Quando Peter Schiff ha affermato di non poter più accedere al proprio wallet di Bitcoin (BTC), molti membri della crypto community erano scettici. Mentre alcuni credevano che Schiff avesse semplicemente perso la sua password, altri come Vitalik Buterin, il co-founder di Ethereum, hanno sottolineato il fatto che perdere le chiavi private rimane una problematica di rilievo per i titolari di valute digitali.
È difficile essere la propria banca
Custodire le proprie criptovalute è piuttosto complicato, specialmente per gli utenti poco esperti di tecnologia. La maggior parte dei wallet richiede all’utente di annotare la chiave privata prima di poter effettuare l'accesso. Questa chiave può essere conservata semplicemente su un foglio di carta, ma non si tratta ovviamente di un metodo infallibile: il foglio può essere perso, sottratto, rompersi...
In alternativa è possibile utilizzare wallet hardware o backup digitali criptati, ma questo richiede un livello di conoscenza tecnica e di preparazione di cui molti utenti sporadici potrebbero non disporre.
In risposta all’incidente di Peter Schiff, Changpeng Zhao, il CEO di Binance, ha sostenuto che conservare le proprie criptovalute all'interno di piattaforme centralizzate è la modalità più sicura per la maggior parte degli utenti.
Ciononostante questo va contro i principi di decentralizzazione che caratterizzano la crypto community. Alcuni membri hanno indicato come possibili soluzioni i metodi alternativi sviluppati su Ethereum.
"Recupero sociale"
In alternativa a complesse soluzioni di conservazione vi è il concetto di “recupero sociale”, secondo cui è possibile concedere ad amici, familiari o società il diritto di ripristinare l’accesso a un dato account.
Se un soggetto non riesce più ad effettuare l’accesso al proprio wallet potrà contattare i cosiddetti “guardiani”, ossia soggetti indicati in precedenza dall'utente, i quali sono autorizzati a riassegnare l’accesso al dato account.
Gli wallet Argent sono un’applicazione reale di questo concetto. Un utente può indicare in qualità di guardiani altri utenti Argent o persino altri wallet di cui lo stesso è titolare. Tuttavia, per impostazione predefinita, il guardiano è Argent stessa la quale impiega l’indirizzo mail e il numero telefonico del soggetto come garanzia d’identità. Qualora non vengano designati altri guardiani, questo metodo di recupero non può essere disabilitato.
Screenshot dall'applicazione Argent
Un metodo leggermente diverso è stato invece presentato dall’Ethereum Improvement Proposal (EIP) 2429, sviluppato fra gli altri anche da Ricardo Guilherme Schmidt.
Basandosi sul concetto di “recupero sociale”, l’EIP introduce i cosiddetti “user secrets”, ossia dati biometrici derivanti dalle impronte digitali, una password o ancora informazioni personali raccolte in un questionario.
Tali informazioni devono poi essere fornite durante il processo di recupero. In tal modo, i guardiani non possono operare di concerto per sottrarre il wallet dell’utente. Inoltre, l’elenco dei guardiani non è mai pubblico finché la procedura di recupero non viene avviata.
Tuttavia, questo metodo è ancora in fase di elaborazione.
Critiche al recupero sociale
Uno svantaggio di cui si parla spesso relativamente al recupero sociale è la reintroduzione della fiducia, questa volta negli amici piuttosto che in realtà centralizzate.
Cointelegraph ha intervistato Schmidt per avere chiarimenti circa l’EIP. Sebbene abbia convenuto sull’imperfezione del sistema, ha sostenuto che rimane comunque molto più trustless di altre piattaforme:
"Il recupero sociale è di fondamentale importanza per l’adozione. Infatti, contribuisce a dare un’esperienza Web2 agli account sovrani.
Lo svantaggio è dover dare fiducia ad altri. Tuttavia, l’EIP 2429 risolve i problemi relativi all’affidarsi ai guardiani. Dunque, ci ritroviamo comunque in un sistema trustless, che è la cosa che più amiamo di Ethereum."
Schmidt ha poi criticato le piattaforme multifirma come Argent per via della loro incapacità di contrastare casi di complicità malevola. Crede comunque che queste abbiano ancora ragione di esistere in un contesto in cui viene concessa estrema trasparenza, come nel caso dei fondi pubblici.
Itamar Lesuisse, CEO di Argent, ha spiegato a Cointelegraph che definire “recupero sociale” il suo sistema è fuorviante in quanto “implica che le persone debbano sempre essere coinvolte”. A tal proposito ha spiegato:
“Il metodo è sicuro e praticamente chiunque abbia uno smartphone può usarlo. Un altro vantaggio di questo approccio è poter sfruttare questi soggetti fidati per proteggere il proprio wallet anche oltre il semplice meccanismo di recupero. Con Argent è possibile fare affidamento su questi soggetti per bloccare il proprio wallet e approvare una grande transazione.”
Lesuisse si è poi espresso a favore degli sviluppi dell’EIP 2429 osservando che “migliora la privacy in un contesto in cui gli utenti scelgono familiari e amici in qualità di soggetti fidati”.
Ciononostante Schmidt nota che all’interno dell’EIP potrebbe comunque verificarsi quello che in gergo tecnico viene definito un “griefing attack”, ossia i guardiani non concedono più l’accesso dell’utente titolare dello wallet allo stesso. L’esperto ha ventilato la possibilità di utilizzare questa criticità a proprio favore: infatti, una società guardiana potrebbe essere preposta all’identificazione dei clienti e al recupero dell’accesso su pagamento di una commissione.
Samson Mow, CSO di Blockstream, ha invece criticato Ethereum osservando che l’EIP è un sistema “estremamente complesso per amor di complessità”. Ha poi aggiunto che il recupero sociale è possibile anche su Bitcoin grazie al software esistente: infatti, è possibile creare uno wallet multifirma e distribuirne parti dello stesso ai propri amici.
Ciononostante, Mow è scettico riguardo al concetto di recupero sociale della password:
“Lo svantaggio di qualunque sistema di recupero sociale è che le amicizie cambiano nel tempo. Infatti, viviamo in un mondo che tende verso l’entropia. Dunque, gli amici di oggi potrebbero non essere più amici domani. E anche qualora gli amici rimanessero gli stessi, il guardiano prescelto potrebbe perdere la propria quota all’interno del sistema di recupero.”
Mow considera comunque importante l’abilità di recuperare le chiavi private, sebbene si riferisse ai cosiddetti hard metal backup, ossia dispositivi di conservazione dati estremamente resistenti. Secondo l’esperto, il fardello di conservare i Bitcoin rimane in capo agli utenti:
“La sfida è far capire alle persone che dovrebbero mantenere al sicuro il loro seed e prevedere un sistema di recupero sin dal primo giorno. Il recupero sociale non contribuisce a risolvere 'Paradosso di Schiff' (gli utenti si preoccupano di mettere al sicuro i Bitcoin quando è già troppo tardi) più di quanto non facciano gli altri hard backup.”
Altre soluzioni
Sin dall’inizio di Bitcoin, Keybase ha offerto un servizio di creazione di chiavi private sulla base della password e dell’indirizzo mail dell’utente.
Torus permette agli utenti di creare wallet Ethereum effettuando l’accesso al proprio account Google o Facebook. La chiave privata viene associata unicamente a quell’account tramite meccanismi di assegnazione piuttosto complessi.
Tuttavia, come rilevava Schmidt, le soluzioni basate esclusivamente su segreti personali sono poco sicure:
“Nel Web2 è sicuro avere una password di 8 caratteri perché il server di autenticazione bloccherà eventuali attacchi [...]. Questo non è possibile sulla blockchain. Utilizzare una password di 8 caratteri va di pari passo con una perdita istantanea del proprio denaro perché è altamente probabile che gli indirizzi a bassa entropia vengano costantemente monitorati.”