Caso de Uso
Flux Foundation × SSP Enterprise
Como a Flux Foundation migrou de multisig descentralizado e scripts personalizados para uma única plataforma de autocustódia — protegendo a ponte Fusion e a tesouraria da Foundation sem entregar as chaves a ninguém.
“Precisávamos de controle total dos nossos fundos, transparência para a comunidade e nenhuma caixa-preta MPC entre nós e nossa própria tesouraria. O SSP Enterprise foi a primeira plataforma que encontramos que atende aos três requisitos — em todas as redes que realmente usamos.”
— Tadeas Kmenta, Flux Foundation
Organização
Flux Foundation
Setor
Infraestrutura descentralizada
Caso de uso
Tesouraria da Foundation + multisig da ponte Fusion
Redes
BTC, ETH, FLUX, EVM L2s
Modelo de vault
Multisig M-de-N, dois dispositivos por signatário
Status
Em produção
Antes: multisig descentralizado e scripts personalizados
A Flux Foundation gerenciava assinatura multi-party há anos. O problema não era a falta de multisig — era que nada unificava isso entre as redes, e as alternativas comerciais exigiam uma concessão que a equipe não estava disposta a fazer.
Configurações de multisig descentralizadas
Diferentes carteiras multisig em diferentes redes, cada uma com suas próprias peculiaridades, signatários e procedimentos de recuperação.
Scripts personalizados para integrar tudo
Ferramentas internas para construção de transações, coordenação de assinaturas e broadcast — mantidas manualmente.
Sem trilha de auditoria unificada
As aprovações ficavam em threads de chat e documentos compartilhados. Reconstruir quem assinou o quê exigia pesquisa.
Sem meio-termo no mercado
Custodiantes e fornecedores de MPC significavam confiar em uma caixa-preta. As ferramentas de multisig prontas eram apenas para Ethereum.
A decisão
A equipe avaliou as alternativas e as agrupou em três categorias. Cada categoria tinha um obstáculo.
Categoria 1
Custodiantes MPC
Fireblocks, BitGo e similares. O fornecedor retém parte de cada chave.
Não é verdadeira autocustódia.
Categoria 2
Multisig de rede única
Safe e similares. Apenas Ethereum, sem suporte nativo a UTXO.
Também detemos Bitcoin e Flux.
Categoria 3
Multisig básico
Carteiras sem motor de políticas, análises ou trilha de auditoria adequada.
Voltaríamos a construir ferramentas nós mesmos.
O SSP Enterprise foi a única plataforma que resolveu os três ao mesmo tempo: multi-chain nativo (UTXO e EVM), verdadeira autocustódia sem compartilhamento de chaves com fornecedor, e um motor de políticas, análises e trilha de auditoria integrados.
O que mudou
Uma plataforma, todas as redes com as quais a Foundation interage, um modelo de assinatura consistente. Os scripts personalizados foram aposentados. A trilha de auditoria em threads de chat foi substituída por registros atribuíveis na plataforma. A tesouraria e o multisig da ponte coexistem sob a mesma governança.
Vaults M-de-N em todas as redes que tocamos
Bitcoin, Ethereum, Flux e os EVM L2s — mesma plataforma, mesmo modelo mental, mesmas garantias de segurança.
Dois dispositivos por signatário, sem exceções
Extensão de browser e aplicativo móvel são necessários para cada assinatura. Um único dispositivo comprometido não pode assinar.
Trilha de auditoria confiável
Cada proposta, aprovação e rejeição registrada com o signatário e carimbo de data/hora. Substitui a reconstrução por threads de chat.
Autocustódia do início ao fim
Sem compartilhamento de chaves com fornecedor. Sem infraestrutura MPC para confiar. Se o SSP deixasse de existir amanhã, nossos fundos permaneceriam recuperáveis a partir das frases de recuperação dos signatários.
A ponte Fusion
A ponte Fusion é uma das superfícies mais sensíveis à segurança que a Foundation opera — ela coordena a transferência de valor entre Flux e outras redes, e uma única falha de assinatura poderia ser catastrófica. É também o fluxo de trabalho onde o modelo do SSP Enterprise se paga com mais clareza.
Multisig on-chain
Multisig nativo em cada rede que a ponte toca — sem custodiante via contrato inteligente, sem relayer que possa travar ou fazer front-run.
Assinatura com dois dispositivos por signatário
Comprometer o laptop ou celular de um signatário não é suficiente para enviar uma transação da ponte. Ambos os dispositivos, sempre.
Controles de política por signatário
Limites e listas de permissões configurados no nível da organização e do vault, aplicados antes de qualquer assinatura ser coletada.
Auditável do início ao fim
Cada aprovação e rejeição atribuída e registrada com data/hora. Responsabilidade perante a comunidade sem abrir mão da autocustódia.
“A ponte Fusion agora roda em infraestrutura que controlamos de ponta a ponta. As mesmas garantias de segurança que temos para nossa própria tesouraria, aplicadas a um dos fluxos de trabalho de maior risco que operamos.”
— Tadeas Kmenta, Flux Foundation
Mesmo modelo. Disponível para sua equipe.
A plataforma que a Flux Foundation usa para operar a ponte Fusion é a mesma disponível para qualquer equipe que deseja multisig com autocustódia sem concessões. Nível gratuito para começar. Planos personalizados sob consulta.