L'année du Multisig : quel bilan pour l'instant ?

2014 a été qualifiée par certains d'« Année du Multisig » – notamment par Gavin Andresen lors de Bitcoin2014 à Amsterdam – et ce pour une raison majeure : le nombre de services prenant en charge les transactions multisignatures est en augmentation. Dans cet article, Thomas Kerin retrace l'histoire de cette Technologies émergente à ce jour, en abordant certaines questions clés à l'aide de données issues de la blockchain.

Si vous avez des doutes sur le multisignature, voici un bref aperçu. Les adresses multisignatures permettent à plusieurs parties d'alimenter partiellement une adresse avec une clé publique. Lorsqu'une personne souhaite dépenser des bitcoins, elle a besoin que certaines de ces personnes signent sa transaction en plus de lui-même. Le nombre de signatures nécessaires est convenu dès la création de l'adresse.

Étant donné que plusieurs signatures sont nécessaires avant que les fonds puissent être dépensés, les signatures supplémentaires pourraient provenir, par exemple, d'un partenaire commercial, de votre partenaire ou même d'un deuxième appareil que vous possédez, pour ajouter un deuxième facteur à la dépense de vos pièces.

Imaginez un coffre-fort dans une banque nécessitant deux clés pour l'ouvrir à tout moment : la clé de la banque et votre clé personnelle. Les adresses multi-signatures capturent l'essence de ce principe, sans qu'elles soient nécessairement situées au même endroit. Et comme les clés peuvent se trouver à des emplacements distincts, il est peu probable qu'un attaquant puisse les compromettre toutes les deux ; alors qu'avec des adresses Bitcoin classiques, l'attaquant sait approximativement qui cibler et pourrait compromettre le serveur de multiples façons, simplement pour voler le fichier du portefeuille.

Les services utilisant des adresses multi-signatures ont une résistance beaucoup plus grande au vol, car au lieu d'avoir simplement besoin d'accéder au portefeuille du serveur, les fonds sont protégés par l'algorithme de signature numérique à courbe elliptique (ECDSA), une barrière bien plus grande que la sécurité qu'un site Web pourrait implémenter dans son code.

Les adresses multisignatures sont-elles nouvelles ou quelque chose comme ça ?

Ce n'est T vraiment le cas ! Leur apparition remonte à 2012, avec l'ajout de la prise en charge des adresses « pay-to-script-hash ». Lors de l'envoi de fonds à cette adresse, le script la communiquait uniquement à son propriétaire, au lieu de l'inclure dans la transaction de financement. Ce script définit qui peut ou T dépenser les bitcoins à cette adresse. Les adresses sont également différentes, commençant par 3 au lieu de 1.

Pay-to-script-hash est le précurseur du multisig, et le multisig n'est ONE cas d'utilisation compliqué de P2SH.

Prenons l'exemple de cette transaction : 112ae9859731f671ec3593de5790ed026d06d23134ba284aec811bc8f50e96b3 – la sixième transaction P2SH jamais réalisée – révèle un script « 5357 », qui signifie simplement « insérer les chiffres 3 et 7 en mémoire ». Ce script est haché et utilisé pour créer l'adresse réelle : 37paP4uTjmA4Pi85LG6CF9huift3Dw1kFT. Tous les fonds envoyés à cette adresse peuvent désormais être volés, car le script T vérifie pas qui dépense réellement les fonds. C'est donc un BIT comme le 1JwSSubhmg6iPtRjtyqhUYYH7bZg3Lfy1T (agrafe de batterie de cheval correcte) de P2SH.

Il s’agit d’une démonstration très simple de P2SH, qui conduit à un cas d’utilisation plus compliqué, mais naturellement beaucoup plus sécurisé : les transactions multi-signatures.

Pourquoi n'ai-je T encore entendu parler d'eux ?

Les adresses et transactions multi-signatures restent BIT à mettre en œuvre. Actuellement, seul le logiciel Bitcoin CORE les gère pleinement, même sans stocker la blockchain, mais l'utilisation de la console reste nécessaire. De plus en plus de services apparaissent récemment pour combler cette lacune et proposer des transactions multi-signatures de manière intuitive.

Le site Coinbin permet de créer des clés privées et publiques Bitcoin , de créer des adresses multi-signatures et de signer des transactions à partir de celles-ci. Ce site très simple ne prend actuellement T en charge les clés compressées et est donc incompatible avec Bitcoin CORE. L'utilisation de clés non compressées est donc indispensable. Coinbingénérera au moins.

Onchain.io

Onchain est un coffre-fort pour les clés publiques principales Electrum et BIP0032. L'entreprise développe un site web et une application Android permettant de signer des transactions multi-signatures pour les adresses de son portefeuille. Grâce aux portefeuilles déterministes, les utilisateurs peuvent soumettre une seule fois leur clé publique étendue à un site, qui génèrera ensuite des clés publiques. L'application accepte également les codes QR des transactions multi-signatures pour la signature, ce qui la rend incroyablement simple d'utilisation.

À quelle fréquence sont-ils utilisés ?

Grâce aux données obtenues auprès de QuantaBytes, une société d'analyse de blockchain basée en Irlande, j'ai pu Guides les différents types d'adresses multi-signatures utilisées à ce jour et leur fréquence. Toutes ces données sont accessibles au public si l'on extrait la blockchain, mais j'ai appris à mes dépens que cela prend une éternité.

Dans les données utilisées dans ce rapport, qui s'étendent du bloc 170 052 au bloc 297 445 (du 7 mars au 24 avril de cette année), 24 591 transactions ont été identifiées, payant à une adresse de hachage de script. Parmi celles-ci, 14 123 provenaient de huit transactions de spam, chacune payant 1 satoshi à des adresses aléatoires. Elles ont été ignorées tout au long de cet article. 70 % des transactions valides restantes ont été validées, révélant ainsi le script derrière l'adresse.

À partir des transactions qui ont été échangées, nous avons pu Guides le script, et donc le type d'adresse multi-signature, c'est-à-dire s'il s'agissait de 2 sur 2, 3 sur 5, ETC

Nous constatons que l'adresse 2 sur 3 est le type d'adresse le plus fréquemment utilisé, suivi de l'adresse 2 sur 2. L'adresse 2 sur 3 permet un dépôt fiduciaire entre un acheteur, un vendeur et un tiers, mais ONE personne ne peut repartir avec les fonds sans l'accord d'une autre. De nombreux services, tels que BitGo,Bitalo, GreenWallet, etBitWaspont commencé à utiliser ces adresses comme adresses à usage unique pour les transactions et les commandes.

Deux adresses sur deux ont récemment été implémentées dans la fonctionnalité d'échange en face à face intégrée de Mycelium. Celle-ci utilise des adresses multi-signatures et un délai de blocage des transactions pour protéger les fonds pendant l'échange.

Les lignes en bleu dans les graphiques ci-dessus sont non standard selon les règles actuelles des réseaux et ne devraient techniquement T figurer dans la blockchain, car les clients non modifiés ne les transmettront T aux autres nœuds du réseau. Le pool de minage Eligius a supprimé la vérification standard et exploite les transactions non standard moyennant des frais, mais sur l'ensemble des transactions analysées, seulement 0,36 % étaient non standard.

29,7 % de toutes les sorties récupérées étaient des adresses réutilisées. La plupart des services mentionnés ci-dessus utilisent une clé publique unique de chaque partie pour créer l'adresse de commande ; il faut donc s'attendre à des adresses majoritairement uniques.

Les graphiques suivants illustrent la fréquence des types d'adresses multi-signatures les plus courants : 1 sur 2, 2 sur 2, 2 sur 3 et 3 sur 3. Les résultats sont divisés en deux parties : la première correspond aux blocs 170 052 à 227 500, et la seconde aux blocs 230 000 à 297 445.

Alors que le premier graphique est dispersé et incohérent, le second montre une nette augmentation de la fréquence des adresses 2 sur 2 et 2 sur 3, à partir de novembre 2013 environ. Je m'attends à ce que cette tendance s'accentue, à mesure que de plus en plus de services adoptent ce type de transaction plutôt que d'autres.

Ce n'est pas sans raison. Les adresses multi-signatures peuvent sécuriser vos bitcoins stockés à froid avec des clés physiquement distantes. L'utilisation de plusieurs clés permet d'obtenir une plus grande redondance et de se protéger contre les pertes.

Si les services proposant des adresses multi-signatures aux parties à la transaction sont hors ligne, les fonds peuvent toujours être récupérés si les deux parties peuvent encore communiquer. Il est ainsi beaucoup plus difficile d'escroquer les utilisateurs ou de divulguer le montant réel des fonds sur le site web.

En utilisant simplement des transactions multi-signatures en premier lieu, vous pouvez faire intervenir un tiers pré-nommé pour arbitrer le litige et éventuellement récupérer vos fonds à partir de l'adresse.

Le graphique ci-dessus montre le nombre de transactions de remboursement provenant de deux adresses sur trois, qui n'ont remboursé qu'un ONE montant non dépensé à l'adresse, versant des fonds à deux adresses distinctes, où le ratio entre ONEune et l'autre était inférieur à 8 %. Ce graphique a pour but d'estimer le pourcentage moyen des frais d'un médiateur d'escrow, ainsi que la commission des sites pour la transaction, ce qui pourrait donner des chiffres sur les transactions traitées par les fournisseurs de portefeuilles ou les places de marché utilisant des transactions multi-signatures.

2 410 transactions de l'ensemble de données correspondaient aux critères ci-dessus et ont été utilisées dans The Graph. Bien qu'il ne soit pas clair si les transactions proviennent d'un fournisseur de portefeuille ou d'une place de marché utilisant des transactions multi-signatures, le pourcentage le plus courant facturé semble se situer autour de 0 à 0,2 %, avant de diminuer progressivement à mesure que le pourcentage augmente.

L'année du Multisig s'annonce donc sous de bons auspices. Les chiffres montrent clairement que son utilisation est en plein essor, notamment grâce à des initiatives comme celle de BitPay.BitCore – une bibliothèque JavaScript fournissant des fonctionnalités Bitcoin de CORE et un accès au réseau – ce domaine est sûr de connaître un développement plus actif, avec des personnes travaillant sur la pile de CORE ou écrivant leurs propres services en l'utilisant.

Il est important de piloter le développement d'un tel framework dès maintenant. Sans cela, les startups doivent évaluer l'intérêt de consacrer du temps et de l'argent à la recherche et à la mise en œuvre de toutes les fonctionnalités requises, et risquent de se tromper. Si tout le monde doit répéter cet effort, l'innovation en T . Conserver une base de code fiable facilite donc grandement l'utilisation du multisig par un service.

Les fournisseurs de portefeuilles ne manquent pas actuellement. Les fournisseurs de portefeuilles multisignatures ont contourné le manque de support client en utilisant des scripts côté client dérivés de projets comme BitCore ou BitcoinJS pour créer la signature des transactions, plutôt que de les obliger à utiliser d'autres logiciels. Je prévois qu'à terme, la plupart des sites ne présenteront T la multisignature comme une fonctionnalité. Ce sera attendu – et s'ils font du bon travail, leurs utilisateurs n'auront même T besoin de savoir qu'ils l'utilisent.

J'aimerais voir davantage de plateformes prendre en charge la signature de transactions multi-signatures, permettant ainsi aux utilisateurs d'exploiter pleinement le protocole, plutôt que de se contenter de proposer des portefeuilles. Les possibilités offertes par les transactions multi-signatures sont infinies, mais les outils et l'infrastructure nécessaires font T . J'ai de grands espoirs pour Onchain.io, dont l'application devrait simplifier la signature en scannant deux QR codes, se rapprochant ainsi du protocole P2SH à ce stade précoce.

Utiliser un site web pour gérer ses bitcoins est totalement contraire à la philosophie du Bitcoin . Bien que cette solution soit acceptable pour beaucoup, elle ne devrait T être motivée par le manque de support de logiciels comme Electrum et Armory. Les outils permettant une protection à deux facteurs des fonds sur tous les appareils et facilitant la signature des transactions proposées par les places de marché, les plateformes d'échange et les portefeuilles sont indispensables.

Je pense que s’attaquer à ce problème clé réduira réellement les obstacles à l’utilisation des transactions multi-signatures en général, permettant à de plus en plus de personnes d’adopter cette Technologies étonnante et d’en faire vraiment l’année du Multisig.

Imagevia BitWasp