Mình từng làm việc với một dự án DeFi muốn dùng Sign Protocol để verify danh tính người vay. Ý tưởng ban đầu sạch: thay vì tự build KYC, họ accept attestation từ các issuer đã được trust. Tiết kiệm thời gian, tận dụng hệ sinh thái có sẵn.
Sau vài tuần implement Sign, mình nhận ra một vấn đề mà không ai trong team nghĩ đến.
Hệ thống accept attestation từ issuer A. Issuer A accept attestation từ issuer B như bằng chứng để cấp credential. Issuer B là một tổ chức nhỏ ở một jurisdiction mà không ai trong team biết, với policy KYC không rõ ràng.
Về mặt kỹ thuật, mọi thứ đúng. Chữ ký hợp lệ. Attestation tồn tại on-chain. Credential verify được. Nhưng không ai đã audit issuer B. Không ai biết issuer B có standard gì. Và không ai biết issuer A có thật sự kiểm tra issuer B không, hay chỉ đơn giản accept attestation của họ vì cũng không có cơ chế nào để từ chối.
Đây là transitive trust risk: trust propagate qua nhiều tầng issuer mà không có cơ chế audit toàn bộ chain.
Vấn đề không phải Sign làm sai. Sign cung cấp đúng thứ nó hứa: attestation có thể verify, schema có thể đọc, chữ ký có thể xác thực. Nhưng "có thể verify" và "đáng tin" là hai thứ khác nhau hoàn toàn. Sign verify rằng issuer A đã ký credential này. Nó không verify rằng issuer A đã làm đúng khi cấp credential đó.
Để hiểu tại sao điều này quan trọng hơn vẻ ngoài, hãy hình dung thế này: một financial institution ở EU quyết định accept attestation từ Sign Protocol cho KYC. Họ trust một số issuer lớn: ngân hàng, chính phủ, tổ chức tài chính uy tín. Nhưng những issuer đó có thể đã trust các sub-issuer nhỏ hơn để cover các market mà họ không có presence. Và sub-issuer đó có thể đã trust một issuer địa phương ở một quốc gia với quy trình chống rửa tiền lỏng lẻo.
Toàn bộ chain verify được trên Sign. Toàn bộ chain đúng về mặt kỹ thuật. Nhưng financial institution ở EU đang thực chất accept credential có nguồn gốc từ một quy trình mà họ không bao giờ review.
Vấn đề này không mới. Internet giải nó bằng cách yêu cầu các tổ chức cấp chứng chỉ phải được audit độc lập. Ngân hàng truyền thống giải nó bằng cách yêu cầu partner bank phải cung cấp hồ sơ đầy đủ trước khi được accept. Cả hai đều có cùng nguyên tắc: muốn trust ai thì phải biết rõ họ là ai qua từng tầng.
Sign chưa có cơ chế tương đương. Schema Registry là permissionless. Issuer không cần đăng ký hay được audit. Không có cơ chế nào trong protocol bắt buộc verifier phải biết full trust chain trước khi accept một credential.
Điều đó hợp lý cho giai đoạn sớm khi Sign đang build ecosystem. Nhưng khi Sign mở rộng sang sovereign deployment: Kyrgyzstan CBDC, Sierra Leone national ID và UAE government programs. Khi đó transitive trust risk không còn là vấn đề lý thuyết. Nó trở thành vấn đề compliance thật sự. Một quốc gia đang build national financial infrastructure trên một protocol mà không có cơ chế audit trust chain là một quốc gia đang chấp nhận rủi ro mà họ không thể nhìn thấy toàn bộ.
Ai build hệ thống quan trọng trên Sign cần tự đặt ra một quy tắc mà protocol không enforce: không accept credential từ bất kỳ issuer nào mà bạn chưa audit trực tiếp hoặc chưa có đủ thông tin về policy của họ.
Mỗi khi thêm một issuer vào chuỗi, bạn lại phải tin thêm một bên mà mình không thực sự kiểm soát. Chuỗi trust càng dài, rủi ro sẽ không biến mất mà chỉ bị đẩy ra xa hơn, nơi bạn không còn nhìn rõ nữa.
Vì vậy mình không đánh giá Sign qua việc có bao nhiêu issuer tham gia, mà qua việc họ có giúp người dùng nhìn thấy toàn bộ chuỗi trust hay không, thay vì chỉ thấy kết quả cuối cùng.
Verify được không có nghĩa là đáng tin. Và trust chain dài hơn không có nghĩa là trust mạnh hơn. Nó chỉ có nghĩa là có nhiều điểm có thể sai hơn mà không ai nhìn thấy.