Bachelor's Thesis

Security and Usability of Embedded Cryptocurrency Wallets

Final Thesis 1.42 MB

Author of thesis: Bc. Juraj Gergel

Acad. year: 2025/2026

Supervisor: doc. Ing. Ivan Homoliak, Ph.D.

Reviewer: Ing. Richard Gazdík

Abstract:

This thesis examines the trade-off between security and usability in embedded cryptocurrency wallets. The aim of the thesis is to analyze how modern authentication mechanisms simplify private key management, improve user experience when interacting with blockchain applications, and what security properties and risks are associated with different approaches.
 
  As part of the thesis, two different wallet architectures were implemented as decentralized applications: an embedded EOA wallet using OTP authentication through the Privy platform, and a wallet based on passkey authentication utilizing the ERC-4337 Account Abstraction standard through the Thirdweb platform. The thesis also includes a user study focused on evaluating login, transaction submission, and account recovery scenarios. During the study, time-based metrics, user interaction flow, and subjective evaluations of both approaches were observed. In addition to the user study, a security analysis based on a threat model approach was conducted, identifying key assets, potential attackers, and relevant threats for both wallet architectures.
 
  Experimental results indicate that users generally prefer simpler and more familiar authentication mechanisms, such as OTP authentication, over more modern passkey-based solutions, which were perceived as more secure but less intuitive. At the same time, the study shows that abstracting blockchain complexity through Account Abstraction can provide a level of user convenience comparable to traditional EOA wallets, despite the increased architectural complexity of the system.

Keywords:

Blockchain, Cryptocurrency wallets, Smart Contracts, Web2, Web3, Authentication, Security, Decentralized applications (DApps), Externally Owned Account (EOA), Account Abstraction

Date of defence

17.06.2026

Result of the defence

Defended (thesis was successfully defended)

znamkaCznamka

Grading

C

Process of defence

Student nejprve prezentoval výsledky, kterých dosáhl v rámci své práce. Komise se poté seznámila s hodnocením vedoucího a posudkem oponenta práce. Student následně odpověděl na otázky oponenta a na další otázky přítomných. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studenta na položené otázky rozhodla práci hodnotit stupněm C.

Topics for thesis defence

  1. Vo vašej threat model analýze identifikujete kompromitáciu emailového účtu ako kritickú hrozbu pre Privy peňaženku. Akú konkrétnu mitigáciu by ste odporučili priamo na úrovni implementácie aplikácie, teda niečo, čo môže ovplyvniť vývojár, nie len koncový používateľ?
  2. Vaša používateľská štúdia mala štyroch respondentov. Ako by ste zmenili dizajn štúdie, keby ste mali k dispozícii 30 účastníkov? Aké kvantitatívne metódy a štatistické testy by ste použili na porovnanie oboch peňaženiek?
  3. Passkey peňaženka cez Thirdweb bola v štúdii vnímaná ako menej intuitívna, no bezpečnejšia. Ako by ste konkrétne upravili používateľské rozhranie alebo onboarding flow, aby sa tento vnímaný rozdiel zmenšil bez zníženia bezpečnosti?

Language of thesis

English

Faculty

Department

Study programme

Information Technology (BIT)

Composition of Committee

prof. Ing. Martin Čadík, Ph.D. (předseda)
doc. Ing. Ondřej Ryšavý, Ph.D. (místopředseda)
Ing. Marcela Zachariášová, Ph.D. (člen)
Ing. Tomáš Goldmann, Ph.D. (člen)
Ing. Vojtěch Havlena, Ph.D. (člen)

Supervisor’s report
doc. Ing. Ivan Homoliak, Ph.D.

Prácu hodnotím stupňom B (veľmi dobre) pretože študent pracoval celý akademický rok, vzniknuté problémy riešil aj samostatne aj s využitím konzultácií. Úspešne implementoval dve rozdielne architektúry vstavaných peňaženiek (OTP cez Privy a passkey + ERC-4337 cez Thirdweb), vykonal používateľskú štúdiu a bezpečnostnú analýzu. Výsledky jasne dokumentujú trade-off medzi použiteľnosťou a bezpečnosťou.

Evaluation criteria Verbal classification
Informace k zadání

Zadanie hodnotím ako priemerne obtiažne, no komplexnejšie z hľadiska rozmanitých technológií, ktoré sa v ňom museli použiť (blockchain, smart kontrakty, Web2/Web3 autentizácia, implementácia DApps). Z môjho pohľadu bolo splnené vo všetkých bodoch.

Práce s literaturou

Študent si študijné pramene získaval samostatne na základe vlastného uváženia ale aj na základe doporučení vedúceho.

Aktivita během řešení, konzultace, komunikace

Aktivita behom tvorby práce bola na primeranej úrovni. Na schôdzky chodil študent pripravený a podával informácie o stave práce. Na pripomienky študent vždy reagoval.

Aktivita při dokončování

Práca bola dokončená v predstihu a bola aj konzultovaná.

Publikační činnost, ocenění

Publikačná činnosť nie je známa.

Points proposed by supervisor: 85

Grade proposed by supervisor: B

Reviewer’s report
Ing. Richard Gazdík

Práca solídne spĺňa požiadavky zadania a obsahuje hodnotný prvok v podobe threat model analýzy. Hlavnými obmedzeniami sú podpriemerný rozsah textovej časti, stručná implementačná dokumentácia a malý počet respondentov v používateľskej štúdii. Hodnotenie C odráža prácu, ktorá napĺňa zadanie, no nepresahuje ho a v niektorých oblastiach zostáva pod úrovňou očakávaní pre daný rozsah.

Evaluation criteria Verbal classification Points
Náročnost zadání

Evaluation level: průměrně obtížné zadání

Cieľom tejto bakalárskej práce bolo implementovať aspoň dva typy vstavaných kryptopeňaženiek ako decentralizované aplikácie, vykonať používateľskú štúdiu zameranú na ich použiteľnosť a výsledky diskutovať z pohľadu bezpečnosti. Zadanie hodnotím ako priemerne náročné.

Prezentační úroveň technické zprávy

Práca je logicky štruktúrovaná a dobre čitateľná. Zaradenie kapitoly o bezpečnostnej analýze (threat model) predstavuje hodnotný prínos. Architektonické diagramy pre obe peňaženky sú prehľadné. Slabšou stránkou je relatívna stručnosť implementačnej kapitoly, obsahuje málo technických detailov o konkrétnych rozhodnutiach pri implementácii. Výsledky používateľskej štúdie sú prezentované prevažne opisne bez grafickej vizualizácie dát. Záver práce je krátky a mohol by lepšie objasniť hlavné zistenia.

70
Formální úprava technické zprávy

Anglický text je gramaticky na dobrej úrovni a plynulý, s len drobnými nepresnosťami, ktoré nenarúšajú čitateľnosť. Autor správne deklaruje použitie AI nástrojov na jazykovú úpravu.

90
Realizační výstup

Boli implementované dve funkčné webové aplikácie v TypeScript/Next.js testované na Ethereum Sepolia testnete. Kód je dobre štruktúrovaný a validácia vstupov je v oboch prípadoch na dobrej úrovni. Súčasťou odovzdania je samostatná implementačná dokumentácia s inštrukciami na spustenie cez Docker aj manuálne. Realizačným výstupom bola aj používateľská štúdia, ktorá bola však vykonaná na veľmi malej vzorke štyroch respondentov, čo výrazne obmedzuje výpovednú hodnotu získaných výsledkov.

80
Využitelnost výsledků

Teoretická časť konsoliduje existujúce poznatky štandardným spôsobom. Praktický prínos spočíva v implementácii dvoch kontrastných architektúr peňaženiek a v threat model analýze, ktorá je pre prácu tohto rozsahu nadštandardným prínosom. Používateľská štúdia so štyrmi respondentmi má limitovanú štatistickú váhu, no jej kvalitatívne pozorovania sú relevantné.

Rozsah splnění požadavků zadání

Evaluation level: zadání splněno

Všetkých šesť bodov zadania bolo splnených. Teoretický základ je spracovaný v kapitolách 2 a 3. Bod 3 bol splnený implementáciou dvoch funkčných DApps: EOA peňaženky s OTP autentifikáciou cez platformu Privy a peňaženky s Account Abstraction a passkey autentifikáciou cez platformu Thirdweb. Používateľská štúdia so štyrmi respondentmi pokrýva scenáre prihlásenia, odoslania transakcie a obnovy prístupu. Body 5 a 6 sú adresované v kapitole 6, ktorá prináša threat model analýzu pre obe architektúry a návrhy budúcich rozšírení.

Rozsah technické zprávy

Evaluation level: splňuje pouze minimální požadavky

Rozsah práce sa pohybuje okolo 50 normostrán, čo síce spĺňa minimálne požiadavky na rozsah, ale nespadá do kategórie pre obvyklého rozsahu práce. Kapitoly Návrh a Implementácia by si každá zaslúžila vlastnú kapitolu, v aktuálnom znení práce zdieľajú jednu spoločnú a sú príliš krátke, dokopy na 5 strán. Naopak kapitola používateľskej štúdie je podľa mňa spracovaná kvalitne.

Práce s literaturou

Bibliografiu tvorí 38 zdrojov, pričom sú zastúpené recenzované príspevky (IEEE ICBC, NIST), no ich podiel je nižší. Komerčná dokumentácia a webové zdroje (Privy, Thirdweb, Strike, Trezor) tvoria značnú časť bibliografie, čo je však pri práci priamo implementujúcej tieto platformy prirodzené a nevyhnutné, študent pracoval s ich SDK a dokumentáciou, ktorú správne cituje.

90
Topics for thesis defence:
  1. Vo vašej threat model analýze identifikujete kompromitáciu emailového účtu ako kritickú hrozbu pre Privy peňaženku. Akú konkrétnu mitigáciu by ste odporučili priamo na úrovni implementácie aplikácie, teda niečo, čo môže ovplyvniť vývojár, nie len koncový používateľ?
  2. Vaša používateľská štúdia mala štyroch respondentov. Ako by ste zmenili dizajn štúdie, keby ste mali k dispozícii 30 účastníkov? Aké kvantitatívne metódy a štatistické testy by ste použili na porovnanie oboch peňaženiek?
  3. Passkey peňaženka cez Thirdweb bola v štúdii vnímaná ako menej intuitívna, no bezpečnejšia. Ako by ste konkrétne upravili používateľské rozhranie alebo onboarding flow, aby sa tento vnímaný rozdiel zmenšil bez zníženia bezpečnosti?
Points proposed by reviewer: 78

Grade proposed by reviewer: C

Responsibility: Mgr. et Mgr. Hana Odstrčilová