Lock your stack.

COFFRE BITCOIN À VERROUS ROULANTS

Vos sats sont enfermés on-chain par le consensus Bitcoin lui-même. Personne ne peut les dépenser avant l'échéance — ni un voleur avec votre machine, ni vous dans un moment de panique.

La discipline n'est pas dans votre volonté. Elle est dans le protocole.

Tester sur GitHub Comment ça marche

le dashboard, chez vous, sur 127.0.0.1 — aucune clé sur la machine

0
CUSTODY
CLTV
TIMELOCK ON-CHAIN
LEDGER
SEUL SIGNATAIRE
100 %
AUTO-HÉBERGÉ
MIT
OPEN SOURCE
LE PROBLÈME

HODLer est simple. Tenir est difficile.

La plupart des plans d'épargne Bitcoin ne meurent pas d'un piratage — ils meurent d'une vente panique à −30 %, d'un « emprunt temporaire » au stack, ou d'un voleur qui a trouvé la seed. PLUG Vault supprime les trois d'un coup : il rend la dépense physiquement impossible avant l'échéance.

01

Verrouillé par le consensus

Chaque dépôt est enfermé ~30 jours par OP_CHECKLOCKTIMEVERIFY, une règle du protocole Bitcoin vérifiée par chaque nœud du réseau. Aucune app, aucune entreprise, aucune volonté humaine ne peut passer outre.

02

Watch-only par construction

La machine qui fait tourner le coffre ne détient aucune clé privée — seulement votre xpub. Elle peut proposer des transactions, jamais les signer. La seule chose qui signe est votre Ledger, dans votre main.

03

Le DCA arrive déjà verrouillé

Vos achats mensuels sont envoyés sur l'adresse du verrou courant et sont timelockés à l'arrivée, sans signature. À chaque cycle, tout se consolide en un seul UTXO : des frais bas, pour toujours.

LE FONCTIONNEMENT

Un rituel de dix minutes, une fois par mois.

Le reste du temps, il n'y a rien à faire — et c'est le but. Vos fonds mûrissent, le dashboard veille, et vous vivez votre vie.

QUAND VOUS VOULEZ
1

Achetez

Votre DCA habituel, où vous voulez — exchange, Bisq, distributeur. Le coffre ne s'occupe pas de l'achat, seulement de la garde.

SANS SIGNATURE
2

Déposez

Retrait vers l'adresse du verrou courant (QR code sur le dashboard). Verrouillé dès l'arrivée — recevoir ne demande aucune signature.

10 MIN / MOIS
3

Signez à maturité

~30 jours plus tard, les fonds mûrissent quelques minutes. Le dashboard prépare une PSBT et une checklist en 4 points : montant, destination, hauteur de déblocage, frais. Vous re-vérifiez chaque point sur l'écran du Ledger — le seul écran qui ne peut pas mentir.

+4320 BLOCS
4

Re-verrouillé

La transaction consolide tout en un UTXO unique, enfermé pour ~30 jours de plus. Le cycle recommence. La discipline est dans le protocole, pas dans votre volonté.

SOUS LE CAPOT

Un script, deux conditions, zéro confiance.

# Chaque verrou est un output P2WSH miniscript :
wsh(and_v(v:pk(votre_xpub/2/index),after(hauteur)))

# Dépensable seulement si :
signature valide de VOTRE clé
ET hauteur de bloc ≥ échéance

# Vérifié par ~20 000 nœuds. Pas par nous.
  • Miniscript standard — le même descripteur que comprennent Ledger (wallet policies), Bitcoin Core et Coldcard. Rien de propriétaire.
  • Votre propre nœud — tout est construit et vérifié contre votre Bitcoin Core (ou un backend Esplora si vous préférez). Aucune API tierce sur le chemin de signature.
  • Héritage optionnel — une clé de secours (coffre bancaire, proche de confiance) devient valide ~1 an après chaque verrou. En mode Taproot, ce chemin reste invisible on-chain tant qu'il n'est pas utilisé.
  • RBF intégré — si un re-lock reste coincé, bump augmente les frais proprement.
SÉCURITÉ

Chaque PSBT est vérifiée trois fois.

Le principe : la machine du dashboard est considérée comme compromise par défaut. Elle peut proposer, jamais décider.

1 · LES GARDE-FOUS
La destination est re-dérivée localement depuis votre xpub (un malware ne peut pas substituer son adresse), sortie unique obligatoire, plafond de frais 0,5 %, et testmempoolaccept sur votre nœud avant toute diffusion.
2 · VOUS, À L'ÉCRAN
La checklist du dashboard : montant exact, adresse de destination, hauteur de déblocage, frais. La commande de signature n'apparaît que quand les 4 points sont cochés.
3 · LE LEDGER
L'appareil re-affiche les mêmes valeurs sur son propre écran, le seul que la machine ne peut pas falsifier. Ce que vous validez là est ce qui part on-chain. Rien d'autre.

Kit de récupération

Pour un coffre à script, la seed seule ne suffit pas. Le kit (descripteurs, index, hauteurs) se génère en un clic — imprimez-le, rangez-le avec votre seed, testez une restauration.

127.0.0.1 uniquement

Le dashboard n'écoute que sur votre machine. Pas de cloud, pas de compte, pas de télémétrie. Vos xpubs, soldes et coût de revient ne quittent jamais chez vous.

Modèle de menace public

Ce que l'outil défend, ce qu'il ne défend pas, et pourquoi — tout est écrit dans THREAT_MODEL.md. Lisez-le avant le mainnet.

INSTALLER

Chez vous, en cinq minutes.

Prérequis : un Ledger, Python 3, un terminal. Commencez par la répétition générale sur signet — des vrais verrous, des faux fonds.

# 1 — Cloner et configurer
$ git clone https://github.com/bitcoinvaultapp/plug-vault.git
$ cd plug-vault && pip3 install embit qrcode
$ cp config.example.json config.json # y coller votre xpub — jamais de clé privée

# 2 — Initialiser le coffre et lancer le dashboard
$ python3 hodl_lock.py init <votre-xpub>
$ python3 dashboard.py
http://127.0.0.1:8321

# 3 — Envoyer des coins signet d'un faucet, les regarder se verrouiller,
# puis dérouler le rituel complet avant de toucher au mainnet.

Fonctionne avec votre Bitcoin Core (pruned suffit) ou un backend Esplora. CLI : init · scan · roll · broadcast · bump · kit.

QUESTIONS

Les objections honnêtes.

Et si j'ai une urgence — je peux débloquer avant ?

Non, et c'est tout le produit. Aucune procédure d'urgence, aucun support à appeler, aucune porte dérobée. Vos fonds redeviennent liquides à chaque échéance (~30 jours) : à ce moment-là, libre à vous de retirer au lieu de re-verrouiller. Ne mettez dans le coffre que votre épargne long terme.

Et si je perds mon Ledger ? Ma seed ?

Le Ledger seul se remplace avec la seed. Mais pour un coffre à script, la seed seule ne suffit pas : il faut aussi les descripteurs. D'où le kit de récupération (généré en un clic, à imprimer et ranger avec la seed) — et, en option, le chemin d'héritage qui rend une clé de secours valide ~1 an après chaque verrou.

Qui voit mes fonds, mes adresses, mon coût de revient ?

Personne. Le dashboard tourne sur 127.0.0.1, interroge votre propre nœud, et ne contient ni compte, ni cloud, ni télémétrie. Le code est open source (MIT) — vérifiez par vous-même, c'est le principe.

Ça coûte combien ?

Le logiciel : rien. On-chain : une transaction de consolidation par mois, dont la conception maintient un seul UTXO — les frais restent minimes et prévisibles, avec un garde-fou qui refuse de signer au-delà de 0,5 % du montant.

Pourquoi je vous ferais confiance ?

Vous n'avez pas à le faire. Le verrou est appliqué par le consensus Bitcoin, pas par nous. La machine ne détient aucune clé. Le code est lisible en une soirée. Et personne — jamais — ne vous demandera vos 24 mots : quiconque le fait est en train de vous voler.

BÊTA OUVERTE

Enfermez votre premier verrou ce soir.

Open source, MIT, auto-hébergé. Validé de bout en bout sur regtest et signet. Commencez la répétition générale — le mainnet attendra que vous soyez prêt.