Web3ウォレットのセキュリティ問題を探る：イーサリアムコミュニティはどのようなリカバリーシステムを必要としているのか？

原文タイトル：《DAOrayaki ｜イーサリアムコミュニティが必要とする社会回復システムとは》

執筆：Vitalik，isthisanart

編訳：Xinyang

暗号通貨とブロックチェーンアプリケーションを一般ユーザーに利用可能にする最大の課題の一つはセキュリティです：ユーザーの資金を失ったり盗まれたりしないようにするにはどうすればよいのでしょうか？資金の喪失や盗難は深刻な問題であり、無実のブロックチェーンユーザーが数千ドルを失うことが頻繁にあり、場合によっては彼らの純資産の大部分を無駄にしてしまうこともあります。

これまでの数年間、多くの解決策が提案されてきました：紙財布、ハードウェア財布、そして私がかつて最も好きだったマルチシグ財布です。実際、これらはセキュリティの面で著しい改善をもたらしました。しかし、これらの解決策にはさまざまな欠点があります——時には提供される盗難防止や資金喪失のための追加保護が実際の必要性を大きく下回ることがあり、時には使い勝手が悪く、採用されることが少ないこともあります。また、両方の問題を抱えていることもあります。2021年初頭、v神は代替案を提案し、今年5月の「分散型社会：Web3の魂を探る」という記事で再度強調しました：新しいスマートコントラクト財布、通称「社会回復財布」（social recovery wallet）です。これらの財布は、以前の選択肢と比較して高いレベルのセキュリティとより良い使いやすさを提供する可能性があります。イーサリアムエコシステムが大規模にロールアップの第2層ソリューションに移行する際、社会回復財布が現在直面している2つの大きな問題を効果的に解決できます：（1）中央集権的なリレイヤーへの依存、（2）高い取引手数料。DAOrayakiコミュニティは社会回復システムに関する提案を整理し、この記事にまとめました。この文章では、社会回復財布とは何か、社会回復システムの代替用例、そしてユーザーのフィードバックについて議論します。

1. 社会回復財布

社会回復システムの仕組みは以下の通りです：

• 取引を承認するための「署名鍵」は1つだけです
• 少なくとも3人（またはそれ以上）の「保護者」がいて、その大多数が協力してアカウントの署名鍵を変更できます。

署名鍵には保護者を追加または削除する機能がありますが、一定の期間（通常は1〜3日）を経てから可能になります。

通常の状況下では、ユーザーは社会回復財布を普通の財布のように簡単に使用でき、署名鍵を使ってメッセージに署名します。こうして署名された各取引は、1回の確認で迅速に完了できます。これは「従来の」財布（例えばMetamask）と同じです。

ユーザーが署名鍵を失った場合、社会回復機能が起動します。ユーザーは保護者に連絡し、特別な取引に署名してもらうだけで、財布契約に登録された署名公開鍵を新しい署名に変更できます。これは簡単です：彼らはsecurity.loopringのようなウェブページにアクセスし、回復リクエストを確認して署名することができます。各保護者にとっては、Uniswapで取引するのと同じくらい簡単です。

保護者として誰を選ぶかには多くの選択肢があります。最も一般的な3つの選択肢は次のとおりです：

• 財布の所有者自身が持っている他のデバイス（または紙の助記詞）
• 友人や家族
• 機関は、あなたの電話番号やメールの確認を受けた後に回復情報に署名するか、重要な場合にはビデオ通話で直接あなたの身元を確認します

保護者は簡単に追加できます：彼らのENS名またはETHアドレスを入力するだけで保護者を追加できますが、ほとんどの社会回復財布は、保護者が回復ウェブページで取引に署名して追加に同意することを要求します。合理的に設計された社会回復財布では、同じ財布をダウンロードして使用する必要はありません；彼らは自分の既存のイーサリアム財布を簡単に使用できます。保護者を追加する便利さを考慮すると、あなたが幸運にも社会的なサークルがイーサリアムユーザーで構成されているなら、私は個人的により多くの保護者（理想的には7人以上）を好み、安全性を高めることをお勧めします。

すでに財布を持っている場合、保護者が常に努力する必要はありません：あなたが行う回復操作はすべて、既存の財布を通じて行われます。もしあなたが多くの他の活発なイーサリアムユーザーを知らない場合、技術的に能力のある少数の保護者を信頼するのが最善です。

保護者が攻撃や共謀のリスクを減らすために、あなたの保護者は公開する必要はありません：実際、彼らは互いの身元を知る必要はありません。これは2つの方法で実現できます。まず、保護者のアドレスを直接チェーン上に保存するのではなく、アドレスリストのハッシュをチェーン上に保存し、財布の所有者が回復時に完全なリストを公開するだけで済むようにします。

次に、各保護者が特定の回復のためだけに使用する新しい単一用途アドレスを決定的に生成することを要求できます；実際に回復が必要でない限り、彼らはそのアドレスを使用して取引を実行する必要はありません。これらの技術的保護を補完するために、異なる社会的サークルからの多様な保護者を選択することが推奨されます（理想的には機関保護者を含む）；これらの提案を組み合わせることで、保護者が同時に攻撃を受けたり共謀したりすることが難しくなります。

あなたが死亡したり、行動能力を永久に失った場合、保護者は自分の身元を公に宣言し、互いに見つけ合い、あなたの資金を取り戻すことができます。

社会回復財布は裏切りではなく、「暗号価値」の表現です。

あらゆる形式のマルチシグ、社会回復、またはその他の形式の提案を使用することに対する一般的な反応は、この解決策が「信頼できる人」の考えに遡ることができ、つまりブロックチェーンと暗号通貨業界の価値に対する裏切りであるというものです。私は人々が一見してそう考える理由を理解していますが、この批判は暗号技術に対する基本的な誤解から生じていると言いたいです。

私にとって、暗号通貨の目標は、すべての信頼を排除することではありません。むしろ、暗号の目的は、人々に暗号と経済の基盤へのアクセスを提供し、誰を信頼するかの選択肢を増やし、人々がより多くの制約形式の信頼を構築できるようにすることです：誰かにあなたの代わりに何かをする権限を与えつつ、彼らに好き勝手にさせる権限を与えないことです。この観点から、マルチシグと社会回復はこの原則の完璧な表現です：各参加者は取引を受け入れるか拒否する能力に影響を与えますが、誰も一方的に資金を移動することはできません。このより複雑な論理は、一人または一つの鍵が一方的に資金を制御するよりもはるかに安全なメカニズムを構築することを可能にします。

人間の入力は慎重に使用すべきであり、完全に放棄すべきではありません。この基本的な理念は非常に強力であり、人間の脳の長所と短所と非常によく結びついています。人間の脳はパスワードや紙の財布を追跡するのにはあまり適していませんが、他者との関係を追跡するための専用チップとして機能します。この影響は非技術的なユーザーにおいてより強く現れます：彼らは財布やパスワードにおいてより苦労するかもしれませんが、「私に対して共謀しない7人を選ぶ」といった社会的なタスクには同様に優れています。

もし私たちが人間の入力から何らかの情報を抽出し、それを攻撃や利用の媒体に変えずにメカニズムにすることができるなら、私たちはそれを実現する方法を見つけるべきです。社会回復は非常に強力です：7人の保護者を持つ財布が損害を受けるためには、その7人の保護者のうち4人が何らかの方法で互いに発見し、資金を盗むことに同意する必要がありますが、そのうちの誰も所有者にチップを与えないでしょう。もちろん、これは純粋に一人によって保護された財布を攻撃するよりもはるかに重要な課題です。

2. 社会回復財布の代替用例

v神は2021年1月の記事で、ArgentとLoopringの2つの例を通じて、社会回復財布（すなわちスマートコントラクト財布）の原理と特徴を簡単に紹介しました。そして2021年7月にethresear.chで「社会回復用例の代替メカニズム」を提案しました。この記事では、この代替メカニズムに焦点を当てます。

Dark Crystal Web3という言葉は、Vitalik Buterinが2021年に最初の投稿を行った後の提案に由来し、個人のイーサリアム財布があれば、回復パートナーがソフトウェアをインストールしたり、他のデータを保管したりする必要がないシステムの使用を提案しています。

Magma Collectiveは現在、これをMVP（最小限の実行可能製品）に発展させるために努力しています。これは社会回復プロトコルであり、私たちはそのために3つの主要な重要機能を特定しました。

• このアプリケーションは、回復者がイーサリアムメイン財布のアクセスパスワード以外の何も覚えておく必要がありません；
• このアプリケーションは機密性があり、イーサリアムの秘密鍵を含むあらゆる種類の秘密をバックアップできることを意味します；
• このアプリケーションは理想的には秘密の所有者と回復パートナーの匿名性を許可すべきです。

このアプリケーションが秘密を扱うため、高価値の秘密である可能性があるため、私たちのプロジェクトにおけるセキュリティ仮定と信頼要件を検証することが重要です。

このシステムは2つの部分で構成されています：

• 回復パートナーが使用するWebベースのdAPPで、Web3 APIを呼び出して暗号鍵ペアを生成し、回復中に契約から共有を取得して復号化します。
• バックアップ担当者が使用するオフライン優先のソフトウェアコンポーネントです。与えられた鍵と公開鍵のリストに基づいて、暗号共有のセットを生成し、それをブロックチェーンに公開します。オフラインの拳として、このプログラムは実際の公開を行わず、暗号ペイロードを含むdappリンクを生成します。これをWeb3拡張機能を持つブラウザに転送できます（例えばQRコードを通じて）。

その基本的なプロセスはこちらを参照してください。

3. イーサリアム社会が必要とする社会回復システム

イーサリアムに基づく社会回復システムは、使いやすさに重点を置いています。

MVP開発の初期段階の一環として、Dark Crystal Web3はWeb3およびイーサリアムコミュニティのコアツールとプロトコルに関するユーザー調査を行い、WalletConnect、3Box、Metamask、Gnosis Safe、Rainbow、Tallyの代表者にインタビューし、TwitterとDiscordで匿名のアンケートを配布しました。この目標は、Dark Crystal Web3プロジェクトの使いやすさを評価するだけでなく、社会回復という現在の構想の重要なプロトコルと、ツール化に対する潜在的な需要を評価することです。

冷蔵保存の役割

• ユーザーの技術レベルはどの程度か？
• どのような「アイデンティティ」がすでにチェーン上で使用されており、匿名性に対する好みは？
• チェーン上の保存と中央集権的な保存の役割
• 最も重要なロードマップの考慮事項

冷蔵保存（cold storage）の役割

使いやすさが優先されることは重要な合意であり、それ以外にも私たちの最も重要な発見は、冷蔵保存ユーザーシナリオが非常に稀であるということです。冷蔵保存とは、インターネットに一切接続しない方法で鍵を保存することを指します——これは紙の財布や、オフラインのコンピュータにのみ接続されたハードドライブである可能性があります。これは、鍵を保存する最も安全な方法と広く考えられています。しかし、冷蔵保存鍵を使用して取引を行うことは重大な使いやすさの障害をもたらします：通常、オフラインのコンピュータ上で財布プログラムをダウンロードして構築し、そのプログラムが取引をパッケージ化して署名し、別のデバイスに転送して外部に放送する必要があります。私たちのアプリケーションはプライバシーを扱っているため、ユーザーがこのプロセスを受け入れる可能性がどれほどあるかを知りたいと思いました。

少し驚くべきことに、私たちはこの安全な実践が一般的ではないことを発見しました。あるいは、より正確には、冷蔵保存鍵とユーザーが私たちのアプリケーションでバックアップする鍵との重複部分は非常に小さいです。すべての同期対話の中で、私たちは次のことを理解しました：冷蔵保存の経路をサポートすることは重要ですが、ユーザーはそれを使用しません。実際に冷蔵保存鍵を持っている回答者からは、彼らは価値の小さいホットウォレット鍵に対してのみ私たちのようなシステムを使用することを理解しました。

アンケート対象者はある程度冷蔵保存を好む傾向があり——33%の人が彼らの鍵を常に冷蔵保存に置くと言っています。調査の時間が経つにつれて、最も安全意識の高いユーザーは、私たちのシステムを信頼するのではなく、自分自身のバックアップシステムを持つ傾向があるというフィードバックも受け取りました。社会回復が最も必要な人々は技術を掌握していないことが多いことを考えると、「コマンドラインを使用できる人は社会回復を必要としない」と言えます。

ユーザーの技術レベルはどの程度か？

実際に、私たちがユーザーに求める技術的素養は別の議論の領域です——どのようなツール、財布などが私たちの潜在的なユーザーにとって馴染みがあるか、または必要とされるのでしょうか？

アーキテクチャ的には、Dark Crystal Web3はブラウザベースのホスティングアプリケーションと、ローカルでサービスを提供できるネットワークフロントエンドを持つRustコマンドラインコンポーネントを含んでいます。私たちのアンケート対象者と回答者は技術派であり、80%の人が必要であればコマンドラインアプリケーションを使用することに非常に前向きです。現在のアーキテクチャ計画は、冷蔵保存をサポートする願望から生じていますが、フィードバックに基づいて、私たちのアプリケーションが完全にホストされたバージョンを持っている場合、明らかに動機のあるユーザーのごく一部だけが他の方法で使用するだろうと疑っています。これらのフィードバックは非常に強力であり、私たちが冷蔵保存からホスティングに至るまでの作業を行ったにもかかわらず、南辕北辙の可能性は否定できません。

私たちはブラウザベースのdappを主要な切り口として議論していますが、6人の回答者のうち2人からは、フィッシング攻撃の頻度から、ダウンロード可能なアプリケーションがより信頼でき、望ましい設計モデルであるとの強いフィードバックを受け取りました。ほとんどの場合、Metamask、Walletconnect、モバイル財布、ブロックチェーンブラウザのようなツールは、回答者やアンケート対象者にとって問題ありませんでした。

私たちはプロトコルが秘密のバックアップに関係なく機能するようにしようとしていますが、すべての潜在的な秘密の所有者がすでにイーサリアムに参加していると信じています。私たちは何度も明確に聞きましたが、非イーサリアムユーザーは私たちの社会回復プロトコルを選択する可能性が低いでしょう。つまり、彼らは回復パートナーが技術的な初心者や財布を持っていない人々をカバーすることを望んでいます。この独特のニーズを考慮する必要があります。

チェーン上でどのような「アイデンティティ」が使用されており、匿名性に対する好みは？

私たちの核心的な問題の一つは、参加者の匿名性をどのようにサポートするかです：どの程度の匿名性が必要で、どのようにして匿名性を保ちながら後で回復データを信頼できるように見つけることができるのでしょうか？いくつかの潜在的な解決策があり、これらは回復データを保存するために何らかのクエリキーを使用することを含みます。これらのキーはユーザーのメイン財布からハッシュされたり派生されたりすることができます。

しかし、私たちはユーザーの使用パターンがこのアプローチをサポートするかどうかを知りたいと思いました。人々は持続的な財布を保持するのか、それとも同じシードから派生した異なる財布を頻繁に切り替えるのか？彼らは新しいシードを生成するのでしょうか？すべての対面インタビューは、私たちの典型的なユーザーが「メインイーサリアムアドレス」を持っており、どんな状況でも忘れることはないことを確認しました。しかし、興味深いことに、半数のアンケート対象者は、ユーザーがこれを忘れた可能性があるか、実際に忘れているかもしれないと述べました。「メインイーサリアムアドレス」というアイデンティティ概念の頻度は、今後の研究の潜在的な分野です。

全体として、フィードバックは匿名性を支持していますが、私たちは繰り返し聞きました。相当数のユーザーがアプリケーションの一部になると、「大海捞针」式の匿名性が多くのケースで十分であると。しかし、これをどのように開始するか、または具体的にどのしきい値に達すればそれが実現できるかは不明です。私たちは、イーサリアムアドレスを公共の暗号鍵にマッピングするための公共プロトコルが存在するかどうかをいくつかの回答者と議論しましたが、その役割を果たす既存のプロジェクトは見つかりませんでした。私たちはまた、回復パートナーの匿名性が秘密の所有者の匿名性よりも多くの支持を得ていることを発見しました。

3人のアンケート対象者は、回復パートナーが誰であるかを忘れる可能性があるという懸念を提起し、回復パートナーを何度も変更できる機能を希望するリクエストも受け取りました。

チェーン上の保存と中央集権的な保存

私たちは、2つのケースでチェーン上に暗号秘密を保存することに対する批判を受けました。一つはコストの観点から、もう一つは暗号学に対する量子の脅威に対する懸念からです。確かに、私たちが使用する暗号学がいつか破られた場合、私たちのプロトコルに保存されたすべての秘密が影響を受けます。コストの面では、アンケート対象者と回答者は、アプリケーションの取引コストの上限が約200ドルであり、より低いコストが好まれると考えています。

私たちは、私たちのユースケースにおいて、メインネットとポリゴンやGnosisChainのような他のイーサリアムに類似したネットワークとの間に何の利点もないと聞きました。

最後に、アプリケーションに中央集権的なアプローチを提供することを検討するよう提案されました。ユーザーはチェーン上に保存しないことを選択でき、これはもちろん他の潜在的な問題（持続的なメンテナンス、潜在的な漏洩）を引き起こす可能性がありますが、それでもアクセス可能性を意味のある形で増加させる可能性があります。37%のアンケート対象者は、オフチェーン保存に対してより快適に感じると述べています。また、プロトコルの長期的なメンテナンスは何度も懸念事項として挙げられました：私たちのチームが解散するか、重大な変化が起こった後、潜在的なユーザーは回復プロセスが依然として機能することをどのように信じることができるのでしょうか？そして、秘密の所有者が秘密が回復可能であることを確認する方法はありますか？その過程全体を経ることなく？

ロードマップにおける最も重要な考慮事項

これまでのところ、最小限の製品思考を通じて、私たちが得た秘密回復の重要な側面は、秘密の所有者と回復パートナーの間でコミュニケーションを取る必要があるということです。初期設定情報や回復データは、双方の間で送信する必要があります。これはおそらく、このシステムの最大のセキュリティの弱点です。100%のアンケート対象者は、不安全な帯域外伝送を通じていくつかの秘密の断片が漏洩する可能性があると考えています。私たちの対面インタビューもこの見解を強く反映しています。

私たちの回答者の中には多くのプロトコル開発者がいるため、私たちは彼らに暗号式財布から財布への情報伝達について尋ね、コミュニケーションに役立つ可能性のある既存のロードマップ機能についても尋ねました。密接に関連する機能のグループは、回復プロセスの各段階で秘密の所有者と回復パートナーに通知することに関するものでした。私たちがインタビューした多くの財布開発者は、彼らのロードマップにこの機能を持っていることを確認しましたが、リリース日を確認することはありませんでした。この方向でのさらなる作業は、エコシステムにとって非常に重要であり、これらの解決策の1つと統合することが、Dark Crystal Web3の将来の作業の中心になる可能性が高いです。