2025-03-13'te SSP Wallet v1.16.0 uzun bir kavisi kapatıyor ve yenisini açıyor. Account Abstraction Solidity sözleşmeleri ile başlayan Halborn denetimi artık tüm yığını kapsıyor — SSP Wallet tarayıcı uzantısı, Relay servisi, SSP Key mobil uygulaması ve destekleyici kütüphaneler. Aynı sürüm cüzdan içi swap'ı da getiriyor; kullanıcılar SSP'nin desteklediği zincirler arasında multisig kurulumundan çıkmadan takas yapabiliyor.
Halborn, SSP'nin tam denetimini tamamlıyor
Halborn'un önceki incelemesi akıllı sözleşme katmanını kapsıyordu: her Ethereum ve Sepolia hesabının arkasındaki Factory ve Account Implementation. Önemli yerlerde temiz döndü ve SSP, v1.9.0 sürümünde temizlenmiş versiyonları yeniden dağıttı. Yeni olan şu: kapsam artık geri kalan her şeyi de içeriyor.
Bu turun kapsamında: anahtar yönetimi yüzeyi ve her harcamayı yöneten multisig imzalama mantığı dahil SSP Wallet tarayıcı uzantısı; tarayıcı uzantısı ile mobil Key'in birlikte imzalamak için konuşmasını sağlayan koordinasyon servisi SSP Relay; ve kullanıcının telefonunda ikinci anahtar yarısını tutan SSP Key mobil uygulaması. Hepsinin bağlı olduğu destekleyici kütüphaneler de aynı anda gözden geçirildi.
Özet: SSP'nin kullanıcı fonlarına dokunan her parçası — işlemleri kuran kod, cihazlar arasında imza verisi takas eden kod ve ikinci imzayı üreten kod — bağımsız olarak denetlendi. Halborn'un bu tura ait yayımlanmış denetim sayfası şurada: halborn.com/audits/influx-technologies/ssp-wallet-relay-and-key.
«Tamamen açık kaynak + tamamen denetimli + çoklu varlık multisig» neden nadirdir
Çoğu cüzdan üçünden ikisini seçer. Birçoğu açık kaynaktır ama kustodiyaldır ya da tek imzalıdır. Birçoğu multisig'dir ama tek bir ekosistem için — yalnızca Bitcoin ya da yalnızca Ethereum — ve aynı modeli zincirler arasında taşımaz. Birkaçı ikilik üzerinde denetim yaptırdı ama destekleyici altyapısı — relay, mobil, kütüphaneler — kapalı ya da gözden geçirilmemiş kalır.
SSP'nin kombinasyonu alışılmadık. Cüzdan, izin verici bir lisansla açık kaynak. Relay açık kaynak. SSP Key Android ve iOS uygulamaları açık kaynak. Temelindeki kriptografi kütüphaneleri açık kaynak. Multisig, desteklenen her zincirde varsayılan akış — temkinli olanlar için bir anahtar değil. Ve — şimdi — bu parçaların her biri Halborn tarafından denetlendi.
Bu kombinasyona sahip dünyadaki tek cüzdan olduğumuzu iddia etmiyoruz. Kombinasyonun, denetim sayfalarını, depoları ve mimariyi gösterip «pratikte tamamen açık, tamamen denetimli, çoklu varlık multisig yığını işte böyle görünür» demeye yetecek kadar nadir olduğunu söylüyoruz. Karşılaştırılabilir bir yığın varsa, onun denetim raporlarını da okumak isteriz.
Swap işlevi yayında
v1.16.0'ın ikinci hikâyesi cüzdan içi swap. Bu sürümden itibaren kullanıcılar, SSP'nin desteklediği zincirler arasında — Bitcoin, Ethereum, Bitcoin Cash, Zcash, Flux ve cüzdanın tanıdığı ERC-20 tokenler — anahtarları dışa aktarmadan, sekmeler arasında adres kopyalamadan ve fonların üçüncü tarafa emanet edilmesine gerek kalmadan doğrudan SSP arayüzünden takas yapabiliyor.
Saklama modeli, SSP'deki her diğer harcamayı yöneten modelin aynısı. Fonlar, swap imzalanana kadar kullanıcının multisig adreslerinde kalır. Kullanıcı bir teklifi kabul edip onayladığında, swap'ı finanse eden işlem cüzdanda inşa edilir, uzantı ve SSP Key tarafından birlikte imzalanır ve ancak ondan sonra yayınlanır. «Swap beklerken» bakiyeyi tutan ara bir sıcak saklama hesabı yoktur. Her diğer harcamayı imzalayan aynı iki anahtar swap'ı imzalar.
Teklifler, likiditeyi zincirler arasında toplayan yönlendirme ortaklarından gelir. Cüzdan, imzadan önce kuru, beklenen çıktıyı ve ücreti gösterir. Teklif beğenilmezse imzalanmaz — ve fonlar multisig'i hiç terk etmez. Yeşil düğmeye basan hâlâ kullanıcıdır.
Denetim raporlarını okumak
Özetimize güvenmek yerine çalışmayı doğrudan okumak isteyenler için Halborn, raporları denetim merkezinde yayımlar. Bu turun sayfası: halborn.com/audits/influx-technologies/ssp-wallet-relay-and-key. Önceki Account Abstraction sözleşmeleri incelemesi — bu hikâyenin önceki bölümü — aynı sitede ayrı bir URL'de yaşar ve v1.9.0 yazısında özetlenir.
Swap'ı getiren ve denetim çalışmasını içeren tam sürüm notları için GitHub'daki v1.16.0 sürümüne bakın. Denetim tek bir kilometre taşı değildir — bir tutumdur ve Halborn'daki kamuya açık kayıt onun makbuzudur.