Confiança e Segurança

Echo é projetado para que nenhuma parte isolada — nem mesmo o coordenador que inicializa a rede — possa controlar o sistema unilateralmente. A confiança é distribuída entre os participantes, e invariantes críticas são aplicadas on-chain pelos validadores de Cardano.

Confiança Mínima no Coordenador

O coordenador desempenha um papel operacional limitado: ele inicializa novos epochs e facilita a comunicação entre os participantes. No entanto, o coordenador não pode:

• Forjar assinaturas de consenso — apenas a rede coletiva pode produzir uma assinatura de limiar válida
• Alterar membros — toda mudança de membro requer verificação on-chain da posse de NFTs e provas criptográficas
• Roubar fundos — as aplicações construídas sobre Echo (como Sailfish) aplicam seus próprios mecanismos de segurança on-chain independentemente do coordenador

A chave de assinatura do coordenador é usada apenas para ações administrativas como inicializar epochs. A chave de consenso real pertence à rede coletiva e é rotacionada toda vez que os membros mudam.

Assinaturas de Limiar

Echo utiliza um esquema de assinatura de limiar onde um número mínimo de participantes deve concordar independentemente antes que qualquer ação possa ser aprovada. Nenhum participante isolado — e nenhum subconjunto abaixo do limiar — pode produzir uma assinatura válida.

Isso significa que, mesmo se alguns participantes forem comprometidos ou ficarem offline, a rede continua operando corretamente desde que o limiar seja atendido. O sistema é tolerante a falhas bizantinas: produz resultados corretos mesmo na presença de atores maliciosos, desde que permaneçam como minoria.

Verificação On-Chain

Cada transição de estado no Echo é verificada pelos validadores on-chain de Cardano. Quando os membros mudam, os validadores verificam:

• O novo membro possui os NFTs necessários em sua Smart Account
• O membro provou criptograficamente que autorizou a adesão
• O registro de membros foi atualizado corretamente
• A chave de consenso anterior autorizou a transição para a nova chave

Quando uma aplicação referencia uma prova Echo, os validadores confirmam independentemente que a prova foi assinada por uma chave de consenso válida, que a contagem de membros atende ao limiar necessário e que o estado não expirou. Nenhuma alegação off-chain é aceita como verdade absoluta.

Expiração Baseada em Epoch

Os tokens de estado do Echo têm uma expiração integrada. Uma vez que um epoch termina, sua chave de consenso não pode mais ser usada para produzir novas provas. Isso limita a janela de danos caso uma chave fosse comprometida e garante que a rede atualize regularmente seu conjunto de participantes.

Rede de Segurança: Auto-Retirada

As aplicações construídas sobre Echo podem implementar seus próprios mecanismos de segurança. Por exemplo, se o coordenador ou a rede Echo ficarem indisponíveis, os usuários de serviços dependentes não ficam bloqueados de seus fundos. Serviços como Sailfish incluem um processo de auto-retirada com bloqueio temporal que permite aos usuários recuperar seus ativos diretamente em Cardano — nenhuma cooperação de qualquer operador é necessária.

Esse mecanismo de segurança é aplicado on-chain. No caso de o coordenador desaparecer e a rede Echo ficar offline, o processo de auto-retirada é projetado para permitir que os usuários recuperem seus ativos diretamente em Cardano.