Saya pernah bekerja dengan sebuah proyek DeFi yang ingin menggunakan Sign Protocol untuk memverifikasi identitas peminjam. Ide awalnya bersih: alih-alih membangun KYC sendiri, mereka menerima attestation dari penerbit yang sudah dipercaya. Menghemat waktu, memanfaatkan ekosistem yang sudah ada.

Setelah beberapa minggu mengimplementasikan Sign, saya menyadari sebuah masalah yang tidak ada yang pikirkan dalam tim.

Sistem menerima attestation dari penerbit A. Penerbit A menerima attestation dari penerbit B sebagai bukti untuk memberikan kredensial. Penerbit B adalah sebuah organisasi kecil di suatu yurisdiksi yang tidak ada yang tahu dalam tim, dengan kebijakan KYC yang tidak jelas.

Secara teknis, semuanya benar. Tanda tangan valid. Attestation ada di on-chain. Kredensial dapat diverifikasi. Namun, tidak ada yang telah mengaudit penerbit B. Tidak ada yang tahu standar apa yang dimiliki penerbit B. Dan tidak ada yang tahu apakah penerbit A benar-benar memeriksa penerbit B atau hanya menerima attestation mereka karena tidak ada mekanisme untuk menolak.

Ini adalah risiko kepercayaan transisi: kepercayaan menyebar melalui banyak lapisan penerbit tanpa mekanisme audit seluruh rantai.

Masalahnya bukan Sign yang salah. Sign memberikan apa yang dijanjikannya: attestation yang dapat diverifikasi, skema yang dapat dibaca, tanda tangan yang dapat diverifikasi. Namun, "dapat diverifikasi" dan "tepercaya" adalah dua hal yang sangat berbeda. Sign memverifikasi bahwa penerbit A telah menandatangani kredensial ini. Itu tidak memverifikasi bahwa penerbit A telah melakukan dengan benar saat memberikan kredensial tersebut.

Untuk memahami mengapa ini lebih penting daripada yang terlihat, bayangkan ini: suatu lembaga keuangan di EU memutuskan untuk menerima attestation dari Protokol Sign untuk KYC. Mereka mempercayai beberapa penerbit besar: bank, pemerintah, organisasi keuangan terkemuka. Namun, penerbit-penerbit tersebut mungkin telah mempercayai sub-penerbit yang lebih kecil untuk menutupi pasar yang tidak mereka miliki kehadiran. Dan sub-penerbit tersebut mungkin telah mempercayai penerbit lokal di suatu negara dengan proses anti-pencucian uang yang longgar.

Seluruh rantai diverifikasi di Sign. Seluruh rantai benar secara teknis. Namun, lembaga keuangan di EU sebenarnya menerima kredensial yang berasal dari proses yang tidak pernah mereka tinjau.

Masalah ini tidak baru. Internet menyelesaikannya dengan meminta organisasi penerbit sertifikat untuk diaudit secara independen. Bank tradisional menyelesaikannya dengan meminta bank mitra untuk menyediakan dokumen lengkap sebelum diterima. Keduanya memiliki prinsip yang sama: jika ingin mempercayai siapa pun, maka harus tahu siapa mereka melalui setiap lapisan.

Sign belum memiliki mekanisme yang setara. Registri Skema adalah tanpa izin. Penerbit tidak perlu mendaftar atau diaudit. Tidak ada mekanisme dalam protokol yang mewajibkan verifier untuk mengetahui seluruh rantai kepercayaan sebelum menerima suatu kredensial.

Itu masuk akal untuk fase awal ketika Sign sedang membangun ekosistem. Namun, ketika Sign memperluas ke penerapan berdaulat: CBDC Kyrgyzstan, ID nasional Sierra Leone, dan program pemerintah UAE. Pada saat itu, risiko kepercayaan transisi bukan lagi masalah teori. Ini menjadi masalah kepatuhan yang nyata. Suatu negara sedang membangun infrastruktur keuangan nasional pada suatu protokol yang tidak memiliki mekanisme audit rantai kepercayaan adalah negara yang menerima risiko yang tidak dapat mereka lihat sepenuhnya.

Siapa pun yang membangun sistem penting di Sign perlu menetapkan aturan yang tidak ditegakkan oleh protokol: tidak menerima kredensial dari penerbit mana pun yang belum Anda audit secara langsung atau belum memiliki informasi yang cukup tentang kebijakan mereka.

Setiap kali menambahkan satu penerbit ke dalam rantai, Anda harus mempercayai satu pihak lagi yang sebenarnya tidak Anda kendalikan. Rantai kepercayaan yang lebih panjang, risikonya tidak akan menghilang tetapi hanya didorong lebih jauh, di tempat yang tidak lagi terlihat jelas.

Oleh karena itu, saya tidak menilai Sign berdasarkan berapa banyak penerbit yang terlibat, tetapi berdasarkan apakah mereka membantu pengguna melihat seluruh rantai kepercayaan atau tidak, alih-alih hanya melihat hasil akhirnya.

Diverifikasi tidak berarti tepercaya. Dan rantai kepercayaan yang lebih panjang tidak berarti kepercayaan yang lebih kuat. Itu hanya berarti ada lebih banyak titik yang bisa salah tanpa ada yang melihat.

\u003cm-43/\u003e \u003cc-45/\u003e \u003ct-47/\u003e