I Wallet Multisignature: Sicurezza e Rischi
I wallet multisignature proteggono la maggior parte del denaro serio nel mondo delle criptovalute: tesoretti DAO, cold storage degli exchange, fondi di protocollo e risparmi di chi è attento alla sicurezza. Sono anche al centro dei più grandi furti dell’industria, come il furto di 1,5 miliardi di dollari di Bybit e la violazione di UXLINK di quest’anno, poiché gli attaccanti hanno smesso di forzare serrature e hanno iniziato a ingannare le persone che detenevano le chiavi. Questa guida spiega come funziona realmente un wallet multisig, le scelte di design M-of-N, come sono avvenuti i famosi hack multisig e come gestirne uno senza diventare un caso di studio.
Tabella dei Contenuti
Quando si chiede dove si trovi il denaro serio della crypto, la risposta, in modo schiacciante, è che si trova dietro più firme. La maggior parte dei custodi istituzionali gestisce accordi multisignature; i tesoretti DAO che detengono miliardi si coordinano attraverso di essi; gli exchange proteggono il cold storage con essi; le catene di custodia dietro i prodotti istituzionali dipendono da essi; e i protocolli parcheggiano le loro chiavi di aggiornamento e i fondi di riserva all’interno di essi, più comunemente in Safe, il sistema di contratti precedentemente noto come Gnosis Safe, che da solo protegge valori che rivaleggiano con quelli di grandi banche. L’idea è antica, presa in prestito dalle casseforti bancarie e dai protocolli di lancio nucleare: nessuna singola persona, chiave o macchina dovrebbe essere in grado di muovere ciò che conta. Richiedere M firme su N chiavi, come 2 su 3 o 3 su 5, significa che un ladro deve compromettere diversi guardiani indipendenti invece di uno solo.
Il Problema della Sicurezza
Eppure, il furto più grande nella storia della crypto, i 1,5 miliardi di dollari di Bybit, è avvenuto attraverso un multisig. Così come la violazione di UXLINK di quest’anno, che ha portato a una perdita di 11,3 milioni di dollari, e i 600 milioni del ponte Ronin prima di loro. Il modello è il fatto più istruttivo nella sicurezza moderna della crypto: la matematica del multisig non è mai stata infranta; gli esseri umani e le interfacce attorno ad essa sono costantemente compromessi. Il multisig elimina il punto unico di fallimento e lo sostituisce con una domanda più sottile: se i tuoi diversi punti di fallimento siano realmente indipendenti. Il record di disastri dell’industria è un catalogo di scoperte che dimostrano che non lo erano.
Funzionamento dei Wallet Multisig
Questa guida copre il meccanismo e le sue modalità di fallimento con la stessa serietà: come funzionano realmente gli schemi multisignature su Bitcoin e su catene di smart contract, come scegliere M e N e cosa comporta ciascuna scelta, l’anatomia dei grandi furti multisig e il problema della firma cieca al loro centro, multisig contro i suoi rivali moderni, MPC e smart accounts, e il playbook operativo che separa i tesoretti che sopravvivono da quelli che fanno notizia.
Un wallet multisig richiede una soglia di firme, M, da un insieme di chiavi autorizzate, N, prima che qualsiasi transazione venga eseguita. Un setup personale 2 su 3 potrebbe dividere le chiavi tra un hardware wallet a casa, un secondo dispositivo in una cassetta di sicurezza e un parente fidato; un tesoretto DAO 4 su 7 distribuisce le chiavi tra membri del consiglio su diversi continenti. La soglia è il dial del design: la sicurezza contro il compromesso aumenta con M, la resilienza contro la perdita di chiavi aumenta con il divario tra N e M, e il freno operativo aumenta con entrambi.
Architettura dei Wallet Multisig
Sotto il cofano, due architetture implementano l’idea. Su Bitcoin, il multisig è nativo nello scripting del protocollo: un indirizzo codifica il requisito M-of-N stesso, e la spesa richiede che le firme siano presentate e verificate dalla rete. È minimale, testato in battaglia e rigido; cambiare firmatari significa spostare fondi su un nuovo indirizzo. Su Ethereum e catene simili, il multisig vive in smart contracts: un programma, come un Safe, detiene i fondi e applica la politica, raccogliendo firme fino a quando la soglia non è raggiunta e poi eseguendo. L’approccio contrattuale è notevolmente più flessibile: i firmatari possono essere ruotati, le soglie cambiate, limiti giornalieri e blocchi temporali e estensioni modulari aggiunti. Tuttavia, quella flessibilità è a doppio taglio: la politica è codice, il codice può avere difetti, e, come mostrerà la sezione sui disastri, la ricchezza di ciò che un wallet contrattuale può eseguire è esattamente ciò che gli attaccanti moderni sfruttano.
Flusso delle Transazioni
Il flusso delle transazioni in entrambi i mondi segue lo stesso ritmo. Qualcuno propone una transazione, specificando destinatario e importo, e, nei wallet contrattuali, chiamate di programma arbitrarie. La proposta circola tra i firmatari, ognuno dei quali la esamina e la approva crittograficamente con la propria chiave, sul proprio dispositivo. Quando le approvazioni raggiungono la soglia, la transazione diventa eseguibile e viene trasmessa. Ogni passaggio è auditabile: la catena registra esattamente quali chiavi hanno approvato cosa, creando il tracciamento della responsabilità che rende il multisig lo strumento di governance preferito per i tesoretti DAO, il cui controllo è altrimenti contestato attraverso voti token, per i fondi aziendali che richiedono l’approvazione di un funzionario e per gli accordi di escrow, dove una terza chiave neutrale arbitra le controversie, il cugino governato dagli esseri umani dei contratti bloccati nel tempo che automatizzano l’escrow on-chain.
Scelta della Soglia e Politica dei Detentori di Chiavi
La scelta della soglia è un’allocazione del rischio, e le configurazioni standard rispondono ciascuna a una domanda diversa. 2 su 2 è una partnership senza spareggio e senza recupero: una chiave persa lascia i fondi bloccati, ed è usata principalmente con una chiave detenuta da un servizio. 2 su 3 è il cavallo di battaglia dell’individuo: sopravvive alla perdita di qualsiasi chiave, resiste al compromesso di qualsiasi chiave e mantiene il freno alla firma tollerabile; la classica configurazione personale distribuisce tre chiavi hardware tra diverse posizioni, e la classica configurazione di custodia collaborativa dà una chiave a un servizio professionale che può co-firmare il recupero ma non può mai muovere fondi da solo. 3 su 5 e oltre è territorio istituzionale, tollerando più perdite e richiedendo più compromessi, al prezzo di un sovraccarico di coordinamento che, nella pratica, tenta le organizzazioni nel peggior peccato del genere: concentrazione, con diverse chiavi detenute da una persona, un ufficio, un laptop o un account cloud. Un 3 su 5 le cui chiavi vivono in tre browser e due cassetti dello stesso ufficio è un 1 su 1 con passaggi extra, e le analisi post-mortem delle perdite reali trovano costantemente questa forma. La regola a cui si riduce lo spazio di design è che la sicurezza di un multisig è la sicurezza delle sue chiavi più correlate, e l’indipendenza, di persone, dispositivi, software e geografia, è l’intero scopo dell’esercizio.
Conclusioni e Raccomandazioni
La politica dei detentori di chiavi è importante quanto i numeri. Ogni firmatario è un obiettivo nel momento in cui l’accordo è visibile on-chain, e i grandi tesoretti sono visibili per definizione, tracciati dallo stesso obiettivo di attribuzione dei wallet che mappa ogni balena. Le operazioni serie quindi trattano i firmatari come una superficie di attacco: solo chiavi hardware, dispositivi di firma dedicati, nessuna identità di firmatario pubblicata inutilmente e procedure provate prima che siano necessarie, perché il giorno in cui un tesoretto deve muovere fondi sotto pressione è il giorno peggiore per scoprire che la chiave del terzo firmatario è in una cassaforte che nessuno può aprire.
Il record dei furti è dove questo argomento guadagna il suo posto in un curriculum di sicurezza, perché gli attacchi condividono un’anatomia e non è quella che l’intuizione si aspetta. Nessuna grande perdita multisig è derivata dalla rottura della crittografia. Provengono dal far firmare le persone giuste alla cosa sbagliata.
Il furto di Bybit, 1,5 miliardi di dollari, il più grande nella storia dell’industria, è il caso canonico. Il cold storage dell’exchange si trovava dietro un multisig con dirigenti come firmatari, esattamente come prescrive la migliore pratica. Gli attaccanti, attribuiti al Lazarus Group della Corea del Nord, hanno compromesso l’infrastruttura dell’interfaccia del wallet utilizzata dai firmatari, in modo che quando i dirigenti eseguivano un trasferimento di routine programmato, i loro schermi mostravano la transazione legittima mentre le loro chiavi hardware firmavano un payload diverso, uno che consegnava agli attaccanti il controllo della logica del wallet. Ogni firma era genuina. Ogni firmatario era diligente secondo lo standard di ciò che potevano vedere. La cassaforte ha retto; la finestra della cassaforte ha mentito.
Il ponte Ronin prima di esso è caduto in modo diverso ma rima: un accordo 5 su 9 le cui chiavi erano insufficientemente indipendenti, con un’organizzazione che controllava abbastanza di esse da compromettere, tramite un dipendente ingannato, la soglia, il modello di compromesso delle chiavi dietro i più grandi disastri dei ponti. E la violazione di UXLINK di quest’anno ha mostrato la versione in piccolo: gli attaccanti che ottengono il controllo della soglia non drenano solo, usano i poteri amministrativi del wallet stesso, aggiungendo se stessi come firmatari, espellendo i proprietari, perché su un multisig contrattuale, la governance del wallet è essa stessa solo un’altra transazione.
Il filo comune è la firma cieca. Una chiave hardware protegge la firma; non dice al firmatario, in termini umani onesti, cosa stanno firmando, e i payload complessi dei wallet contrattuali sono hash illeggibili su uno schermo minuscolo. Gli attaccanti quindi mirano allo strato tra intenzione e firma: l’interfaccia web, il laptop del firmatario, il pipeline delle proposte, la routine umana. Le difese che affrontano questo sono specifiche e sempre più standard: verifica indipendente di ogni payload su un secondo canale prima della firma, dispositivi di firma che decodificano e visualizzano il significato della transazione, strumenti di simulazione che anticipano gli effetti effettivi di una transazione, blocchi temporali che ritardano i grandi movimenti abbastanza a lungo per la revisione, e la semplice regola istituzionale che nessuna transazione è di routine, perché la routine è esattamente lo stato d’animo che gli attaccanti di Bybit stavano aspettando.
La storia del multisig è la storia della custodia crypto che cresce, e le sue pietre miliari spiegano i default di oggi. La capacità è quasi vecchia quanto Bitcoin stesso, formalizzata nei primi anni del protocollo attraverso indirizzi pay-to-script-hash che consentono di codificare le condizioni di spesa, inclusi i requisiti di firma M-of-N, on-chain. La prima era istituzionale è stata costruita direttamente su di essa: i pionieri degli exchange e della custodia gestivano vault multisig Bitcoin, e le prime aziende di custodia collaborativa vendevano accordi 2 su 3 a individui un decennio fa. L’idea è passata a Ethereum come wallet di smart contract, dove la flessibilità del codice ha prodotto sia i trionfi che le cicatrici: un infame bug di libreria del 2017 in un wallet contrattuale ampiamente utilizzato ha bloccato centinaia di milioni in modo permanente, la lezione formativa che il codice di custodia flessibile è esso stesso una superficie di attacco, e il sopravvissuto della consolidazione di quell’era, Gnosis Safe, si è indurito attraverso anni di audit e valore avversariale nel default che è ora.
Oggi i contratti in stile Safe proteggono tesoretti il cui valore combinato rivaleggia con le grandi banche, l’era DAO ha reso il consiglio multisig l’esecutivo di governance standard della crypto, e la propria linea di multisig di Bitcoin continua in parallelo, favorita per il profondo cold storage proprio perché la sua superficie di script rigida e minimale offre così poco da sfruttare.
La standardizzazione ha una conseguenza che vale la pena nominare: concentrazione di un tipo diverso. Quando un sistema contrattuale protegge la maggior parte dei tesoretti on-chain, il suo codice, la sua interfaccia e il suo processo di aggiornamento diventano infrastruttura sistemica, e il compromesso dell’infrastruttura dell’interfaccia nell’attacco di Bybit è stato, tra le altre cose, una dimostrazione che le uova dell’ecosistema condividono più cesti di quanto suggerisca la matematica M-of-N. La risposta è la diversità dell’interfaccia, servizi di verifica delle transazioni indipendenti, decodifica dei dispositivi di firma, che è effettivamente la comunità che ricostruisce l’indipendenza a un livello superiore della pila, lo stesso principio che i wallet codificano, applicato agli strumenti attorno a loro.
Considerazioni Finali
Per un lettore individuale, l’on-ramp pratico merita concretezza. Un personale 2 su 3 oggi è un progetto da weekend: tre chiavi hardware, idealmente di due fornitori diversi per evitare un difetto di firmware condiviso; un wallet contrattuale su una rete economica o un multisig Bitcoin nativo, a seconda delle partecipazioni; indirizzi dei proprietari triplo controllati prima del deployment, perché un proprietario digitato male è uno straniero permanente con potere di firma; e le tre chiavi distribuite in posizioni realmente separate: casa, cassetta di sicurezza, parte fidata, con istruzioni di recupero che qualcun altro oltre a te può seguire.
I costi ricorrenti sono minori, gas di deployment e commissioni di transazione leggermente più elevate, e le discipline ricorrenti non lo sono: testare la configurazione con piccole somme prima, provare una migrazione di chiavi perse prima di perderne una, mantenere un piccolo saldo di gas dove il contratto ne ha bisogno, e rivedere l’accordo ogni volta che un firmatario, dispositivo o situazione abitativa cambia. Il freno è reale: ogni transazione diventa una piccola cerimonia, e il freno è la caratteristica: un wallet che richiede deliberazione non può essere drenato da un solo clic sbagliato, il che, dato che un’unica approvazione errata è come avvengono ora la maggior parte delle perdite individuali, è l’intera proposta di valore in una frase.
Due tecnologie adiacenti rispondono allo stesso problema del punto unico di fallimento, e scegliere tra di esse è una decisione reale, non branding.
Il calcolo multi-party (MPC) divide una chiave in quote matematiche detenute da diverse parti, che calcolano congiuntamente una firma senza che la chiave completa esista mai da nessuna parte. Per la blockchain, il risultato appare come una normale firma singola: più economica, privata, indipendente dalla catena e non rivelando nulla sulla politica sottostante. Il compromesso è opacità e dipendenza: la logica della soglia vive nel software off-chain dei fornitori piuttosto che nel codice pubblico, non c’è traccia on-chain di chi ha approvato cosa, e il mercato istituzionale MPC è dominato da fornitori i cui sistemi devono essere fidati. Le istituzioni utilizzano sempre più entrambi: MPC per flussi operativi caldi, multisig per governance fredda.
Chiunque detenga più crypto di quanto possa permettersi di perdere a causa di un singolo errore, come individui con risparmi significativi e, sostanzialmente senza eccezioni, organizzazioni, DAO che gestiscono tesoretti comunitari, aziende con crypto nel bilancio, protocolli che detengono chiavi di aggiornamento e gruppi che necessitano di escrow. Per piccoli saldi quotidiani, il freno di coordinamento di solito supera il beneficio.
La firma cieca è approvare una transazione il cui vero contenuto non puoi leggere, tipicamente un payload complesso di smart contract mostrato come un hash opaco. È il vettore dietro i più grandi furti multisig: gli attaccanti compromettono l’interfaccia in modo che i firmatari vedano una transazione legittima mentre approvano una maliziosa. Le difese includono dispositivi che decodificano i payload, verifica indipendente su un secondo canale e strumenti di simulazione che anticipano gli effetti.
Sui multisig di smart contract, sì: aggiungere o rimuovere firmatari e cambiare la soglia sono essi stessi transazioni che richiedono approvazione della soglia. Quella flessibilità consente rotazione e recupero, ed è anche un obiettivo, poiché un attaccante che raggiunge la soglia può espellere completamente i legittimi proprietari, come hanno mostrato le recenti violazioni. Tratta le modifiche al set di firmatari come l’operazione più sensibile che il wallet esegue.