Case Study
Flux Foundation × SSP Enterprise
Come la Flux Foundation è passata da multisig disperso e script personalizzati a un'unica piattaforma con autocustodia — proteggendo il Fusion bridge e la tesoreria della Foundation senza cedere le chiavi a nessuno.
“Avevamo bisogno del pieno controllo dei nostri fondi, della trasparenza per la community, e di nessuna black box MPC tra noi e la nostra tesoreria. SSP Enterprise è stata la prima piattaforma che abbiamo trovato a soddisfare tutti e tre i requisiti — su ogni chain che utilizziamo davvero.”
— Tadeas Kmenta, Flux Foundation
Organizzazione
Flux Foundation
Settore
Infrastruttura decentralizzata
Caso d'uso
Tesoreria della Foundation + multisig Fusion bridge
Chain
BTC, ETH, FLUX, EVM L2s
Modello vault
Multisig M-of-N, due dispositivi per firmatario
Stato
In produzione
Prima: multisig disperso e script personalizzati
La Flux Foundation gestiva la firma multipartita da anni. Il problema non era la mancanza di multisig — era che nulla la unificava tra le chain, e le alternative commerciali richiedevano tutte un compromesso che il team non era disposto ad accettare.
Configurazioni multisig dispersate
Diversi wallet multisig su chain diverse, ognuno con le proprie peculiarità, firmatari e procedure di recupero.
Script personalizzati per collegare tutto
Strumenti interni per la costruzione delle transazioni, il coordinamento della firma e la trasmissione — mantenuti a mano.
Nessuna traccia di audit unificata
Le approvazioni vivevano in thread di chat e documenti condivisi. Ricostruire chi aveva firmato cosa richiedeva ricerche.
Nessuna via di mezzo nel mercato
I custodi e i fornitori MPC significavano fidarsi di una black box. Gli strumenti multisig standard erano solo per Ethereum.
La decisione
Il team ha valutato le alternative e le ha raggruppate in tre categorie. Ogni categoria aveva un ostacolo insuperabile.
Categoria 1
Custodi MPC
Fireblocks, BitGo e simili. Il fornitore detiene parte di ogni chiave.
Non è vera autocustodia.
Categoria 2
Multisig single-chain
Safe e simili. Solo Ethereum, nessun supporto UTXO nativo.
Deteniamo anche Bitcoin e Flux.
Categoria 3
Multisig essenziale
Wallet senza policy engine, analisi o traccia di audit adeguata.
Saremmo tornati a costruire gli strumenti da soli.
SSP Enterprise è stata l'unica piattaforma ad affrontare tutti e tre contemporaneamente: multi-chain nativo (UTXO ed EVM), vera autocustodia senza condivisione di chiavi con i fornitori, e un policy engine integrato, analisi e traccia di audit.
Cosa è cambiato
Un'unica piattaforma, ogni chain con cui la Foundation interagisce, un modello di firma coerente. Gli script personalizzati sono stati ritirati. La traccia di audit nei thread di chat è stata sostituita da registrazioni attribuibili sulla piattaforma. La tesoreria e il multisig del bridge coesistono sotto la stessa governance.
Vault M-of-N su ogni chain che utilizziamo
Bitcoin, Ethereum, Flux e le EVM L2s — stessa piattaforma, stesso modello mentale, stesse garanzie di sicurezza.
Due dispositivi per firmatario, senza eccezioni
Estensione browser e app mobile necessarie per ogni firma. Un singolo dispositivo compromesso non può firmare.
Traccia di audit affidabile
Ogni proposta, approvazione e rifiuto registrato con il firmatario e il timestamp. Sostituisce la ricostruzione dai thread di chat.
Autocustodia, dall'inizio alla fine
Nessuna condivisione di chiavi con fornitori. Nessuna infrastruttura MPC di cui fidarsi. Se SSP scomparisse domani, i fondi rimarrebbero recuperabili dai seed dei firmatari.
Il Fusion bridge
Il Fusion bridge è una delle superfici più sensibili alla sicurezza che la Foundation gestisce — coordina il trasferimento di valore tra Flux e altre chain, e un singolo errore di firma potrebbe essere catastrofico. È anche il carico di lavoro dove il modello di SSP Enterprise ripaga nel modo più evidente.
Multisig on-chain
Multisig nativo su ogni chain toccata dal bridge — nessun custode tramite smart contract, nessun relayer che possa bloccare o fare front-run.
Firma a due dispositivi per firmatario
Compromettere il laptop o il telefono di un firmatario non è sufficiente per inviare una transazione del bridge. Entrambi i dispositivi, ogni volta.
Controlli di policy per firmatario
Limiti e whitelist configurati a livello di organizzazione e vault, applicati prima che venga raccolta qualsiasi firma.
Verificabile dall'inizio alla fine
Ogni approvazione e rifiuto attribuito e con timestamp. Responsabilità verso la community senza rinunciare all'autocustodia.
“Il Fusion bridge ora funziona su un'infrastruttura che controlliamo dall'inizio alla fine. Le stesse garanzie di sicurezza che abbiamo per la nostra tesoreria, applicate a uno dei flussi di lavoro più critici che gestiamo.”
— Tadeas Kmenta, Flux Foundation
Lo stesso modello. Disponibile per il suo team.
La piattaforma su cui la Flux Foundation gestisce il Fusion bridge è la stessa disponibile per qualsiasi team che voglia un multisig con autocustodia senza compromessi. Livello gratuito per iniziare. Piani personalizzati su richiesta.