Čo skryjeme, to nevieme brániť.
Preto neskrývame nič.

Asylia je navrhnutá okolo troch realistických zlyhaní: jeden signer je nedostupný alebo kompromitovaný, operátorský počítač alebo prehliadač nie je dôveryhodný a Asylia service tier alebo databáza sú kompromitované. Multisig odstraňuje single-signer failure point; kontrola na hardvérovej peňaženke drží schválenie spendu na zariadeniach; service tier ukladá watch-only koordinačný stav, nie súkromné kľúče.

Mimo rozsah: fyzický nátlak na dosť signerov na splnenie prahu, prelom Bitcoin konsenzu, supply-chain kompromitácia a zraniteľnosti vo firmveri hardveru alebo vendorovom modeli izolácie kľúčov. Spoliehame sa na bezpečnostné modely Trezor a Ledger a naše adaptéry nechávame viditeľné v hw-trezor a hw-ledger, aby sa táto hranica dala kontrolovať.

Vaulty vytvorené v Asylii sú iba native-SegWit P2WSH multisig. Každý vault je reprezentovaný ako BIP-380 descriptor pre wsh(sortedmulti(N, key1, ..., keyN)) - rodina politiky, ktorej rozumejú Sparrow, Caravan, Bitcoin Core, Trezor aj Ledger.

wsh(sortedmulti(N, xpubKey1, …, xpubKeyN))

Zúženie na jeden script drží pohyblivé časti explicitné: SegWit v0 signing rules, BIP-48 account roots, BIP-67 radenie kľúčov, BIP-173 bech32 adresy, PSBT v2 a output descriptory. Importy mimo mainnet P2WSH sortedmulti sú odmietnuté na hranici.

Asylia používa dnešnú kryptografiu Bitcoinu: secp256k1 kľúče a podpisy vo vnútri P2WSH multisigu. Nie je to post-kvantová kryptografia. Budúci kryptograficky relevantný kvantový počítač schopný odvodiť súkromné kľúče z verejných kľúčov by bol rizikom pre celý Bitcoin, nie niečím, čo vie Asylia neutralizovať na produktovej vrstve.

Bezpečnostné zlepšenie je v oddelení prahu. Single-key wallet zlyhá, keď je odhalený jeden kľúč. 2-of-3 vault vyžaduje dosť nezávislých signer kľúčov na splnenie politiky predtým, než sa funds pohnú, takže útočník musí kompromitovať viac než jeden root, zariadenie alebo podpisovú cestu. P2WSH taktiež drží redeem script mimo chainu až do spendu, ale descriptory a xpuby sú verejný wallet material a nikdy sa nemajú brať ako kvantovo bezpečné tajomstvá.

Naša pozícia je zámerne priama: Asyliu nenazývať quantum-proof. Multisig je materiálne bezpečnejší než single-key custody v dnešnom threat modeli, wallet policy material treba držať pod kontrolou a pri dôveryhodnej post-kvantovej ceste v Bitcoine musí byť migrácia pripraveným plánom.

Asylia zostavi PSBT v2 v prehliadači, smeruje podpisovanie cez hardvérový adapter a vráti prijate podpisy späť do proposalu. Ledger podpisuje proti registrovanej wallet policy; Trezor dostane ekvivalentný opis transakcie cez Trezor Connect. V oboch cestach prehliadač nikdy nevidí súkromný kľúč, server ho nikdy neukladá a seed fráza ostáva na zariadení.

Aktuálna podpora: Trezor Safe 3, Model T a Safe 5 pre export public rootu a podpisovanie; Ledger Nano X a Nano S Plus pre export public rootu, registráciu wallet policy a podpisovanie. Žiadne iné wallet zariadenia dnes nie sú zapojené. BitBox02, Coldcard a Jade ostávajú roadmap kandidáti, každý cez rovnakú kontrolu signing modelu.

Supabase auth dáva prenositeľný účet pre watch-only koordinaciu naprieč prehliadačmi a zariadeniami. Ucet môže ukladat public descriptory, signer metadata, proposal PSBT a ich súhrny, cached balance/sync state, billing enrolments, sessions a UI preferencie - nikdy seed frazy ani súkromné kľúče. Zmazanie uctu odstrani koordinačný stav Asylie; on-chain prostriedky ostávajú ovladane multisig politikou.

Ta ista politika je viditelna v každom exporte. Nasmerujte Sparrow, Caravan alebo Bitcoin Core na ten isty descriptor material a vault viete obnoviť mimo Asylie. Nahraditelnost je sucast dizajnu, nie nudzovy vychod.

Wallet aplikácia je proprietárna, ale Bitcoin povrch nie. Balíky, ktoré riešia descriptory, deriváciu adries, PSBT assembly/finalizáciu, kontrolu podpisov, chain-data čítania, broadcast, hardvérové transporty a zdieľané doménové kontrakty, sú pod MIT: btc-core, blockchain-data-btc, hw-trezor, hw-ledger a shared-types.

MIT hranica je nakreslená zámerne: primitíva, na ktorých závisia vaše peniaze, sú kontrolovaťeľné a forkovatelne pod MIT. Marketingová stránka, aplikačný chrome walletu a produktové UI sú proprietárne, aby sme vedeli službu udržateľne prevádzkovať. Ak Asylia zmizne, exportované descriptory a open-source balíky zachovajú recovery cestu cez iné wsh(sortedmulti) nástroje.

Externý bezpečnostný audit ešte nebol dokončený. Zamýšľaný prvý scope je Bitcoin-kritická vrstva: btc-core, blockchain-data-btc a Trezor/Ledger hardvérové adaptéry. Keď bude audit zadaný a dokončený, táto sekcia odkazuje report aj opravy, ktoré z neho vyplynú.

Dovtedy sú MIT balíky, testy a uzamknutá politika dostupné na kontrolu. Obmedzenie Asylie na mainnet wsh(sortedmulti) drží descriptor parsing, script construction, PSBT assembly, signature verification a broadcast behavior dosť malé na priamu inšpekciu.

Napiste na security@asylia.io s popisom problemu, reprodukcnymi krokmi, zasiahnutym povrchom a navrhovanou zavaznostou. Reporty sa snazime potvrdit do 48 hodin a koordinovat opravu alebo transparentnu mitigaciu tak rýchlo, ako riziko dovoli. Kriticke reporty dostanu dedikovany koordinačný kanal; reporterov kreditujeme, pokial nepoziadajú o opak.

Verejny bug bounty program je planovany pre neskorsiu fazu bezpečnostnej zrelosti.