Portfele bez seeda: Passkey + MPC + Account Abstraction. Jak budować i używać „seedless wallets” w 2026

Dlaczego w 2026 r. coraz więcej portfeli krypto rezygnuje z seeda? Bo użytkownicy oczekują logowania biometrycznego jak w bankowości, a projekty Web3 chcą ograniczyć straty z phishingu bez pogarszania UX. Coraz szerzej wdrażane są passkeys (FIDO2/WebAuthn), MPC/TSS i smart accounts (ERC‑4337), które razem tworzą nową klasę „seedless wallets”. Ten artykuł to techniczno-praktyczny przewodnik dla zespołów i użytkowników: jak to działa, gdzie są pułapki i jak wdrożyć bezpiecznie.

Co to znaczy „portfel bez seeda” i jakie są warianty?

„Seedless” nie oznacza braku kryptografii – oznacza, że użytkownik nie widzi ani nie przechowuje 12/24 słów. Klucz prywatny jest chroniony i używany w tle przez bezpieczniejsze lub wygodniejsze mechanizmy.

1) Passkey (FIDO2/WebAuthn)

Passkey to para kluczy generowana i trzymana w bezpiecznym module urządzenia (TPM/SE/TEE). Autoryzacja transakcji odbywa się biometrią lub PIN-em urządzenia. Przeglądarka/aplikacja woła WebAuthn, a podpis jest weryfikowany on-chain np. przez EIP‑1271 (isValidSignature) w smart-koncie.

2) MPC/TSS (Multi‑Party Computation / Threshold Signature)

MPC/TSS dzieli sekret na udziały. Klucz nigdy nie istnieje w jednym miejscu. Transakcja jest podpisywana wspólnie (np. 2‑z‑3): udział w telefonie, udział w chmurze z HSM, udział zapasowy u zaufanego opiekuna lub na urządzeniu offline.

3) Smart Accounts (ERC‑4337) + moduły (np. guardy, recovery)

Smart-kontra jako portfel (AA) pozwala na: limity dzienne, sesyjne klucze, paymasterów (opłacanie gazu stablecoinem), social recovery i integrację z passkeys/MPC. To fundament „UX jak Web2”, ale bez powiernika środków.

Architektury referencyjne (unikalne układy produkcyjne)

• Hybryda Passkey + AA (1‑z‑1 z recovery): Autoryzacja przez passkey urządzenia, recovery przez zestaw guardians (3‑z‑5). Dobre dla retail i gier Web3 (szybkie sesje, małe kwoty).
• MPC 2‑z‑3 + AA Guard: Telefon + chmura HSM podpisują, trzeci udział w sejfie offline. Smart‑kontrakt egzekwuje polityki (opóźnienia, whitelisty). Dobre dla twórców NFT/treasury DAO.
• AA z kluczem sesyjnym + paymaster stablecoin: Użytkownik wydaje krótko żyjący klucz sesyjny do dApp (np. gra), limity per transakcję i czas. Redukuje signature fatigue i ryzyko podpisywania „w ciemno”.

Jak płynie transakcja w seedless wallet? (krok po kroku)

1. dApp przygotowuje userOperation (ERC‑4337) lub żądanie podpisu EIP‑712.
2. Portfel prosi o autoryzację: biometria/PIN (passkey) lub współpodpis (MPC).
3. Kontrakt‑portfel sprawdza podpis przez EIP‑1271, weryfikuje polityki (limity, whitelisty).
4. Paymaster opłaca gaz w ETH lub np. w stablecoinie; bundler publikuje do mempoolu AA.
5. W razie utraty urządzenia użytkownik uruchamia recovery (guardian multisig / time‑lock / udział MPC offline).

Porównanie modeli portfeli (UX, ryzyka, centralizacja)

Model	Jak autoryzuje	UX	Bezpieczeństwo	Ryzyko centralizacji
Seed (EOA)	Fraza 12/24 słów	Trudny onboarding	Wysokie przy dobrych nawykach	Niskie
Passkey + AA	Biometria/PIN urządzenia	Bardzo dobre (web2‑like)	Silne, zależne od urządzenia	Niskie/Średnie (ekosystem OS)
MPC 2‑z‑3	Współpodpisy udziałów	Średnie (opóźnienie koordynacji)	Bardzo silne (brak single point)	Średnie (dostawca MPC/HSM)
AA + Klucz sesyjny	Delegacja krótkoterminowa	Świetne w grach/DeFi	Silne, jeśli limity są dobre	Niskie

Najczęstsze wektory ataku i jak je neutralizować

Atak	Wektor	Ochrona	Resztkowe ryzyko
Phishing dApp	Podpis „złej” transakcji	Simulacja i czytelny podgląd EIP‑712, whitelisty kontraktów, limity AA	Umiarkowane (socjotechnika)
Kradzież urządzenia	Fizyczny dostęp	Biometria/PIN, Secure Enclave, zdalne unieważnienie klucza, recovery guardians	Niskie
Przejęcie konta chmurowego	Sync passkeys / udział MPC	Hardware 2FA, segmentacja udziałów, polityki AA (time‑lock)	Średnie
Malware przeglądarki	Podmiana UI	Tryb Trusted UI w portfelu, porównanie hash treści, mobilna potwierdzarka out‑of‑band	Umiarkowane
Bundler/Paymaster nieuczciwy	Cenzura/awaria	Multi‑provider, fallback do self‑sponsored, monitorowanie mempoolu AA	Niskie/Średnie

Regulacje & Prawo: czy seedless = custody?

• Non‑custodial: gdy użytkownik kontroluje polityki kluczy (passkey/MPC) i nikt nie może samodzielnie przesłać środków – zwykle nie podpadasz pod licencję powierniczą. Analizuj lokalne prawo.
• Guardian jako usługodawca: jeśli operator może sam odzyskać środki bez zgody użytkownika, to może być traktowany jako custody.
• eIDAS/kwalifikowany podpis: passkey to silne uwierzytelnienie, ale nie jest równoznaczny z QES. Nie myl standardów kryptograficznych z kwalifikacją prawną.

Podatki: jak ułatwić rozliczenia mając AA/MPC

• Włącz deterministyczne etykiety transakcji (tagi w logach smart‑konta) – eksport do CSV dla księgowości.
• Używaj metadanych EIP‑712 (np. „purpose”) – czytniki podatkowe łatwiej klasyfikują operacje.
• Ustal zasady kosztów własnych (gas/fees z paymastera) – przypisz do transakcji źródłowych.

DeFi / NFT / Gaming: praktyczne korzyści AA + passkeys

• DeFi: limity dzienne, whitelisting routerów, klucze sesyjne tylko do permit()/swapu.
• NFT: podpisy wyświetlające obraz/royalties bez narażania głównego klucza (EIP‑1271), cold‑mint na smart‑koncie.
• Gaming/Metaverse: płynne mikrotransakcje przez paymaster stablecoin, brak „sign popups” co 10 sekund.

Case study: DAO skarbcowe 2‑z‑3 z recovery społecznościowym

• Cel: Bezpieczeństwo skarbca 8 mln USD bez seedów, szybka operacyjność.
• Setup: AA treasury z modułem polityk; podpis 2‑z‑3 (telefon CFO + HSM dostawcy) + guardian multisig 3‑z‑7 (członkowie DAO).
• Polityki: whitelisty LP/mostów, limity 250k/dzień, time‑lock 24h dla nowych adresów.
• Recovery: utrata telefonu CFO → guardian multisig inicjuje wymianę klucza po głosowaniu Snapshot + timelock on‑chain.

Wdrożenie w 48 godzin: lista kontrolna dla start‑upu

1. Model: wybierz Passkey+AA dla retail lub MPC+AA dla wartościowych kont.
2. Biblioteki: AA SDK (ERC‑4337), WebAuthn (passkeys), TSS/MPC provider.
3. Recovery: guardians 3‑z‑5, time‑lock 48h, procedury KYA (Know‑Your‑Account) off‑chain.
4. Paymaster: stablecoin fee, fallback do self‑sponsored.
5. UI/UX: czytelna symulacja, „human‑readable” EIP‑712, ostrzeżenia ryzyka.
6. Monitoring: alerty na limity, wykrywanie anomalii, logi pod rozliczenia.
7. Testy: tabletop exercise: kradzież urządzenia, awaria providera, utrata udziału.

Narzędzia & praktyki, które robią różnicę

• Session keys z ograniczeniami (czas/kwota/kontrakt) – podpisujesz rzadziej, ryzyko mniejsze.
• Dual‑channel confirm – podpis w przeglądarce + potwierdzenie w aplikacji mobilnej.
• Address book on‑chain – etykiety i whitelisty widoczne dla całego zespołu/rodziny.
• Break‑glass – ścieżka awaryjna wymagająca większego quorum guardianów i dłuższego time‑locka.

FAQ & Support

• Czy passkeys działają offline? Podpis tak, ale publikacja transakcji wymaga sieci. Recovery guardianów zwykle wymaga on‑chain.
• Co jeśli producent telefonu upadnie? Trzymaj alternatywę: drugi passkey na innym urządzeniu lub udział MPC offline.
• Czy mogę przenieść smart‑konto na inny łańcuch? Tak, poprzez mosty i kontrakty równoległe; polityki trzeba odtworzyć.

Wnioski: seedless to nie magia, to inżynieria polityk bezpieczeństwa

Portfele bez seeda łączą biometrię, wielostronne podpisy i logikę smart‑kontraktów, aby dostarczyć UX klasy konsumenckiej bez rezygnacji z samokontroli środków. Klucz do sukcesu to: jasne polityki, wielotorowe recovery i niezależni dostawcy (bundlerzy/paymasterzy/MPC). Zanim wdrożysz – przećwicz scenariusze awaryjne i spisz procedury.

CTA: Chcesz przejść na seedless? Zacznij od konta testowego AA z passkey i session keys, a potem dodaj warstwę recovery guardians. Porównaj rozwiązania (np. smart‑kontra w stylu Safe, passkey‑based smart wallet od dużych giełd, lub dostawcy MPC) – wybierz model adekwatny do wielkości środków i profilu ryzyka.