Мультисиг — це межа між серйозним інцидентом і крахом бізнесу. Одна скомпрометована адреса у звичайному гаманці означає втрату всього. Мультипідпис змінює цю рівність.
Що таке мультисиг і чому це важливо для обмінника
Мультипідпис (multisig) — схема, коли для підтвердження транзакції потрібно декілька ключів. Найпоширеніша формула: 2-of-3 або 3-of-5. Щоб перевести кошти, потрібні будь-які два з трьох ключів, які зберігаються в різних людей або на різних пристроях.
Для обмінника це не абстрактна теорія. Гарячий гаманець, резервний рахунок, кілька мереж — кожен з них є потенційною точкою входу. При звичайному гаманці один вкрадений ключ — катастрофа. При мультисиг — зловмисник отримує лише шматок головоломки.
Як це працює на практиці
Уявіть замок із трьома різними ключами, для відкриття якого потрібні будь-які два. Один ключ — у власника, другий — у технічного директора, третій — у сейфі на апаратному пристрої. Хакер зламав ноутбук власника і дістав один ключ. Але відправити гроші не може — потрібен другий.
Технічно: Bitcoin підтримує мультисиг нативно через P2SH/P2WSH, Ethereum — через смарт-контракти (Gnosis Safe — найпоширеніший варіант).
Яку схему мультисиг обрати
- 2-of-2: максимальна безпека, але жорсткий мінімум. Якщо один підписант недоступний — кошти заморожені. Для гарячого гаманця не підходить.
- 2-of-3: галузевий стандарт. Два з трьох ключів — поєднання безпеки та гнучкості. Підходить більшості обмінників.
- 3-of-5: для великих обсягів і командної роботи. Вища безпека, вища операційна складність.
Невеликий обмінник з обігом до $500 тис. на місяць: два апаратних гаманці (Ledger, Trezor) та один офлайн-резерв за схемою 2-of-3 — розумний мінімум.
Операційні ризики, про які не пишуть у гайдах
Мультисиг захищає від зовнішніх атак, але не від внутрішніх помилок. Три типові збої:
- Втрата seed-фраз. Якщо два з трьох ключів фізично знищені, кошти заблоковані назавжди. Зберігайте seed-фрази в різних фізичних місцях, ніколи — в хмарі.
- Одна людина контролює всі ключі. Якщо IT-спеціаліст генерує і зберігає всі три ключі — це профанація мультисигу. Реальне розділення обов'язкове.
- Затримки при поповненні гарячого гаманця. Підписання потребує координації. Потрібен чіткий регламент: хто, як і коли підписує.
Коли мультисиг не врятує
Чесно: мультисиг не захищає від вразливостей смарт-контрактів Ethereum, помилок у адресі одержувача та соціальної інженерії, спрямованої одночасно на двох підписантів. Якщо зловмисник переконав одного затвердити тестову транзакцію, а потім тисне на другого — схема не допоможе. Мультисиг — технічний шар, не заміна політиці безпеки.
З чого почати
- Визначте холодний резерв — кошти, що не беруть участі в щоденному обігу. Перенесіть їх на мультисиг першими.
- Оберіть схему (2-of-3 для початку), згенеруйте ключі на різних пристроях в офлайн-середовищі.
- Складіть регламент: хто тримає який ключ, як відбувається підписання, що робити, якщо підписант недоступний.
- Перевірте на невеликій сумі до переведення основних коштів.
Висновок
Мультисиг не робить гаманець невразливим, але робить компрометацію одного ключа пережитою, а не катастрофою. Для обмінника з реальним обігом — це базова норма. Чим раніше впровадити схему, тим менше шансів колись рахувати збитки.
Тим, хто будує або масштабує власний обмінник, варто ознайомитися з iEXWallet — власним криптогаманцем для обмінника без комісії посереднику.



