Le 2025-03-13, SSP Wallet v1.16.0 referme une longue boucle et en ouvre une nouvelle. L'audit avec Halborn commencé sur les contrats Solidity d'Account Abstraction s'étend désormais à toute la pile — l'extension de navigateur SSP Wallet, le service Relay, l'application mobile SSP Key et les bibliothèques associées. La même version livre le swap intégré, pour échanger entre les chaînes prises en charge sans quitter le multisig.
Halborn boucle l'audit complet de SSP
La revue précédente de Halborn portait sur la couche contrats : le Factory et l'Account Implementation derrière chaque compte Ethereum et Sepolia. Elle était propre sur l'essentiel et SSP avait redéployé les versions nettoyées dans v1.9.0. La nouveauté : la mission s'étend désormais au reste.
Dans le périmètre de ce tour : l'extension de navigateur SSP Wallet, y compris la gestion de clés et la logique multisig qui conduit chaque dépense ; le SSP Relay, le service de coordination qui permet à l'extension et au mobile de dialoguer pour cosigner ; et l'application SSP Key, qui conserve la seconde moitié de la clé sur le téléphone. Les bibliothèques sous-jacentes ont été revues en même temps.
Le résumé : chaque pièce de SSP qui touche aux fonds de l'utilisateur — le code qui construit les transactions, celui qui échange les données de signature entre appareils et celui qui produit la seconde signature — a été auditée indépendamment. La page Halborn se trouve à halborn.com/audits/influx-technologies/ssp-wallet-relay-and-key.
Pourquoi « entièrement open source + entièrement audité + multisig multi-actifs » est rare
La plupart des portefeuilles cochent deux cases sur trois. Beaucoup sont open source mais custodiaux ou à signature unique. Beaucoup sont multisig mais pour un seul écosystème — Bitcoin uniquement, ou Ethereum uniquement — sans le même modèle d'une chaîne à l'autre. Quelques-uns ont un audit du binaire, mais leur infrastructure — relay, mobile, bibliothèques — est fermée ou non revue.
La combinaison SSP est rare. Le portefeuille est open source sous licence permissive. Le Relay est open source. Les applications Android et iOS de SSP Key sont open source. Les bibliothèques cryptographiques sous-jacentes sont open source. Le multisig est le flux par défaut sur chaque chaîne prise en charge, pas une option pour les prudents. Et — désormais — chacune de ces pièces a été auditée par Halborn.
Nous ne prétendons pas être le seul portefeuille au monde à cocher cette combinaison. Nous disons que la combinaison est suffisamment rare pour montrer les pages d'audit, les dépôts et l'architecture et affirmer : voilà à quoi ressemble en pratique une pile multisig multi-actifs entièrement ouverte et entièrement auditée. S'il existe une pile comparable, nous voulons lire ses rapports.
Le swap est en ligne
Seconde histoire de v1.16.0 : le swap intégré au portefeuille. Dès cette version, les utilisateurs peuvent échanger entre les chaînes prises en charge — Bitcoin, Ethereum, Bitcoin Cash, Zcash, Flux et les jetons ERC-20 reconnus — directement depuis l'interface SSP, sans exporter de clés, sans copier des adresses entre onglets et sans confier les fonds à un tiers avant la dépense.
Le modèle de garde est celui qui gouverne toute autre dépense dans SSP. Les fonds restent sur les adresses multisig de l'utilisateur jusqu'à la signature du swap. Quand l'utilisateur accepte un devis et le confirme, la transaction qui finance le swap est construite dans le portefeuille, cosignée par l'extension et SSP Key, puis seulement diffusée. Aucun compte custodial intermédiaire ne détient le solde « pendant que le swap est en attente ». Les deux clés habituelles signent le swap.
Les devis viennent de partenaires de routage qui agrègent la liquidité entre chaînes. Le portefeuille affiche le taux, la sortie attendue et les frais avant la signature. Si le devis ne convient pas, on ne signe pas — et les fonds ne quittent jamais le multisig. C'est toujours l'utilisateur qui appuie sur le bouton vert.
Lire les rapports d'audit
Si vous préférez lire le travail plutôt que vous fier à notre résumé, Halborn publie les rapports sur son hub. La page de ce tour est à halborn.com/audits/influx-technologies/ssp-wallet-relay-and-key. La revue précédente des contrats Account Abstraction — l'épisode antérieur — vit sur une autre URL du même site et est résumée dans l'article v1.9.0.
Pour les notes complètes qui amènent le Swap et intègrent l'audit, voir la version v1.16.0 sur GitHub. L'audit n'est pas un jalon unique — c'est une posture, et le registre public chez Halborn en est le reçu.