Paano Mag-Set Up ng Monero Multisig Wallet 2026

Noong Abril 2025, hayagang ibinunyag ng isang matagal nang Monero contributor na muntik nang mawala sa isang community-funded project ang 47 XMR — humigit-kumulang ₱470,000 sa palitan noon — dahil isang nakompromiso lang na laptop ang naghahawak ng buong treasury sa likod ng iisang Spend key. Natakasan lang ang sakuna dahil sa isang dalos-dalos na na-set up na 2-of-3 multisig kagabi bago ang breach. Yung insidenteng iyon, na pinag-usapan nang husto sa Monero subreddit at sa #monero-dev IRC channel, ang naglipat sa multisig mula sa "nice to have" patungo sa mainstream na usapan tungkol sa kung paano dapat mag-store ng XMR ang sinumang may hawak ng malaking halaga. Kung nabasa mo na ang tungkol sa multisig pero hindi mo pa nararanasan ang round-by-round na seremonya, ito ang gabay na gustong gusto mong nakabukas sa isa pang tab habang ginagawa mo ito. Tatalakayin natin ang cryptography, ang configuration choices, at ang eksaktong CLI sequence sa pinakabagong 0.18.4.x release — at ipapaliwanag natin kung saan papasok ang MoneroSwapper kapag kailangan mong dagdagan ang isang bagong-likhang multisig address nang hindi nasisira ang iyong privacy.

Bakit Mas Mahalaga ang Multisig sa Monero Kaysa sa Ibang Crypto

Solusyon na ang Bitcoin multisig: may hardware wallet na sumusuporta dito, ginagabayan ka ng Sparrow at Specter sa PSBT flow, at matatag na ang mga script standards halos isang dekada na. Ang Monero multisig ay mas bata, mas pino, at mas mahirap mabawi kapag may nasira — kaya nga sobrang importante na gawin itong tama. Ang threat model na hinaharap ng mga Monero user ay iba rin sa karaniwang Bitcoin holder.

• Walang public address graph: Dahil bawat transaction ay gumagamit ng stealth address at natatakpan ng ring signatures at RingCT, ang isang magnanakaw na nakaagaw ng iyong Spend key ay hindi matra-track sa block explorer. Walang chain analytics firm na pwedeng tawagan. Pag nawala ang pondo, wala na talaga — multisig ang isa sa iilang mekanismo na pumipigil sa single-key compromise na maging katapusan ng kwento.
• Katastrope ang pagkalantad ng Mnemonic seed: Ang nakaagaw na 25-word Mnemonic seed ay muling nagbubuo sa kabuuang wallet history pabalik dahil ang View key at Spend key ay parehong nagmula doon. Ang paghahati ng root na iyon sa iba't ibang signer sa pamamagitan ng multisig ay nangangahulugang walang isang leak na magiging mortal.
• Inheritance at team treasuries: Ang donation funds, project escrows, at family inheritance plans ay nangangailangan lahat ng M-of-N policies kung saan ang pagkawala ng isang holder ay hindi nag-freeze ng pondo. Hindi maipapahayag ng single-sig wallets ang ganitong requirement.
• Hindi pa nawawala ang custodian risk: Patuloy na nagde-delist ang mga centralized exchanges ng Monero — inalis ng Kraken ang XMR sa EU customers nito noong huling bahagi ng 2024, at sinundan ito ng Binance isang taon na ang nakalipas. Sa Pilipinas, matagal nang inalis ng Coins.ph at PDAX ang XMR pairing dahil sa compliance pressure mula sa BSP. Hindi long-term option ang on-exchange holding para sa mga Monero user, kaya kinakailangan ang matibay na self-custody.

Idagdag dito ang mas malawak na privacy-coin regulatory pressure na nakikita sa MiCA sa Europa at sa FinCEN guidance updates ng 2025, pati na rin ang BSP Circular 1108 na nagpapahigpit sa Virtual Asset Service Providers sa Pilipinas, at nagiging halata ang kaso para sa sopistikadong self-custody. Multisig ang sagot para sa sinumang may hawak na higit sa ilang daang dolyar ng XMR na hindi nila kayang mawala sa isang pagkakamali lamang.

Paano Talaga Gumagana ang Monero Multisig sa Loob

Kung Bitcoin multisig lang ang nagamit mo, magiging kakaiba ang approach ng Monero. Walang Script opcode tulad ng OP_CHECKMULTISIG; sa halip, gumagamit ang Monero ng multi-round interactive key-exchange protocol na binuo sa paligid ng CLSAG signature scheme. Ang mga kalahok ay hindi lang basta pinagsasama-sama ang kanilang public keys — sama-sama silang nagtatayo ng shared View keys at Spend keys sa pamamagitan ng ilang round ng prepare_multisig, make_multisig, at (para sa N > 2) exchange_multisig_keys na mga calls.

Ang Estraktura ng Rounds

Para sa basic na 2-of-2 wallet, maikli lang ang seremonya: bawat kalahok ay nagpapatakbo ng prepare_multisig, nagpapalitan ng resulting MultisigxV2 string sa kabilang partido, pagkatapos ay nagpapatakbo ng make_multisig gamit ang string ng partner, at handa na ang wallet. Para sa M-of-N kung saan ang N ay tatlo o mas malaki, kailangan mo ring magpatakbo ng exchange_multisig_keys para sa N − M + 1 rounds. Ang 2-of-3 wallet kaya nga ay nangangailangan ng dalawang ganitong round; ang 3-of-5 wallet ay nangangailangan ng tatlo. Bawat round ay gumagawa ng output string na kailangang ibahagi sa iba pang kalahok bago magpatuloy ang susunod na round.

Pag-sign ng Transactions

Kapag natapos na ang wallet, interactive din ang signing flow. Tumatawag ang initiator ng transfer nang normal, na gumagawa ng unsigned transaction file. Ang file na iyon ay ina-export, ipinapasa sa co-signer sa pamamagitan ng out-of-band channel (encrypted email, USB stick, Signal — hindi kailanman sa regular mempool), at iniri-import sa panig ng co-signer. Pinatatakbo ng co-signer ang sign_multisig at gumagawa ng signed transaction file, na pagkatapos ay isusumite (kung naabot na ang threshold) o ipapasa sa susunod na signer. Dahil bawat signer ay kailangan ding mag-share ng fresh outputs pagkatapos ng bawat transaction sa pamamagitan ng export_multisig_info at import_multisig_info, sinasadya na maging madaldal ang workflow.

Ano ang Magbabago sa FCMP++ at Seraphis

Ang paparating na FCMP++ upgrade at ang mas matagalang Seraphis / Jamtis address overhaul ay parehong tumatagos sa multisig surface area. Ang magandang balita ay nananatiling compatible ang multisig key-exchange semantics — ang bagong ring construction at bagong address format ay hindi binabago kung paano pinagsasama-sama ang M-of-N keys. Ang masamang balita ay kailangang i-re-initialize ang mga kasalukuyang multisig wallets kapag nag-fork na ang network sa bagong address scheme, kapareho ng kailangan ding gawin ng single-sig wallets. Ang sinumang nagse-set up ng multisig sa 2026 ay dapat magplano ng bagong seremonya pagkatapos ng fork sa halip na umasa sa in-place upgrades.

Paghahambing ng mga Multisig Configurations

Ang pagpili ng M-of-N ay walang kinalaman sa cryptography at lahat ay tungkol sa operational risk. Nasa ibaba ang matrix na inirerekomenda naming pag-aralan bago buksan ang terminal.

Ang karamihan ng mga indibidwal na user ay dapat magpatakbo ng 2-of-3. Tinitiis nito ang eksaktong failure modes na pinakamalamang sa totoong buhay — isang nawalang backup, isang ninakaw na laptop, isang nakalimutang passphrase — habang pinananatiling madali ang signing ceremony. Ang natitirang bahagi ng gabay na ito ay tatalakayin ang 2-of-3 hakbang-hakbang, ngunit ang parehong mga utos ay gumagana para sa anumang M-of-N na may na-adjust na round counts.

Hakbang-Hakbang: Pagtatayo ng 2-of-3 Multisig Wallet

Mangangailangan ka ng tatlong makina o tatlong independent na wallet instances. Mahalaga ang tunay na geographic separation: ang isang laptop sa kusina mo at isang laptop sa mesa mo ay hindi "tatlong lokasyon." Layunin ang hindi bababa sa isang offline machine, mas mainam na isang air-gapped Tails USB, at isang hardware-backed signer kung kaya mo. Ipinapalagay ng mga tagubilin sa ibaba ang monero-wallet-cli v0.18.4.0 o mas bago sa lahat ng tatlong makina.

1. Gumawa ng tatlong bagong standard wallets. Sa bawat makina, patakbuhin ang monero-wallet-cli --generate-new-wallet=signer1.keys (binabago ang filename kada signer). Pumili ng matibay na passphrases. Isulat ang bawat 25-word Mnemonic seed offline sa papel o steel — hindi ito ang multisig backup mo, pero kakailanganin mo ito kung kailangan mong muling itayo ang isang signer.
2. Ihanda ang bawat wallet. Buksan ang bawat wallet at patakbuhin ang prepare_multisig. Naglalabas ang wallet ng mahabang base58 string na nagsisimula sa MultisigxV2. Kopyahin ang string na iyon mula sa bawat isa sa tatlong wallets — magkakaroon ka ng tatlong magkakaibang preparation strings.
3. Unang exchange round. Sa bawat signer, patakbuhin ang make_multisig 2 <string-from-signer-A> <string-from-signer-B> gamit ang strings ng kabilang dalawang kalahok (hindi ang sa iyo). Bawat signer ay gumagawa ngayon ng second-round string. I-share iyon.
4. Pangalawang exchange round. Sa bawat signer, patakbuhin ang exchange_multisig_keys <round2-string-A> <round2-string-B> gamit ang round-two strings mula sa kabilang dalawang kalahok. Iniuulat na ngayon ng wallet ang "Multisig wallet has been successfully created" at ipinapakita ang shared address. Beripikahin na nakikita ng lahat ng tatlong signer ang eksaktong parehong primary address — kung may iisang character na naiiba, nabigo ang seremonya at kailangang simulan muli.
5. I-backup ang multisig wallet files. Ang .keys files sa bawat makina ngayon ay kumakatawan sa share ng signer na iyon. I-backup ang mga ito sa encrypted offline storage. Kritikal, hindi mo maibabalik ang 2-of-3 multisig wallet mula sa Mnemonic seed lamang — kailangan mo ang multisig keys file mula sa hindi bababa sa dalawa sa tatlong signer. Ito ang pinakakaraniwang sanhi ng kabuuang pagkawala.
6. Mag-fund ng test transaction. Magpadala ng maliit na halaga — 0.05 XMR ay sapat na — sa shared address at beripikahin na nakikita ng lahat ng tatlong signer ang papasok na balance pagkatapos ng halos dalawampung confirmations. Huwag laktawan ang hakbang na ito. Ang isang test transaction na nabigo ay nagpapakita ng configuration errors habang maliit lang na halaga ang nasa panganib.
7. Mag-practice ng spend. Mula sa isang signer, patakbuhin ang transfer <destination> 0.01. Ang wallet ay gumagawa ng unsigned transaction file sa ~/Monero/multisig_monero_tx. Ilipat ang file na iyon sa pangalawang signer (USB stick, encrypted attachment). Sa pangalawang signer, patakbuhin ang sign_multisig multisig_monero_tx. Isumite ang resulting signed file mula sa anumang signer gamit ang submit_multisig. Kumpirmahin na ang transaction ay napunta sa chain.
8. I-dokumento ang recovery plan. Sumulat ng one-page document na naglalarawan kung saan nakatira ang keys file ng bawat signer, sino ang may hawak ng bawat passphrase, at ang eksaktong sequence ng mga utos na kailangan para makagasta. Mag-store ng kopya ng dokumentong iyon kasama ang hindi bababa sa dalawang pinagkakatiwalaang partido (abogado, kapamilya, co-founder). Huwag isama ang passphrases sa dokumento — lokasyon at procedures lang.

Ang multisig wallet na hindi mo pa nagagastusan ay multisig wallet na hindi mo pag-aari. Palaging gumawa ng kahit isang buong round-trip test transaction bago magpadala ng totoong pondo sa address.

Tunay na Halimbawa: Inheritance Setup na May Geographic Separation

Isaalang-alang ang isang medyo karaniwang 2-of-3 inheritance setup na nakita namin na inilalarawan ng mga miyembro ng Monero community sa /r/Monero noong 2025. Ang primary holder ay nakatira sa Makati. Hawak nila ang signer 1 sa daily-driver laptop na nagpapatakbo ng Whonix, signer 2 sa isang lumang ThinkPad na laging nasa airplane mode sa loob ng safe sa bahay ng magulang nila sa Cebu, at signer 3 sa isang encrypted USB drive na ibinigay sa isang abogado sa Davao kasama ng selyadong tagubilin na bubuksan lamang sa katibayan ng kamatayan o incapacitation.

Ang araw-araw na paggastos ay nangyayari gamit ang signer 1 at signer 2 — naglalakbay ang holder sa Cebu kada ilang buwan para mag-co-sign ng batched na papalabas na transactions. Kung sakaling makompromiso ang signer 1 (laptop na ninakaw, ransomware, pinilit na password disclosure), hindi maililipat ng magnanakaw ang pondo nang hindi rin nakaabot sa Cebu safe o sa abogado sa Davao. Kung mamatay ang holder, ang abogado sa Davao ay hawak ang isang key, ang pamilya sa Cebu ay hawak ang isa pa, at magkasama nilang maibabalik ang pondo nang hindi kailanman kailangang hanapin ang password ng holder. Ang View key para sa multisig ay ibinahagi sa abogado sa read-only form para masuri nila ang balanse nang hindi nila kayang gumastos.

Kapag kailangan ng holder na dagdagan ang multisig — sabihin nating, pagkatapos lumagay ang freelance payment sa single-sig wallet — gumagamit sila ng MoneroSwapper para i-convert ang papasok na altcoin payments nila nang direkta sa multisig address. Walang KYC, walang account, walang log retention pagkatapos ng swap completion. Ang destination ay isang fresh Subaddress na hango mula sa shared multisig primary address, na nagpapanatili sa privacy sa receiving end habang pinapakain pa rin ang parehong shared treasury. Ang pagpopondo sa multisig mula sa atomic swap o no-account exchange ay isa sa mga pinakamalinis na paraan upang mapanatili ang unlinkability sa buong stack.

FAQ

Maibabalik ko ba ang Monero multisig wallet mula sa 25-word Mnemonic seed?

Hindi. Ang 25-word seed na nakikita mo nang unang gumawa ng bawat signer wallet ay nagpapanumbalik lamang ng pre-multisig state ng signer na iyon. Ang aktwal na multisig keys ay nakaimbak sa .keys file na nilikha pagkatapos matapos ang exchange rounds. Kailangan mong i-backup ang .keys file na iyon mula sa hindi bababa sa M sa N signer. Kung mayroon ka lang seeds at walang .keys files, hindi na mababawi ang wallet.

Gaano katagal ang setup ceremony sa praktika?

Para sa 2-of-3, asahan ang 20 hanggang 40 minuto kung ang lahat ng kalahok ay magkasama sa video call. Ang solo setups kung saan ikaw ang nagkokontrol sa lahat ng tatlong signer at naglilipat ng data sa USB stick ay karaniwang mas matagal — mga isang oras kasama ang verification steps at ang test transaction. Magbigay ng mas maraming oras sa unang beses na gagawin mo ito; ang pangalawang beses ay mas mabilis dahil naiintindihan mo na kung ano ang ibig sabihin ng round outputs.

Sumusuporta ba ang hardware wallets tulad ng Trezor at Ledger sa Monero multisig?

Hanggang sa unang bahagi ng 2026, limitado pa rin ang hardware-wallet support para sa Monero multisig. Sumusuporta ang Ledger at Trezor sa standard na Monero single-sig wallets, ngunit walang sinumang malinis na nakikipag-integrate sa multisig ceremony ngayon. Aktibong nagtatrabaho ang komunidad dito — tingnan ang mga talakayan tungkol sa stagenet-tested multisig flows sa official na Monero GUI repo — ngunit ang pinakamaaasahang approach ngayon ay ang paggamit ng monero-wallet-cli na may matibay na full-disk encryption sa bawat signer machine sa halip na umasa sa hardware-backed multisig.

Ano ang mangyayari kung mawala sa sync ang isang signer?

Ito ang pinakakaraniwang operational issue. Pagkatapos ng bawat transaction, bawat signer ay kailangang magpatakbo ng export_multisig_info at i-share ang resulting file sa iba pang signers, na pagkatapos ay magpapatakbo ng import_multisig_info. Kung ang isang signer ay nilaktawan ang hakbang na iyon, makikita nila ang stale balances at maaaring makagawa ng transactions na nabibigo sa submission. Ang ayos ay redo ang export/import cycle mula sa sinumang in-sync signer. Ang wallet log file (--log-level 1) ay nagpapakita nito nang malinaw kung tsekin mo.

Maaari ko bang gamitin ang multisig na may subaddresses?

Oo. Kapag natapos na ang multisig wallet, maaari kang gumawa ng Subaddress accounts at indices tulad lang ng gagawin mo sa single-sig wallet gamit ang address new. Bawat Subaddress ay isang stealth address na hango mula sa shared multisig primary address, kaya ang funds na natanggap sa alinman sa mga ito ay magagastos gamit ang parehong M-of-N threshold. Ito ay tunay na kapaki-pakinabang para sa treasuries na nais ng bagong receive address kada donor o kada invoice.

Sobra-sobra ba ang multisig para sa mas mababa sa 1 XMR?

Nakadepende kung ano ang kahulugan ng 1 XMR na iyon para sa iyo. Kung pamlaruan lang ito, ayos lang ang single-sig na may steel-backed seed. Kung ipon-pamasok ito na masasaktan kang mawala, ang oras na ipinupuhunan sa 2-of-3 multisig ay nagbabayad para sa sarili nito sa unang beses na mawawala mo ang isang backup o manakawan ng laptop. Ang dollar threshold ay hindi ang tamang tanong; ang "masasaktan ba ako kapag nawala ito?" threshold.

Konklusyon

Ang Monero multisig ay isa sa pinakamataas na leverage na upgrade sa privacy at seguridad na maaaring gawin ng sinumang holder, at ang seremonya ay nasa abot-kamay ng sinumang gumugol ng ilang oras sa CLI. Ang configuration na halos lahat ay dapat mag-default ay 2-of-3 sa mga tunay na malayang lokasyon, na may dokumentadong recovery plan at hindi bababa sa isang test transaction bago dumating ang totoong pondo. Kapag handa ka nang pondohan ang bagong multisig address na iyon, ginagawang madali ng MoneroSwapper ang panig ng inflow: i-convert ang anumang papasok na asset sa XMR nang walang account, magpadala nang direkta sa iyong multisig primary address o sa bagong-likhang Subaddress, at panatilihin ang privacy properties ng buong setup mula sa swap hanggang storage. I-set up ang wallet ngayong weekend, matulog nang mas mahimbing sa susunod na linggo.