereka lebih sempit: kalau suatu hari kamu bilang "kunci tanda tangan saya hilang, tolong bantu saya reset", mereka bisa secara kolektif menandatangani transaksi pemulihan yang menukar kunci pengendali dompet dari yang hilang ke kunci baru. Setelah itu, kamu kembali belanja normal dengan kunci baru.
Setup tipikal mungkin punya 5 guardian, dengan ambang 3-of-5 untuk pemulihan. 3-of-5 adalah ambang pemulihan, bukan ambang pembelanjaan. Untuk pembelanjaan harian, kamu masih hanya butuh kuncimu sendiri yang satu.
Dosa asal social recovery adalah ia membutuhkan smart contract — artinya ia berjalan natively di Ethereum dan chain EVM (terutama via account abstraction / ERC-4337), tapi tidak mudah dipindahkan ke Bitcoin atau chain UTXO lain. Analogi terdekat di Bitcoin adalah multisig di mana salah satu cosigner adalah "layanan pemulihan atau orang yang dipercaya" alih-alih perangkatmu sendiri. Itu mirip secara struktur tapi berbeda secara konsep — orang yang dipercaya itu menandatangani setiap pembelanjaan di versi Bitcoin, bukan hanya pemulihan.
Mekanisme: bagaimana masing-masing menangani "saya kehilangan kunci"
Bayangkan skenario terburuk dalam istilah konkret: kamu menjatuhkan ponselmu ke laut, kertas seed untuk ponsel itu ada di dompetmu (juga di laut), dan kamu tidak punya backup yang bekerja untuk kunci yang hilang.
Di bawah multisig 2-of-2 (default SSP): dompet beku. Kedua tanda tangan dibutuhkan untuk pembelanjaan apa pun, dan kamu hanya punya satu penandatangan yang tersisa. Tidak ada trik smart-contract yang menyelamatkan ini; aturan pembelanjaan on-chain adalah 2-of-2, titik. Jalan pemulihanmu adalah seed kedua — checklist self-custody membuat kedua seed berbeban tepat karena skenario ini.
Di bawah multisig 2-of-3 (setup solo-dengan-redundansi dari artikel pemilih): dompet masih operasional. Kamu punya dua dari tiga kunci; chain menerimanya sebagai kuorum sah. Kamu bisa belanja, bisa memindahkan dana ke dompet 2-of-3 baru dengan kunci ketiga yang segar, dan kunci lama yang hilang jadi tidak relevan.
Di bawah dompet social-recovery: dompet juga operasional, tapi lewat jalan berbeda. Kamu tidak punya kuorum kunci tanda tangan — kamu punya satu kunci tanda tangan (yang hilang). Sebagai gantinya, kamu menghubungi guardianmu dan meminta mereka menandatangani transaksi pemulihan. Setelah ambang mereka menyetujui, dompet dipasang ulang ke kunci pembelanjaan baru yang kamu kendalikan. Lalu kamu kembali ke pembelanjaan satu kunci.
Dua pemulihan kelihatan dangkalnya mirip — "minta kuorum pihak terpercaya membela saya" — tapi mereka melakukan hal berbeda. Pemulihan multisig pakai kuorum yang sudah ada yang selalu ada. Social recovery mengaktifkan kuorum laten yang ada hanya untuk menangani kasus ini.
Apa yang mereka lindungi (dan apa yang tidak)
Kedua arsitektur melindungi dari kehilangan akses: kamu bisa pulih ketika kehilangan kunci.
Tempat mereka tajam berbeda adalah perlindungan terhadap pembelanjaan tidak sah.
Multisig melindungi dari pencurian kunci tunggal mana pun. Kalau penyerang phishing laptopmu, menguras hot walletmu, atau mencuri perangkat hardwaremu — dia punya satu dari n kunci dan tidak bisa memindahkan uang. Ambang pembelanjaan penuh tidak terpenuhi. Pos tujuh mode kegagalan dari seri sebelumnya menggambarkan seberapa sering ini sebenarnya penting: kompromi kunci tunggal adalah vektor serangan dominan di self-custody retail, dan multisig adalah jawabannya.
Social recovery tidak melindungi dari pencurian kunci tunggal sama sekali. Dalam model social-recovery standar, satu kunci tanda tanganmu menandatangani setiap transaksi. Kalau kunci itu dikompromikan, penyerang menguras dompetmu seketika — dan proses social recovery tidak membantu, karena dananya sudah pergi sebelum guardian bisa campur tangan. Pemulihan adalah alat untuk kehilangan, bukan untuk pencurian.
Kamu bisa menumpuknya: dompet smart-contract bisa menerapkan aturan pembelanjaan multisig dan mekanisme rotasi social-recovery. Stack modern ERC-4337 (lihat penjelasan account abstraction untuk konteks protokol) membuat ini bisa dikomposisi. Tapi social recovery murni, sendirian, adalah cerita pemulihan — bukan cerita keamanan.
Perbandingan pragmatis
| Properti | Multisig (2-of-2 / 2-of-3) | Social recovery |
|---|---|---|
| UX harian | Tanda tangan di setiap perangkat pencosigner | Tanda tangan di satu perangkat |
| Tahan pencurian kunci tunggal | Ya | Tidak |
| Tahan kehilangan kunci tunggal | 2-of-2: tidak; 2-of-3: ya | Ya (via guardian) |
| Bekerja di Bitcoin | Ya | Tidak (butuh smart contract) |
| Bekerja di Ethereum / EVM | Ya (BIP48 / Safe) | Ya (Argent, Safe, ERC-4337) |
| Waktu untuk pulih | Seketika (tanda tangan dengan kuorum yang selamat) | Jam-ke-hari (koordinasi guardian) |
| Asumsi kepercayaan | Perangkat/orang yang memegang kunci pencosigner | Guardian, yang kamu percayai tidak berkonspirasi jahat |
| Visibilitas on-chain | Terlihat sebagai output multisig (kecuali Schnorr-agregasi) | Mirip dompet satu kunci sebagian besar waktu |
Dua pola untuk diperhatikan di tabel itu:
Pertama, multisig adalah alat yang lebih luas. Bekerja di lebih banyak chain, tahan terhadap lebih banyak jenis serangan, dan saat ini diaudit lebih baik di tingkat protokol. Social recovery lebih ramah UX ketika ia adalah opsi, tapi lebih sempit.
Kedua, asumsi kepercayaan berbeda. Multisig percaya bahwa perangkat yang memegang kunci pencosignermu tidak semua dikompromikan sekaligus. Social recovery percaya bahwa cukup banyak guardianmu tidak berkonspirasi untuk mencuri danamu. Keduanya adalah model kepercayaan yang masuk akal untuk pengguna yang tepat, tapi bukan model kepercayaan yang sama.
Kapan kamu mau yang mana
- Kamu pengguna solo dengan satu perangkat dan sisa dunia adalah padang gurun UX. Social recovery menang. Alur Argent / Safe / smart-account memang opsi self-custody dengan friksi paling rendah, dan skenario kehilangan kunci adalah yang paling banyak dialami pemula. Kekurangannya — tidak ada perlindungan terhadap pencurian — adalah yang kamu terima secara sadar, idealnya sebagai imbalan saldo di bawah lima digit.
- Kamu pengguna solo dengan kepemilikan tidak sepele. Multisig menang. Default 2-of-2 SSP menaikkan ambang terhadap pencurian, varian 2-of-3 menambah ketahanan terhadap kehilangan kunci, dan keduanya beristirahat pada standar terbuka, bukan platform smart-contract tertentu. Friksinya nyata tapi sebanding dengan taruhan.
- Kamu organisasi, kemitraan, atau family office. Multisig wajib; social recovery adalah tambahan ergonomis. Kamu mau kontrol bersama sejati di setiap pembelanjaan, bukan hanya di pemulihan. Sebagian besar org mendarat di aturan pembelanjaan multisig dengan prosedur rotasi kunci yang terpisah dan hati-hati untuk saat seorang penandatangan pergi.
- Kamu di suatu titik di tengah, di Ethereum. Tumpuk keduanya. Dompet smart-contract gaya Safe bisa menjalankan aturan pembelanjaan multisig 2-of-3 dan alur rotasi social-recovery di atasnya. Ke sanalah ekosistem account abstraction menuju.
Untuk setup SSP 2-of-2 spesifik yang dipakai sebagian besar pembaca seri ini, social recovery bukan fitur hari ini — secara desain. Kedua cosigner adalah milikmu, kisah pemulihannya "pakai seed kedua", dan nilainya ada di ketahanan terhadap pencurian yang murah didapat. Social recovery memecahkan masalah berbeda, masalah yang datang setelah "saya nyaman dengan kustodi, sekarang buat lebih mudah".
Apa artinya ini untukmu
Tiga kesimpulan untuk diarsipkan:
- Mereka bukan pengganti. Kalau dompet menjual "kami punya social recovery, jadi kamu tidak butuh multisig", itu marketing, bukan rekayasa. Pemulihan melindungi dari kehilangan; multisig melindungi dari pencurian. Pertanyaan yang mereka jawab tidak tumpang tindih.
- Setup SSP 2-of-2 kamu adalah produk aturan pembelanjaan. Kehilangan satu perangkat dipulihkan dari seed kedua, bukan dari kuorum guardian. Artikel penutup seri ini — Mode kegagalan multisig dan cara SSP memitigasinya — menelusuri persis bagaimana pemulihan itu berjalan per mode kegagalan.
- Bangun ke depan, bukan ke samping. Setelah stackmu sungguh melampaui 2-of-2, langkah berikutnya biasanya multisig 2-of-3 dengan kunci yang terpisah secara geografis, bukan social recovery sebagai pengganti multisig. Artikel 2-of-3 seri ini (pemilih) menyiapkan migrasi itu; tulisan single-signer multisig yang akan datang menjelaskan bagaimana SSP membuat setup masa depan itu terasa seperti satu dompet.
