Dans l'écosystème moderne des actifs numériques, le mécanisme multisig est souvent vénéré comme le bastion ultime de la sécurité, une norme obligatoire pour toutes les organisations sérieuses et les particuliers fortunés. En exigeant le consensus de plusieurs parties avant d'effectuer une transaction, le multisig élimine théoriquement le risque de « point de défaillance unique » qui est le fléau des portefeuilles traditionnels à signature unique (EOA). Cependant, une analyse plus approfondie et plus réaliste indique que le multisig n’est pas une « solution miracle » à tous les problèmes de sécurité. Au contraire, dans de nombreux contextes spécifiques, l'application inconsidérée du multisig peut conduire à des échecs catastrophiques de gestion des clés, provoquant une paralysie opérationnelle, des coûts élevés et même une perte permanente d'actifs.
Ce rapport approfondit l'analyse des mécanismes techniques, des risques potentiels et des situations spécifiques dans lesquelles le multisig devient contre-productif. Selon l'équipe d'experts de Tan Phat Digital, comprendre les limites de l'outil est la première étape pour construire une stratégie de sécurité durable.
Architecture technique et diversité des mécanismes multi-signatures
Pour comprendre pourquoi le multisig peut être contre-productif, il est d'abord nécessaire de saisir les différences fondamentales dans la manière dont ce mécanisme est déployé sur les différents réseaux blockchain. Cette différence va au-delà de la programmation et affecte directement les coûts, la confidentialité et la résilience du portefeuille.
Bitcoin et multisig au niveau du protocole
Sur le réseau Bitcoin, le multisig est pris en charge au niveau du protocole via des scripts spéciaux tels que Pay-to-Script-Hash (P2SH). Dans ce modèle, les règles de seuil de signature (M-of-N) sont intégrées directement dans la structure de l'adresse du portefeuille. Toute la logique de validation est effectuée par les nœuds miniers Bitcoin lorsque les transactions sont diffusées.
Avec l'introduction de la mise à jour Taproot (signature Schnorr), Bitcoin a poussé l'optimisation multisig encore plus loin. Les signatures Schnorr permettent de fusionner plusieurs signatures des parties participantes en une seule signature sur la chaîne, contribuant ainsi à réduire la taille des transactions et à accroître la confidentialité. Cependant, malgré ces améliorations, le multisig sur Bitcoin reste rigide : une fois qu'un portefeuille a été créé avec une configuration spécifique, la modification des signataires ou des seuils de signature nécessite souvent de transférer tous les actifs vers une nouvelle adresse de portefeuille.
Ethereum et portefeuilles de contrats intelligents
Contrairement au Bitcoin, le multisig sur Ethereum et les chaînes compatibles EVM ne sont pas une fonctionnalité native du protocole mais sont implémentées via des contrats intelligents, des portefeuilles de contrats intelligents, le plus typique étant Safe. L’utilisation de contrats intelligents offre une flexibilité incroyable, mais crée également une surface d’attaque plus large. Toute faille dans le code source du contrat, aussi petite soit-elle, peut devenir aussi désastreuse que l'incident du portefeuille Parity en 2017, où un bug a gelé de manière permanente plus de 280 millions de dollars en valeur ETH.
Comparaison détaillée de Multisig sur Bitcoin et Ethereum :
Mécanisme d'authentification : Bitcoin utilise une logique de script au niveau du protocole, tandis qu'Ethereum est basé sur une logique de script auto-exécutable. contrats.
Flexibilité : Bitcoin est faible (il faut généralement changer de portefeuille pour changer de configuration), tandis qu'Ethereum est très élevé (peut mettre à niveau les modules, changer de signataire directement).
Coût de déploiement : Bitcoin a un faible coût car il crée simplement des adresses, tandis qu'Ethereum coûte des frais de gaz élevés pour déployer des contrats. proxy.
Risque lié au code source : Bitcoin est très faible car il est basé sur le protocole natif, Ethereum est élevé car il dépend de l'intégrité du code du contrat.
Confidentialité : Bitcoin est moyen, Ethereum est faible car tout le monde signe et le seuil de signature est publiquement visible sur la chaîne.
Voir aussi : Qu'est-ce que le portefeuille Multisig ?
Risque économique : lorsque les coûts du gaz deviennent un fardeau
L'une des principales raisons pour lesquelles le multisig est contre-productif pour les utilisateurs individuels est la structure des coûts, les frais d'exploitation. Dans le monde des contrats intelligents, la complexité s'accompagne toujours de coûts élevés.
Analyse estimée du coût du gaz sur Ethereum (à 20 Gwei) :
Transfert ETH : le portefeuille EOA (signature unique) consomme 21 000 gaz. Le portefeuille Multisig consomme environ 45 000 à 65 000 gaz, ce qui équivaut à une augmentation de 114 % à 210 %.
Transfert de jetons ERC-20 :Le portefeuille EOA consomme environ 65 000 gaz. Le portefeuille Multisig coûte entre 90 000 et 110 000 gaz, soit une augmentation d'environ 38 % à 69 %.
Interaction DeFi (Swap) : le portefeuille EOA consomme environ 150 000 gaz. Multisig Wallet nécessite 200 000 à 250 000 gaz, soit une augmentation de 33 % à 66 %.
Modifier la structure du portefeuille (ajouter/supprimer des signataires) :EOA Wallet ne prend pas en charge cette fonctionnalité. Le portefeuille Multisig consomme environ 100 000 à 150 000 gaz pour chaque changement de configuration.
Pour les grandes organisations gérant des millions de dollars, cette différence n'est pas significative. Cependant, pour les utilisateurs particuliers, il s'agit d'un véritable obstacle financier, transformant le multisig d'un outil de protection en un fardeau financier inutile.
Échec de la gestion des clés : le paradoxe de la sécurité
Au cœur du multisig se trouve la redondance. Cependant, si le processus de gestion des clés n'est pas mis en œuvre de manière professionnelle, cette redondance ne crée qu'un faux sentiment de sécurité.
L'erreur de colocalisation : Le stockage de plusieurs clés ou phrases de départ dans le même emplacement physique (par exemple, le même coffre-fort) ou le même compte cloud transformera le multisig en un « point de faiblesse unique ». Un vol ou un sinistre à cet endroit annulerait l'accès.
Seuil de signature incorrect (Bricking) : Dans une configuration 2 sur 2, si un seul signataire perd la clé, l'ensemble de l'actif est gelé pour toujours. Le risque de perte dans cette configuration est en réalité deux fois plus élevé qu’avec un portefeuille à signature unique. Tan Phat Digital recommande aux utilisateurs d'utiliser des configurations redondantes telles que 2 sur 3 ou 3 sur 5 pour garantir la sécurité.
Attrition silencieuse des clés (Key Attrition) : se produit lorsque les membres détenant les clés quittent l'organisation sans passer le relais. Au fil du temps, un portefeuille 4 sur 7 peut devenir un 4 sur 4, plaçant les actifs dans un état extrêmement dangereux.
En savoir plus : Le portefeuille MPC est Quoi ?
Inflexibilité et goulots d'étranglement opérationnels
Le Multisig est un mécanisme qui provoque des retards intentionnels. Dans un environnement DeFi qui nécessite une réponse instantanée, ce délai peut entraîner d'énormes pertes lorsque le capital ne peut pas être retiré à temps lors d'attaques ou lorsqu'une forte volatilité du marché conduit à une liquidation d'actifs. De plus, gérer une « matrice » de signataires sur différentes blockchains (Ethereum, Solana, Bitcoin...) est un défi administratif que de nombreuses organisations ne sont pas capables de mettre en œuvre de manière sécurisée.
Problème d'héritage : obstacle pour les non-technologues
Hériter des actifs numériques via multisig est souvent un « cauchemar » pour les héritiers non avertis en technologie. Diviser les clés et les cacher secrètement peut empêcher les proches d'accéder à la propriété après le décès du propriétaire. De plus, les héritiers confus sont souvent la cible principale des fraudeurs lorsqu'ils cherchent de l'aide pour débloquer des portefeuilles.
Attaques modernes : quand le multisig devient une « arme » contre les propriétaires
L'événement de la bourse Bybit perdant 1,5 USD en février 2025 est la démonstration la plus claire des limites du multisig. Les pirates n'attaquent pas le code source mais ciblent la couche de l'interface utilisateur (UI). Grâce à la manipulation de l'affichage, les attaquants incitent les signataires à effectuer une « signature aveugle », approuvant ainsi une transaction malveillante qu'ils croient valide. La leçon apprise est la suivante : le multisig n'est sûr que lorsque le signataire sait exactement ce qu'il signe.
Analyse du public : qui devrait et ne devrait pas utiliser Multisig ?
Sur la base de l'expérience de Tan Phat Digital, l'adéquation du multisig est classée comme suit :
1. Qui ne devrait pas utiliser Multisig :
Particuliers possédant de petits actifs (moins de 50 000 USD) : Les coûts du gaz et la complexité de la gestion dépassent de loin les avantages en matière de sécurité.
Les investisseurs qui ne sont pas techniquement avertis : conduisent facilement à des erreurs de sauvegarde ou de définition de seuils de signature, entraînant un actif permanent verrouillage.
Les projets ont besoin d'agilité : Les retards dans la collecte des signatures peuvent paralyser la progression du développement.
2. Qui devrait utiliser Multisig :
DAO et trésorerie institutionnelle :Assurer la transparence et prévenir le détournement unilatéral de fonds.
Services de garde professionnels : Disposer de ressources suffisantes pour gérer le processus de signature et les audits réguliers.
Gestion générale des actifs :Assurer les décisions financières Les grands gouvernements doivent avoir le consensus des membres.
Tableau récapitulatif des utilisations recommandées :
Petits individus : Donner la priorité à la commodité et au faible coût ; Faible capacité de gestion des clés. Recommandé : portefeuille matériel + phrase secrète.
Organisation/DAO : donner la priorité à la transparence et à la gouvernance ; Capacité moyenne de gestion des clés. Recommandé : Multisig (M-of-N).
Fonds d'investissement professionnels : Donnez la priorité à une sécurité et une conformité maximales ; La capacité de gestion des clés est très élevée. Recommandé : MPC ou modèle hybride.
Alternatives et modules complémentaires
Tan Phat Digital suggère des architectures de sécurité modernes qui remplacent le multisig traditionnel :
Portefeuille matériel et phrase secrète : le mécanisme du « 25e mot » permet de créer une deuxième couche de sécurité (celle que vous avez et celle que vous connaissez) sans augmenter les frais. gas.
Technologie MPC (Multi-Party Computation) : Divisez la clé en petits morceaux et signez hors chaîne. Cette solution offre de faibles frais d'essence, une confidentialité accrue et est très flexible.
Portefeuille de récupération sociale (récupération sociale) : utilise une clé principale pour les transactions quotidiennes et un groupe de « gardiens » pour restaurer le portefeuille lorsque les clés sont perdues. Ceci est considéré comme l'avenir de l'autogestion des actifs pour les masses.
Les gens demandent également : 15 questions fréquemment posées sur Multisig
1. Qu'est-ce qu'un portefeuille multisig ? Un portefeuille multi-signature (multisig) est un type de portefeuille qui nécessite de nombreuses signatures différentes provenant de clés privées indépendantes pour authentifier et effectuer une transaction. Au lieu de s'appuyer uniquement sur une « seule faiblesse », elle nécessite le consensus d'un groupe de signataires selon un seuil préétabli (par exemple 2 signataires sur 3).
2. En quoi Multisig sur Bitcoin et Ethereum est-il différent ? Le Multisig de Bitcoin est directement intégré au niveau du protocole via des scripts tels que P2SH ou Taproot, offrant une sécurité extrêmement élevée mais moins de flexibilité. Pendant ce temps, le multisig sur Ethereum est mis en œuvre à l’aide de contrats intelligents (comme Safe), qui permettent une personnalisation flexible des règles de gouvernance mais entraînent des coûts de gaz plus élevés et une surface d’attaque plus large.
3. Pourquoi les frais de gaz des portefeuilles Multisig sont-ils plus élevés que ceux des portefeuilles classiques ? Étant donné que le multisig (en particulier sur Ethereum) fonctionne comme un contrat intelligent, le réseau doit effectuer davantage de calculs pour vérifier chaque signature individuelle et vérifier le seuil d'approbation en chaîne. De plus, le stockage de données de signature supplémentaires augmente la taille de la transaction, ce qui entraîne des coûts nettement plus élevés par rapport aux portefeuilles classiques à signature unique.
4. Qu'est-ce que le portefeuille multisig « Bricking » et comment l'éviter ? Le « Bricking » est une situation dans laquelle les actifs sont définitivement verrouillés en raison d'un nombre insuffisant de clés restantes pour atteindre le seuil de signature (par exemple, un portefeuille 2 sur 2 mais 1 clé est manquante). Pour éviter cela, les experts recommandent d'utiliser des configurations avec redondance telles que 2 sur 3 ou 3 sur 5, garantissant que même si une clé est perdue, vous pouvez toujours déplacer les actifs.
5. Qu'est-ce que l'erreur « Colocation » dans la gestion Multisig ? Il s'agit de l'erreur de stockage de plusieurs clés ou phrases de départ au même emplacement physique ou sur le même compte cloud. Si des voleurs s'introduisent à cet endroit ou si le compte iCloud est piraté, ils peuvent obtenir suffisamment de clés, ce qui rend le mécanisme multisig inutile car le risque est concentré en un seul point.
6. Une configuration 2 sur 3 est-elle vraiment meilleure qu'une configuration 2 sur 2 ? Oui. Dans une configuration 2 sur 2, le risque de perdre des actifs double car toute clé perdue entraîne un désastre. La configuration 2 sur 3 offre l'équilibre idéal : elle protège contre le vol (il faut 2 clés pour obtenir de l'argent) et protège contre la perte (la perte d'1 clé laisse quand même 2 clés à récupérer).
7. Que s'est-il passé lors du piratage Bybit de 1,5 milliard de dollars en 2025 ?Les pirates ont mené une attaque de chaîne d'approvisionnement sur l'interface utilisateur (UI) de Safe{Wallet}. Ils ne crackent pas le multisig mais modifient le contenu de la transaction affiché sur l'écran de l'employé. L'employé pensait signer un ordre de transfert interne, mais il signait en réalité un ordre transférant le contrôle du portefeuille au pirate informatique.
8. À quel point la signature aveugle est-elle dangereuse ?La signature aveugle se produit lorsqu'un utilisateur approuve une transaction sur un périphérique matériel (comme un grand livre) sans pouvoir vérifier les données brutes parce que l'écran de l'appareil est trop petit ou que les données sont trop complexes. Si l'interface utilisateur de votre ordinateur est manipulée, vous pourriez signer un ordre de retrait d'actifs sans même le savoir.
9. En quoi la technologie MPC est-elle différente de Multisig ? Multisig utilise de nombreuses clés distinctes en chaîne, tandis que MPC (Multi-Party Computation) divise une seule clé en plusieurs « morceaux » hors chaîne. MPC permet d'économiser les frais de gaz car il n'y a qu'une seule signature sur la chaîne, tout en gardant secrète la structure du signataire et en prenant mieux en charge plusieurs chaînes.
10. Dois-je utiliser Multisig pour la planification successorale ? Peut-être, mais soyez prudent. Multisig permet de partager les clés entre les membres de la famille, mais s'ils ne sont pas techniquement compétents, le processus de récupération peut devenir un cauchemar. Une solution de « Garde Collaborative » (comme Unchained ou Casa) est souvent meilleure car il existe un service pour assister les héritiers dans les démarches techniques.
11. Comment fonctionne Social Recovery Wallet ?Il utilise une clé principale pour les transactions quotidiennes. En cas de perte de cette clé, un groupe de « Gardiens » présélectionnés par vos soins peut signer une commande pour remplacer la clé principale par une nouvelle. C'est plus pratique que le multisig car il ne nécessite pas plusieurs signatures pour chaque petite transaction.
12. Combien valent les actifs pour commencer à utiliser Multisig ? De nombreux experts estiment que le multisig n'est vraiment efficace que lorsque les actifs dépassent le seuil de 50 000 USD ou 100 000 USD. Avec des quantités plus petites, le coût de l’essence et le risque de vous retrouver en lock-out en raison d’opérations incorrectes l’emportent souvent sur les avantages en matière de sécurité qu’il offre.
13. Multisig prend-il en charge toutes les crypto-monnaies ? Pas du tout. Multisig dépend du support de chaque blockchain. Bitcoin et Ethereum bénéficient d'un bon support, mais de nombreuses chaînes plus récentes ou jetons spécifiques peuvent nécessiter des implémentations techniques complexes ou les portefeuilles multisig standard ne sont pas disponibles.
14. Quel est le risque d'« attrition des clés » ? Il s'agit d'une situation dans laquelle le nombre de signataires réels diminue progressivement au fil du temps en raison du départ de membres de l'organisation, du décès ou de la perte des clés sans transfert. Sans audits réguliers, un portefeuille 3 sur 5 peut tranquillement se transformer en un portefeuille 3 sur 3, mettant l'ensemble de l'actif en danger extrême.
15. Pourquoi le modèle hybride est-il favorisé par les grands fonds ? Le modèle hybride combine MPC pour les opérations de trading quotidiennes (haute vitesse, faibles frais) et Multisig traditionnel pour le stockage de trésorerie à long terme (transparence, audit en chaîne facile). Cela les aide à tirer parti du meilleur des deux technologies pour optimiser la sécurité et les opérations.
En fin de compte, le multisig n'est qu'un outil dans le cadre plus large de la sécurité. Un système robuste nécessite une combinaison de technologie, de processus disciplinés et d’une compréhension approfondie. Tan Phat Digital espère que ce rapport vous a aidé à avoir la vision la plus réaliste possible pour protéger vos actifs de manière intelligente.
Partager
