Мультисиг — это не опция для параноиков, а стандарт для любого обменника, у которого есть деньги на кону. Один скомпрометированный ключ при стандартной схеме равен потере всего. Мультисиг меняет математику риска.
Что такое мультисиг и почему это важно именно обменнику
Мультиподпись (multisig) — схема, при которой для подтверждения транзакции требуется не один ключ, а несколько. Стандартная формула: 2-of-3 или 3-of-5. Это значит, что для отправки средств нужно два из трёх ключей, хранящихся у разных людей или на разных устройствах.
Для обменника это принципиально. У вас одновременно работают горячий кошелёк, резервный счёт, возможно несколько сетей. Каждый из них — потенциальная точка входа для атаки. Если один ключ уйдёт к злоумышленнику — при стандартном кошельке это конец. При мультисиг — злоумышленник получает только часть пазла.
Как это работает на практике
Представьте замок с тремя разными ключами, для открытия которого нужны любые два. Один ключ — у директора, второй — у технического директора, третий — в аппаратном устройстве в сейфе. Хакер взламывает ноутбук директора. Он получает один ключ. Но отправить деньги не может — ему нужен второй.
Технически мультисиг реализован на уровне блокчейна: Bitcoin поддерживает его нативно через P2SH/P2WSH, Ethereum — через смарт-контракты (Gnosis Safe — самый распространённый вариант). Для обменника важно выбрать схему под свои активы.
Схемы мультисиг: какую выбрать
- 2-of-2 — максимальная защита, но риск потери доступа: если один подписант недоступен, деньги заморожены. Для горячего кошелька не подходит.
- 2-of-3 — золотой стандарт. Два из трёх ключей дают гибкость и защиту. Подходит для большинства обменников.
- 3-of-5 — для крупных объёмов и командной работы. Выше защита, выше операционная сложность.
Обменник с оборотом до $500К в месяц: схема 2-of-3 с двумя аппаратными кошельками (Ledger, Trezor) и одним программным резервом в офлайн-среде — разумный минимум.
Операционные риски, о которых не пишут в туториалах
Мультисиг защищает от внешних атак — но не от внутренних ошибок. Три типичных провала:
- Потеря seed-фраз. Если два из трёх ключей утрачены физически, средства заблокированы навсегда. Хранить seed-фразы нужно в разных физических локациях, не в облаке.
- Один человек контролирует все ключи. Вся идея мультисиг рушится, если IT-специалист генерирует и хранит все три ключа. Разделение обязательно.
- Задержки при топапе горячего кошелька. Мультисиг требует времени на согласование. Нужен чёткий регламент — кто, как и в какое время подписывает.
Когда мультисиг не поможет
Честный ответ: мультисиг не защищает от компрометации смарт-контракта (Ethereum), от ошибки в адресе получателя и от социальной инженерии, направленной сразу на двух подписантов. Если злоумышленник убедил одного подписанта провести тестовую транзакцию, а потом под предлогом срочности давит на второго — схема не поможет.
Мультисиг — это технический слой защиты, а не замена политике безопасности.
С чего начать внедрение
- Определить холодный резерв — средства, которые не участвуют в ежедневном обороте. Именно его перевести на мультисиг в первую очередь.
- Выбрать схему (2-of-3 для начала), сгенерировать ключи на разных устройствах в офлайне.
- Прописать регламент: кто держит какой ключ, как происходит подписание, что делать, если один подписант недоступен.
- Протестировать малую сумму — отправить и принять до перевода основных средств.
Вывод
Мультисиг не делает кошелёк неуязвимым, но он делает компрометацию одного ключа не катастрофой. Для обменника с реальным оборотом — это не усложнение, а разумная норма. Чем раньше внедрить схему, тем меньше шансов однажды считать потери.
Тем, кто строит или масштабирует собственный обменник, стоит изучить iEXWallet — собственный криптокошелёк для обменника без комиссии посреднику.



