Lock your stack.

COFFRE BITCOIN À VERROUS ROULANTS

Vos sats sont enfermés on-chain par le consensus Bitcoin lui-même. Personne ne peut les dépenser avant l'échéance — ni un voleur avec votre machine, ni vous dans un moment de panique.

La discipline n'est pas dans votre volonté. Elle est dans le protocole.

Tester sur GitHub Comment ça marche

le dashboard, chez vous, sur 127.0.0.1 — aucune clé sur la machine

0
CUSTODY
CLTV
TIMELOCK ON-CHAIN
LEDGER
SEUL SIGNATAIRE
100 %
AUTO-HÉBERGÉ
MIT
OPEN SOURCE
LE PROBLÈME

HODLer est simple. Tenir est difficile.

La plupart des plans d'épargne Bitcoin ne meurent pas d'un piratage — ils meurent d'une vente panique à −30 %, d'un « emprunt temporaire » au stack, ou d'un voleur qui a trouvé la seed. PLUG Vault supprime les trois d'un coup : il rend la dépense physiquement impossible avant l'échéance.

01

Verrouillé par le consensus

Chaque dépôt est enfermé ~30 jours par OP_CHECKLOCKTIMEVERIFY, une règle du protocole Bitcoin vérifiée par chaque nœud du réseau. Aucune app, aucune entreprise, aucune volonté humaine ne peut passer outre.

02

Watch-only par construction

La machine qui fait tourner le coffre ne détient aucune clé privée — seulement votre xpub. Elle peut proposer des transactions, jamais les signer. La seule chose qui signe est votre Ledger, dans votre main.

03

Le DCA arrive déjà verrouillé

Vos achats mensuels sont envoyés sur l'adresse du verrou courant et sont timelockés à l'arrivée, sans signature. À chaque cycle, tout se consolide en un seul UTXO : des frais bas, pour toujours.

LE FONCTIONNEMENT

Un rituel de dix minutes, une fois par mois.

Le reste du temps, il n'y a rien à faire — et c'est le but. Vos fonds mûrissent, le dashboard veille, et vous vivez votre vie.

QUAND VOUS VOULEZ
1

Achetez

Votre DCA habituel, où vous voulez — exchange, Bisq, distributeur. Le coffre ne s'occupe pas de l'achat, seulement de la garde.

SANS SIGNATURE
2

Déposez

Retrait vers l'adresse du verrou courant (QR code sur le dashboard). Verrouillé dès l'arrivée — recevoir ne demande aucune signature.

10 MIN / MOIS
3

Signez à maturité

~30 jours plus tard, les fonds mûrissent quelques minutes. Le dashboard prépare une PSBT et une checklist en 4 points : montant, destination, hauteur de déblocage, frais. Vous re-vérifiez chaque point sur l'écran du Ledger — le seul écran qui ne peut pas mentir.

+4320 BLOCS
4

Re-verrouillé

La transaction consolide tout en un UTXO unique, enfermé pour ~30 jours de plus. Le cycle recommence. La discipline est dans le protocole, pas dans votre volonté.

SOUS LE CAPOT

Un script, deux conditions, zéro confiance.

Pas besoin d'être développeur. Chaque verrou du coffre tient en une seule ligne — un mini-contrat écrit dans un langage que tout le réseau Bitcoin sait lire. Voici ce qu'elle dit, morceau par morceau, avec des images simples.

wsh( and_v( v:pk(votre_xpub/2/index) , after(hauteur) ) )
wsh( … )
1

L'adresse est une empreinte, pas le contrat

L'adresse de dépôt bc1q…, c'est l'empreinte digitale du contrat — pas le contrat lui-même. Le réseau ne voit que l'empreinte ; le texte complet reste chez vous et n'est montré qu'au moment d'ouvrir. C'est pour ça que la seed seule ne suffit pas : le kit de récupération est votre photocopie du contrat. Imprimez-le.

and_v(A, B)
2

Une porte à double serrure

Imaginez une porte blindée avec deux serrures : votre clé ET une horloge. Une seule des deux ne suffit jamais. Pas d'entrée de service, pas de double chez un serrurier, pas de « procédure d'urgence » — personne ne peut ouvrir autrement, vous y compris. C'est exactement le but.

v:pk(xpub/2/index)
3

Serrure n°1 : votre clé, dans votre main

La première serrure ne s'ouvre qu'avec votre signature — celle que seul votre Ledger sait produire. Et votre trousseau fabrique une clé neuve à chaque cycle (verrou n°0, n°1, n°2…) : cadenas neuf, adresse neuve à chaque re-lock, jamais de réutilisation.

after(hauteur)
4

Serrure n°2 : l'horloge

Comme les coffres de banque à horlogerie : même le directeur ne peut pas ouvrir avant l'heure. Ici, « l'heure » est un numéro de bloc (bloc actuel + 4320 ≈ 30 jours) — et l'horloge, c'est la blockchain elle-même. C'est la valeur que le Ledger vous réaffiche avant de signer.

# La même ligne, traduite dans le langage brut du réseau :

<votre_clé> OP_CHECKSIGVERIFY
<hauteur> OP_CHECKLOCKTIMEVERIFY

# Mauvaise signature → refusé net.
# Avant l'échéance → aucun mineur au monde
# n'acceptera la transaction. Aucun.
  • Qui garde la porte ? Pas un vigile payé par nous : ~20 000 nœuds indépendants. Comme si chaque vente immobilière devait être validée par des milliers de notaires appliquant tous, mot pour mot, le même code civil — en tricher un ne sert à rien.
  • La vitre blindée — la machine du dashboard n'a que votre xpub : elle voit le coffre (solde, échéances) mais ne peut pas le toucher. Un relevé de compte, sans la carte ni le code.
  • Courrier coincé ? Si le réseau est chargé, bump recolle un timbre plus cher sur la même enveloppe (replace-by-fee) — la transaction repart en priorité.
  • La recette n'appartient à personne — c'est du miniscript standard. Si PLUG Vault disparaît demain, Bitcoin Core ou Sparrow rouvrent le coffre avec votre seed + la photocopie du contrat. Rien de propriétaire. Apprenez à lire votre contrat en 10 minutes →
  • Le testament intégré (optionnel) — une clé de secours qui ne devient valable qu'un an après chaque verrou : elle ne sert que si vous ne vous manifestez plus. En mode Taproot, ce chemin reste invisible tant qu'il n'est pas utilisé.
SÉCURITÉ

Chaque PSBT est vérifiée trois fois.

Le principe : la machine du dashboard est considérée comme compromise par défaut. Elle peut proposer, jamais décider.

1 · LES GARDE-FOUS
La destination est re-dérivée localement depuis votre xpub (un malware ne peut pas substituer son adresse), sortie unique obligatoire, plafond de frais 0,5 %, et testmempoolaccept sur votre nœud avant toute diffusion.
2 · VOUS, À L'ÉCRAN
La checklist du dashboard : montant exact, adresse de destination, hauteur de déblocage, frais. La commande de signature n'apparaît que quand les 4 points sont cochés.
3 · LE LEDGER
L'appareil re-affiche les mêmes valeurs sur son propre écran, le seul que la machine ne peut pas falsifier. Ce que vous validez là est ce qui part on-chain. Rien d'autre.

Kit de récupération

Pour un coffre à script, la seed seule ne suffit pas. Le kit (descripteurs, index, hauteurs) se génère en un clic — imprimez-le, rangez-le avec votre seed, testez une restauration.

127.0.0.1 uniquement

Le dashboard n'écoute que sur votre machine. Pas de cloud, pas de compte, pas de télémétrie. Vos xpubs, soldes et coût de revient ne quittent jamais chez vous.

Modèle de menace public

Ce que l'outil défend, ce qu'il ne défend pas, et pourquoi — tout est écrit dans THREAT_MODEL.md. Lisez-le avant le mainnet.

INSTALLER

Chez vous, en cinq minutes.

Prérequis : un Ledger, Python 3, un terminal. Commencez par la répétition générale sur signet — des vrais verrous, des faux fonds.

# 1 — Cloner et configurer
$ git clone https://github.com/bitcoinvaultapp/plug-vault.git
$ cd plug-vault && pip3 install embit qrcode
$ cp config.example.json config.json # y coller votre xpub — jamais de clé privée

# 2 — Initialiser le coffre et lancer le dashboard
$ python3 hodl_lock.py init <votre-xpub>
$ python3 dashboard.py
http://127.0.0.1:8321

# 3 — Envoyer des coins signet d'un faucet, les regarder se verrouiller,
# puis dérouler le rituel complet avant de toucher au mainnet.

Fonctionne avec votre Bitcoin Core (pruned suffit) ou un backend Esplora. CLI : init · scan · roll · broadcast · bump · kit.

QUESTIONS

Les objections honnêtes.

Et si j'ai une urgence — je peux débloquer avant ?

Non, et c'est tout le produit. Aucune procédure d'urgence, aucun support à appeler, aucune porte dérobée. Vos fonds redeviennent liquides à chaque échéance (~30 jours) : à ce moment-là, libre à vous de retirer au lieu de re-verrouiller. Ne mettez dans le coffre que votre épargne long terme.

Et si je perds mon Ledger ? Ma seed ?

Le Ledger seul se remplace avec la seed. Mais pour un coffre à script, la seed seule ne suffit pas : il faut aussi les descripteurs. D'où le kit de récupération (généré en un clic, à imprimer et ranger avec la seed) — et, en option, le chemin d'héritage qui rend une clé de secours valide ~1 an après chaque verrou.

Qui voit mes fonds, mes adresses, mon coût de revient ?

Personne. Le dashboard tourne sur 127.0.0.1, interroge votre propre nœud, et ne contient ni compte, ni cloud, ni télémétrie. Le code est open source (MIT) — vérifiez par vous-même, c'est le principe.

Ça coûte combien ?

Le logiciel : rien. On-chain : une transaction de consolidation par mois, dont la conception maintient un seul UTXO — les frais restent minimes et prévisibles, avec un garde-fou qui refuse de signer au-delà de 0,5 % du montant.

Pourquoi je vous ferais confiance ?

Vous n'avez pas à le faire. Le verrou est appliqué par le consensus Bitcoin, pas par nous. La machine ne détient aucune clé. Le code est lisible en une soirée. Et personne — jamais — ne vous demandera vos 24 mots : quiconque le fait est en train de vous voler.

BÊTA OUVERTE

Enfermez votre premier verrou ce soir.

Open source, MIT, auto-hébergé. Validé de bout en bout sur regtest et signet. Commencez la répétition générale — le mainnet attendra que vous soyez prêt.