Tus claves nunca
salen del dispositivo.
El monedero integrado en Searxly es autocustodia de verdad: claves BIP-39 estándar, generadas y cifradas en tu Mac, que firman cada transacción en local. No retenemos nada. No podemos ver tu frase, no podemos mover tus fondos, y no hay ningún servidor que pudiera.
De la frase a la firma, todo en el dispositivo.
Tu monedero empieza como una frase de recuperación BIP-39 estándar de 12/24 palabras. A partir de ella, las claves se derivan con derivación jerárquica BIP-32 en la ruta Ethereum estándar, de modo que la misma frase restaura tus cuentas en MetaMask o en cualquier monedero estándar. La semilla se cifra y se bloquea a continuación: solo se descifra en memoria, el instante que tarda en firmar.
- ✓Entropía BIP-39 real + checksum, no un esquema casero
- ✓Derivación estándar
m/44'/60'/0'/0/x— portable en todas partes - ✓Firma secp256k1 mediante un núcleo contrastado y con pruebas de respuesta conocida
m/44'/60'/0'/0/x · una frase, cada cuentaLas primitivas, con nombre.
m/44'/60'/0'/0/xWhenUnlockedThisDeviceOnly, no sincronizableIncluso con tu Mac, un atacante se topa con un muro.
Mantener las claves en el dispositivo es el cimiento. Encima se apila un conjunto de controles orientados a los ataques reales: un archivo de preferencias robado, una dApp maliciosa, una dirección casi idéntica.
PIN con bloqueo de verdad
El PIN se verifica descifrando la semilla, no contra un hash rápido que un atacante pudiera forzar fuera de línea. Cinco intentos fallidos activan un enfriamiento creciente (30s → hasta 15m) con cuenta atrás en vivo.
Biometría de la Secure Enclave
El desbloqueo con Touch ID lo controla la Secure Enclave con .biometryCurrentSet, de modo que la clave se invalida si cambian las huellas. En hardware sin Enclave, se rechaza una semilla solo con PIN a favor de una frase secreta.
Guarda de dominios phishing
Antes de cualquier conexión o firma, el origen se comprueba contra una lista local de estafas más una heurística punycode / homógrafo. Un sitio marcado recibe un banner rojo bien visible y una anulación deliberada «connect anyway».
Simulación de transacciones
Las transacciones pendientes se ejecutan primero en seco contra la cadena. Si la transacción real se revirtiera, se te avisa «likely to fail — you'd still pay gas» antes de firmar, no después.
Decodificación en lenguaje claro
Las aprobaciones se decodifican en local a lo que realmente hacen — «Send 1.0 SEARXLY to 0x…», o una advertencia clara sobre una allowance de token ilimitada — para que nunca firmes a ciegas un calldata opaco.
Revocación de aprobaciones
Un gestor de allowances integrado lista lo que has aprobado (primero las concesiones ilimitadas) y revoca cualquiera con un clic: la limpieza cuya ausencia permite tantos exploits de vaciado.
Protección frente al envenenamiento de direcciones
Un destinatario que imita los cuatro primeros y cuatro últimos caracteres de una dirección a la que realmente has enviado — el truco clásico de envenenamiento — se marca y exige un reconocimiento explícito.
Aprobaciones dApp ligadas al origen
El proveedor inyectado solo responde en pestañas estándar una vez conectado; cada firma/envío se liga al origen solicitante (tomado del frame, nunca suministrado por la página), y eth_sign se rechaza de plano.
Direcciones rotativas por dApp
Opcionalmente, dale a cada sitio su propia dirección fresca de un pool derivado oculto, para que los observadores on-chain no puedan vincular tu actividad entre dApps — y cambiar de cuenta nunca cambia lo que ve un sitio conectado.
Todo tu saldo, sin tener que buscarlo.
Una sola frase de recuperación controla la misma dirección en Base, Ethereum, Optimism, Arbitrum y Polygon. Searxly las muestra juntas y deja que la moneda — no un menú de red — impulse cada acción.
Todas las redes a la vez
Una sola lista reúne todo lo que tienes en cada cadena compatible, con un total en vivo y una pequeña insignia en cada moneda que marca su red. Sin cambiar de menús para encontrar un saldo.
La red sigue a la moneda
Toca cualquier moneda para enviar, recibir o intercambiar, y el monedero se mueve por ti a la cadena de esa moneda — así nunca eliges una red a mano ni arriesgas enviar en la incorrecta.
Encuentra cualquier moneda por nombre
Busca un token por nombre o símbolo en una lista verificada, mostrado con su logo real, en lugar de pegar una dirección de contrato. Los tokens spam de imitación se filtran, no se añaden automáticamente.
Swaps in-app, y exactamente lo que cuestan.
Puedes intercambiar un token por otro sin salir del monedero. Las cotizaciones y el enrutado vienen del agregador 0x, pero la transacción se construye y se firma en local en tu Mac, como todo lo demás aquí. La comisión es pequeña, se toma on-chain dentro del mismo swap y se te muestra antes de firmar. Los envíos y recepciones simples son siempre gratuitos.
Qué ayuda a financiar la comisión→Lo que nunca podemos hacer.
La autocustodia no es un ajuste: es la ausencia de una capacidad. No hay servidor, ni depósito en garantía, ni puerta trasera de recuperación de nuestro lado. El reverso es una responsabilidad real: tu frase de recuperación es la única forma de volver, así que guárdala sin conexión y no la compartas nunca.
Cómo se almacenan las claves en reposo→- ✕No podemos ver tu frase de recuperación ni tus claves privadas — están cifradas en tu dispositivo y nunca se transmiten.
- ✕No podemos mover, congelar ni recuperar tus fondos — cada transacción la firmas tú en local.
- ✕No podemos firmar en tu nombre — no hay clave de custodia ni servidor con poder de firma.
- ✕No podemos restablecer tu PIN a distancia — la recuperación ocurre en local, a partir de tu frase o código de recuperación.
- ✕No podemos ser obligados a entregar lo que no retenemos — no hay nada de custodia que embargar.
Verificable on-chain, firmado en el dispositivo.
Tu tenencia es tu membresía — demostrada por una firma, nunca aparcada en nuestros servidores.