BitGo Safe vise à sécuriser les portefeuilles Bitcoin avec des transactions multi-signatures

Quel est le point commun entre Jeremy Howells et plusieurs clients de BIPS ? Ils ont tous perdu beaucoup de bitcoins à cause de la façon dont ils étaient stockés. MaisBitGo, une société proposant un nouveau service de portefeuille multi-signatures, affirme que cela ne doit T nécessairement être ainsi.

Howells a perdu 4 millions de livres sterling en bitcoins après avoira jeté son disque dur, tandis que le processeur de paiement et le service de portefeuille en ligneLe BIPS a constaté un vol de plus d'un million de dollarslors d'un piratage de portefeuille. Ils souffraient tous deux du même problème : un point de défaillance unique.

Le fondateur de BitGoMike Belshe affirme que se fier à un seul appareil pour stocker ses bitcoins est une mauvaise idée. Les portefeuilles web échappent au contrôle de l'utilisateur, tandis que ses propres appareils sont sujets aux attaques, aux pannes matérielles ou aux simples erreurs de l'utilisateur. « On ne souhaite T utiliser du web pur, mais on T souhaite pas non plus utiliser du côté client pur – du moins pas pour la plupart des mortels », a-t-il déclaré. « Les logiciels côté client sont un vrai casse-tête. »

Deux sur trois

Au lieu de cela, son service de portefeuille, appelé BitGo Safe, utilise une fonctionnalité peu connue du protocole Bitcoin qui permet de mieux protéger l'argent stocké sur une adresse Bitcoin . Baptisée Pay to Script Hash (P2SH), cette spécification est décrite dans une mise à jour du protocole Bitcoin . BIPS 16Il permet des transactions multisignatures, et l'avantage de celles-ci est qu'elles permettent des transactions Bitcoin qui doivent être autorisées par plus d' une clé publique.

Les transactions Bitcoin classiques sont irréversibles, ce qui signifie qu'une fois la Bitcoin effectuée, il est impossible de récupérer les fonds. Si Bob souhaite envoyer des bitcoins à ALICE en échange d'un produit, ONEun des deux doit faire le premier pas et compter sur l'autre pour le Réseaux sociaux . Bob peut envoyer ses bitcoins, mais ALICE KEEP le produit. Inversement, ALICE peut envoyer le produit et Bob peut ne jamais la payer.

Mais si Jen, notre tierce partie, agit en tant qu'arbitre, elle peut conserver les fonds sous séquestre jusqu'à ce que Bob et ALICE confirment avoir reçu leurs biens. Toutes les parties peuvent le faire manuellement, mais cela permettrait à Jen de s'enfuir avec les bitcoins ou de compromettre son portefeuille de Bitcoin , la rendant responsable de la transaction en cours d' ALICE et Bob. C'est ce qui s'est produit avec des sites de marché noir comme Sheep Market. dont les clients ont vu des milliers de bitcoins volés.

Au lieu de cela, les transactions multi-signatures sont codées dans le protocole pour le rendre plus efficace et plus sûr. Dans BIPS 16, un nombre illimité de signatures peut être requis pour conclure une transaction, mais on les décrit généralement comme des transactions « deux sur trois », nécessitant deux signatures numériques sur trois pour être exécutées.

Un scénario multi-signatures

Dans un scénario multi-signatures, Bob enverrait ses bitcoins à une adresse Bitcoin qu'il contrôle conjointement avec ALICE et Jen. Si ALICE et Bob conviennent tous deux que les marchandises sont arrivées et que la transaction est terminée, ALICE peut alors confirmer la transaction de Bob, débloquant ainsi l'argent, et l'intervention de Jen n'est T nécessaire. En revanche, si l'une des parties conteste la transaction, elles tenteront l'opération inverse : Bob tentera de renvoyer les bitcoins à sa propre adresse, tandis ALICE tentera de les extraire à la sienne. Elles pourront alors appeler Jen pour enquêter. Elle prendra une décision, puis utilisera sa signature pour valider la transaction de Bob ou d'Alice. L'avantage, c'est que Jen ne peut T envoyer les bitcoins à sa propre adresse, et ONE d'autre ne peut les voler sans voler deux des trois signatures impliquées.

Outre la lutte contre les escroqueries en ligne, ce portefeuille est également utile pour prévenir les vols. Belshe, ingénieur logiciel ayant travaillé chez Netscape et Google, a développé un portefeuille multi-signatures, non pas à des fins de séquestre, mais pour sa sécurité.

BitGo Safe

Son portefeuille utilise trois clés. ONEune est stockée sur le serveur de Bit2Go. La deuxième est la clé « HOT» de l'utilisateur, utilisée pour les transactions, tandis que la troisième est une clé de secours que l'utilisateur peut conserver sous n'importe quelle forme, par exemple sur une clé USB ou un portefeuille papier. L'argent peut être envoyé à l'adresse du portefeuille comme d'habitude, mais pour retirer de l'argent, la clé « HOT» doit être combinée avec une autre clé lors d'une transaction sur deux ou trois.

En général, il s'agit de la clé côté serveur. Mais si le serveur disparaît, ils peuvent toujours retirer de l'argent de leur portefeuille avec leurs deux clés. Et si leur disque dur tombe en panne, qu'ils le jettent accidentellement à la décharge ou qu'un pirate le compromet, ils peuvent utiliser la clé de sauvegarde avec la clé côté serveur pour récupérer leurs pièces.

« L'utilisation du système deux sur trois présente une propriété vraiment intéressante, à savoir qu'il y a toujours une clé de sauvegarde disponible », explique Belshe, qui a soulevé la question des portefeuilles P2SH sur le forum Bitcoin Talk en Novembre.

Cependant, les multisignatures seules ne suffisent pas, souligne Mike Hearn, ONEun des CORE développeurs de Bitcoin . « Pour que le service de portefeuille web soit utile, il doit disposer d'un moyen d'authentifier l'utilisateur qui ne repose T uniquement sur des mots de passe (autrement, c'est comme le chiffrement d'un portefeuille) », souligne-t-il.

Bit2Go résout ce problème en introduisant une nouvelle fonctionnalité : l'authentification à deux facteurs hors bande. Lors d'une transaction, Bit2Go envoie un message contenant un mot de passe à usage unique sur le téléphone de l'utilisateur afin qu'il puisse confirmer la transaction.

« Maintenant, pour que Pour vous soyez compromis, ils doivent vraiment attaquer trois appareils différents », explique Belshe.

Les fournisseurs de portefeuilles web traditionnels apprécient l'idée. Brian Armstrong, PDG de Coinbase,vient de remporter un financement de 25 millions de dollars, était positif.

« Coinbase est enthousiaste et intéressé par toute solution de ce type qui permettrait de sécuriser les portefeuilles Bitcoin », a déclaré Armstrong. « Par exemple, nous offrons dès aujourd'hui la possibilité de créer des portefeuilles papier (hors ligne, privés et permettant de stocker physiquement des Bitcoin). L'utilisation de deux ou trois portefeuilles pourrait être un atout supplémentaire. »

BitGo propose également plusieurs autres services, notamment un service d'échange de particulier à particulier conçu pour mettre en relation des amis souhaitant acheter et vendre des bitcoins, ainsi qu'un service de don de Bitcoin . Ce dernier permet d'offrir des bitcoins à ses amis en créant une adresse BitGo multisignature.

Il serait facile de concevoir que l'entreprise puisse commencer à intégrer ce service API à d'autres entreprises Bitcoin . Belshe reste discret, mais promet de nouvelles annonces prochainement.