Article hero image

Višepotpisni novčanici: Postavljanje, sigurnost i slučajevi korištenja za grupe i poduzeća

Kada prvi put uđete u svijet kriptovaluta, brzo učite najvažnije pravilo: "Nisu tvoji ključevi, nije tvoja kripto." Ovo pravilo naglašava potrebu posjedovanja i zaštite vaših privatnih ključeva, koji su kriptografski tajni koji dokazuju vlasništvo nad vašim sredstvima i ovlašćuju transakcije.

Za pojedince, zaštita ovog jednog ključa često znači korištenje hardverskog novčanika – visoko učinkovite sigurnosne mjere poznate kao hladno skladištenje. Međutim, za poduzeća, grupe, velike blagajne ili čak sofisticirane pojedince koji planiraju budućnost, oslanjanje na jedan ključ pohranjen na jednom mjestu predstavlja neprihvatljiv rizik. Ako se taj ključ izgubi, ukrade ili kompromitira, cijeli fond nestaje trenutno.

Evo gdje dolazi koncept višepotpisnog (Multisig) novčanika. Multisig je napredni sigurnosni mehanizam dizajniran za eliminaciju jedne točke kvara inherentne u standardnim (jedan-potpis) novčanicima. Mijenja paradigmu s zahtjeva jednog ključa za otključavanje sefa na zahtijev kombinacije ključeva, koje drže odvojene pojedince, za odobrenje bilo kakve akcije. Ovaj vodič pruža definitivan, sveobuhvatan pregled multisig tehnologije, pokrivajući njeno tehničko postavljanje, stratešku primjenu i ključnu ulogu u postizanju prave samo-suverenosti i dijeljenog nadzora nad digitalnim imovinom.

Infographic

The Basics of Multisignature Wallets

A multisignature wallet is simply a type of cryptocurrency address that requires multiple private keys to authorize a transaction, rather than just one. Think of it like a safety deposit box in a bank that requires two separate keys, held by two different people, to open.

Private Keys, Public Keys, and the Single Point of Failure

Before diving into multisig, it’s essential to review how standard wallets work:

  1. The Private Key: This is the ultimate secret. It is a long string of characters (often represented by a 12- or 24-word seed phrase) that gives you the mathematical power to spend your cryptocurrency. If anyone gets this key, they control your funds.
  2. The Public Key/Address: This is the receiving address everyone sees (like your account number). It is mathematically derived from your private key but cannot be used to spend funds.

In a standard setup, if a hacker gains access to your private key (the single signature), they can drain your entire wallet instantly. This is the single point of failure that multisig is designed to eliminate.

How Multisig Solves the Problem of Loss and Theft

Multisig fundamentally changes the spending requirement. Instead of one signature proving ownership, the blockchain is programmed to only accept transactions that contain, for example, two out of three authorized signatures.

Protection Against Theft (External Threat): If a malicious actor compromises one key holder's computer or hardware wallet, they still cannot move the funds because they lack the necessary second (or third) signature from another key holder.

Protection Against Loss (Internal Threat): If one key holder loses their hardware device or forgets their seed phrase, the group can still recover or move the funds using the remaining keys.

Multisig ensures no single person (or single compromised device) has unilateral control, demanding cooperation and distribution of trust.

Multisig vs. MPC (Multi-Party Computation)

As security solutions evolve, a related concept called Multi-Party Computation (MPC) often appears alongside multisig. While both aim for shared control, they achieve it differently:

Feature Multisig (M-of-N) MPC (Threshold Signature)
Technology On-chain protocol requiring separate, full signatures from key holders. Off-chain cryptographic process that creates a single signature from shared "key shards."
Transparency The wallet address is visibly multisig on the blockchain. The resulting transaction looks like a standard single-signature transaction on the blockchain.
Key Status Each key holder possesses a full, stand-alone private key. Key holders possess fragments or "shards" of a key; no single party holds the full key.
Complexity Generally simpler, more established, and widely supported. More complex cryptographic implementation, often required for corporate custody solutions.

While MPC is growing rapidly for institutional use, Multisig remains the gold standard for robust, transparent, and self-custodied group governance and treasury management due to its relative simplicity and long track record.

Infographic

Understanding M-of-N Security Schemes

The core mechanic of any multisig wallet is the M-of-N scheme. This is the mathematical formula that dictates how many keys are required out of the total number of keys created to approve a transaction.

Defining M and N (Quorum and Key Holders)

  • N (Total Key Holders): This is the total number of private keys associated with the multisig address. This determines the maximum possible security backup.
  • M (The Quorum): This is the minimum number of keys required to sign and execute a transaction. This is the threshold for action.

The relationship between M and N is critical because it defines the wallet’s vulnerability profile and operational efficiency. The required signatures (M) must be collected before the transaction is broadcast to the network.

Common Configurations and Their Applications

Choosing the right M-of-N scheme depends entirely on the purpose, the level of trust among participants, and the need for operational speed.

1. The 2-of-3 Setup (High Security, High Reliability)

  • Configuration: Requires 2 signatures out of 3 total keys.
  • Use Cases: Small business treasuries, couples managing joint funds, or enhanced personal security.
  • Why it works:
    • Security: One key (or one key holder) can be compromised without losing funds.
    • Reliability: One key can be lost without rendering the funds inaccessible.

In a 2-of-3 setup for a small business, Key 1 might be held by the CEO, Key 2 by the CFO, and Key 3 might be held by a corporate lawyer or stored securely off-site as a backup (an "emergency key"). Any two can authorize spending.

2. The 3-of-5 Setup (Shared Governance, Robust Backup)

  • Configuration: Requires 3 signatures out of 5 total keys.
  • Use Cases: Medium-to-large business treasuries, board management, or Decentralized Autonomous Organizations (DAOs).
  • Why it works: This setup offers much greater resilience against collusion. If 1 or 2 keys are compromised, the funds are safe. If 1 or 2 key holders become unavailable (vacation, illness, death), the remaining 3 can still operate.

3. The 1-of-2 Setup (Dangerous but Necessary)

  • Configuration: Requires 1 signature out of 2 total keys.
  • Use Cases: Generally discouraged for security, but sometimes used in contracts where two parties are fighting over funds (Escrow).
  • Why it works (in limited scenarios): It provides a way for either party to unilaterally release the funds. This is a low-security, high-flexibility option, not suitable for treasury management.

4. The N-of-N Setup (The Ultimate Trust Model)

  • Configuration: Requires ALL signatures out of the total keys (e.g., 3-of-3).
  • Use Cases: Highly specialized, high-trust scenarios where every single participant must approve every single transaction.
  • Why it works: Provides absolute security against non-consensus spending. However, if any single key holder is unavailable, the funds are locked forever—making this scheme extremely difficult to manage operationally.

Risk Assessment and Scheme Selection

When deciding on M and N, you must balance two competing risks:

Risk Profile Description Recommended M-of-N
Operational Risk (The Locking Risk): The risk that you cannot gather enough signatures (M) because keys are lost or key holders are unavailable. Choose a lower M (e.g., 2-of-5).
Collusion Risk (The Theft Risk): The risk that the minimum number of key holders (M) conspire to steal the funds. Choose a higher M (e.g., 4-of-5).

Rule of Thumb: Always ensure $M$ is high enough to prevent a conspiracy among a small faction, but low enough to allow for continued operations even if one or two key holders are incapacitated or lose their keys. For most groups, a 2-of-3 or 3-of-5 scheme offers the optimal balance.

Korak-po-korak vodič: Postavljanje multisig novčanika

Postavljanje multisig novčanika zahtijeva pažljivo planiranje, često uključujući više hardverskih uređaja i softverskih sučelja. Ovaj proces je po dizajnu složen, jer njegova sigurnost ovisi o redundantnosti i razdvajanju ključeva.

Preduvjeti i priprema ključeva

Prije stvaranja multisig ugovora na blockchainu, morate generirati osnovne ključeve.

1. Nabava hardverskih novčanika

Svaki ključ u shemi M-od-N treba generirati i pohraniti na zasebnom, namjenskom hardverskom novčaniku (npr. Trezor, Ledger). To osigurava pravu sigurnost hladnog pohranjivanja, što znači da privatni ključ nikada ne dodiruje uređaj povezan s internetom.

  • Akcija: Kupite $N$ zasebnih hardverskih novčanika (npr. tri novčanika za postavku 2-od-3).

2. Generiranje i razdvajanje seed fraza

Svaki hardverski novčanik mora biti postavljen neovisno kako bi generirao svoju jedinstvenu seed frazu.

  • Akcija: Bilježite svaku seed frazu izuzetno pažljivo. Ključno je da se ove seed fraze pohrane na fizički zasebnim, geografski različitim lokacijama. Ako su potrebna dva ključa, pobrinite se da se njihove fraze za oporavak ne čuvaju u istom sefu.

3. Dodjela odgovornosti za ključeve

Formalno dodijelite svaki privatni ključ (i njegov odgovarajući hardverski uređaj) specifičnom nositelju ključa. Ova dodjela treba biti dokumentirana i dogovorena od strane grupe.

Odabir i interakcija s softverskim sučeljem

Sam multisig novčanik nije fizički uređaj; to je adresa pametnog ugovora na blockchainu koja razumije pravilo M-od-N. Kako biste komunicirali s ovim ugovorom, trebate specijalizirani softver.

Za Bitcoin, uobičajena desktop sučelja uključuju Sparrow Wallet ili Electrum. Za Ethereum i srodne lance (koji često upravljaju poslovnim trezorima i DeFi), Gnosis Safe (sada Safe) je industrijski standard.

Faza postavljanja: Stvaranje ugovora

  1. Unos javnih ključeva: Označeno sučelje za postavljanje (npr. web aplikacija Gnosis Safe) će zatražiti od nositelja ključeva da unese javni ključ ili adresu izvedenu iz njihovog hardverskog novčanika.
  2. Definiranje M i N: Korisnik specificira ukupan broj vlasnika (N) i potrebne potvrde (M).
  3. Implementacija ugovora: Softver implementira multisig pametni ugovor na blockchain. Ovaj ugovor sada je adresa vašeg multisig novčanika.

Nakon implementacije, sredstva moraju biti poslana na ovu novu, jedinstvenu multisig adresu. Samo kada sredstva stignu na ovu adresu, zaštićena su pravilima M-od-N.

Proces potpisivanja i izvršavanja

Kada grupa odluči izvršiti transakciju (npr. slanje 5 BTC dobavljaču), proces slijedi strogi tok:

1. Prijedlog i pokretanje

Jedan nositelj ključa pokreće prijedlog transakcije koristeći softversko sučelje. Prijedlog specificira iznos, adresu primatelja i mrežnu naknadu. Transakcija se generira, ali ostaje nepotpisana.

2. Pregled i potpisivanje

Prijedlog je vidljiv svim N nositelja ključeva. Svaki nositelj ključa povezuje svoj hardverski novčanik sa svojim sučeljem (koje je povezano s multisig softverom) i pregledava detalje predložene transakcije.

  • Ako je transakcija odobrena, nositelj ključa koristi svoj hardverski novčanik da generira svoj jedinstveni kriptografski potpis za tu specifičnu transakciju i emitira potpis multisig ugovoru.

3. Dostignut kvorum (izvršavanje)

Multisig ugovor prati dolazne potpise. Čim broj potpisa dosegne M (kvorum), ugovor automatski spaja te potpise i emitira finaliziranu, ovlaštenu transakciju na blockchain za trenutno izvršavanje.

4. Neuspjeh dostizanja kvoruma

Ako transakcija ne dosegne M potpisa unutar određenog vremena, prijedlog ističe ili ostaje neodređeno na čekanju. Sredstva ostaju zaključana na multisig adresi dok se ne prikupe potrebni potpisi.

Strategic Use Cases for Multisignature Technology

Multisig is not just a high-tech way to secure funds; it is a powerful tool for governance, risk mitigation, and systematic control. Its primary applications lie in managing large assets where distributed responsibility is mandatory.

1. Secure Business Treasury Management (The Primary Use Case)

For any company holding significant crypto reserves, security means removing unilateral control.

Centralized Control vs. Distributed Control

In a traditional company structure, the CEO or CFO might have access to the single wallet key. This creates "key-person risk"—the risk of the funds being lost due to one person’s error, malice, or unavailability.

A multisig wallet ensures that financial decisions are always collaborative:

  • Expense Approval: For example, a 3-of-5 setup might involve the CEO, CFO, COO, Head of Legal, and an External Auditor. Any transaction requires consensus from three senior leaders, preventing any one person from making unauthorized transfers.
  • Operational Continuity: If the CEO is traveling or incapacitated, the business can continue to pay bills and manage funds without interruption, provided the quorum (M) can still be met by the available signers.

Handling Employee Turnover and Separation

Multisig provides a clean framework for managing key access during personnel changes. When a key holder leaves the company, the remaining key holders can initiate a transaction to migrate all funds from the old M-of-N contract to a new M-of-N contract that excludes the departing employee’s public key. This procedure ensures a clean cut-off of access without relying on the integrity of the former employee.

2. Decentralized Autonomous Organizations (DAOs) and Governance

DAOs use smart contracts to automate governance, but large treasury movements often require human oversight. Multisig wallets, particularly those implemented via platforms like Gnosis Safe, are the foundational infrastructure for DAO treasury management.

  • Community Oversight: While proposals might be voted on by thousands of token holders, the actual execution of spending funds (e.g., funding a new development team) is typically handled by a core group of elected multisig signers (often 5-of-7 or 7-of-9).
  • Trustless Execution: This ensures that even if the DAO is attacked by a governance-manipulation scheme, the treasury funds cannot be moved without the explicit, secure, and physically separated signatures of the elected core team.

3. Advanced Personal Security and Inheritance Planning

For high-net-worth individuals, multisig is an unparalleled tool for managing personal security risks and ensuring smooth wealth transfer after death.

Reducing Personal Kidnapping Risk

In rare but serious situations, an attacker might attempt to coerce a single key holder into signing a large transaction. With multisig, this becomes impossible. The attacker would need to coerce multiple, geographically separated key holders simultaneously, dramatically increasing the operational difficulty and risk of the attack.

Secure Inheritance Planning (The "Dead Man's Switch")

One of the greatest challenges of self-custody is ensuring loved ones can access funds upon the owner's death without risking early access or theft. Multisig provides a structured solution:

  1. The Setup (e.g., 2-of-3):

    • Key 1: Held by the owner (kept in secure cold storage).
    • Key 2: Held by a trusted third party, such as an estate lawyer or specialized fiduciary custodian.
    • Key 3: Held by the primary heir (stored in a safe or separate location).

  2. During Life: The owner and the lawyer/fiduciary (Keys 1 and 2) can easily transact 2-of-3, keeping the heir’s key dormant and safe.

  3. After Death: Upon presentation of a death certificate, the lawyer/fiduciary (Key 2) and the heir (Key 3) can now coordinate the 2-of-3 signatures to unlock the funds and transfer them to the heir’s new address.

This setup prevents the heir from accessing the funds prematurely while the owner is alive, but guarantees access when the owner is deceased, fulfilling the inheritance plan without compromising the security of the funds during the owner's lifetime.

Najbolje prakse sigurnosti i savjeti za upravljanje

Implementacija multisiga je samo prvi korak. Pravilno upravljanje, higijena ključeva i planiranje oporavka od katastrofe su ključni za održavanje integriteta M-of-N sheme tijekom vremena.

Geografska distribucija ključeva

Fundamentalna svrha multisiga je razdvajanje ključeva. Ovo razdvajanje mora biti fizičko i geografsko.

  • Izbjegavajte centralizaciju: Nikada ne pohranjujte više seed fraza na istom fizičkom mjestu (npr. dvije seed fraze u jednom sefu). Ako je ta lokacija kompromitirana (požar, poplava, krađa), korist multisiga se trenutno gubi.
  • Međunarodno raspršivanje: Za vrlo velike blagajne ili visoko rizična osobna imovina, razmislite o distribuciji ključeva preko različitih zemalja ili kontinenata. Ovo štiti od lokaliziranih političkih rizika ili fizičkih katastrofa.

Testiranje novčanika: "Vatra vježba"

Mnoge organizacije postave kompleksne višepotpisne novčanike, ali nikada ne testiraju procedure oporavka dok ne dođe kriza. Ovo je kobna greška. Morate periodično provjeriti da svi nositelji ključeva mogu uspješno potpisati i premjestiti sredstva.

  • Godišnji test: Najmanje jednom godišnje, inicirajte malu, simboličnu transakciju (npr. slanje $10 vrijednosti kripta na označenu test adresu).
  • Obvezno sudjelovanje: Zahtijevajte da svi nositelji ključeva (M) sudjeluju u potpisivanju test transakcije. Ovo provjerava da su njihovi hardverski novčanici, softverske postavke i metode pristupa ključevima još uvijek funkcionalni.
  • Simulacija izgubljenog ključa: Provedite interni scenarij gdje pretpostavite da je jedan ključ izgubljen. Mogu li preostali $N-1$ nositelja ključa još uvijek postići M kvorum i izvršiti transakciju oporavka na novu adresu? Dokumentirajte potrebne korake.

Rotacija ključeva i revizija

Osobe uključene u potpisivanje ključeva, hardverski uređaji korišteni i osnovna softverska sučelja trebaju biti podvrgnuti redovitoj reviziji.

  • Revizija potpisnika: Provedite periodične provjere pozadine ili ponovno procijenite razine povjerenja za sve nositelje ključeva. Ako se uloga ili okolnosti nositelja ključa značajno promijene, razmislite o migraciji sredstava u novi multisig ugovor koji isključuje tu osobu.
  • Revizija hardvera: Ako je hardverski novčanik izložen fizičkom riziku (npr. ponesen na avion, oduzet ili rukovan od nekoga izvan grupe), smatra se kompromitiranim i njegov povezani javni ključ treba zamijeniti u novom multisig ugovoru.
  • Redovita provjera seed fraze: Iako seed fraza nikada ne treba digitalizirati, fizički kontejner za pohranu treba provjeriti na integritet (oštećenje vodom, netaknuti sigurnosni pečati) rutinski.

Spriječavanje "Dust Attacks" i phishinga

Budući da svaki nositelj ključa mora pregledati i potpisati transakciju, proces pregleda mora biti meticulous. Hakeri ponekad koriste "dust attacks" ili phishing pokušaje.

  • Provjera je obvezna: Prilikom pregleda prijedloga transakcije, nositelji ključeva moraju provjeriti svaki detalj: iznos, mrežnu naknadu i, najkritičnije, adresu odredišta. Nikada ne pretpostavljajte da sučelje točno; uvijek provjerite adresu odredišta preko sekundarnog, pouzdanog kanala komunikacije (npr. verbalno potvrđivanje adrese s primateljem).
  • Koristite bijele liste: Mnoge multisig platforme omogućuju postavku "whitelists" – prethodno odobrenih adresa (poput poznatih adresa povlačenja iz burzi ili adresa dobavljača). Ovo ubrzava uobičajene transakcije i smanjuje rizik slučajnog pogrešnog trošenja.

Odabir pružatelja multisig rješenja

Dok je osnovna kriptografija Bitcoin multisiga (P2SH) standardizirana, korisničko iskustvo i set značajki se značajno razlikuju ovisno o softverskoj platformi ili usluzi koju odaberete.

Usporedba značajki platformi

Odabir pružatelja obično se svodi na blockchain koji se koristi (Bitcoin nasuprot EVM lancima) i razinu potrebne operativne kontrole.

Tip platforme Primarni blockchain(i) Ključne značajke Najprikladniji za
Gnosis Safe (Safe) Ethereum, Polygon, Avalanche itd. (EVM lanci) Visoko programabilan, podržava NFT-ove, DeFi interakcije, prilagodljive kontrole pristupa. DAO, DeFi blagajne, Web3 poduzeća koja trebaju kompleksne interakcije.
Sparrow Wallet Bitcoin Desktop aplikacija, odlična integracija s raznim hardverskim novčanicima (PSBT standard), visoko prozirna i fokusirana isključivo na Bitcoin sigurnost. Bitcoin maksimalisti, pojedinci za dugoročno Bitcoin skladištenje, visoko-sigurna Bitcoin poduzeća.
Electrum Bitcoin Lagana, stariji standard za Bitcoin multisig, svestrana i korisnička desktop klijent. Korisnici koji traže jednostavnost i dobro uspostavljenu povijest na Bitcoinu.
Usluge skrbništva Multi-lanac Upravljane usluge, često uključujući MPC, osiguranje i regulatornu usklađenost. Financijske institucije, regulirana korporativna entiteta i firme koje zahtijevaju kompleksnu usklađenost.

Open-Source nasuprot proprietary rješenjima

Kripto zajednica općenito favorizira open-source rješenja za sigurnosnu infrastrukturu, a to je posebno istina za multisig.

Prednosti open-sourcea

Platforme poput Gnosis Safe i Sparrow Wallet su open-source, što znači da je njihov kod javno preglediv i revidiran.

  • Povjerenje kroz verifikaciju: Itko može pregledati kod da osigura da nema backdoora, skrivenih naknada ili ranjivosti. Ova prozirnost je ključna kada se velikim iznosima novca povjerava pametni ugovor ili softverski klijent.
  • Podrška zajednice: Bube i sigurnosni problemi često se brzo otkriju i poprave od globalne zajednice developera.

Razmatranja proprietaryja

Dok su neka korporativna multisig i rješenja skrbništva proprietary (zatvoreni izvor), često nude značajke poput korporativnog osiguranja odgovornosti, regulatornog izvještavanja i besprijekorne integracije s legacy bankarskim sustavima.

Ako birate proprietary rješenje, organizacija mora provesti intenzivnu due diligence na sigurnosnim certifikatima prodavača, polisama osiguranja i izvješćima treće strane revizije, jer ne mogu direktno pregledati izvorni kod. Za samo-skrbništvo i maksimalnu samo-suverenost, open-source je visoko preporučen.

Zaključak

Višepotpisna tehnologija predstavlja značajan skok naprijed u sigurnosti digitalnih imovina, transformirajući profil rizika iz jedne, visoko rizične mete u distribuirani sustav upravljanja. To je neophodni most između osobnog samo-skrbništva i institucionalne odgovornosti.

Implementacijom dobro dizajnirane M-of-N sheme, sigurnim ključevima u hladnom skladištu preko odvojenih lokacija i uspostavljanjem jasnih operativnih procedura za potpisivanje i oporavak, grupe mogu virtualno eliminirati rizik katastrofalnog gubitka zbog krađe, kompromitacije ključa ili nedostupnosti nositelja ključa.

Za poduzeća i sofisticirane korisnike koji upravljaju visokovrijednim imovinom, multisig više nije opcionalna značajka – to je fundamentalni zahtjev za izgradnjom otpornosti i povjerenja u decentraliziranoj ekonomiji. Ovladavanje postavljanjem i strateškom upotrebom višepotpisnih novčanika je ključni korak na putu prema pravoj digitalnoj samo-suverenosti.