Przejdź do treści
Słownikbezpieczenstwoportfeleself-custody

Multisig

Model kontroli portfela, w którym transakcja wymaga zgody więcej niż jednego sygnatariusza. Definiowany jako schemat M-z-N: jest N kluczy, a do podpisania transakcji potrzeba co najmniej M z nich. Eliminuje pojedynczy punkt awarii — jeden skradziony lub zgubiony klucz nie pozwala atakującemu wyprowadzić środków.

Jak to działa w praktyce

Wyobraź sobie skrytkę bankową z trzema zamkami — do otwarcia potrzebujesz dwóch z trzech kluczy. Multisig działa tak samo. Tworzysz portfel multisig, który ma np. 3 klucze (jeden na Ledgerze, jeden na Trezorze, jeden zapisany fizycznie w bezpiecznym miejscu) i ustawiasz próg: do podpisania transakcji potrzeba 2 z 3.

Teraz Ledger się zgubi — nie ma problemu, Trezor + fizyczna kopia nadal pozwalają odzyskać dostęp. Ktoś ukradnie Trezora — nadal nie może nic zrobić bez drugiego klucza. Jeden klucz = zero możliwości. Dopiero dwa razem = transakcja.

Najbardziej popularnym narzędziem do multisig na Ethereum i innych sieciach EVM jest Safe (dawniej Gnosis Safe) — smart kontrakt, który zarządza listą sygnatariuszy i progiem. Używają go zarówno osoby prywatne, jak i protokoły DeFi zarządzające miliardami dolarów w skarbcach.

Popularne konfiguracje multisig

2 z 3
Dwa klucze wymagane z trzech dostępnych. Popularne dla osobistego self-custody: np. Ledger, Trezor, papierowy backup. Utrata jednego klucza nie blokuje dostępu.
3 z 5
Trzy klucze z pięciu. Typowe dla małych zespołów i DAO. Toleruje dwóch niedostępnych lub skompromitowanych sygnatariuszy.
4 z 7
Cztery z siedmiu. Standard dla większych skarbców protokołów i DAO z sygnatariuszami z różnych organizacji.
1 z N
Każdy z sygnatariuszy może działać samodzielnie. Nie daje żadnego zabezpieczenia przed kompromitacją — tylko wygodę operacyjną.

Multisig w protokołach DeFi

Większość dużych protokołów DeFi — Uniswap, Aave, Compound — używa multisig do zarządzania kluczami administracyjnymi: tymi, które mogą zmieniać parametry protokołu, uaktualniać kontrakty czy wypłacać ze skarbca. To oznacza, że bezpieczeństwo protokołu jest częściowo zależne od tego, ile kluczy jest potrzebnych, kto je trzyma i gdzie.

Dobra praktyka to multisig z timelockiem — dodatkowym opóźnieniem między zatwierdzeniem transakcji a jej wykonaniem (np. 48 godzin). Nawet jeśli atakujący skompromituje wystarczającą liczbę kluczy, musi pozostać niewykryty przez cały czas opóźnienia. Społeczność i inne osoby mają okno na reakcję.

Kiedy sprawdzasz bezpieczeństwo protokołu, warto sprawdzić: kto jest sygnatariuszem multisig, ile kluczy jest potrzebnych i czy jest timelock. Wiele protokołów publikuje te informacje publicznie — każdy może je zweryfikować na blockchainie.

Multisig nie chroni przed złą konfiguracją

Schemat 1-z-N to żadne zabezpieczenie — każdy sygnatariusz może działać samodzielnie. Niski próg przy dużej liczbie kluczy trzymanych przez jedną organizację też nie daje realnej ochrony. Sygnatariusze powinni być niezależni od siebie — geograficznie, organizacyjnie i technicznie. Koluzja lub jednoczesna kompromitacja wielu kluczy z jednego źródła wciąż jest realnym ryzykiem.

Kiedy warto rozważyć multisig dla siebie

  • Duże kwoty w self-custody — jeśli trzymasz więcej niż jesteś gotów stracić przy kradzieży jednego urządzenia, multisig 2-z-3 jest realną opcją.
  • Wspólne środki w rodzinie lub firmie — multisig eliminuje ryzyko, że jedna osoba wyprowadzi środki samodzielnie.
  • Inwestycje długoterminowe — jeśli nie planujesz często handlować, wolniejszy proces podpisywania multisig jest akceptowalnym kosztem za wyższe bezpieczeństwo.
  • Małe kwoty na co dzień — dla regularnych transakcji zwykły hardware wallet w zupełności wystarczy. Multisig to overhead, który ma sens przy wyższych kwotach.

Najczęstsze pytania

Safe to najpopularniejszy smart kontrakt do multisig na sieciach EVM (Ethereum, Arbitrum, Base i inne). Zamiast prostego portfela klucz-adres, Safe to kontrakt przechowujący listę sygnatariuszy i próg. Transakcje są zbierane i dopiero gdy wymagana liczba podpisów zostanie zebrana, kontrakt wykonuje akcję. Używają go zarówno osoby prywatne, jak i protokoły z miliardami dolarów w skarbcach.

Nie jest tak prosty jak zwykły portfel — każda transakcja wymaga zebrania podpisów od kilku urządzeń lub osób. Safe ma interfejs webowy, który ułatwia koordynację. Dla transakcji robionych rzadko (np. przesunięcia dużego kapitału) dodatkowe kilka minut na zebranie podpisów to niewielki koszt w porównaniu do znacznie wyższego bezpieczeństwa.

Timelock to obowiązkowe opóźnienie między zatwierdzeniem transakcji a jej wykonaniem — np. 48 godzin. Nawet gdy atakujący przejął wystarczającą liczbę kluczy, musi czekać, dając czas na wykrycie i reakcję. Dla protokołów z dużym TVL timelock jest uważany za standard bezpieczeństwa — brak timelocks to czerwona flaga przy ocenie protokołu.

Tak — Bitcoin ma natywne wsparcie dla multisig przez mechanizm skryptów P2SH i P2WSH. Działa podobnie: transakcja jest ważna tylko gdy dostarczone zostanie M z N podpisów. Portfele jak Sparrow Wallet obsługują multisig na Bitcoinie. Technicznie różni się od modelu smart kontraktu na Ethereum, ale idea jest ta sama.

Źródła i dalsza lektura