Wallet-centric access: čo mení toto vydanie

Toto vydanie nie je kozmetická úprava. Mení spôsob, akým Asylia rozhoduje, kto môže peňaženku vidieť a používať.

Doteraz sa najjednoduchší mentálny model stále podobal bežnej webovej aplikácii: prihlási sa používateľ, aplikácia ukáže jeho wallety a self-custody pravidlá sa riešia hlavne pri podpise. Ako most počas vývoja je to použiteľné. Nie je to však model, okolo ktorého má Asylia rásť.

Asylia je multisig wallet. Prístup má byť ukotvený vo wallete samotnom. Account session je stále potrebná, ale nemá sa zamieňať za custody identitu.

Presne o tom je wallet-centric access.

Product access teraz nasleduje wallet

Supabase Auth session je teraz technická browser session: obálka, cez ktorú aplikácia komunikuje s backendom. Produktový prístup sa rieši samostatne cez Asylia access session.

Wallet access sa dá odomknúť dvoma spôsobmi:

• hardvérový signer dokáže kontrolu nad signer identitou, ktorá patrí do jedného alebo viacerých vaultov,
• email odomkne vaulty, v ktorých je tento normalizovaný email explicitne uvedený v prístupových nastaveniach.

Tento rozdiel je dôležitý. Signer access session odomkne wallety, kde daný signer participuje. Email access session odomkne wallety, kde bol emailu udelený prístup. V prvej verzii majú obe metódy operátorské práva vo workspace: čítať vaulty, spravovať nastavenia, pripravovať návrhy a odosielať validované PSBT updaty.

Ani jedna metóda však sama nepohne Bitcoinom. Spend stále vyžaduje multisig threshold vaultu, validné PSBT a fyzické podpisy hardvérových peňaženiek. Prístup otvorí workspace. Prostriedky posúva až vault policy.

Hardware-first sign-in

Prihlasovanie teraz začína hardvérovým signerom. Trezor aj Ledger vedia podpísať jednorazovú Asylia výzvu, Edge verification funkcia skontroluje aktuálnu browser session, spotrebuje challenge, overí podpis a vytvorí signer access session, ak je signer oprávnený.

Email OTP ostáva k dispozícii, ale jeho rola je jasnejšia. Nie je to univerzálny "owner" kľúč ku každému walletu, ktorého sa účet niekedy dotkol. Odomyká wallets, ktoré tento email úmyselne uvádzajú. Email je tak praktický pre recovery, operácie a zdieľaný prístup bez predstierania, že inbox je rovnaká autorita ako hardvérový signer.

Wallet UI sleduje aktívnu metódu prístupu. Email sessions používajú širší key registry na /app/keys. Signer sessions dostávajú sústredený /app/key detail aktuálneho hardvérového signera vrátane walletov, ktoré sú cez neho viditeľné, a blokátorov pred deštruktívnym odstránením.

Zdieľaný vault access je explicitný

Nastavenia vaultu teraz obsahujú email access záznamy. Pridať email znamená, že táto adresa môže odomknúť daný vault cez OTP. Revokovať email znamená odstrániť tento prístup bez prepisovania Bitcoin policy.

Asylia tým získava praktický operátorský model:

• founder môže držať signer access na hardvérovom zariadení,
• finance operátor môže dostať email access na koordináciu návrhov,
• stratený alebo bývalý email sa dá revokovať na úrovni vaultu,
• a každý spend aj tak prechádza tými istými multisig podpisovými pravidlami.

Release pridáva aj access-scoped profily. Preferencie ako mena, jazyk a časová zóna patria aktívnej produktovej identite: buď email user profilu, alebo signer identity profilu. Workspace tak ostáva konzistentný aj vtedy, keď človek príde rôznymi prístupovými cestami.

Vault creation je menej krehký

Zápisy identity vaultu teraz idú cez obmedzené RPC namiesto toho, aby browser skladal viac databázových zápisov s best-effort rollbackom. Vytvorenie vaultu, pripojenie signerov, finalizácia descriptorov a audit kontext sa commitnú ako jedna invariantná operácia.

Toto je jedna z tichých zmien, ktoré sú najdôležitejšie. Multisig wallet nemá vytvárať svoju identitu napoly. Ak vault existuje, jeho signer set, descriptor state, setup status a access záznamy musia spolu súhlasiť.

Dashboard teraz rozumie setup-required vaultom ako reálnemu stavu, nie ako nepohodlnému prechodnému momentu. Produkt tak vie nedokončené vaulty vrátiť do správneho setup flow namiesto toho, aby každú kartu bral ako hotový wallet.

Spend proposals sú prísnejšie

Táto vetva spevňuje aj money-moving cestu okolo PSBT proposalov.

Send flow je rozdelený na samostatné configure, sign a review kroky. Refactor nie je len kvôli čitateľnosti. Amount handling, fee matematika, custom fee interakcia, PSBT review, signer status a hardware signing state majú vlastné testovateľné hranice.

Pod UI sa pri vytvorení proposalu ukladá PSBT draft, recipient summary, fee a change metadata, vybrané input locky a voliteľná change reservation v jednej transakcii. Aktívne input locky sa znovu čítajú pred coin selection, aby dva taby potichu nepostavili konkurenčné proposals na rovnakom outpointe.

Podpísané PSBT updaty idú cez proposal-psbt Edge Function. Funkcia načíta proposal cez RLS-scoped session volajúceho, porovná odoslané PSBT s uloženým proposalom, spustí hardened @asylia/btc-core policy, odvodí, či je threshold naozaj splnený, a stav posunie cez service-role-only RPC.

Policy kontroluje najdôležitejšie časti:

• očakávané inputs,
• recipienta a amount,
• presnú change sémantiku,
• fee ceilings,
• signer fingerprints,
• splnenie thresholdu,
• a zhodu finálnej transakcie pred broadcastom.

No-change spends sú teraz plnohodnotný prípad. Ak spend presne vyčerpá vybraný output, proposal neukladá change address a policy vyžaduje, aby PSBT neobsahoval žiadny wallet change output. Ak change existuje, metadata musia byť kompletné.

Proposal state je auditovateľný

Release pridáva prísnejšiu transaction-state vrstvu nad existujúci proposal status. Proposals môžu prechádzať explicitným lifecycle: created, policy checked, signed, finalized, mempool accepted, broadcasted, confirmed a reconciled.

Tieto prechody sa zapisujú ako append-only state events. Zrušenie draftu alebo pending proposalu je terminálne lifecycle rozhodnutie, nie fyzické zmazanie riadku. Broadcast recording ukladá výsledok namiesto toho, aby wallet hádal stav z lokálneho UI.

Pre self-custody produkt to nie je byrokracia. Je to rozdiel medzi "obrazovka sa zmenila" a "vieme vysvetliť, čo sa stalo".

Live wallet data sú odolnejšie

Wallet sync teraz používa spoločnú address-state cache namiesto toho, aby balance, transactions, receive adresy a send preparation robili samostatné discovery walky. Aplikácia sleduje receive a change address state, balances, pending sats, počty transakcií, scanned indexes a krátke sync leases, aby viac tabov nemíňalo provider budget na rovnaký refresh vaultu.

Network fee a fiat-rate dáta sa cachujú cez Supabase a do walletu prichádzajú cez Realtime. Bitcoin chain-data package má lepšiu provider normalizáciu, fallback handling, cooldowny a rate limiting. Paid Blockstream routing je držaný za Edge Functions, takže browser bundle nikdy nedostane upstream credentials.

Výsledkom je pokojnejšia data layer: menej duplicitných scanov, jasnejšie failure states a kontrolovaná cesta, keď sú verejní provideri pomalí, rate limited alebo nekonzistentní.

Billing je scoped na wallety

Táto vetva posúva aktívny billing model bližšie k tvaru produktu. Billing enrollment je scoped na vault, nie iba na generický user účet. Vault settings obsahujú subscription surface a send flow vie ukázať platform-fee preview ako explicitný proposal output, keď sa fee aplikuje.

Pravidlo ostáva viditeľné: pod free thresholdom neexistuje Asylia fee output. Nad ním je fee explicitné, capped a skontrolovateľné každým cosignerom predtým, než hardvérové zariadenia schvália spend.

Hardware flows majú spoločný základ

Trezor a Ledger connection flows teraz zdieľajú spoločný device-connect wizard. Vendor-specific wrappery si nechávajú svoje detaily, ale state machine pre environment checks, connection phases, duplicate handling, retry states, live events a diagnostics je jednotný.

Je to menej duplicitného UI kódu práve na mieste, kde duplicita ľahko začne bolieť. Hardware flows majú byť pokojné pre používateľov a nudné pre reviewerov.

Ledger policy handling dostal ďalší pass. Policies sa dajú ukladať per vault signer, signing rows ostávajú disabled, kým potrebná policy nie je prítomná, a vrátené podpisy sa kontrolujú voči očakávanému cosignerovi predtým, než vstúpia do proposalu.

Release gate je zámerne ťažší

Branch pridáva public audit records, branch database tests, Supabase security checks, production configuration verification, browser gates a prísnejšie wallet production gates. Test stack je explicitne namapovaný: release/test používa test Supabase projekt a hosty wallet-t.asylia.io, test.asylia.io, design-t.asylia.io a status-t.asylia.io.

Je to dôležité, pretože toto vydanie mení authorization model. Nestačí, aby UI vyzeralo správne na localhoste. RLS policies, service-role RPC grants, Edge Function boundaries, email templates, allowed origins, Vercel host mappings a public audit manifests musia spolu súhlasiť predtým, než to pôjde do main.

Najnovší security audit nenašiel žiadne critical, high ani medium severity issues. Zaznamenal jeden low-severity residual risk okolo rozšírenej service-role Edge Function hranice. Riziko je prijaté, pretože kontrolované funkcie overujú authentication, session binding, challenge ownership a expiry, vault access, PSBT policy aj service-role-only RPC grants predtým, než zapisujú citlivý stav.

Čo toto vydanie naozaj shipuje

Viditeľné produktové zmeny sa pomenúvajú ľahko: hardware-first sign-in, vault email access, jasnejšia key navigation, štruktúrovanejší send flow, live fee a rate dáta, wallet-scoped billing, silnejšie Ledger a Trezor flows a pokojnejší workspace.

Hlbšia zmena je architektonická. Asylia sa posúva od account-centric app access k wallet-centric custody operations.

Pre Bitcoin multisig wallet je to správny smer. Ľudia neoperujú wallety iba ako individuálni SaaS používatelia. Operujú ich ako signeri, cosigneri, finance operátori, rodiny, founderi a recovery participants. Produkt to má vedieť vyjadriť bez oslabenia pravidla, že Bitcoin sa pohne iba vtedy, keď je splnená vault policy.

Toto vydanie dáva Asylii tento základ.

Access teraz môže nasledovať signera alebo email list vo vaulte. Proposals môžu prechádzať auditovateľným lifecycle. PSBT sa kontrolujú pred zmenami stavu. Vault identity writes sú obmedzené. Provider data sú pokojnejšie. Release gates sú prísnejšie.

Je to veľa práce na jednu vetvu, ale všetko smeruje k jednej produktovej myšlienke:

Wallet má byť jednoduchší na operovanie bez toho, aby bol jednoduchší na zlé použitie.