Fallstudie
Flux Foundation × SSP Enterprise
Wie die Flux Foundation von verteilten Multisig-Setups und Custom-Skripten zu einer einzigen Selbstverwahrungs-Plattform gewechselt ist — Absicherung der Fusion Bridge und des Foundation-Schatzes, ohne Schlüssel an Dritte weiterzugeben.
“Wir brauchten volle Kontrolle über unsere Gelder, Transparenz für die Community und keinen Black-Box-MPC zwischen uns und unserem eigenen Schatz. SSP Enterprise war die erste Plattform, die wir gefunden haben, die alle drei erfüllt — über jede Chain, die wir tatsächlich nutzen.”
— Tadeas Kmenta, Flux Foundation
Organisation
Flux Foundation
Branche
Dezentralisierte Infrastruktur
Anwendungsfall
Foundation-Schatz + Fusion Bridge multisig
Chains
BTC, ETH, FLUX, EVM L2s
Vault-Modell
M-von-N multisig, zwei Geräte pro Unterzeichner
Status
Im Einsatz
Vorher: verteilte Multisig-Setups und Custom-Skripte
Die Flux Foundation verwaltete Multi-Party-Signing seit Jahren. Das Problem war kein Mangel an Multisig — es war, dass nichts die verschiedenen Chains zusammenbrachte, und die kommerziellen Alternativen erforderten alle einen Kompromiss, den das Team nicht eingehen wollte.
Verteilte Multisig-Setups
Verschiedene Multisig-Wallets über verschiedene Chains, jede mit eigenen Besonderheiten, Unterzeichnern und Wiederherstellungsverfahren.
Custom-Skripte als Verbindung
Internes Tooling für Transaktionserstellung, Signing-Koordination und Broadcast — manuell gewartet.
Kein einheitlicher Prüfpfad
Genehmigungen lebten in Chat-Threads und gemeinsamen Dokumenten. Die Rekonstruktion, wer was signiert hat, erforderte Nachforschungen.
Kein Mittelweg auf dem Markt
Depotbanken und MPC-Anbieter bedeuteten, einer Black Box zu vertrauen. Handelsübliche Multisig-Tools waren nur für Ethereum.
Die Entscheidung
Das Team bewertete die Alternativen und gruppierte sie in drei Kategorien. Jede Kategorie hatte einen Ausschlusskriterium.
Kategorie 1
MPC-Depotbanken
Fireblocks, BitGo und ähnliche. Der Anbieter hält einen Teil jedes Schlüssels.
Keine echte Selbstverwahrung.
Kategorie 2
Single-Chain-Multisig
Safe und ähnliche. Nur Ethereum, keine native UTXO-Unterstützung.
Wir halten auch Bitcoin und Flux.
Kategorie 3
Einfaches Multisig
Wallets ohne Policy-Engine, Analytik oder ordentlichen Prüfpfad.
Wir wären wieder beim Aufbau eigener Tools.
SSP Enterprise war die einzige Plattform, die alle drei auf einmal adressierte: natives Multi-Chain (UTXO und EVM), echte Selbstverwahrung ohne Anbieterschlüsselanteil und eine integrierte Policy-Engine, Analytik und Prüfpfad.
Was sich geändert hat
Eine Plattform, jede Chain, mit der die Foundation interagiert, ein konsistentes Signing-Modell. Die Custom-Skripte sind im Ruhestand. Der Chat-Thread-Prüfpfad wird durch zuordenbare On-Platform-Aufzeichnungen ersetzt. Schatz und Bridge-Multisig leben Seite an Seite unter derselben Governance.
M-von-N-Vaults über jede Chain, die wir berühren
Bitcoin, Ethereum, Flux und die EVM L2s — gleiche Plattform, gleiches mentales Modell, gleiche Sicherheitsgarantien.
Zwei Geräte pro Unterzeichner, keine Ausnahmen
Browser-Erweiterung und mobile App für jede Signatur erforderlich. Ein einzelnes kompromittiertes Gerät kann nicht signieren.
Standfester Prüfpfad
Jeder Vorschlag, jede Genehmigung und Ablehnung mit Unterzeichner und Zeitstempel protokolliert. Ersetzt die Chat-Thread-Rekonstruktion.
Selbstverwahrung, von Anfang bis Ende
Kein Anbieterschlüsselanteil. Keine MPC-Infrastruktur, der man vertrauen müsste. Wenn SSP morgen verschwinden würde, bleiben unsere Gelder aus Unterzeichner-Seeds wiederherstellbar.
Die Fusion Bridge
Die Fusion Bridge ist eine der sicherheitssensitivsten Flächen, die die Foundation betreibt — sie koordiniert den Werttransfer zwischen Flux und anderen Chains, und ein einzelner Signing-Fehler könnte katastrophal sein. Es ist auch die Arbeitslast, bei der das Modell von SSP Enterprise am deutlichsten Früchte trägt.
On-Chain-Multisig
Natives Multisig auf jeder Chain, die die Bridge berührt — kein Smart-Contract-Depotverwahrer, kein Relayer, der stallen oder front-runnen kann.
Zwei-Geräte-Signing pro Unterzeichner
Das Kompromittieren eines Laptops oder Telefons eines Unterzeichners reicht nicht aus, um eine Bridge-Transaktion durchzuführen. Beide Geräte, jedes Mal.
Pro-Unterzeichner-Richtlinienkontrollen
Limits und Whitelists auf Organisations- und Vault-Ebene konfiguriert, vor der Erfassung jeder Signatur durchgesetzt.
Von Anfang bis Ende prüfbar
Jede Genehmigung und Ablehnung zugeordnet und mit Zeitstempel versehen. Community-Rechenschaft ohne Aufgabe der Selbstverwahrung.
“Die Fusion Bridge läuft jetzt auf Infrastruktur, die wir von Anfang bis Ende kontrollieren. Dieselben Sicherheitsgarantien, die wir für unseren eigenen Schatz haben, angewendet auf einen der risikoreichsten Workflows, die wir betreiben.”
— Tadeas Kmenta, Flux Foundation
Dasselbe Modell. Verfügbar für Ihr Team.
Die Plattform, auf der die Flux Foundation die Fusion Bridge betreibt, ist dieselbe Plattform, die jedem Team zur Verfügung steht, das Selbstverwahrungs-Multisig ohne Kompromisse möchte. Kostenlose Stufe zum Starten. Individuelle Pläne auf Anfrage.