Kepercayaan & Keamanan
Echo dirancang agar tidak ada satu pihak pun — bahkan koordinator yang memulai jaringan — yang dapat mengendalikan sistem secara sepihak. Kepercayaan didistribusikan ke seluruh partisipan, dan invarian kritis ditegakkan secara on-chain oleh validator Cardano.
Kepercayaan Koordinator yang Diminimalkan
Koordinator memainkan peran operasional terbatas: ia memulai epoch baru dan memfasilitasi komunikasi antar partisipan. Namun, koordinator tidak dapat:
- Memalsukan tanda tangan konsensus — hanya jaringan kolektif yang dapat menghasilkan tanda tangan ambang batas yang valid
- Mengubah keanggotaan — setiap perubahan keanggotaan memerlukan verifikasi on-chain atas kepemilikan NFT dan bukti kriptografis
- Mencuri dana — aplikasi yang dibangun di atas Echo (seperti Sailfish) menegakkan mekanisme keamanan on-chain mereka sendiri secara independen dari koordinator
Kunci penandatangan koordinator hanya digunakan untuk tindakan administratif seperti menginisialisasi epoch. Kunci konsensus yang sebenarnya milik jaringan kolektif dan berrotasi setiap kali keanggotaan berubah.
Tanda Tangan Ambang Batas
Echo menggunakan skema tanda tangan ambang batas di mana jumlah minimum partisipan harus secara independen menyetujui sebelum tindakan apa pun dapat disetujui. Tidak ada satu partisipan pun — dan tidak ada subset di bawah ambang batas — yang dapat menghasilkan tanda tangan yang valid.
Ini berarti bahwa meskipun beberapa partisipan dikompromikan atau offline, jaringan terus beroperasi dengan benar selama ambang batas terpenuhi. Sistem ini toleran terhadap kesalahan Byzantine: ia menghasilkan hasil yang benar bahkan dengan kehadiran aktor jahat, selama mereka tetap menjadi minoritas.
Verifikasi On-Chain
Setiap transisi state di Echo diverifikasi oleh validator on-chain Cardano. Ketika keanggotaan berubah, validator memeriksa:
- Anggota baru memegang NFT yang diperlukan di Smart Account mereka
- Anggota secara kriptografis membuktikan mereka mengotorisasi penggabungan
- Registri keanggotaan diperbarui dengan benar
- Kunci konsensus sebelumnya mengotorisasi transisi ke kunci baru
Ketika aplikasi merujuk bukti Echo, validator secara independen mengonfirmasi bahwa bukti ditandatangani oleh kunci konsensus yang valid, bahwa jumlah keanggotaan memenuhi ambang batas yang diperlukan, dan bahwa state belum kedaluwarsa. Tidak ada klaim off-chain yang diterima begitu saja.
Kedaluwarsa Berbasis Epoch
Token state Echo memiliki kedaluwarsa bawaan. Setelah epoch berakhir, kunci konsensusnya tidak lagi dapat digunakan untuk menghasilkan bukti baru. Ini membatasi jendela kerusakan jika kunci pernah dikompromikan dan memastikan jaringan secara teratur menyegarkan kumpulan partisipannya.
Jaring Pengaman: Penarikan Mandiri
Aplikasi yang dibangun di atas Echo dapat mengimplementasikan mekanisme keamanan mereka sendiri. Misalnya, jika koordinator atau jaringan Echo pernah tidak tersedia, pengguna layanan yang bergantung tidak terkunci dari dana mereka. Layanan seperti Sailfish menyertakan proses penarikan mandiri dengan time-lock yang memungkinkan pengguna mengklaim kembali aset mereka langsung di Cardano — tidak diperlukan kerja sama dari operator mana pun.
Mekanisme keamanan ini ditegakkan secara on-chain. Dalam hal koordinator menghilang dan jaringan Echo offline, proses penarikan mandiri dirancang untuk memungkinkan pengguna mengklaim kembali aset mereka langsung di Cardano.