Kryptocenter – miejsce, gdzie znajdziesz wszystko, czego potrzebujesz, by zrozumieć kryptowaluty

Krypto Center
Portfele (Wallets)

Portfel, który wybacza błędy: potrójne zabezpieczenie krypto z Taproot Time-Lock, Shamir SLIP-39 i Passkeys (WebAuthn)

Patryk

Portfel, który wybacza błędy: potrójne zabezpieczenie krypto z Taproot Time-Lock, Shamir SLIP-39 i Passkeys (WebAuthn)

Kategorie: Bezpieczeństwo, Portfele (Wallets), DeFi, Bitcoin (BTC), Ethereum (ETH) & Smart-contracty

Wstęp: ile kosztuje jeden błąd?

Według różnych szacunków 3–4 mln BTC jest trwale utraconych, a milionowe straty w DeFi wynikają z błędów operacyjnych, nie tylko z hacków. Czy da się zbudować portfel, który wybacza ludzkie pomyłki, a jednocześnie utrudnia kradzież? Tak — łącząc trzy rzadko opisywane praktyki w jeden, spójny system:

  • Warstwa 1: podział seeda metodą Shamir SLIP-39 (próg odzysku).
  • Warstwa 2: Taproot time-lock (skryptowy backup na Bitcoinie, odzyskiwanie po czasie).
  • Warstwa 3: Social recovery z Passkeys (WebAuthn) dla kont smart (ERC-4337) w ekosystemie Ethereum.

To podejście minimalizuje ryzyko: zgubisz jedną część — odzyskasz; ktoś ukradnie urządzenie — nie wyda środków od razu; stracisz telefon — przywrócisz dostęp przez zaufanych opiekunów lub klucze sprzętowe.

Model zagrożeń: zanim wybierzesz narzędzia

Zacznij od krótkiego modelu zagrożeń. Odpowiedz na pytania:

  • Utrata: pożar, zalanie, przeprowadzka, reset telefonu, śmierć właściciela.
  • Kradzież: phishing, malware, wymuszenie fizyczne, utrata laptopa/portfela.
  • Błędy: literówki w zapisie seeda, błędne hasło BIP-39 passphrase, brak testu odzysku.
  • UX: kto ma odziedziczyć środki i jak, bez centralnych custodianów?

Potrójna architektura poniżej jest skrojona właśnie pod te cztery wektory ryzyka.

Warstwa 1: Shamir SLIP-39 — dziel i panuj nad seedem

Dlaczego Shamir?

Shamir’s Secret Sharing (w krypto często w standardzie SLIP-39) pozwala podzielić sekret (seed) na wiele części, z których tylko wybrana liczba (próg) wystarczy do odzyskania. Przykład: 5 części, próg 3 — dowolne 3 z 5 pozwolą odtworzyć seed.

Praktyczna konfiguracja

  • Sprzęt: portfele obsługujące SLIP-39 (np. wybrane modele Trezor) lub narzędzia offline do dzielenia seeda. Nigdy nie rób zrzutów ekranu ani zdjęć części!
  • Topologia: 5 części, próg 3. Dystrybucja: domowy sejf (1), rodzina (1), kancelaria notarialna lub adwokat (1), sejf bankowy (1), zaufany przyjaciel/dyrektor finansowy (1).
  • Ochrona fizyczna: grawer na płytkach tytanowych/ze stali, koperty zabezpieczające przed manipulacją, oddzielne lokalizacje.

Najczęstsze błędy

  • Mieszanie SLIP-39 z BIP-39 bez dokumentacji — rodzina nie poradzi sobie w kryzysie.
  • Próg za wysoki (np. 4 z 5), który w praktyce opóźnia odzysk lub czyni go niemożliwym.
  • Brak testu odzysku na sucho (air-gapped) raz na 6–12 miesięcy.

Warstwa 2: Bitcoin Taproot time-lock — skryptowy bezpiecznik

Drugi bezpiecznik zakłada, że utracisz główny klucz lub ktoś go ukradnie. W Taproot możesz zdefiniować alternatywną ścieżkę wydania po czasie (CLTV/CSV). Główny klucz wydaje środki normalnie, ale po np. 90 dniach bez ruchu klucz ratunkowy pozwala odzyskać całość na adres awaryjny.

Co to daje?

  • Odporność na kradzież: atakujący nie wyda monet od razu, zyskujesz czas na reakcję (przeniesienie środków ścieżką ratunkową).
  • Samodzielny escrow czasu: bez stron trzecich, w regułach protokołu.

Jak to zbudować w praktyce

Skorzystaj z portfeli wspierających polityki skryptowe, np. Liana lub Sparrow (miniscript). Idea polityki:

tr(
  <klucz_glowny>,
  and_v(
    older(12960),   # ~90 dni przy 144 blokach/dobę
    pk(<klucz_ratunkowy>)
  )
)

Kroki wdrożenia:

  1. Wygeneruj pary kluczy: klucz główny (na sprzętowym portfelu) i klucz ratunkowy (inna lokalizacja/sprzęt).
  2. Utwórz portfel Taproot z polityką odzysku po czasie (CSV/CLTV) i zapisz descriptor/backup offline.
  3. Wykonaj mały test: zdeponuj niewielką kwotę i sprawdź, czy transakcja ratunkowa sygnuje się poprawnie po upływie wymaganego czasu na sieci testowej lub przy symulacji.

Uwaga: Przeniesienie środków ścieżką ratunkową może ujawniać skryptową ścieżkę Taproot (to normalne i akceptowalne w scenariuszu odzysku).

Warstwa 3: Social recovery z Passkeys (WebAuthn) w ERC-4337

Dla zasobów w Ethereum oraz L2 (OP, Arbitrum, Base, zkSync itp.) rozważ konto smart (ERC-4337) z modułem social recovery. Zamiast pojedynczego seeda masz zestaw opiekunów i/lub Passkeys (YubiKey, klucze sprzętowe FIDO2, systemowe pęki kluczy). W razie utraty urządzenia opiekunowie zatwierdzają zmianę właściciela.

Elementy układanki

  • Portfele: Safe z modułem social recovery, Argent, Soul Wallet lub inne AA-wallety z obsługą guardians/passkeys.
  • Warunki: np. 2 z 3 opiekunów + 48-godzinny timelock na zmianę klucza właściciela.
  • Passkeys: co najmniej dwa niezależne klucze sprzętowe plus systemowy (iOS/Android) jako rezerwa.

Wskazówki bezpieczeństwa

  • Dodaj opóźnienie egzekucji (timelock) na krytyczne akcje: zmianę właściciela, wypłaty powyżej progu.
  • Podziel role: hot wallet do użycia codziennego, AA-vault z guardians do większych kwot i NFT.
  • Dokumentuj procedurę odzysku dla spadkobierców (bez ujawniania fraz seed).

Procedura odzyskiwania — realny drill

Raz na 6–12 miesięcy zrób symulację (bez przesuwania całości środków):

  1. Shamir: zbierz próg części, offline odtwórz seed i porównaj adresy z oryginałem.
  2. Taproot: przygotuj i podpisz transakcję ratunkową z opóźnieniem na małej kwocie testowej.
  3. AA + Passkeys: przetestuj procedurę zmiany właściciela na koncie testowym lub z minimalnym limitem wypłat.

Spisz czasy, przeszkody, braki w dokumentacji. Zaktualizuj instrukcję dla rodziny/zespołu.

Porównanie metod (co, kiedy i dla kogo)

Metoda Poziom trudności Koszt Czas odzysku Mocne strony Słabości
Shamir SLIP-39 Średni Niski–Średni Godziny–dni Odporność na utratę części, brak single point of failure Wymaga logistycznego zarządzania częściami
Taproot time-lock Średni–Wysoki Niski Po zadanym opóźnieniu Chroni przed natychmiastową kradzieżą, działa on-chain Wymaga zrozumienia polityk i testów
AA + Passkeys (ERC-4337) Niski–Średni Niski Minuty–godziny (z timelockiem) Wygodne odzyskiwanie, brak seeda w hot walletu Zależność od wdrożenia smart-kontraktów i opłat sieciowych

Case study 1: rodzinny vault 3-osobowy

  • BTC: Portfel Taproot z polityką: główny klucz w sejfie domowym; po 60 dniach bez ruchu klucz ratunkowy u notariusza może przenieść środki na adres spadkowy.
  • Seed: SLIP-39 5-częściowy, próg 3 (w domu, u rodzeństwa, u notariusza, w sejfie bankowym, u przyjaciela). Główna rodzina zna tylko lokalizacje, nie treść.
  • ETH/L2: AA-vault z 3 opiekunami: YubiKey A, YubiKey B i przyjaciel-techniczny. Zmiana właściciela wymaga 2 z 3 plus 48h timelock.

Case study 2: firma krypto (treasury + operacje)

  • Treasury BTC: Taproot polityka z 2-of-2 plus ścieżka po 90 dniach dla klucza ratunkowego zarządu.
  • Operacyjny ETH: AA z limitami dziennymi i modułem multisig zarządu; Passkeys przechowywane w sejfie sprzętowym IT, klucze zapasowe w innym kraju.
  • Procedury: kwartalny drill odzysku, raport audytowy; osobne sieci i urządzenia dla operacji on-chain.

Błędy krytyczne, których unikaj

  • Brak passphrase BIP-39 lub jej utrata — traktuj passphrase jak integralną część backupu, ale dokumentuj ją inaczej niż seed.
  • Zdjęcia seeda/udziałów w chmurze — to najczęstsza przyczyna kompromitacji.
  • Jeden dostawca wszystkiego — rozdziel producentów sprzętu, lokalizacje i role.
  • Brak aktualizacji firmware portfeli sprzętowych i brak kontroli łańcucha dostaw (tamper-evident).

Integracja z DeFi, NFT i gamingiem

  • Warstwowanie środków: hot wallet do mikropłatności i gier; AA-vault do NFT i większych środków; zimny BTC z time-lockiem do oszczędności.
  • Uprawnienia: w AA włącz limity, whitelisty kontraktów i adresów; włącz timelock dla wysokich kwot.
  • Mosty i L2: nie trzymaj długoterminowo na mostach — traktuj je jako punkt transferowy, nie skarbiec.

Prawo i podatki w Polsce: minimalne ABC

To nie jest porada prawna. Jednak praktycznie:

  • Spadkobranie: pozostaw instrukcję odzysku (lokalizacje udziałów Shamir, opiekunowie AA, opis time-locka) w depozycie notarialnym.
  • Ewidencja: trzymaj kopie descriptorów, adresów publicznych i listę sieci/L2 — ułatwi to rozliczenia i audyt.
  • Bezpieczeństwo danych: dokumentacja bez haseł i seedów; jedynie meta-informacje i procedury.

Narzędzia, które warto znać

  • BTC: Liana (recovery/time-lock), Sparrow (miniscript), Specter (multisig), SeedHammer/Seedplate (backup tytanowy).
  • ETH/L2: Safe, Argent, Soul Wallet, bundlery ERC-4337 (Stackup, Pimlico), moduły social recovery.
  • Passkeys: YubiKey 5/NFC, SoloKeys, systemowe pęki kluczy iOS/Android (WebAuthn).
  • Higiena operacyjna: komputery air-gapped, drukarki etykiet bez chmury, koperty zabezpieczające.

FAQ: krótkie odpowiedzi na trudne pytania

Czy Shamir zastępuje multisig?

Nie. Shamir chroni backup seeda, a multisig/Taproot time-lock to polityka wydawania on-chain. Najlepsze rezultaty daje połączenie obu.

Co jeśli opiekun AA zniknie?

Miej nadmiar (np. 2 z 4) i okresowo testuj proces. Dodaj lub wymień opiekuna w kontrolowanych warunkach.

Czy time-lock utrudnia wydatki?

Nie w ścieżce głównej. Opóźnienie działa tylko w trybie awaryjnym lub jako druga ścieżka.

Wnioski i plan na 7 dni

  • Dzień 1: audyt zagrożeń i inwentaryzacja kluczy.
  • Dzień 2: wdrożenie SLIP-39 (5 części, próg 3) i dystrybucja lokalizacji.
  • Dzień 3: konfiguracja Taproot time-lock (test na małej kwocie).
  • Dzień 4: uruchomienie AA wallet z Passkeys i guardianami + limity.
  • Dzień 5: dokumentacja dla rodziny/zespołu i depozyt notarialny.
  • Dzień 6: drill odzysku na sucho, korekty.
  • Dzień 7: rutyny: aktualizacje firmware, przegląd roczny, przypomnienia w kalendarzu.

To potrójne podejście nie tylko zabezpiecza portfel, ale realnie redukuje stres operacyjny. Zacznij od małych kwot, przetestuj wszystko, a dopiero potem przenieś większe środki. Chcesz więcej takich przewodników? Zasubskrybuj nasz newsletter i dołącz do dyskusji w społeczności.