Горячий и холодный кошелёк для обменника: как правильно разделить средства

iEXExchanger
Горячий и холодный кошелёк для обменника: как правильно разделить средства

Горячий кошелёк удобен, но держать в нём все резервы обменника — прямой путь к потере при взломе. Разбираем, как грамотно разделить крипту между горячим и холодным хранилищем без потери скорости.

Холодный кошелёк для обменника — не параноя, а базовая мера безопасности, которую многие откладывают до первого инцидента. Большинство небольших сервисов держат почти все резервы в горячих кошельках: деньги должны быть под рукой, пока клиент ждёт выплату. Но если сервер скомпрометирован — уходит всё. Ниже о том, как грамотно разделить средства между горячим и холодным хранилищем и при этом не потерять в скорости обслуживания.

Почему горячий кошелёк — это постоянный риск

Горячий кошелёк подключён к интернету круглосуточно. Скрипт сам отправляет выплаты без вашего участия — удобно. Но у этого удобства есть цена: закрытые ключи хранятся на сервере, и любой, кто получит к нему доступ — через уязвимость в ПО, слитый пароль или компрометацию хостера — получает и сами ключи вместе со всеми средствами.

Это не теоретический сценарий. Большинство взломов криптобирж и обменников сводились именно к компрометации горячего хранилища. Холодный кошелёк — физически изолированный от сети — такую атаку делает бессмысленной: ключа в досягаемости попросту нет.

Сколько держать в горячем, сколько в холодном

Универсального процента не существует — он зависит от среднего объёма выплат за 6–12 часов плюс разумный буфер. Логика простая: горячий кошелёк должен покрывать пиковую нагрузку без ручного вмешательства, но ни монетой больше.

Хороший ориентир для начинающего обменника: 10–15% резервов в горячем, остальное в холодном. Если ваш сервис за сутки выплачивает максимум 2 BTC, держать в горячем 20 BTC — избыточный риск без какой-либо пользы. При росте оборота настройте пороговое уведомление и пополняйте горячий кошелёк небольшими траншами вручную — это занимает 5–10 минут и делается раз в день или реже.

Какой холодный кошелёк выбрать для обменного бизнеса

Три рабочих подхода — у каждого свои плюсы и ограничения.

  • Аппаратный кошелёк (Ledger, Trezor). Надёжно, понятно, с открытым исходным кодом прошивки. Минус — неудобно при большом числе монет: каждое пополнение требует ручной операции с устройством.
  • Air-gapped компьютер. Полностью отключённый от сети ноутбук с установленным кошельком. Дешевле аппаратного, гибче по поддерживаемым сетям. Требует жёсткой дисциплины: никаких флешек с непроверенными файлами, никакого Wi-Fi — вообще никогда.
  • Мультисиг (multisig). Транзакцию подписывают несколько ключей, хранящихся в разных местах. Идеально для команды, где ни один человек не должен иметь единоличный контроль над резервами.

Для небольшого одиночного обменника аппаратный кошелёк или air-gapped машина — достаточный уровень защиты. Мультисиг оправдан, когда в бизнесе несколько совладельцев или когда суточный оборот измеряется шестизначными суммами.

Как устроен процесс пополнения горячего кошелька

Схема выглядит так: баланс горячего кошелька опускается до порогового значения → оператор получает уведомление → вручную формирует транзакцию пополнения → подписывает её на изолированном устройстве → транслирует в сеть. Это 5–10 минут работы.

Автоматизировать саму подпись не стоит. Как только закрытый ключ становится доступен программе, он фактически превращается в горячий — со всеми вытекающими рисками. Ручное подписание — не архаика, это последний рубеж защиты.

Мультисиг: когда нужен, а когда — лишняя сложность

Мультиподпись — схема, при которой перевод требует согласия нескольких ключей: например, 2 из 3. Звучит как идеальное решение, но есть нюанс: если один ключ потерян без бэкапа, средства заморожены навсегда. Настроить мультисиг правильно для нескольких монет сложнее, чем кажется на первый взгляд.

Мультисиг реально нужен в двух случаях: несколько совладельцев с реальными полномочиями над средствами, или юрисдикция требует раздельного контроля по нормам AML/compliance. В остальных ситуациях хорошо настроенный air-gapped кошелёк с надёжными бэкапами — не менее защищённое решение при значительно меньших сложностях.

Три ошибки, которые встречаются чаще всего

  • Seed-фраза хранится рядом с устройством. Если кошелёк и фраза изъяты вместе — вся защита обнуляется мгновенно.
  • Единственная копия бэкапа. Пожар, потоп, кража — любое из этих событий уничтожает доступ к средствам навсегда. Минимум две копии в разных физических местах.
  • Бэкап никогда не проверялся. Перед тем как перевести реальные средства, убедитесь: вы можете восстановить доступ по seed-фразе на чистом устройстве. Непроверенный бэкап — это иллюзия безопасности.

Вывод

Разделение средств между горячим и холодным хранилищем кажется необязательным ровно до первого инцидента. Правило простое: в горячем — ровно столько, сколько нужно для бесперебойной работы; всё остальное — изолировать.

Если вы строите обменник с нуля или хотите снизить зависимость от сторонних кошельков с их комиссиями, присмотритесь к iEXWallet — собственному кошельку для обменного бизнеса без посреднических сборов.

Вопросы и ответы

Частые вопросы по теме статьи

Что такое горячий и холодный кошелёк для обменника?

Горячий кошелёк подключён к интернету и используется для автоматических выплат клиентам — скрипт обменника должен иметь к нему постоянный доступ. Холодный изолирован от сети: закрытые ключи хранятся на отключённом устройстве или на бумаге. Он защищает основную часть резервов от удалённых атак, делая взлом через интернет практически невозможным.

Какой процент резервов держать в холодном хранилище?

Универсального ответа нет, но логика проста: в горячем кошельке должно быть ровно столько, чтобы покрыть пиковые выплаты за 12 часов плюс небольшой запас. Всё остальное — в холодном. Для большинства небольших обменников это означает 10–20% в горячем и 80–90% в холодном хранилище.

Нужен ли мультисиг для небольшого обменника?

Если вы работаете в одиночку, мультисиг — избыточное усложнение. Хорошо настроенный аппаратный кошелёк или air-gapped компьютер с надёжным бэкапом даёт сопоставимый уровень защиты. Мультисиг имеет смысл, когда в бизнесе несколько совладельцев и важно, чтобы ни один из них не мог распоряжаться средствами единолично.

Как часто нужно пополнять горячий кошелёк из холодного?

Зависит от объёма: небольшой обменник пополняет горячий кошелёк раз в несколько дней, крупный — ежедневно. Главное правило: никогда не переводить сразу весь резерв, только необходимый транш. Настройте пороговое уведомление — и пополняйте только по сигналу, не держа лишних средств онлайн.

Что делать, если потерян доступ к холодному кошельку?

Если есть seed-фраза — доступ восстанавливается на любом совместимом устройстве. Именно поэтому seed нужно хранить отдельно от кошелька, в нескольких защищённых местах. Без seed-фразы и без бэкапа закрытого ключа средства недоступны навсегда — это принцип работы блокчейна, а не техническая неисправность.

Читают также

Мультисиг для обменника: как защитить горячий кошелёк без потери скорости
Кошельки

Мультисиг для обменника: как защитить горячий кошелёк без потери скорости

Мультисиг-кошелёк для обменника — не просто защита, а операционная архитектура. Разбираем, какие схемы подходят бизнесу, как автоматизировать подписание без задержек и каких ошибок чаще всего не избежать при переходе.

3 июня, 15:23
3 мин
Горячий и холодный кошелёк для обменника: как разделить средства
Кошельки

Горячий и холодный кошелёк для обменника: как разделить средства

Горячий кошелёк нужен для мгновенных выплат клиентам, холодный — для безопасного хранения резерва. Разбираем, как правильно разделить средства и какой схемы придерживаются опытные операторы обменников.

1 июня, 15:17
5 мин