Пример использования
Flux Foundation × SSP Enterprise
Как Flux Foundation перешла от разрозненных multisig-решений и скриптов к единой платформе самостоятельного хранения — обеспечив безопасность Fusion-моста и казначейства, не передавая ключи никому.
“Нам нужен был полный контроль над нашими средствами, прозрачность для сообщества и никакого непрозрачного MPC между нами и нашим казначейством. SSP Enterprise — первая платформа, которая соответствует всем трём требованиям — во всех сетях, которые мы реально используем.”
— Tadeas Kmenta, Flux Foundation
Организация
Flux Foundation
Отрасль
Децентрализованная инфраструктура
Сценарий использования
Казначейство фонда + multisig Fusion-моста
Сети
BTC, ETH, FLUX, EVM L2s
Модель хранилища
M-of-N multisig, два устройства на подписанта
Статус
В производстве
До: разрозненные multisig-решения и скрипты
Flux Foundation управляла многосторонним подписанием уже несколько лет. Проблема была не в отсутствии multisig — а в том, что ничто не связывало всё это воедино между сетями, а коммерческие альтернативы требовали компромиссов, на которые команда не была готова идти.
Разрозненные multisig-решения
Разные multisig-кошельки в разных сетях, каждый со своими особенностями, подписантами и процедурами восстановления.
Скрипты для связи компонентов
Внутренние инструменты для конструирования транзакций, координации подписания и трансляции — поддерживаемые вручную.
Отсутствие единого журнала аудита
Согласования хранились в чатах и общих документах. Восстановить, кто и что подписал, было сложно.
Нет промежуточного решения на рынке
Кастодианы и MPC-провайдеры означали доверие «чёрному ящику». Готовые multisig-инструменты поддерживали только Ethereum.
Решение
Команда оценила альтернативы и сгруппировала их в три категории. В каждой оказался принципиальный недостаток.
Категория 1
MPC-кастодианы
Fireblocks, BitGo и аналоги. Провайдер хранит часть каждого ключа.
Это не настоящее самостоятельное хранение.
Категория 2
Однсетевой multisig
Safe и аналоги. Только Ethereum, без нативной поддержки UTXO.
Мы также используем Bitcoin и Flux.
Категория 3
Минималистичный multisig
Кошельки без движка политик, аналитики или полноценного журнала аудита.
Нам пришлось бы снова строить инструменты самостоятельно.
SSP Enterprise была единственной платформой, которая решала все три проблемы одновременно: нативная мультисетевая поддержка (UTXO и EVM), истинное самостоятельное хранение без передачи ключей провайдеру, и встроенный движок политик, аналитика и журнал аудита.
Что изменилось
Одна платформа для всех сетей, с которыми работает Фонд, и единая модель подписания. Скрипты выведены из эксплуатации. Журнал аудита в чатах заменён атрибутируемыми записями на платформе. Казначейство и multisig-мост сосуществуют под единым управлением.
M-of-N хранилища во всех используемых нами сетях
Bitcoin, Ethereum, Flux и EVM L2s — одна платформа, единая ментальная модель, одинаковые гарантии безопасности.
Два устройства на подписанта, без исключений
Браузерное расширение и мобильное приложение необходимы для каждой подписи. Одно скомпрометированное устройство не может подписать.
Полноценный журнал аудита
Каждое предложение, одобрение и отказ записаны с данными подписанта и временной меткой. Заменяет восстановление по чатам.
Самостоятельное хранение от начала до конца
Никакой передачи ключей провайдеру. Никакой MPC-инфраструктуры. Если SSP завтра исчезнет, наши средства останутся восстановимыми из seed-фраз подписантов.
Fusion-мост
Fusion-мост — одна из наиболее чувствительных с точки зрения безопасности поверхностей, которыми управляет Фонд: он координирует перенос ценности между Flux и другими сетями, и единственный сбой в подписании может быть катастрофическим. Именно здесь модель SSP Enterprise проявляет себя наиболее чётко.
Onchain-multisig
Нативный multisig в каждой сети, с которой работает мост — никакого смарт-контрактного кастодиана, никакого релея, способного застрять или опередить транзакцию.
Подписание с двух устройств на каждого подписанта
Компрометации ноутбука или телефона одного подписанта недостаточно для отправки мостовой транзакции. Оба устройства — каждый раз.
Индивидуальные ограничения для каждого подписанта
Лимиты и белые списки настраиваются на уровне организации и хранилища, проверяются до сбора любой подписи.
Полная проверяемость
Каждое одобрение и отказ атрибутированы и имеют временные метки. Прозрачность для сообщества без отказа от самостоятельного хранения.
“Fusion-мост теперь работает на инфраструктуре, которую мы полностью контролируем. Те же гарантии безопасности, что и для нашего казначейства, применённые к одному из самых ответственных рабочих процессов.”
— Tadeas Kmenta, Flux Foundation
Та же модель. Доступна для вашей команды.
Платформа, на которой Flux Foundation управляет Fusion-мостом, доступна любой команде, которая хочет multisig с самостоятельным хранением без компромиссов. Бесплатный уровень для начала. Индивидуальные планы по запросу.