2025-03-13, SSP Wallet v1.16.0은 긴 호 하나를 닫고 새로운 호를 엽니다. Account Abstraction Solidity 컨트랙트 에서 시작된 Halborn 감사는 이제 전체 스택으로 확장됩니다 — SSP Wallet 브라우저 확장, Relay 서비스, SSP Key 모바일 앱, 그리고 보조 라이브러리. 같은 릴리스는 지갑 내 Swap을 함께 제공하여, 사용자가 멀티시그 구성을 떠나지 않고도 SSP가 지원하는 체인 사이에서 교환할 수 있게 합니다.
Halborn이 SSP 전체 감사를 마치다
이전의 Halborn 검토는 스마트 컨트랙트 계층을 다뤘습니다: 모든 Ethereum과 Sepolia 계정 뒤의 Factory와 Account Implementation. 중요한 지점에서 깨끗하게 돌아왔고, SSP는 정리된 버전을 v1.9.0에서 재배포했습니다. 이제 새로운 점은, 범위가 그 외 모든 것까지 확장되었다는 것입니다.
이번 라운드의 범위: 키 관리 표면과 모든 지출을 이끄는 멀티시그 서명 로직을 포함한 SSP Wallet 브라우저 확장; 확장과 모바일 Key가 공동 서명을 위해 대화하도록 하는 조정 서비스 SSP Relay; 그리고 사용자의 휴대전화에 두 번째 키 절반을 보관하는 SSP Key 모바일 앱. 셋이 공통으로 의존하는 보조 라이브러리도 함께 검토되었습니다.
요지: 사용자의 자금을 건드리는 SSP의 모든 조각 — 트랜잭션을 구성하는 코드, 기기들 사이에서 서명 데이터를 주고받는 코드, 그리고 두 번째 서명을 생성하는 코드 — 이 이제 독립적으로 감사받았습니다. 이번 라운드의 Halborn 공개 감사 페이지는 halborn.com/audits/influx-technologies/ssp-wallet-relay-and-key 에 있습니다.
왜 「완전 오픈소스 + 완전 감사 + 멀티자산 멀티시그」가 드문가
대부분의 지갑은 셋 중 둘만 챙깁니다. 많은 지갑이 오픈소스지만 커스터디얼이거나 단일 서명입니다. 많은 지갑이 멀티시그지만 단일 생태계 — Bitcoin 전용 또는 Ethereum 전용 — 만 다루며 같은 모델을 체인 간에 옮기지 않습니다. 일부는 바이너리 감사를 받았지만, 그 보조 인프라 — relay, 모바일, 라이브러리 — 는 닫혀 있거나 검토되지 않은 채 남아 있습니다.
SSP의 조합은 흔치 않습니다. 지갑은 관대한 라이선스의 오픈소스입니다. Relay도 오픈소스입니다. SSP Key의 Android·iOS 앱도 오픈소스입니다. 그 기반의 암호화 라이브러리도 오픈소스입니다. 멀티시그는 지원되는 모든 체인의 기본 흐름이며, 신중한 사용자를 위한 토글 스위치가 아닙니다. 그리고 — 이제 — 그 조각들이 모두 Halborn에 의해 감사되었습니다.
우리는 이 조합을 가진 세상에서 유일한 지갑이라고 주장하지는 않습니다. 다만 그 조합은 감사 페이지, 저장소, 아키텍처를 가리키며 「완전히 열려 있고 완전히 감사받은 멀티자산 멀티시그 스택은 실제로 이렇게 생겼다」라고 말할 만큼은 드물다는 것입니다. 비교 가능한 스택이 있다면 그쪽의 감사 보고서도 읽고 싶습니다.
Swap 기능이 살아 있다
v1.16.0의 두 번째 이야기는 지갑 내 Swap입니다. 이 릴리스부터 사용자는 SSP가 지원하는 체인 — Bitcoin, Ethereum, Bitcoin Cash, Zcash, Flux, 그리고 지갑이 인식하는 ERC-20 토큰 — 사이에서 SSP 인터페이스 안에서 바로 교환할 수 있습니다. 키를 내보내지 않고, 탭 사이에 주소를 복사하지 않고, 사용 전 자금을 제3자에게 맡기지도 않은 채로요.
커스터디 모델은 SSP의 다른 모든 지출을 다스리는 모델과 동일합니다. 자금은 Swap이 서명될 때까지 사용자의 멀티시그 주소에 머뭅니다. 사용자가 견적을 받아 확정하면, Swap을 자금화하는 트랜잭션이 지갑 안에서 구성되고 브라우저 확장과 SSP Key에 의해 공동 서명되며, 그 다음에야 방송됩니다. 「Swap이 대기 중인 동안」 잔액을 보유하는 중간의 핫 커스터디얼 계정은 없습니다. 다른 모든 지출에 서명하는 같은 두 키가 Swap에도 서명합니다.
견적은 체인 간 유동성을 집계하는 라우팅 파트너에서 가져옵니다. 지갑은 서명 전에 환율, 예상 출력, 수수료를 보여줍니다. 견적이 마음에 들지 않으면 서명하지 않으면 됩니다 — 그러면 자금은 결코 멀티시그를 떠나지 않습니다. 초록색 버튼을 누르는 사람은 여전히 사용자입니다.
감사 보고서 읽기
요약을 신뢰하기보다 작업 자체를 직접 읽고 싶다면, Halborn은 감사 허브에 보고서를 게시합니다. 이번 라운드의 페이지는 halborn.com/audits/influx-technologies/ssp-wallet-relay-and-key 입니다. 이전 Account Abstraction 컨트랙트 검토 — 이 이야기의 앞 회차 — 는 같은 사이트의 별도 URL에 있으며 v1.9.0 글 에서 요약했습니다.
Swap을 가져오고 감사 작업을 반영한 전체 릴리스 노트는 GitHub의 v1.16.0 릴리스 에서 볼 수 있습니다. 감사는 한 번의 이정표가 아니라 자세이며, Halborn의 공개 기록이 그 영수증입니다.