Мультисиг-кошелёк — это хранилище криптовалюты, которое требует сразу нескольких подписей для одобрения транзакции. Представьте банковский сейф с двумя замками: открыть его можно только двумя ключами одновременно. Для обменника схема 2-of-3 — это не роскошь, а разумный минимум: даже если один ключ скомпрометирован, средства остаются в безопасности.
Почему обычный кошелёк — это риск для бизнеса
Один приватный ключ — одна точка отказа. Взломан компьютер оператора, украден телефон с приложением, уволился ключевой сотрудник — и весь баланс доступен злоумышленнику за секунды. Обменники теряют средства именно так: не через сложные атаки, а через банальную утечку одного ключа.
Мультисиг решает это структурно. Каждый ключ хранится в другом месте, у другого человека или на другом устройстве. Чтобы вывести деньги, нужно задействовать хотя бы два из трёх ключей одновременно. Один скомпрометированный — ничего не происходит.
Как работает схема 2-of-3 на практике
В схеме 2-of-3 создаётся три ключа, любые два из которых могут подписать транзакцию. Классическое распределение для небольшого обменника выглядит так:
- Ключ 1 — операционный: хранится на горячем устройстве оператора для ежедневных транзакций.
- Ключ 2 — резервный: хранится на аппаратном кошельке (Ledger, Trezor) у второго сотрудника или совладельца.
- Ключ 3 — аварийный: хранится в холодном хранении — зашифрованный файл в банковской ячейке или у нотариуса.
В обычной работе используются ключи 1 и 2. Если оператор теряет доступ к первому — вступает в действие комбинация 2+3. Ни один одиночный сбой не останавливает бизнес.
Три ошибки, которые перечёркивают всю схему
Большинство операторов допускают одни и те же три слабых места — и каждое из них уничтожает смысл мультисига.
- Все ключи на одном устройстве. Логика понятна: «всё в одном месте — удобно». Но это не мультисиг, а его имитация. Один взлом — и у атакующего все три ключа разом.
- Резервные seed-фразы рядом с ключами. Бумажный бэкап в том же сейфе, что и аппаратный кошелёк? Физическое проникновение даёт злоумышленнику всё необходимое за один визит.
- Восстановление не тестируется. Если схема не проверена — неизвестно, работает ли она вообще. Оптимальный ритм: полный тест восстановления раз в квартал. Занимает 20 минут и может однажды спасти весь баланс.
Когда мультисиг НЕ поможет
Честный ответ: мультисиг защищает от компрометации ключей, но не от всего. Он не спасёт, если оператор сам подпишет вредоносную транзакцию под давлением социальной инженерии. Не поможет, если на горячем устройстве стоит кейлоггер и атакующий ждёт, пока оператор введёт второй ключ. И не заменит чёткую политику безопасности внутри команды.
Мультисиг — это защита от ошибки одного человека или одного устройства. Этого достаточно, чтобы закрыть большинство реальных векторов атаки на небольшой обменник. Но это один слой безопасности, а не полная броня.
Вывод
Переход на мультисиг 2-of-3 — самый дешёвый и эффективный апгрейд безопасности, который оператор может сделать прямо сейчас. Никакого сложного кода, никаких дорогих сервисов: три ключа, три места хранения, одна чёткая политика. Сделайте это один раз — и перестаньте беспокоиться о том, что один взломанный ноутбук обнулит всё.
Для обменников, которым важна независимость от сторонних кастодианов и комиссий посредников, создана платформа iEXWallet — собственный некастодиальный кошелёк в составе движка обменника.
