Перейти к основному контенту

Один пост с тегом "custody"

Digital asset custody solutions

Посмотреть все теги

Кастодиальное хранение цифровых активов для безопасного исполнения сделок с низкой задержкой в масштабе

· 11 мин чтения
Dora Noda
Dora Noda
Software Engineer

Как спроектировать стек хранения и исполнения, который работает на рыночной скорости без компромиссов в отношении рисков, аудита или соответствия нормативным требованиям.

Краткий обзор

Хранение и трейдинг больше не могут существовать в разных мирах. На современных рынках цифровых активов безопасное хранение клиентских активов — это лишь половина дела. Если вы не можете исполнять сделки за миллисекунды при изменении цен, вы теряете доходность и подвергаете клиентов неоправданным рискам, таким как максимальная извлекаемая стоимость (MEV), отказы контрагентов и операционные заторы. Современный стек кастодиального хранения и исполнения должен сочетать передовую безопасность с высокопроизводительной инженерией. Это означает интеграцию таких технологий, как многосторонние вычисления (MPC) и аппаратные модули безопасности (HSM) для подписания, использование механизмов политик и приватной маршрутизации транзакций для предотвращения опережающих сделок (front-running), а также использование инфраструктуры в режиме active/active с внебиржевыми расчетами для снижения рисков площадок и повышения эффективности капитала. Важно, что комплаенс не может быть надстройкой; такие функции, как потоки данных Travel Rule, неизменяемые журналы аудита и контроли, соответствующие стандартам вроде SOC 2, должны быть встроены непосредственно в конвейер транзакций.

Почему «скорость хранения» важна сейчас

Исторически кастодианы цифровых активов оптимизировались для одной основной цели: не потерять ключи. Хотя это остается фундаментальным требованием, запросы эволюционировали. Сегодня лучшее исполнение и целостность рынка стали столь же обязательными. Когда ваши сделки проходят через публичные мемпулы, искушенные участники могут видеть их, изменять их порядок или проводить «сендвич-атаки», чтобы извлечь прибыль за ваш счет. Это MEV в действии, и это напрямую влияет на качество исполнения. Скрытие конфиденциальных потоков ордеров от публичного просмотра с помощью приватных реле транзакций — мощный способ снизить это влияние.

В то же время риск торговых площадок остается постоянной проблемой. Концентрация больших балансов на одной бирже создает значительный риск контрагента. Сети внебиржевых расчетов обеспечивают решение, позволяя фирмам торговать с использованием кредитных линий, предоставленных биржами, в то время как их активы остаются в сегрегированном, защищенном от банкротства хранилище. Эта модель значительно повышает как безопасность, так и эффективность использования капитала.

Регуляторы также устраняют пробелы. Внедрение правила Travel Rule Группы разработки финансовых мер борьбы с отмыванием денег (FATF) и рекомендации таких органов, как IOSCO и Совет по финансовой стабильности, подталкивают рынки цифровых активов к принципу «те же риски — те же правила». Это означает, что кастодиальные платформы должны с самого начала строиться с учетом комплаенс-потоков данных и проверяемых механизмов контроля.

Цели проектирования (Как выглядит «хороший» результат)

Высокопроизводительный кастодиальный стек должен строиться вокруг нескольких основных принципов проектирования:

  • Задержка, которую можно планировать: Каждая миллисекунда от намерения клиента до трансляции в сеть должна измеряться, управляться и контролироваться с соблюдением строгих целевых уровней обслуживания (SLO).
  • Исполнение, устойчивое к MEV: Конфиденциальные ордера должны по умолчанию маршрутизироваться через приватные каналы. Попадание в публичный мемпул должно быть осознанным выбором, а не неизбежностью.
  • Ключевой материал с реальными гарантиями: Закрытые ключи никогда не должны покидать свои защищенные границы, независимо от того, распределены ли они по сегментам MPC, хранятся в HSM или изолированы в доверенных средах исполнения (TEE). Ротация ключей, обеспечение кворума и надежные процедуры восстановления являются обязательными условиями.
  • Надежность в режиме active/active: Система должна быть устойчивой к сбоям. Это требует резервирования в нескольких регионах и у нескольких провайдеров как для RPC-узлов, так и для подписантов, дополненного автоматическими прерывателями (circuit breakers) и аварийными выключателями на случай инцидентов на площадках или в сети.
  • Compliance-by-construction (Соответствие по построению): Комплаенс не может быть второстепенной задачей. Архитектура должна иметь встроенные инструменты для данных Travel Rule, проверок AML/KYT и неизменяемых журналов аудита, при этом все средства контроля должны напрямую соответствовать признанным стандартам, таким как SOC 2 Trust Services Criteria.

Эталонная архитектура

Эта диаграмма иллюстрирует высокоуровневую архитектуру платформы хранения и исполнения, отвечающую этим целям.

graph LR A[Клиент / Приложение] --> B[API намерений] B --> C[Движок политик и рисков] C --> D[Оркестратор подписантов] C --> E[Сервисы комплаенса - Travel Rule, KYT, белые списки]

subgraph "Подписание" D --> S1[MPC-кластер - t-of-n] D --> S2[HSM] D --> S3[TEE - аттестовано] D --> S4[Управление ключами - стандарт FIPS] end

D --> R[Маршрутизатор исполнения] R --> PR[Приватные реле транзакций / Билдеры] R --> P1[Основной RPC] R --> P2[Резервный RPC] P1 --> N[Сеть / Валидаторы] P2 --> N

subgraph "Наблюдаемость" O1[Подписки на мемпул и блоки] O2[Пост-трейд сверка] O3[Неизменяемый лог аудита / SIEM / Отчетность] end

N --> O1 R --> O2 D --> O3 C --> O3

  • Движок политик и рисков является центральным привратником для каждой инструкции. Он оценивает всё — полезную нагрузку Travel Rule, лимиты скорости, оценки рисков адресов и требования к кворуму подписантов — перед доступом к любому ключевому материалу.
  • Оркестратор подписантов интеллектуально направляет запросы на подпись в наиболее подходящую плоскость управления для конкретного актива и политики. Это может быть:
    • MPC (Multi-Party Computation) с использованием схем пороговой подписи (таких как t-of-n ECDSA/EdDSA) для распределения доверия между несколькими сторонами или устройствами.
    • HSM (Hardware Security Modules) для аппаратного хранения ключей с детерминированными политиками резервного копирования и ротации.
    • Trusted Execution Environments (например, AWS Nitro Enclaves) для изоляции кода подписания и привязки ключей непосредственно к аттестованному, проверенному программному обеспечению.
  • Маршрутизатор исполнения отправляет транзакции по оптимальному пути. Он отдает предпочтение приватной отправке транзакций для крупных или чувствительных к информации ордеров, чтобы избежать опережающих сделок. Он переключается на публичную отправку при необходимости, используя отказоустойчивость RPC с несколькими провайдерами для поддержания высокой доступности даже во время перебоев в работе сети.
  • Слой наблюдаемости обеспечивает представление о состоянии системы в реальном времени. Он отслеживает мемпул и новые блоки через подписки, сверяет исполненные сделки с внутренними записями и фиксирует неизменяемые записи аудита для каждого решения, подписи и трансляции.

Компоненты безопасности (и почему они важны)

  • Пороговые подписи (MPC): Эта технология распределяет контроль над закрытым ключом таким образом, что ни одна машина — или человек — не может в одностороннем порядке переместить средства. Современные протоколы MPC позволяют реализовать быстрое и защищенное от вредоносных действий подписание, которое подходит для бюджетов задержек в промышленной эксплуатации.
  • HSM и соответствие стандартам FIPS: HSM обеспечивают защиту ключей с помощью аппаратного обеспечения с защитой от вскрытия и задокументированных политик безопасности. Соответствие таким стандартам, как FIPS 140-3 и NIST SP 800-57, предоставляет проверяемые и общепринятые гарантии безопасности.
  • Аттестованные TEE: Доверенные среды исполнения (Trusted Execution Environments) привязывают ключи к конкретному, верифицированному коду, работающему в изолированных анклавах. Используя службу управления ключами (KMS), вы можете создавать политики, которые передают ключевой материал только этим аттестованным рабочим нагрузкам, гарантируя, что подписывать может только одобренный код.
  • Приватные реле для защиты от MEV: Эти сервисы позволяют отправлять конфиденциальные транзакции напрямую билдерам блоков или валидаторам, минуя публичный мемпул. Это значительно снижает риск фронтраннинга и других форм MEV.
  • Внебиржевые расчеты (Off-Exchange Settlement): Эта модель позволяет хранить залог в сегрегированном хранилище, одновременно торгуя на централизованных площадках. Это ограничивает риск контрагента, ускоряет взаимозачет и высвобождает капитал.
  • Контроли, сопоставленные с SOC 2 / ISO: Документирование и тестирование операционных контролей на соответствие признанным фреймворкам позволяет клиентам, аудиторам и партнерам доверять вашей безопасности и комплаенсу, а также независимо проверять их.

Стратегия минимизации задержек: куда уходят миллисекунды

Для достижения низкого времени исполнения транзакций необходимо оптимизировать каждый этап их жизненного цикла:

  • Интент → Решение по политике: Держите логику оценки политик «горячей» в оперативной памяти. Кэшируйте данные KYT (Know-Your-Transaction) и белых списков с короткими ограниченными значениями времени жизни (TTL) и, по возможности, заранее вычисляйте кворумы подписантов.
  • Подписание: Используйте постоянные сессии MPC и дескрипторы ключей HSM, чтобы избежать задержек на холодный старт. Для TEE закрепляйте анклавы, прогревайте пути аттестации и повторно используйте сессионные ключи там, где это безопасно.
  • Трансляция: Отдавайте предпочтение постоянным соединениям WebSocket с RPC-узлами вместо HTTP. Размещайте свои сервисы исполнения в тех же регионах, где находятся ваши основные RPC-провайдеры. При скачках задержки делайте идемпотентные повторные попытки и дублируйте трансляцию через нескольких провайдеров.
  • Подтверждение: Вместо постоянного опроса статуса транзакции подпишитесь на квитанции (receipts) и события напрямую из сети. Направляйте эти изменения состояния в конвейер сверки для немедленной обратной связи с пользователем и внутреннего учета.

Установите строгие SLO для каждого этапа (например, проверка политики < 20 мс, подписание < 50–100 мс, трансляция < 50 мс при нормальной нагрузке) и обеспечивайте их соблюдение с помощью бюджетов ошибок и автоматического переключения при деградации задержек p95 или p99.

Риск и комплаенс на этапе проектирования

Современный стек кастодиального хранения должен рассматривать комплаенс как неотъемлемую часть системы, а не как надстройку.

  • Оркестрация Travel Rule: Генерируйте и проверяйте данные отправителя и получателя в режиме реального времени при каждой инструкции по переводу. Автоматически блокируйте или перенаправляйте транзакции с участием неизвестных поставщиков услуг виртуальных активов (VASP) и регистрируйте криптографические подтверждения каждого обмена данными для целей аудита.
  • Риск адресов и белые списки: Интегрируйте ончейн-аналитику и списки санкционных проверок напрямую в механизм политик. Применяйте принцип «запрет по умолчанию», когда переводы разрешены только на адреса из белых списков или в рамках конкретных исключений из политик.
  • Неизменяемый аудит: Хешируйте каждый запрос, одобрение, подпись и трансляцию в журнал, работающий только на добавление. Это создает защищенный от несанкционированного доступа аудиторский след, который можно передавать в SIEM для обнаружения угроз в реальном времени и предоставлять аудиторам для тестирования контролей.
  • Структура контроля: Сопоставьте каждый технический и операционный контроль с критериями доверия SOC 2 (безопасность, доступность, целостность обработки, конфиденциальность и приватность) и внедрите программу непрерывного тестирования и валидации.

Внебиржевые расчеты: безопасное взаимодействие с площадками

Стек кастодиального хранения, созданный для институционального масштаба, должен активно минимизировать риски, связанные с биржами. Сети внебиржевых расчетов являются ключевым инструментом для этого. Они позволяют фирме хранить активы в собственном сегрегированном хранилище, в то время как биржа зеркалирует этот залог для мгновенной торговли. Окончательный расчет происходит с фиксированной периодичностью с гарантиями, аналогичными принципу «поставка против платежа» (DvP).

Такая архитектура радикально сокращает использование «горячих кошельков» и связанные с ними риски контрагента, сохраняя при этом скорость, необходимую для активной торговли. Она также повышает эффективность капитала, так как вам больше не нужно избыточно финансировать неиспользуемые балансы на нескольких площадках, и упрощает управление операционными рисками, сохраняя залог сегрегированным и полностью проверяемым.

Контрольный список (скопируйте в свой регламент)

  • Кастодиальное хранение ключей
    • Использование MPC с порогом t-of-n в независимых доменах доверия (например, мультиоблако, локальные серверы, HSM).
    • Использование модулей, прошедших валидацию FIPS, где это возможно; наличие планов ежеквартальной ротации ключей и перевыпуска ключей в случае инцидентов.
  • Политики и утверждения
    • Внедрение динамического механизма политик с лимитами оборота, поведенческой эвристикой и ограничениями по рабочему времени.
    • Требование подтверждения по принципу «четырех глаз» для высокорискованных операций.
    • Применение белых списков адресов и проверок Travel Rule перед любой операцией подписания.
  • Усиление исполнения
    • Использование приватных реле транзакций по умолчанию для крупных или чувствительных ордеров.
    • Использование двух RPC-провайдеров с балансировкой на основе их состояния и надежной защитой от повторного воспроизведения.
  • Мониторинг и реагирование
    • Внедрение обнаружения аномалий в режиме реального времени для частоты интентов, отклонений цен на газ и неудачных включений транзакций.
    • Наличие функции экстренного отключения (kill-switch) одним кликом для заморозки всех подписантов для конкретного актива или площадки.
  • Комплаенс и аудит
    • Ведение неизменяемого журнала событий для всех действий в системе.
    • Проведение непрерывного тестирования контролей в соответствии с SOC 2.
    • Обеспечение надежного хранения всех доказательств соблюдения Travel Rule.

Примечания по внедрению

  • Люди и процессы превыше всего: Технологии не могут исправить неопределенные политики авторизации или неясную ответственность за дежурство (on-call). Четко определите, кто уполномочен изменять политику, обновлять код подписанта (signer code), проводить ротацию ключей и одобрять исключения.
  • Минимизируйте сложность там, где это возможно: Каждая новая интеграция блокчейна, моста или площадки (venue) добавляет нелинейный операционный риск. Добавляйте их обдуманно, с четким тестовым покрытием, мониторингом и планами отката.
  • Тестируйте как злоумышленник: Регулярно проводите учения по хаос-инжинирингу. Симулируйте потерю подписанта, сбои аттестации анклава, зависание мемпулов, ограничение API площадок и некорректные данные Travel Rule, чтобы убедиться в устойчивости вашей системы.
  • Докажите это: Отслеживайте KPI, которые действительно важны для ваших клиентов:
    • Время до трансляции (time-to-broadcast) и время до первого подтверждения (p95/p99).
    • Процент транзакций, отправленных через MEV-безопасные маршруты, по сравнению с публичным мемпулом.
    • Использование площадок и повышение эффективности обеспечения за счет использования внебиржевых расчетов (off-exchange settlement).
    • Метрики эффективности контроля, такие как процент переводов с полными данными Travel Rule и скорость закрытия результатов аудита.

Итог

Кастодиальная платформа, достойная институциональных потоков, работает быстро, подтверждает свои средства контроля и ограничивает контрагентские и информационные риски — и все это одновременно. Для этого требуется глубоко интегрированный стек, построенный на MEV-ориентированной маршрутизации, подписании на базе аппаратных средств или MPC, инфраструктуре active/active и внебиржевых расчетах, которые обеспечивают безопасность активов при доступе к глобальной ликвидности. Объединив эти компоненты в единый, отлаженный конвейер, вы обеспечиваете то, что институциональные клиенты ценят больше всего: уверенность на скорости.