Мультиподпись кошелька — схема, при которой для отправки средств нужны подписи нескольких ключей одновременно. Для обменника это один из немногих практических инструментов, которые реально снижают последствия взлома сервера или утечки одного из ключей. Разбираем, как это работает и с чего начать.
Что такое мультиподпись и зачем она обменнику
Мультиподпись (multisig) — это не просто «сложный пароль», а другая архитектура контроля над кошельком. Вместо одного приватного ключа кошелёк требует M подписей из N возможных — например, 2 из 3 или 3 из 5.
Для обменника это важно по одной простой причине: горячий кошелёк всегда под нагрузкой. Деньги движутся постоянно, ключ хранится где-то на сервере — и если злоумышленник получит к нему доступ, без мультиподписи он заберёт всё. Со схемой 2-of-3 один скомпрометированный ключ — ещё не катастрофа.
Схемы 2-of-3 и 3-of-5: что выбрать
Самая распространённая схема для малого обменника — 2-of-3: три ключа, любые два из них дают право на транзакцию. Один ключ — на рабочем сервере (для автоматики), второй — у владельца на hardware-кошельке, третий — в холодном хранилище или у доверенного партнёра.
Схема 3-of-5 нужна там, где суммы крупнее и несколько операторов должны одобрять крупные выводы. Операционно сложнее, зато компрометация двух ключей ещё не даёт атакующему ничего.
- 2-of-3 — стартовая схема для большинства малых обменников.
- 3-of-5 — когда платформа масштабируется и появляется команда.
- 2-of-2 — жёсткий контроль, но риск потери доступа при сбое одного ключа.
Горячий, тёплый, холодный: куда применять мультиподпись
Не везде она одинаково удобна. Горячий кошелёк, обрабатывающий сотни транзакций в час, не выдержит требования трёх подписей — процесс встанет. Поэтому разумная схема выглядит так:
- Горячий кошелёк — минимальный баланс, жёсткий дневной лимит, аппаратное подтверждение для крупных выводов.
- Тёплый кошелёк — пополняет горячий по расписанию, схема 2-of-3, доступ вручную.
- Холодный резерв — 3-of-5, трогается только при критических ситуациях.
Разделение балансов между уровнями — отдельная задача, но без него мультиподпись закрывает только часть рисков.
Как настроить мультиподпись: первые шаги
Начните с выбора инструмента, который поддерживает нужный стандарт. Для Bitcoin это P2SH или P2WSH (native segwit multisig). Для Ethereum — смарт-контрактные кошельки вроде Safe (бывший Gnosis Safe). Для других сетей — смотрите документацию: не все протоколы поддерживают multisig нативно.
Три шага, без которых не стоит идти дальше:
- Определите схему и где физически будут храниться ключи.
- Сгенерируйте ключи на разных устройствах — в идеале на hardware-кошельках.
- Протестируйте транзакцию в тестовой сети до работы с реальными средствами.
Три ошибки, которые делают мультиподпись бесполезной
Первая — хранить ключи «в разных местах», которые на деле оказываются разными папками одного Google-аккаунта. Физически разные устройства в разных локациях — это не облачные директории.
Вторая — не проверять восстановление. Если один ключ потерян, нужно убедиться, что два оставшихся действительно позволяют вывести средства. Симуляция потери ключа раз в квартал — рутина, о которой обычно вспоминают слишком поздно.
Третья — забыть про seed-фразы. Мультиподпись не отменяет необходимость надёжно хранить резервные копии каждого ключа. Потеряете seed от двух из трёх — схема не поможет.
Вывод
Мультиподпись — не панацея, а один из слоёв защиты. Для обменника, у которого горячий кошелёк постоянно в работе, схема 2-of-3 на старте — разумный и реалистичный шаг. Главное: ключи действительно хранятся отдельно, восстановление протестировано, seed-копии в безопасности.
Если вы строите обменник и хотите управлять кошельками без посредников и скрытых комиссий — посмотрите на iEXWallet: собственное решение для обменников с гибким управлением балансами.
