BitGo Safe visa proteger carteiras de Bitcoin com transações multiassinatura

O que Jeremy Howells e vários clientes do BIPS têm em comum? Cada um deles perdeu muitos bitcoins por causa da maneira como eles foram armazenados. MasBitGo, uma empresa que oferece um novo serviço de carteira multiassinatura, diz que T precisa ser assim.

Howells perdeu £ 4 milhões em bitcoins depois que elejogou fora seu disco rígido, enquanto processador de pagamento e serviço de carteira onlineBIPS viu mais de US$ 1 milhão roubadoem um hack de carteira. Ambos sofreram do mesmo problema: um único ponto de falha.

Fundador da BitGoMike Belshe diz que depender de um único dispositivo para armazenar seus bitcoins é uma má ideia. Carteiras da Web estão fora do controle do usuário, enquanto seus próprios dispositivos são propensos a ataques, falhas de hardware ou simples erros do usuário. "Você T gostaria de usar a Web pura, mas também T gostaria de usar o lado do cliente puro - pelo menos não para a maioria dos mortais", disse ele. "Software do lado do cliente é um urso."

Dois em cada três

Em vez disso, seu serviço de carteira, chamado BitGo Safe, usa um recurso pouco conhecido dentro do protocolo Bitcoin que torna possível proteger melhor o dinheiro em um endereço Bitcoin . Chamado Pay to Script Hash (P2SH), é uma especificação descrita em uma atualização do protocolo Bitcoin chamada BIPS 16. Ele permite transações multiassinatura, e o benefício delas é que elas permitem transações de Bitcoin que devem ser autorizadas por mais de uma chave pública.

Transações convencionais de Bitcoin são irreversíveis, o que significa que, uma vez que uma transação de Bitcoin tenha ocorrido, é impossível recuperar os fundos. Se Bob quiser enviar alguns bitcoins para ALICE em troca de um produto, então um deles tem que dar o primeiro passo e confiar que o outro dará Siga . Bob pode enviar seus bitcoins, apenas para ALICE KEEP com o produto. Por outro lado, ALICE pode enviar o produto e Bob pode nunca pagar a ela.

Mas se Jen, nossa terceira parte, agir como um árbitro, então ela pode manter os fundos em custódia até que Bob e ALICE confirmem que receberam seus bens. Todas as partes podem fazer isso manualmente, mas isso permitiria que Jen fugisse com os bitcoins, ou que sua carteira de Bitcoin fosse comprometida, deixando-a responsável pela transação pendente de ALICE e Bob. Foi o que aconteceu com sites de mercado negro como o Sheep Market, cujos clientes viram milhares de bitcoins roubados.

Em vez disso, transações multiassinatura são codificadas no protocolo para torná-lo mais eficiente e seguro. No BIPS 16, qualquer número de assinaturas pode ser necessário para concluir uma transação, mas, geralmente, as pessoas as descrevem como transações de "duas em três", exigindo duas de três assinaturas digitais para serem executadas.

Um cenário de assinaturas múltiplas

Em um cenário de múltiplas assinaturas, Bob enviaria seus bitcoins para um endereço Bitcoin que ele controla em conjunto com ALICE e Jen. Se ALICE e Bob concordarem que as mercadorias chegaram e a transação está completa, então ALICE pode confirmar a transação de Bob, desbloqueando o dinheiro, e o envolvimento de Jen T é necessário. Mas se qualquer uma das partes contestar a transação, elas acabarão tentando fazer o oposto uma da outra: Bob tentará devolver os bitcoins para seu próprio endereço, enquanto ALICE tentará extrair os bitcoins para seu endereço. Eles podem então chamar Jen para investigar. Ela tomará uma decisão e então usará sua assinatura para respaldar a transação de Bob ou Alice. O legal sobre isso é que Jen T pode enviar as moedas para seu próprio endereço, e ONE mais pode roubar as moedas sem roubar duas das três assinaturas envolvidas.

Além de impedir golpes online, também é útil para impedir roubos. Belshe, um engenheiro de software que trabalhou na Netscape e no Google, desenvolveu uma carteira que usa suporte a múltiplas assinaturas não para fins de custódia, mas para segurança da carteira.

BitGo Seguro

Sua carteira usa três chaves. Uma é armazenada no servidor da Bit2Go. Outra é a chave “HOT” do usuário, usada em transações, enquanto a terceira é uma chave de backup que pode ser mantida em qualquer formato pelo usuário, digamos, em um pendrive ou uma carteira de papel. O dinheiro pode ser enviado para o endereço da carteira como de costume, mas quando o usuário quiser sacá-lo, a chave “HOT” deve ser combinada com outra chave em uma transação de duas em três.

Normalmente, essa será a chave do lado do servidor. Mas se o servidor desaparecer, eles ainda poderão sacar dinheiro da carteira usando suas próprias duas chaves. E se o disco rígido morrer, eles acidentalmente o jogarem no aterro sanitário ou um hacker o comprometer, eles poderão usar a chave de backup com a chave do lado do servidor para recuperar suas moedas.

“Usar o sistema dois de três tem uma propriedade muito boa, que é que sempre há uma chave de backup disponível”, diz Belshe, que levantou a questão das carteiras P2SH no fórum Bitcoin Talk em novembro.

No entanto, multiassinaturas sozinhas não são suficientes, aponta Mike Hearn, um dos CORE desenvolvedores de Bitcoin . “Para que o serviço de carteira da web faça algo útil, ele precisa de alguma forma de autenticar o usuário que T dependa apenas de senhas (caso contrário, não é diferente da criptografia de carteira)”, ele aponta.

O Bit2Go resolve esse problema introduzindo outro recurso: autenticação de dois fatores fora de banda. Quando uma transação ocorre, ele envia uma mensagem com uma senha de uso único para o telefone do usuário para que ele possa confirmar a transação.

“Agora, para que Para Você seja comprometido, eles realmente precisam atacar três dispositivos diferentes”, diz Belshe.

Os provedores de carteiras tradicionais da web gostam da ideia. Brian Armstrong, CEO da Coinbase, queacaba de arrecadar US$ 25 milhões em financiamento, foi positivo.

“A Coinbase está animada e interessada em qualquer solução como essa que ajude a proteger carteiras de Bitcoin ”, disse Armstrong. “Por exemplo, oferecemos a capacidade de criar carteiras de papel hoje (que são offline, privadas e um armazenamento físico de Bitcoin). Usar dois dos três pode ser uma boa adição a isso.”

A BitGo também oferece vários outros serviços, incluindo uma troca pessoa a pessoa projetada para conectar amigos que querem comprar e vender bitcoins, e um serviço de presente de Bitcoin . Este último permite que as pessoas deem bitcoins a amigos configurando um endereço BitGo multiassinatura.

Seria fácil ver como ele poderia começar a empacotar isso como um serviço de API para outros negócios de Bitcoin . Belshe está se mantendo calado, mas ele está prometendo mais anúncios da empresa em breve.