Vos clés ne quittent
jamais l'appareil.
Le portefeuille intégré à Searxly est une vraie auto-conservation — des clés BIP-39 standard, générées et chiffrées sur votre Mac, qui signent chaque transaction localement. Nous ne détenons rien. Nous ne pouvons pas voir votre phrase, nous ne pouvons pas déplacer vos fonds, et il n'existe aucun serveur qui le pourrait.
De la phrase à la signature, tout sur l'appareil.
Votre portefeuille commence par une phrase de récupération BIP-39 standard de 12/24 mots. À partir d'elle, les clés sont dérivées par dérivation hiérarchique BIP-32 sur le chemin Ethereum standard, de sorte que la même phrase restaure vos comptes dans MetaMask ou tout portefeuille standard. La graine est ensuite chiffrée et verrouillée — elle ne se déchiffre jamais qu'en mémoire, le temps d'une signature.
- ✓Vraie entropie BIP-39 + checksum, pas un schéma maison
- ✓Dérivation standard
m/44'/60'/0'/0/x— portable partout - ✓Signature secp256k1 via un cœur éprouvé, testé par réponses connues
m/44'/60'/0'/0/x · une phrase, tous les comptesLes primitives, nommées.
m/44'/60'/0'/0/xWhenUnlockedThisDeviceOnly, non synchronisableMême avec votre Mac, un attaquant se heurte à un mur.
Garder les clés sur l'appareil est le fondement. Par-dessus s'empile un jeu de contrôles visant les attaques réalistes — un fichier de préférences volé, une dApp malveillante, une adresse trompeuse.
PIN avec un vrai verrouillage
Le PIN est vérifié en déchiffrant la graine, pas contre un hachage rapide qu'un attaquant pourrait brute-forcer hors ligne. Cinq essais erronés déclenchent un délai croissant (30s → jusqu'à 15m) avec un compte à rebours en direct.
Biométrie Secure Enclave
Le déverrouillage Touch ID est contrôlé par la Secure Enclave avec .biometryCurrentSet, de sorte que la clé est invalidée si les empreintes changent. Sur le matériel sans Enclave, une graine uniquement PIN est refusée au profit d'une phrase secrète.
Garde anti-hameçonnage de domaine
Avant toute connexion ou signature, l'origine est vérifiée contre une liste noire locale d'arnaques plus une heuristique punycode / homographe. Un site signalé affiche une bannière rouge bien visible et un contournement délibéré « connect anyway ».
Simulation de transactions
Les transactions en attente sont d'abord exécutées à sec contre la chaîne. Si la vraie transaction devait échouer, vous êtes averti « likely to fail — you'd still pay gas » avant de signer, pas après.
Décodage en langage clair
Les approbations sont décodées localement en ce qu'elles font vraiment — « Send 1.0 SEARXLY to 0x… », ou un avertissement bien visible sur une autorisation de jeton illimitée — pour que vous ne signiez jamais à l'aveugle des calldata opaques.
Révocation d'approbations
Un gestionnaire d'autorisations intégré liste ce que vous avez approuvé (les octrois illimités en premier) et en révoque n'importe lequel en un clic — le nettoyage dont l'absence permet tant d'exploits de drainage.
Protection contre l'empoisonnement d'adresse
Un destinataire qui imite les quatre premiers et quatre derniers caractères d'une adresse à laquelle vous avez réellement envoyé — le classique piège d'empoisonnement — est signalé et exige un accusé de réception explicite.
Approbations dApp liées à l'origine
Le fournisseur injecté ne répond sur les onglets standard qu'une fois connecté ; chaque signature/envoi est lié à l'origine requérante (prise depuis le frame, jamais fournie par la page), et eth_sign est refusé purement et simplement.
Adresses tournantes par dApp
En option, donnez à chaque site sa propre adresse fraîche issue d'un pool dérivé caché, pour que les observateurs on-chain ne puissent pas relier votre activité entre dApps — et changer de compte ne change jamais ce qu'un site connecté voit.
Tout votre solde, sans le chercher.
Une seule phrase de récupération contrôle la même adresse sur Base, Ethereum, Optimism, Arbitrum et Polygon. Searxly les affiche ensemble et laisse la pièce — pas un menu de réseau — piloter chaque action.
Tous les réseaux à la fois
Une seule liste regroupe tout ce que vous détenez sur chaque chaîne prise en charge, avec un total en direct et un petit badge sur chaque pièce indiquant son réseau. Pas de menus à basculer pour trouver un solde.
Le réseau suit la pièce
Touchez n'importe quelle pièce pour envoyer, recevoir ou échanger, et le portefeuille bascule pour vous sur la chaîne de cette pièce — vous ne choisissez jamais un réseau à la main ni ne risquez d'envoyer sur le mauvais.
Trouver n'importe quelle pièce par nom
Cherchez un jeton par nom ou symbole dans une liste vérifiée, affichée avec son vrai logo, au lieu de coller une adresse de contrat. Les jetons spam sosies sont filtrés, pas ajoutés automatiquement.
Des swaps in-app, et exactement ce qu'ils coûtent.
Vous pouvez échanger un jeton contre un autre sans quitter le portefeuille. Les cotations et le routage viennent de l'agrégateur 0x, mais la transaction est toujours construite et signée localement sur votre Mac, comme tout le reste ici. Le frais est faible, prélevé on-chain dans le même swap, et affiché avant que vous ne signiez. Les envois et réceptions simples sont toujours gratuits.
Ce que le frais aide à financer→Ce que nous ne pourrons jamais faire.
L'auto-conservation n'est pas un réglage — c'est l'absence d'une capacité. Il n'y a ni serveur, ni séquestre, ni porte dérobée de récupération de notre côté. Le revers est une vraie responsabilité : votre phrase de récupération est le seul moyen de revenir, alors sauvegardez-la hors ligne et ne la partagez jamais.
Comment les clés sont stockées au repos→- ✕Nous ne pouvons pas voir votre phrase de récupération ni vos clés privées — elles sont chiffrées sur votre appareil et jamais transmises.
- ✕Nous ne pouvons pas déplacer, geler ni récupérer vos fonds — chaque transaction est signée localement par vous.
- ✕Nous ne pouvons pas signer en votre nom — il n'y a ni clé de garde ni serveur avec un pouvoir de signature.
- ✕Nous ne pouvons pas réinitialiser votre PIN à distance — la récupération se fait localement, à partir de votre phrase ou de votre code de récupération.
- ✕Nous ne pouvons pas être contraints de remettre ce que nous ne détenons pas — il n'y a rien de custodial à assigner.
Vérifiable on-chain, signé sur l'appareil.
Votre détention est votre adhésion — prouvée par une signature, jamais parquée sur nos serveurs.