Multisig to granica między incydentem bezpieczeństwa a bankructwem firmy. Jeden skompromitowany klucz w standardowym portfelu oznacza utratę wszystkiego. Wielopodpis zmienia tę matematykę.
Czym jest multisig i dlaczego jest kluczowy dla operatorów kantorów krypto
Wielopodpis (multisig) wymaga kilku kluczy prywatnych do autoryzacji transakcji. Najczęstszy schemat: 2-z-3 lub 3-z-5. Aby przenieść środki, potrzeba dwóch spośród trzech kluczy, przechowywanych przez różne osoby lub na różnych urządzeniach.
Dla operatora kantoru to nie teoria. Masz gorący portfel, konto rezerwowe, być może kilka sieci — każde to potencjalny punkt wejścia dla ataku. Jeden skradziony klucz przy standardowym portfelu to koniec. Przy multisig atakujący dostaje fragment układanki, który sam nie działa.
Jak to działa w praktyce
Wyobraź sobie sejf z trzema różnymi kluczami, do którego wystarczą dwa z nich. Jeden klucz ma właściciel, drugi dyrektor techniczny, trzeci leży w sprzętowym urządzeniu w skarbcu. Haker włamuje się na laptopa właściciela i zdobywa jeden klucz — ale nie może wysłać nawet satoshi, bo potrzebuje drugiego.
Na poziomie protokołu: Bitcoin natywnie obsługuje multisig przez P2SH/P2WSH; Ethereum korzysta ze smart kontraktów, a Gnosis Safe to najczęściej stosowane rozwiązanie.
Który schemat multisig wybrać
- 2-z-2: maksymalne bezpieczeństwo, zero elastyczności. Jeden sygnatariusz niedostępny — środki zamrożone. Nieodpowiednie dla gorącego portfela.
- 2-z-3: branżowy standard. Dwa z trzech kluczy łączą bezpieczeństwo z elastycznością operacyjną. Najlepsza opcja dla większości kantorów.
- 3-z-5: dla większych wolumenów i zespołów. Wyższe bezpieczeństwo, wyższe koszty koordynacji.
Mały kantor — poniżej $500K miesięcznie — może zacząć od dwóch portfeli sprzętowych (Ledger, Trezor) i jednej kopii zapasowej offline w schemacie 2-z-3.
Ryzyka operacyjne, o których tutoriale milczą
Multisig chroni przed atakami zewnętrznymi, nie przed błędami wewnętrznymi. Trzy typowe wpadki:
- Utrata fraz seed. Dwa z trzech kluczy fizycznie zniszczone — środki zablokowane na zawsze. Przechowuj frazy seed w osobnych lokalizacjach fizycznych, nigdy w chmurze.
- Jedna osoba kontroluje wszystkie klucze. Jeśli administrator IT generuje i przechowuje wszystkie trzy klucze, multisig to tylko fasada. Prawdziwy podział jest obowiązkowy.
- Opóźnienia przy doładowaniu gorącego portfela. Podpisywanie wymaga koordynacji. Potrzebny jest jasny protokół — kto, jak i kiedy podpisuje.
Kiedy multisig nie pomoże
Szczerze: multisig nie chroni przed lukami w smart kontraktach Ethereum, błędami w adresie odbiorcy ani inżynierią społeczną wymierzoną jednocześnie w dwóch sygnatariuszy. Jeśli atakujący przekona jednego do zatwierdzenia transakcji testowej, a potem naciska na drugiego pod pozorem pilności — schemat nie pomoże. To warstwa techniczna, nie zastępstwo polityki bezpieczeństwa.
Od czego zacząć
- Zidentyfikuj zimne rezerwy — środki poza codziennym obrotem — i przenieś je do multisig w pierwszej kolejności.
- Wybierz schemat (zacznij od 2-z-3), wygeneruj klucze na osobnych urządzeniach w środowisku offline.
- Spisz procedurę: kto trzyma który klucz, jak przebiega podpisywanie, co robić, gdy sygnatariusz jest niedostępny.
- Przetestuj na małej kwocie przed przeniesieniem głównych środków.
Podsumowanie
Multisig nie czyni portfela niezniszczalnym, ale sprawia, że skompromitowanie jednego klucza to problem do rozwiązania, nie katastrofa. Dla każdego kantoru z realnym wolumenem to nie zaawansowana funkcja — to podstawowy standard. Im wcześniej wdrożysz schemat, tym mniejsze ryzyko liczenia strat.
Jeśli budujesz lub skalujesz własny kantor krypto, iEXWallet to dedykowany portfel krypto dla operatorów kantorów — bez prowizji dla pośredników.



