これは Multisig Deep Dive の締めくくり記事だ。前の 6 本にわたって絵を描いてきた:multisig とは何か、どの閾値を選ぶか、BIP48 の配線、Schnorr 集約、ソーシャル・リカバリとの比較、そして実在の人間のためにすべてを束ねる single-signer UX。抽象は通常時には良く機能する。この記事は 異常時 の話だ。
すべての multisig ウォレットには予測可能な障害モードがある — 心地よい single-signer の抽象が壊れ、下にあるプロトコルが見えてくる場所。どの障害がどのリカバリに対応するかを知っていることが、ストレスフルな事件と平凡な事件の差をつくる。発生確率の高い順に 5 つを巡る — それぞれで SSP が実際に何をするか(そしてあなたが何をしなければならないか)を。
TL;DR
- モード 1:1 台のデバイスを失う、そのデバイスの seed は無傷。 平凡なリカバリ — 代替デバイスに SSP をインストールし、seed から復元し、ペアリングし直す。資金は危険にさらされない。
- モード 2:1 台のデバイスを失う かつ その seed も失う。 ウォレットは損傷するが消失しない:残りのデバイスから、2 本目の seed を唯一のリカバリ鍵として用いて支出し、その後資金を新規ペアリングのウォレットへ移す。
- モード 3:1 台のデバイスが malware/phishing で侵害される。 攻撃者は 2 つの署名のうち 1 つしか持っていないため資金は安全。クリーンなデバイスとペアリングし直して被害を封じ込める;単一の侵害デバイスから SSP は空にできない。
- モード 4:SSP の調整層が利用不能。 不便ではあるが破滅的ではない。調整はメタデータ輸送 — その下の multisig ウォレットは 2 つの seed のみで BIP48 準拠の任意のソフトウェア によりリカバリできる。
- モード 5:両方のデバイスと両方の seed 紙が同時に破壊される。 これが唯一の破滅的障害モードであり、また self-custody チェックリスト が地理的に起こりにくくするよう設計したそれだ。
この記事は一度読めば十分。暗記する必要はない。要点は、未来のあなたが心配し得るあらゆる障害に対し、具体的で実行可能な対応がある ということ。
モード 1:単一デバイス紛失、seed 無傷
これがもっとも頻発する障害だ:スマホを買い替える、ノート PC を落とす、OS をクリーン再インストールする。SSP ウォレットの片方を動かしていたデバイスは無くなったが、その片方の seed フレーズは(最初の 1000 のチェックリスト に従って物理的に分離して保管していたから)所定の場所にある。
リカバリは:
- 代替デバイス(新しいスマホ、新しいノート PC など)に SSP をインストールする。
- その片方を seed フレーズから復元する。
- 生き残ったデバイスと再度ペアリングする。SSP は両方のデバイスを再度お互いに見せる手順を案内する — multisig 調整層は新デバイス上で同じ xpub を検出して受け入れる。
- 通常通りウォレットを使い続ける。ウォレットのオンチェーン上の識別子は変わらない — 同じアドレス、同じ残高、同じ履歴。
このフロー中、いかなる時点でも資金は危険にさらされない。seed フレーズは まさにこれ のためにある:1 つの署名半分をゼロから再構成すること。SSP のオンボーディングが 両方の seed を別々にバックアップすることをそこまで強調する理由は、これがあなたが対価を払っているリカバリだから。
時間コスト:seed 紙が手元にあれば 20 分ほど。
モード 2:デバイス とその seed を喪失
モード 1 のより厳しい版:デバイス とその seed 紙 を同時に失った。家事、洪水、単一の物理的場所の盗難など。その署名半分を seed から再構成することができない。
これは 2-of-2 対 2-of-3 の判断 が帰結を示す場面だ。2-of-2 — SSP の既定 — の下では、残された署名半分は正確に 1 つ(生き残ったデバイス、その seed と共に)。2-of-3 では 3 本中 2 本を持ち、急がず支出できる;2-of-2 ではこのウォレットから一切支出できない、なぜならチェーンは依然として両方の元の署名を要求するから。
リカバリは:
- 慌てない。 資金は安全 — 攻撃者も支出できない、2-of-2 のルール下にあるから。
- 生き残ったデバイスの seed がバックアップ済みでアクセス可能であることを確認する。それが急に唯一の落しどころになる。
- 新しいデバイスのペア上に 新しい SSP ウォレットをセットアップする(残ったデバイスと新しいデバイス、それぞれ新しい seed で)。
- 古い ウォレットから資金を送る — 待って、できない。2-of-2 は壊れている。
ふむ。ステップ 4 は 2-of-2 についての正直な真実を曝す:この特定の障害モードでは、資金は 凍結 される。盗まれてはいない。暗号学的に失われてもいない。依然としてオンチェーンのアドレスにある。だが動かせない、なぜならウォレットは 2-of-2 の支出ルールを強制し、あなたは片方しか持っていないから。
できることは ウォレットを作り直す こと。具体的には:生き残ったデバイスは依然として seed を持ち、まったく新しいデバイスをまったく新しい seed で立ち上げ、これらを新しい 2-of-2 のウォレットとしてペアリングする。そして古いウォレットから新しいウォレットへ支出する — そしてこれが鍵 — 生き残った元の seed と、失われたものを どこか別の場所から復元したもの と組み合わせて。失った seed の別のコピーが無ければ、資金は本当に座礁する。
これがチェックリストの「2 つの seed、物理的に分離した 2 つの場所、そのうち 1 つは耐火」という指示が偏執狂ではない理由だ。それがモード 2 の答え。もし self-custody の助言を 1 つだけ守るなら、SSP の 両方の seed について seed フレーズのベストプラクティス を守ること。ウォレットの残りはあなたがそうした前提でよくできている。
モード 3:1 つのデバイスの侵害
もっと暗いシナリオを想像してほしい:ノート PC が malware に侵害されている。ブラウザ拡張はまだインストールされている;攻撃者は使用を観察できた可能性があり、そのデバイスの署名鍵に完全なアクセスを持つかもしれない。彼らは何を得るか。
シングル sig のホットウォレット下では — すべてを得る。次回支出しようとした瞬間(あるいはもっと早く、malware が黙って支出を起動できるなら)にウォレットは空になる。
2-of-2 の SSP ウォレットの下では、彼らはまだ何も得ない。彼らが持つのは 1 つの署名;チェーンは 2 つを要求する。単独では支出できない。最大で彼らができるのは、トランザクション提案を作り、SSP の調整層を介してあなたのスマホに送り、あなたが気づかずに承認することを期待することだ。
ここで single-signer UX の議論がセキュリティと交差する。スマホ上の確認ステップは UX の小綺麗さ ではなく;侵害されたノート PC と空になったウォレットの間に立つ唯一のものだ。スマホでトランザクションの詳細を読め。受信アドレスを照合せよ。金額を照合せよ。何かおかしければ、プロンプトがどう来たかに関わらず 承認するな。
侵害を発見したときの封じ込め対応:
- 侵害されていない デバイスから、まっさらな SSP ウォレット(2 つの新規デバイス、2 つの新規 seed でセットアップ済み)に資金を送る。これは単一の multisig トランザクション — 古い両方のデバイスが一度ずつ署名する必要があるが、その直後に侵害されたデバイスの使用を停止する。
- 侵害されたデバイスを消去する。工場出荷時にリセット;拡張をアンインストールするだけではない。
- 侵害された seed を「焼けた」と扱う。その特定の seed を二度と再インポートしない;漏れたものと見なす。
この封じ込めは、攻撃者を出し抜かねばならないシングル sig ウォレットの対応に比べて格段に速く、リスクが低い。multisig では、攻撃者は 2 つ目の署名なしでは閉め出されているため、落ち着いて行動する時間がある。前シリーズの 7 つの障害モード記事 は、これをドル換算で語った:リテール self-custody での損失の多くは単鍵の侵害であり、2-of-2 が最頻シナリオへの答えだ。
モード 4:SSP の調整層が利用不能
SSP(会社)が障害になったらどうなるか? あなたのブラウザ拡張とスマホの間で PSBT を運ぶ調整サービスがダウンしたら? あるいは、SSP をもうまったく使いたくないと決めたら?
正直な答え:調整層はメタデータ輸送 — 便利だが、負荷を担うものではない。実際のウォレットはオンチェーンに存在し、あなたの 2 つの BIP48 seed から派生されている。SSP の署名サーバーが 1 時間ダウンしているなら、1 時間待てる。1 週間ダウンしているなら、面倒だ。永久にダウンしているなら、それでも両方の seed を BIP48 互換の他のウォレット にロードしてウォレットを回復できる — Bitcoin の Sparrow、Electrum、Bitcoin Core のディスクリプタウォレット、EVM チェーン上の同等の multisig クライアントなど。
ここでの回復経路は:
- 問題が SSP 側(あなたのローカルデバイスではなく)にあることを確認する — SSP のステータスページかコミュニティチャネルが告げる。
- 緊急に支出が必要なら、BIP48 multisig パスをサポートするサードパーティのウォレットをインストールする。Bitcoin で最もユーザーフレンドリーな選択は Sparrow;EVM では Safe や類似の multisig クライアントを使う。
- その第三者ウォレットに両方の seed をロードする。同じアドレスが現れ、同じ残高、同じ支出能力。
- そこから通常通り署名してブロードキャストする。
あなたがこれをできる理由 — これがマーケティングの主張ではなく検証可能な性質である理由 — は、SSP が 標準 を使うからだ。BIP48 の記事 と 2-of-2 multisig とは何か がこれを辿る。SSP は SSP から独立に存在するウォレットの上にある便利なフロントエンドだ。
実務上、SSP の署名インフラは高可用性で構築されている — だが「SSP なしでウォレットが復元可能」という 保証 こそが、便利さを安心の源にして恐怖の源にしない。
モード 5:両方のデバイスと両方の seed が同時に破壊される
これが破滅的障害モードであり、はっきり述べる価値がある:もし 両方の 署名半分と 両方の seed バックアップを同じ事象で失ったら、ウォレットは恒久的にアクセス不能になる。資金はまだチェーン上、multisig アドレスにあるが、誰も — SSP も含めて — 動かすことができない。これが本当の self-custody の代価だ;SSP があなたの資金を凍結できないことを意味する同じ性質が、解凍もできないことを意味する。
防御は地理的かつ構造的:
- 2 つの seed は 物理的に分離した 場所に住む。最初の 1000 チェックリストは「異なる部屋、現実的ならば異なる建物」を挙げる。
- 少なくとも 1 つの seed は耐火容器に住む。
- スタックが十分に大きく正当化するなら、最終的には 2-of-3 に移行する — 3 本目の鍵(しばしば弁護士、家族、または銀行貸金庫に保管)を追加することで、破滅的障害面が「両方の物理的場所が破壊される」から「3 つの場所のうちいずれか 2 つが破壊される」に縮む。
正直な構図:この障害モードは確率を深刻度と交換する。シングル鍵ウォレットは(モード 1 と 3 がデータを支配する)はるかに頻繁に失敗するが、事案あたりの深刻度は低い。地理的 seed 分離のある multisig は失敗頻度を一桁減らすが、事案あたりの深刻度をわずかに上げる。ほとんどのユーザーが得をする。
Meet SSP Wallet の紹介 は製品を洗練されたリテール self-custody のための道具と位置付ける。モード 5 の深刻さは、その位置付けが正直である理由の一部 — この製品は、seed 紙を「一度書いて忘れる何か」ではなく「荷重を担う基盤」として扱う用意のある人々のために作られているからだ。
あなたにとってこれが意味すること
締めくくりの要点:
- 障害モードの大半は日常的なリカバリを持つ。 モード 1、3、4 — 圧倒的に最頻 — はよく定義された、ストレスの低い回復経路を持つ。2-of-2 モデルは約束を本当に果たす:単一点の侵害を吸収し、対応の時間を与える。
- 破滅的ケースは地理的であって暗号学的ではない。 モード 5 はあなたの seed フレーズのベストプラクティス が扱う内容だ。ウォレットの暗号はよく監査されている;残る障害面は、2 つの seed を物理的に異なる耐久性のある場所に保管したかどうかだ。
- これで全体像を手にした。 本シリーズ(記事 1、記事 2、記事 3、記事 4、記事 5、記事 6、本稿)は、multisig が何か、いつどの閾値を選ぶか、すべてがどう繋がっているか、集約が何を変えるか、リカバリ・モデルがどう違うか、UX がなぜそう感じられるか、それぞれの障害モードが運用上どう見えるかをカバーしてきた。先行する Self-Custody Fundamentals シリーズはあなたに なぜ を与えた;本シリーズは どのように を与えた。ここから先は運用規律の仕事だ:バックアップ衛生、定期的なリカバリ予行演習、そして発生時にモード 1 / 2 / 3 / 4 のリカバリを冷静に行う忍耐。
ウォレットはよく設計されている。残る変数はあなた。
