Multisig czy portfel MPC to pytanie, które prędzej czy później zadaje sobie każdy exchanger przechowujący rezerwy w kryptowalucie. Portfel multisig wymaga kilku niezależnych podpisów do jednej transakcji, MPC matematycznie dzieli pojedynczy klucz między strony tak, że nikt nie widzi go w całości. Różnica brzmi technicznie, ale to ona decyduje, kto realnie dostanie dostęp do środków, gdy coś pójdzie nie tak.
Multisig: kilka kluczy, jeden sejf
Multisig to portfel, z którego przelew wymaga zebrania z góry ustalonego progu podpisów, na przykład 2 z 3 albo 3 z 5. Wyobraź sobie sejf z trzema różnymi zamkami: otworzyć go może dowolna para posiadaczy kluczy, ale nie jedna osoba samodzielnie.
W exchangerze to klasyczny układ: jeden klucz u szefa operacyjnego, drugi na portfelu sprzętowym w biurze, trzeci w skrytce bankowej na wypadek awarii. Nawet jeśli jeden klucz zostanie skradziony albo zgubiony, środki są bezpieczne.
MPC: klucz, którego nikt nie widział w całości
Portfel MPC (multi-party computation) działa inaczej: pojedynczy klucz prywatny fizycznie nie istnieje. Jest matematycznie rozproszony na fragmenty przechowywane przez różne strony, które wspólnie podpisują transakcję, nigdy nie składając klucza w jednym miejscu — jak kod do sejfu, który po części zna trójka ludzi, ale nikt nie wypowiada go w całości.
Dla blockchaina wygląda to jak zwykła transakcja z jednym podpisem — sieć nawet nie wie, że w tle negocjowało kilka stron.
Szybkość i wygoda: tu wygrywa MPC
Transakcja multisig fizycznie składa się z kilku podpisów, co widać w blockchainie — a to oznacza wyższe opłaty za gas, zwłaszcza w sieci Ethereum, i konieczność, by wszyscy sygnatariusze byli dostępni jednocześnie. Dla zespołu rozsianego po strefach czasowych zwykły przelew może utknąć na wiele godzin.
MPC rozlicza się jako pojedynczy podpis, więc jest tańszy w przeliczeniu na transakcję i działa tak samo niemal na każdej sieci — nie trzeba utrzymywać osobnego schematu przechowywania dla każdego blockchaina.
Bezpieczeństwo: różne modele ryzyka, nie różne poziomy
W multisig ryzyko spoczywa na posiadaczach kluczy: jeśli wystarczająca liczba z nich się zmówi albo straci dostęp, portfel zostaje zablokowany lub narażony. W zamian technologia ma za sobą ponad dekadę niezależnych audytów i realnego użycia — większość poważnych błędów została już znaleziona i naprawiona.
W MPC ryzyko przesuwa się w stronę dostawcy: błąd w implementacji kryptograficznej albo przejęty serwer koordynujący może zagrozić od razu wszystkim klientom, nie tylko jednemu portfelowi. Technologia jest młodsza i ma mniej publicznych incydentów, na których można się uczyć. To nie znaczy, że jest niebezpieczna — po prostu zaufanie przesuwa się z matematyki blockchaina na reputację konkretnego dostawcy.
Ile to kosztuje w utrzymaniu
Multisig można uruchomić za darmo na otwartych protokołach, ale każdy sygnatariusz potrzebuje własnego portfela sprzętowego, a wymiana jednego klucza to osobna transakcja on-chain z własną opłatą. MPC częściej sprzedaje się w modelu subskrypcji, za to rotacja kluczy odbywa się poza łańcuchem, bez dodatkowych opłat za gas.
Jak wybrać: trzy pytania zamiast gotowej odpowiedzi
Nie ma jednej słusznej opcji — jest ta, która pasuje do waszego zespołu. Przed decyzją warto szczerze odpowiedzieć na trzy pytania:
- Ilu ludzi faktycznie trzyma klucze i w ilu strefach czasowych się znajdują — powyżej dwóch-trzech opóźnienia multisig zaczynają być odczuwalne;
- Na jakich sieciach trzymacie większość rezerw — Bitcoin i większość łańcuchów EVM obsługują multisig natywnie, ale mniej popularne sieci bywają problematyczne;
- Czy w zespole jest ktoś, kto potrafi realnie przeczytać audyt kryptograficzny dostawcy MPC, a nie tylko zaufać jego materiałom marketingowym.
Częste błędy przy zmianie
Najczęstszy: przeniesienie całej rezerwy na nowy system od razu, bez równoległego okresu testowego na niewielkiej kwocie. Drugi: ustalenie progu podpisów na papierze bez sprawdzenia, czy wszyscy posiadacze kluczy faktycznie mogą się zebrać, gdy transakcja stanie się pilna. Trzeci: traktowanie MPC jako zamiennika zimnego przechowywania — nawet z rozproszonym kluczem większą część rezerw rozsądniej trzymać offline.
Podsumowanie
Multisig i MPC rozwiązują ten sam problem — nie dopuszczają, by jeden skompromitowany klucz pozbawił exchanger rezerw — ale robią to różnymi środkami i z różną ceną błędu. Wiele exchangerów w praktyce łączy oba rozwiązania: zimny multisig dla większości rezerw i MPC dla szybkich wypłat operacyjnych. Jeśli nie chcecie budować tej architektury od zera, we własnym portfelu dla exchangera iEXWallet oba podejścia do przechowywania są już gotowe — bez prowizji pośrednika.



