Мультиподпись для криптообменника — это механизм, при котором для отправки средств требуется сразу несколько подписей. Для владельца обменника это не просто техническая деталь: один скомпрометированный ключ не откроет путь ко всему резерву. Разбираемся, как устроена схема, какой формат выбрать и на чём чаще всего спотыкаются при внедрении.
Почему один приватный ключ — слабое место
Стандартный горячий кошелёк работает по принципу «один ключ — полный доступ». На практике это значит: если ключ утёк с сервера, был перехвачен через фишинг или лежит у уволенного сотрудника — обменник теряет все средства. Никакого резервного времени, никакого «откатить». Именно из-за этого в отрасли случаются потери, которые принято называть взломами, хотя чаще это элементарная кража единственного секрета.
Добавьте сюда типичную архитектуру: горячий кошелёк подключён к API, сервер виден из интернета, ключ лежит в переменных окружения. Один CVE в зависимости или недосмотр в конфигурации — и уязвимость реализуется.
Как работает мультиподпись
Multisig строится по формуле M-of-N: из N участников нужно как минимум M подписей, чтобы транзакция прошла. Пока их не собрано — деньги не двигаются. Это не специфика одного блокчейна: схема поддерживается в Bitcoin (P2SH/P2WSH), Ethereum, TRON и большинстве крупных сетей.
Пример: у вас схема 2-of-3. Один ключ — на боевом сервере обменника, второй — у технического директора на hardware wallet, третий — в холодном хранилище как резерв. Для автоматических выплат нужна подпись сервера плюс подтверждение ТД. Если сервер взломан — транзакция не пройдёт без второго ключа. Злоумышленнику нужно скомпрометировать два из трёх участников одновременно.
2-of-3 или 3-of-5: что реально работает
Для большинства небольших и средних обменников 2-of-3 — разумный старт. Достаточно защиты, не слишком громоздкий процесс: автоматические выплаты по-прежнему возможны, если один из ключей на сервере, а второй в HSM или у доверенного лица.
Схема 3-of-5 имеет смысл, когда:
- в команде несколько операторов с финансовыми полномочиями;
- обменник работает в нескольких юрисдикциях с разными ответственными;
- оборот достаточно высок, чтобы обосновать более сложный процесс подписания.
Схему 2-of-2 лучше избегать: потеря одного ключа полностью блокирует кошелёк без возможности восстановления.
На что смотреть при внедрении
Главная ошибка — хранить все ключи на одном сервере. Технически это multisig, практически — нет. Смысл схемы теряется, если злоумышленник, получив доступ к машине, сразу забирает все три секрета.
Разумная схема распределения:
- один ключ — на изолированном сервере обменника (для автоматических транзакций);
- второй — на hardware wallet у ответственного лица, офлайн;
- третий — в зашифрованном холодном хранилище в другом физическом месте.
Отдельный момент — процедура подписания крупных выводов. Если обменник работает автоматически, имеет смысл разделить лимиты: мелкие транзакции подписывает сервер самостоятельно, крупные требуют ручного подтверждения второго ключа.
Где мультиподпись не спасёт
Честный момент: multisig не решает все проблемы безопасности обменника. Если злоумышленник одновременно получает контроль над несколькими подписантами — например, через социальную инженерию против всей команды — схема не поможет. Уязвимости в движке обменника, ошибки смарт-контрактов, баги в API — всё это за пределами того, что мультиподпись защищает. Она охраняет ключи, и только их.
Вывод
Мультиподпись — одна из немногих мер, которая реально поднимает стоимость атаки на обменник: злоумышленнику уже недостаточно скомпрометировать один узел. При этом она не требует переписывать архитектуру с нуля — достаточно правильно распределить ключи и выстроить процедуру подписания. Для бизнеса, который держит резервы в горячем кошельке, это не опция, а базовая гигиена.
Если вы строите или уже запускаете собственный обменник и ищете готовое решение с поддержкой современных стандартов безопасности, посмотрите на iEXWallet — собственный криптокошелёк для обменника без комиссии посреднику.
