Přístupnostní navigace
E-application
Search Search Close
Bachelor's Thesis
Author of thesis: Bc. Juraj Gergel
Acad. year: 2025/2026
Supervisor: doc. Ing. Ivan Homoliak, Ph.D.
Reviewer: Ing. Richard Gazdík
This thesis examines the trade-off between security and usability in embedded cryptocurrency wallets. The aim of the thesis is to analyze how modern authentication mechanisms simplify private key management, improve user experience when interacting with blockchain applications, and what security properties and risks are associated with different approaches. As part of the thesis, two different wallet architectures were implemented as decentralized applications: an embedded EOA wallet using OTP authentication through the Privy platform, and a wallet based on passkey authentication utilizing the ERC-4337 Account Abstraction standard through the Thirdweb platform. The thesis also includes a user study focused on evaluating login, transaction submission, and account recovery scenarios. During the study, time-based metrics, user interaction flow, and subjective evaluations of both approaches were observed. In addition to the user study, a security analysis based on a threat model approach was conducted, identifying key assets, potential attackers, and relevant threats for both wallet architectures. Experimental results indicate that users generally prefer simpler and more familiar authentication mechanisms, such as OTP authentication, over more modern passkey-based solutions, which were perceived as more secure but less intuitive. At the same time, the study shows that abstracting blockchain complexity through Account Abstraction can provide a level of user convenience comparable to traditional EOA wallets, despite the increased architectural complexity of the system.
Blockchain, Cryptocurrency wallets, Smart Contracts, Web2, Web3, Authentication, Security, Decentralized applications (DApps), Externally Owned Account (EOA), Account Abstraction
Date of defence
17.06.2026
Result of the defence
Defended (thesis was successfully defended)
Grading
C
Process of defence
Student nejprve prezentoval výsledky, kterých dosáhl v rámci své práce. Komise se poté seznámila s hodnocením vedoucího a posudkem oponenta práce. Student následně odpověděl na otázky oponenta a na další otázky přítomných. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studenta na položené otázky rozhodla práci hodnotit stupněm C.
Topics for thesis defence
Language of thesis
English
Faculty
Fakulta informačních technologií
Department
Department of Intelligent Systems
Study programme
Information Technology (BIT)
Composition of Committee
prof. Ing. Martin Čadík, Ph.D. (předseda) doc. Ing. Ondřej Ryšavý, Ph.D. (místopředseda) Ing. Marcela Zachariášová, Ph.D. (člen) Ing. Tomáš Goldmann, Ph.D. (člen) Ing. Vojtěch Havlena, Ph.D. (člen)
Supervisor’s reportdoc. Ing. Ivan Homoliak, Ph.D.
Prácu hodnotím stupňom B (veľmi dobre) pretože študent pracoval celý akademický rok, vzniknuté problémy riešil aj samostatne aj s využitím konzultácií. Úspešne implementoval dve rozdielne architektúry vstavaných peňaženiek (OTP cez Privy a passkey + ERC-4337 cez Thirdweb), vykonal používateľskú štúdiu a bezpečnostnú analýzu. Výsledky jasne dokumentujú trade-off medzi použiteľnosťou a bezpečnosťou.
Zadanie hodnotím ako priemerne obtiažne, no komplexnejšie z hľadiska rozmanitých technológií, ktoré sa v ňom museli použiť (blockchain, smart kontrakty, Web2/Web3 autentizácia, implementácia DApps). Z môjho pohľadu bolo splnené vo všetkých bodoch.
Študent si študijné pramene získaval samostatne na základe vlastného uváženia ale aj na základe doporučení vedúceho.
Aktivita behom tvorby práce bola na primeranej úrovni. Na schôdzky chodil študent pripravený a podával informácie o stave práce. Na pripomienky študent vždy reagoval.
Práca bola dokončená v predstihu a bola aj konzultovaná.
Publikačná činnosť nie je známa.
Grade proposed by supervisor: B
Reviewer’s reportIng. Richard Gazdík
Práca solídne spĺňa požiadavky zadania a obsahuje hodnotný prvok v podobe threat model analýzy. Hlavnými obmedzeniami sú podpriemerný rozsah textovej časti, stručná implementačná dokumentácia a malý počet respondentov v používateľskej štúdii. Hodnotenie C odráža prácu, ktorá napĺňa zadanie, no nepresahuje ho a v niektorých oblastiach zostáva pod úrovňou očakávaní pre daný rozsah.
Evaluation level: průměrně obtížné zadání
Cieľom tejto bakalárskej práce bolo implementovať aspoň dva typy vstavaných kryptopeňaženiek ako decentralizované aplikácie, vykonať používateľskú štúdiu zameranú na ich použiteľnosť a výsledky diskutovať z pohľadu bezpečnosti. Zadanie hodnotím ako priemerne náročné.
Práca je logicky štruktúrovaná a dobre čitateľná. Zaradenie kapitoly o bezpečnostnej analýze (threat model) predstavuje hodnotný prínos. Architektonické diagramy pre obe peňaženky sú prehľadné. Slabšou stránkou je relatívna stručnosť implementačnej kapitoly, obsahuje málo technických detailov o konkrétnych rozhodnutiach pri implementácii. Výsledky používateľskej štúdie sú prezentované prevažne opisne bez grafickej vizualizácie dát. Záver práce je krátky a mohol by lepšie objasniť hlavné zistenia.
Anglický text je gramaticky na dobrej úrovni a plynulý, s len drobnými nepresnosťami, ktoré nenarúšajú čitateľnosť. Autor správne deklaruje použitie AI nástrojov na jazykovú úpravu.
Boli implementované dve funkčné webové aplikácie v TypeScript/Next.js testované na Ethereum Sepolia testnete. Kód je dobre štruktúrovaný a validácia vstupov je v oboch prípadoch na dobrej úrovni. Súčasťou odovzdania je samostatná implementačná dokumentácia s inštrukciami na spustenie cez Docker aj manuálne. Realizačným výstupom bola aj používateľská štúdia, ktorá bola však vykonaná na veľmi malej vzorke štyroch respondentov, čo výrazne obmedzuje výpovednú hodnotu získaných výsledkov.
Teoretická časť konsoliduje existujúce poznatky štandardným spôsobom. Praktický prínos spočíva v implementácii dvoch kontrastných architektúr peňaženiek a v threat model analýze, ktorá je pre prácu tohto rozsahu nadštandardným prínosom. Používateľská štúdia so štyrmi respondentmi má limitovanú štatistickú váhu, no jej kvalitatívne pozorovania sú relevantné.
Evaluation level: zadání splněno
Všetkých šesť bodov zadania bolo splnených. Teoretický základ je spracovaný v kapitolách 2 a 3. Bod 3 bol splnený implementáciou dvoch funkčných DApps: EOA peňaženky s OTP autentifikáciou cez platformu Privy a peňaženky s Account Abstraction a passkey autentifikáciou cez platformu Thirdweb. Používateľská štúdia so štyrmi respondentmi pokrýva scenáre prihlásenia, odoslania transakcie a obnovy prístupu. Body 5 a 6 sú adresované v kapitole 6, ktorá prináša threat model analýzu pre obe architektúry a návrhy budúcich rozšírení.
Evaluation level: splňuje pouze minimální požadavky
Rozsah práce sa pohybuje okolo 50 normostrán, čo síce spĺňa minimálne požiadavky na rozsah, ale nespadá do kategórie pre obvyklého rozsahu práce. Kapitoly Návrh a Implementácia by si každá zaslúžila vlastnú kapitolu, v aktuálnom znení práce zdieľajú jednu spoločnú a sú príliš krátke, dokopy na 5 strán. Naopak kapitola používateľskej štúdie je podľa mňa spracovaná kvalitne.
Bibliografiu tvorí 38 zdrojov, pričom sú zastúpené recenzované príspevky (IEEE ICBC, NIST), no ich podiel je nižší. Komerčná dokumentácia a webové zdroje (Privy, Thirdweb, Strike, Trezor) tvoria značnú časť bibliografie, čo je však pri práci priamo implementujúcej tieto platformy prirodzené a nevyhnutné, študent pracoval s ich SDK a dokumentáciou, ktorú správne cituje.
Grade proposed by reviewer: C
Responsibility: Mgr. et Mgr. Hana Odstrčilová