18 постов с тегом "custody"

Подключите USB-кабель к телефону Nothing CMF Phone 1. Подождите 45 секунд. И уходите с сид-фразой от каждого горячего кошелька на устройстве.

Это не теоретическая модель угроз. Это живая демонстрация, опубликованная исследовательской группой Ledger Donjon 11 марта 2026 года, направленная против MediaTek Dimensity 7300 (MT6878) — 4-нм однокристальной системы (SoC), используемой примерно в четверти Android-телефонов по всему миру, и именно того чипа, на котором построен флагманский смартфон Solana Seeker. Уязвимость находится в загрузочном ПЗУ (boot ROM) чипа — коде, доступном только для чтения, который запускается еще до загрузки Android. Его невозможно исправить патчем. Его невозможно устранить обновлением ОС. Единственное решение — новый чип.

Для десятков миллионов пользователей, которые доверяют своему смартфону как криптокошельку, это момент, когда нарратив о «мобильном самостоятельном хранении» столкнулся с физикой кремния.

Что происходит, когда ИИ-агенту нужно за что-то заплатить? Раньше ответ был запутанным: встроить приватный ключ в код агента, надеяться, что модель его не утечёт, и вручную проверять каждую транзакцию. Agentic Wallet от Coinbase, запущенный в феврале 2026 года, предлагает принципиально иной ответ — и он может определить способ защиты следующих 100 миллиардов долларов в криптовалюте под управлением ИИ.

Ключевая идея обманчиво проста: агент никогда не должен касаться ключей. Но инженерные решения, необходимые для работы этого механизма в масштабе, представляют одно из самых важных архитектурных изменений в инфраструктуре Web3 со времён смарт-контрактов, разделивших логику и хранение ценности.

26 февраля 2026 года Национальная налоговая служба (NTS) Южной Кореи праздновала крупную победу в сфере правоприменения. Она провела обыски у 124 крупных неплательщиков налогов, конфисковав цифровые активы на сумму около 8,1 млрд вон (5,6 млн долларов). Ведомство с гордостью опубликовало пресс-релиз, сопроводив его фотографиями высокого разрешения конфискованных аппаратных кошельков Ledger.

Была лишь одна проблема. На одной из этих фотографий была запечатлена рукописная фраза восстановления — без какой-либо ретуши, в идеальном качестве и транслируемая на весь мир.

В течение нескольких часов 4 миллиона токенов Pre-Retogeum (PRTG) — номинальной стоимостью 4,8 млн долларов — были выведены. Затем, примерно через 20 часов, злоумышленник вернул их. Не из-за угрызений совести, а потому что ежедневный объем торгов токена составлял 332 доллара, и продать его было математически невозможно. Южную Корею выручила та самая неликвидность, которая изначально делала конфискацию экономически бессмысленной.

Этот инцидент одновременно забавный, постыдный и поучительный. А также это предупреждение. Поскольку правительства все чаще хранят миллиарды в конфискованной криптовалюте, разрыв между амбициями правоохранительных органов и компетентностью в вопросах хранения никогда не был таким огромным.

Анатомия PR-катастрофы на 4,8 млн долларов​

NTS хотела наглядных доказательств своей эффективности. Вместо того чтобы обрезать или заблюрить устройства Ledger, сотрудники опубликовали оригинальные фото прямо с места обыска. На одном снимке был запечатлен листок бумаги рядом с Ledger Nano — фраза восстановления, которую владелец, судя по всему, записал от руки и хранил вместе с устройством.

Позже ведомство принесло извинения, признав очевидное: "В стремлении предоставить более наглядную информацию мы не осознали, что была включена конфиденциальная информация, и по неосторожности предоставили оригинальное фото". Перевод: никто в пресс-службе не понимал, что 12-словная последовательность рядом с Ledger — это мастер-ключ, а не украшение.

Спустя несколько часов после публикации неизвестный злоумышленник восстановил кошелек. Ончейн-анализ показывает классическую последовательность действий:

1. Подготовка газа — злоумышленник перевел небольшое количество Ethereum на конфискованный кошелек для оплаты комиссий за транзакции.
2. Вывод — они перевели 4 миллиона токенов PRTG тремя транзакциями на внешний адрес.
3. Ожидание — затем ничего не произошло.

Потому что с этой добычей ничего нельзя было сделать.

Почему неликвидность спасла Корею​

PRTG, или Pre-Retogeum — это токен, о котором большинство людей никогда не слышало, и на то есть веская причина. Он торгуется ровно на одной централизованной бирже — MEXC — и его суточный объем торгов составляет примерно 332 доллара. Согласно CoinGecko, ордер на продажу всего на 59 долларов обрушил бы цену на 2 %.

Математика попытки обналичить 4,8 млн долларов при такой ликвидности выглядит мрачно. Даже если бы ликвидация растянулась на недели, злоумышленник:

• Продемонстрировал бы очевидные паттерны кражи команде комплаенса MEXC.
• Обрушил бы цену более чем на 90 % до того, как был бы реализован значимый объем.
• Сразу привлек бы внимание властей Южной Кореи, которые уже вели расследование.

Примерно через 20 часов после первоначального перевода злоумышленник сдался. Адрес, связанный с кошельком вора «86c12», отправил все 4 миллиона токенов PRTG обратно на исходные адреса. Пресс-релиз раскрыл мастер-ключ от хранилища, полного «игрушечных денег».

Если бы конфискованными токенами были Bitcoin, Ether или стейблкоин уровня Tier-1, средства бы исчезли. Такой же провал в операционной безопасности (OpSec) с USDT или ETH закончился бы 10-минутным микшированием через Tornado Cash и отсутствием каких-либо возвратных активов. Ужасный рынок PRTG стал случайной подушкой безопасности.

Это не первый случай​

В истории хранения криптовалют в Корее есть трещины, выходящие за рамки одного пресс-релиза. В 2021 году следователи полиции потеряли 22 BTC (стоимостью в миллионы по текущим ценам) из холодного кошелька, хранившегося в камере хранения вещдоков. Первопричина была та же: неправильное обращение с мнемоническими фразами, отсутствие политики мультисига (multi-sig) и цепочка хранения, в которой к крипте относились как к любому другому изъятому объекту.

Два инцидента с разницей в пять лет в двух разных правоохранительных ведомствах одной страны. Это системная проблема, а не просто неудачный день для пресс-службы NTS.

И Корея в этом не одинока. Правоохранительные органы по всему миру регулярно изымают аппаратные кошельки во время обысков — и почти ни у кого из них нет опубликованных внутренних стандартов для:

• Фотографирования улик без раскрытия данных для восстановления.
• Перевода конфискованных средств на контролируемые государством мультисиг-кошельки.
• Ротации хранения с оригинального оборудования на новые ключи.
• Ролевого доступа между криминалистами, прокурорами и казначейством.

Большинство агентств относятся к Ledger как к смартфону. Они упаковывают его в пакет, вешают бирку и подшивают к делу. Результатом является растущий системный риск по мере того, как объемы государственных криптовалютных запасов исчисляются миллиардами.

Разрыв между правоприменением и компетентностью в вопросах хранения​

Сравните инцидент с NTS и конфискацию Министерством юстиции США (DOJ) в ноябре 2025 года Bitcoin на сумму 15 миллиардов долларов — примерно 127 271 BTC, — связанных с операцией Prince Group по «забою свиней» (pig-butchering). Этот захват, крупнейший в истории Министерства юстиции, был осуществлен с использованием инструментов отслеживания Chainalysis, скоординированных международных ордеров и немедленного перевода на счета Казначейства, находящиеся под его контролем. Только компания Chainalysis за десятилетие помогла в сотнях государственных конфискаций, обеспечив сохранность незаконной крипты на сумму около 12,6 млрд долларов.

Правительство США сейчас удерживает около 198 012 BTC в рамках своей структуры стратегического резерва Bitcoin — примерно 18,3 млрд долларов по текущим ценам. Сальвадор владеет 7500 BTC, приобретенными напрямую. Бутан накопил около 6000 BTC за счет государственного майнинга. В совокупности правительства по всему миру сейчас владеют более чем 2,3 % всех биткоинов.

Операционный разрыв между сложными инструментами Министерства юстиции США и неразмытыми JPEG-файлами NTS — это не разница в уровне развития, а разница в том, разработал ли кто-то уже стандартные операционные процедуры. Многие ведомства до сих пор относятся к хранению криптовалюты как к упражнению в импровизации.

Этот разрыв становится критическим по мере роста суверенных запасов. Один провал в OpSec на уровне Минюста США — нескрытый хеш транзакции, раскрытый адрес холодного хранилища, плохая ротация подписантов — может привести к потере миллиардов, а не миллионов. А у биткоина нет «подушки безопасности» в виде неликвидности.

Как на самом деле выглядит профессиональное хранение​

Индустрия институционального хранения уже нашла ответы на вопросы, которые завели NTS в тупик. Современные стеки хранения для государственных и корпоративных нужд полагаются на:

• Мультиподпись с MPC — пороговая схема 3-из-5, где каждая доля ключа сама по себе защищена многосторонними вычислениями (MPC). Ни один подписант, устройство или скомпрометированный сотрудник не может переместить средства. Полный приватный ключ никогда не существует в одном месте.
• Автономное «холодное» хранение (Air-gapped) — изъятые активы немедленно переводятся на кошельки, чьи приватные ключи никогда не касались устройства, подключенного к интернету. Оригинальное оборудование становится уликой, а не активным инструментом подписи.
• Разделение ролей — технические специалисты занимаются хранением, прокуроры — документами, а назначенная казначейская служба подписывает транзакции. Ни одна роль не контролирует одновременно и ключи, и отчетность.
• Документация, защищенная от утечки улик — фотографии изъятых устройств редактируются прямо в камере, а не на этапе редакционной проверки. Стандартные операционные процедуры подразумевают, что любое изображение с кошельком в конечном итоге может попасть в сеть.

Ничто из этого не является экзотикой. Компании вроде Anchorage, BitGo, Fireblocks и растущий список кастодианов на базе MPC предлагают готовые решения государственного уровня. Технология не является узким местом. Проблема в институциональной дисциплине.

Уроки, которые переживут этот заголовок​

Инцидент с NTS выглядит забавным, потому что он закончился благополучно. Но он содержит четыре урока, которые регуляторы, правоохранительные органы и крипто-институты должны усвоить сейчас, пока ставки все еще измеряются миллионами, а не десятками миллиардов.

1. Стандартные операционные процедуры должны предполагать утечку фотоулик. Любое изображение рейда, содержащее аппаратный кошелек, должно быть отредактировано или исключено по умолчанию. PR-отделы не должны быть последней линией защиты криптографических секретов.

2. Изъятую криптовалюту необходимо немедленно ротировать. Как только активы восстановлены, их следует перевести на контролируемый правительством кошелек с мультиподписью и новыми ключами. Оригинальное оборудование становится уликой — оно никогда не должно оставаться активным устройством хранения после того, как факт рейда зафиксирован.

3. Неликвидность — это не стратегия безопасности. Корее повезло, потому что токены PRTG было невозможно быстро продать. Следующая утечка сид-фразы раскроет кошелек, полный ETH, USDC или SOL, и никакая глубина рынка не поможет вернуть эти средства.

4. Обучение сотрудников правоохранительных органов в сфере криптографии требует такой же строгости, как и обучение работе с вещдоками. Офицеры, фотографирующие изъятый автомобиль, случайно не публикуют VIN и ключи регистрации для широкой публики. Аналогичной дисциплины в отношении аппаратных кошельков в большинстве агентств пока не существует.

Инфраструктура для эпохи «после дилетантов»​

По мере того как правительства переходят от изъятия криптовалюты к ее хранению в качестве суверенных резервов, вся экосистема — а не только правоохранительные органы — должна выйти на новый уровень. Налоговым органам, судебным системам и национальным казначействам требуется инфраструктура институционального уровня: надежный мультичейн-доступ к данным для мониторинга изъятых адресов, высокодоступные сервисы нод для отправки транзакций и API аудиторского класса, которые создают неоспоримые записи о цепочке владения (chain-of-custody).

BlockEden.xyz предоставляет инфраструктуру блокчейн-API корпоративного уровня для более чем 27 сетей, созданную специально для требований комплаенса и надежности институционального хранения. Изучите наш маркетплейс API, если вы создаете инструменты, которые помогают серьезным кастодианам не стать героями следующего громкого заголовка.

Следующий раз будет хуже​

Утечка сид-фразы NTS запомнится как курьезный случай — инцидент, когда токен, о котором никто не слышал, защитил правительство от его собственной PR-команды. В следующий раз такой удачи не будет.

По мере роста суверенных запасов биткоина, миграции токенизированных активов в публичные чейны и превращения конфискаций в рутинные операции, риски от одной ошибки в операционной безопасности (OpSec) становятся колоссальными. Каждый фотограф, каждый стажер, каждый благонамеренный пресс-секретарь теперь является потенциальным вектором для кражи девятизначных сумм.

Ирония заключается в том, что проблема не в криптографии. Ledger справился со своей задачей. Ethereum справился со своей задачей. Блокчейн добросовестно выполнил перевод 4 миллионов токенов незнакомцу, именно так, как указал подписант. Провал был полностью человеческим — пресс-служба отнеслась к фразе из 12 слов как к элементу фотодекора.

Криптовалюте не нужны лучшие кошельки. Ей нужны лучшие привычки. И в 2026 году, когда правительства будут владеть 2,3 % всех биткоинов и миллиардами в других цифровых активах, окно для освоения этих привычек на глазах у публики стремительно закрывается.

Источники:

• South Korea probes $4.8 million crypto theft after tax seizure photo blunder — CoinDesk
• $4.8M in crypto stolen after Korean tax agency exposes wallet seed — BleepingComputer
• Ethereum Tokens Swiped, Returned After South Korean Tax Service Publishes Wallet Seed Phrases — Decrypt
• South Korea's tax office apologizes for password leak — The Register
• South Korean National Tax Service Exposes Ledger Wallet Seed — Rescana
• DOJ Seizes $15 Billion in Bitcoin — Chainalysis
• National Crypto Reserves Tracker — CCN
• Multi-Sig and MPC in Enterprise Crypto Custody in 2026 — ChainUp

15 апреля 2026 года публичный розничный брокер с 35 миллионами пользователей сделал то, чего не делал ни один из его коллег по Nasdaq: он купил компанию по разработке кошельков с самостоятельным хранением вместо того, чтобы создавать её. Приобретение компанией eToro израильского стартапа Zengo, разрабатывающего MPC-кошельки, за 70 млн долларов (преимущественно наличными) является самым четким сигналом того, что войны за хранение активов больше не ограничиваются форматом «Coinbase против Kraken». Теперь это «биржи против самостоятельного хранения», и биржи начинают хеджировать риски.

На протяжении семи лет общепринятое мнение на Уолл-стрит заключалось в том, что розничные брокеры монетизируют хранение. Модель бизнеса целиком строилась на взимании спредов с активов, которые пользователи не могли переместить. Чек на 70 млн долларов, выписанный на приобретение продукта, который намеренно выводит активы с баланса eToro, — это ставка в противоположном направлении. Это вера в то, что доходы от криптовалют в следующем десятилетии будут приносить пользователи, которые явно не хотят, чтобы их ключи хранил брокер.

Страховая компания с активами на 92 миллиарда долларов только что сделала ставку на то, что будущее южнокорейских государственных облигаций — в блокчейне. 15 апреля 2026 года Ripple и Kyobo Life Insurance — третий по величине страховщик жизни в Корее с примерно 5 миллионами клиентов и кредитным рейтингом A1 от Moody's — объявили о стратегическом партнерстве для пилотного проекта первых в стране расчетов по токенизированным государственным облигациям. Это не маркетинговый ход или эксперимент из любопытства к крипте. Это серьезное институциональное переосмысление того, как четвертая по величине экономика Азии проводит расчеты по суверенному долгу.

Основное обещание простое и в то же время радикальное: сократить цикл расчетов по облигациям в Корее с Т + 2 до атомарного исполнения почти в реальном времени. Два дня риска контрагента, сверки и замороженного оборотного капитала сжимаются в одну транзакцию в блокчейне. Для страховщика, который владеет казначейскими облигациями Кореи на миллиарды долларов в рамках сопоставления активов и обязательств, такая скорость — это не косметическое улучшение. Это структурное изменение способа размещения капитала.

Представьте себе рейд в квартиру человека, уклоняющегося от уплаты налогов, изъятие четырех аппаратных кошельков и последующую публикацию триумфального пресс-релиза с фотографией улик — на которой отчетливо видна сид-фраза кошелька. Теперь представьте, что вор опустошает кошелек в течение нескольких часов, возвращает токены в качестве предупреждения, а второй вор крадет их снова до того, как ваше ведомство успевает среагировать.

Это не мысленный эксперимент из крипто-Твиттера. Именно это произошло с Национальной налоговой службой (NTS) Южной Кореи в конце февраля 2026 года — оплошность, которая стоила правительству примерно 4,8 миллиона долларов в конфискованных токенах Pre-Retogeum (PRTG) и показала, насколько большинство государственных структур не готовы к хранению цифровых активов, которые они все чаще изымают.

Восемьдесят три дня. Столько времени потребовалось для того, чтобы федеральная банковская революция в сфере криптовалют прошла путь от нуля до одиннадцати. 2 апреля 2026 года Coinbase стала последней — и, возможно, самой значимой — криптокомпанией, получившей условное одобрение от Управления контролера денежного обращения (OCC) на получение чартера национального трастового банка. Этот шаг превращает крупнейшую американскую криптобиржу из платформы с лицензиями на уровне штатов в финансовое учреждение под федеральным надзором, и это сигнализирует о чем-то гораздо большем, чем просто регуляторный апгрейд одной компании.

Когда крупнейшие игроки традиционных финансов — Citadel Securities, Fidelity Digital Assets и Charles Schwab — коллективно поддерживают криптопроект, рынок обращает на это внимание. Когда же этот проект подает заявку на получение федеральной банковской лицензии, рынку стоит присмотреться максимально внимательно.

25 марта 2026 года компания EDX Markets подала заявку в Управление контролера денежного обращения (OCC) на регистрацию EDX Trust, National Association — нового (de novo) национального трастового банка в Чикаго, ориентированного исключительно на институциональное хранение и расчеты по цифровым активам. Заявка, обнародованная 1 апреля, представляет собой то, чего криптоиндустрия еще не видела: самые состоятельные игроки традиционных финансов строят свою собственную федерально регулируемую инфраструктуру для хранения криптовалют с нуля.

Как спроектировать стек хранения и исполнения, который работает на рыночной скорости без компромиссов в отношении рисков, аудита или соответствия нормативным требованиям.

Краткий обзор​

Хранение и трейдинг больше не могут существовать в разных мирах. На современных рынках цифровых активов безопасное хранение клиентских активов — это лишь половина дела. Если вы не можете исполнять сделки за миллисекунды при изменении цен, вы теряете доходность и подвергаете клиентов неоправданным рискам, таким как максимальная извлекаемая стоимость (MEV), отказы контрагентов и операционные заторы. Современный стек кастодиального хранения и исполнения должен сочетать передовую безопасность с высокопроизводительной инженерией. Это означает интеграцию таких технологий, как многосторонние вычисления (MPC) и аппаратные модули безопасности (HSM) для подписания, использование механизмов политик и приватной маршрутизации транзакций для предотвращения опережающих сделок (front-running), а также использование инфраструктуры в режиме active/active с внебиржевыми расчетами для снижения рисков площадок и повышения эффективности капитала. Важно, что комплаенс не может быть надстройкой; такие функции, как потоки данных Travel Rule, неизменяемые журналы аудита и контроли, соответствующие стандартам вроде SOC 2, должны быть встроены непосредственно в конвейер транзакций.

Почему «скорость хранения» важна сейчас​

Исторически кастодианы цифровых активов оптимизировались для одной основной цели: не потерять ключи. Хотя это остается фундаментальным требованием, запросы эволюционировали. Сегодня лучшее исполнение и целостность рынка стали столь же обязательными. Когда ваши сделки проходят через публичные мемпулы, искушенные участники могут видеть их, изменять их порядок или проводить «сендвич-атаки», чтобы извлечь прибыль за ваш счет. Это MEV в действии, и это напрямую влияет на качество исполнения. Скрытие конфиденциальных потоков ордеров от публичного просмотра с помощью приватных реле транзакций — мощный способ снизить это влияние.

В то же время риск торговых площадок остается постоянной проблемой. Концентрация больших балансов на одной бирже создает значительный риск контрагента. Сети внебиржевых расчетов обеспечивают решение, позволяя фирмам торговать с использованием кредитных линий, предоставленных биржами, в то время как их активы остаются в сегрегированном, защищенном от банкротства хранилище. Эта модель значительно повышает как безопасность, так и эффективность использования капитала.

Регуляторы также устраняют пробелы. Внедрение правила Travel Rule Группы разработки финансовых мер борьбы с отмыванием денег (FATF) и рекомендации таких органов, как IOSCO и Совет по финансовой стабильности, подталкивают рынки цифровых активов к принципу «те же риски — те же правила». Это означает, что кастодиальные платформы должны с самого начала строиться с учетом комплаенс-потоков данных и проверяемых механизмов контроля.

Цели проектирования (Как выглядит «хороший» результат)​

Высокопроизводительный кастодиальный стек должен строиться вокруг нескольких основных принципов проектирования:

• Задержка, которую можно планировать: Каждая миллисекунда от намерения клиента до трансляции в сеть должна измеряться, управляться и контролироваться с соблюдением строгих целевых уровней обслуживания (SLO).
• Исполнение, устойчивое к MEV: Конфиденциальные ордера должны по умолчанию маршрутизироваться через приватные каналы. Попадание в публичный мемпул должно быть осознанным выбором, а не неизбежностью.
• Ключевой материал с реальными гарантиями: Закрытые ключи никогда не должны покидать свои защищенные границы, независимо от того, распределены ли они по сегментам MPC, хранятся в HSM или изолированы в доверенных средах исполнения (TEE). Ротация ключей, обеспечение кворума и надежные процедуры восстановления являются обязательными условиями.
• Надежность в режиме active/active: Система должна быть устойчивой к сбоям. Это требует резервирования в нескольких регионах и у нескольких провайдеров как для RPC-узлов, так и для подписантов, дополненного автоматическими прерывателями (circuit breakers) и аварийными выключателями на случай инцидентов на площадках или в сети.
• Compliance-by-construction (Соответствие по построению): Комплаенс не может быть второстепенной задачей. Архитектура должна иметь встроенные инструменты для данных Travel Rule, проверок AML/KYT и неизменяемых журналов аудита, при этом все средства контроля должны напрямую соответствовать признанным стандартам, таким как SOC 2 Trust Services Criteria.

Эталонная архитектура​

Эта диаграмма иллюстрирует высокоуровневую архитектуру платформы хранения и исполнения, отвечающую этим целям.

graph LR A[Клиент / Приложение] --> B[API намерений] B --> C[Движок политик и рисков] C --> D[Оркестратор подписантов] C --> E[Сервисы комплаенса - Travel Rule, KYT, белые списки]

subgraph "Подписание" D --> S1[MPC-кластер - t-of-n] D --> S2[HSM] D --> S3[TEE - аттестовано] D --> S4[Управление ключами - стандарт FIPS] end

D --> R[Маршрутизатор исполнения] R --> PR[Приватные реле транзакций / Билдеры] R --> P1[Основной RPC] R --> P2[Резервный RPC] P1 --> N[Сеть / Валидаторы] P2 --> N

subgraph "Наблюдаемость" O1[Подписки на мемпул и блоки] O2[Пост-трейд сверка] O3[Неизменяемый лог аудита / SIEM / Отчетность] end

N --> O1 R --> O2 D --> O3 C --> O3

• Движок политик и рисков является центральным привратником для каждой инструкции. Он оценивает всё — полезную нагрузку Travel Rule, лимиты скорости, оценки рисков адресов и требования к кворуму подписантов — перед доступом к любому ключевому материалу.
• Оркестратор подписантов интеллектуально направляет запросы на подпись в наиболее подходящую плоскость управления для конкретного актива и политики. Это может быть:
  • MPC (Multi-Party Computation) с использованием схем пороговой подписи (таких как t-of-n ECDSA/EdDSA) для распределения доверия между несколькими сторонами или устройствами.
  • HSM (Hardware Security Modules) для аппаратного хранения ключей с детерминированными политиками резервного копирования и ротации.
  • Trusted Execution Environments (например, AWS Nitro Enclaves) для изоляции кода подписания и привязки ключей непосредственно к аттестованному, проверенному программному обеспечению.
• Маршрутизатор исполнения отправляет транзакции по оптимальному пути. Он отдает предпочтение приватной отправке транзакций для крупных или чувствительных к информации ордеров, чтобы избежать опережающих сделок. Он переключается на публичную отправку при необходимости, используя отказоустойчивость RPC с несколькими провайдерами для поддержания высокой доступности даже во время перебоев в работе сети.
• Слой наблюдаемости обеспечивает представление о состоянии системы в реальном времени. Он отслеживает мемпул и новые блоки через подписки, сверяет исполненные сделки с внутренними записями и фиксирует неизменяемые записи аудита для каждого решения, подписи и трансляции.

Компоненты безопасности (и почему они важны)​

• Пороговые подписи (MPC): Эта технология распределяет контроль над закрытым ключом таким образом, что ни одна машина — или человек — не может в одностороннем порядке переместить средства. Современные протоколы MPC позволяют реализовать быстрое и защищенное от вредоносных действий подписание, которое подходит для бюджетов задержек в промышленной эксплуатации.
• HSM и соответствие стандартам FIPS: HSM обеспечивают защиту ключей с помощью аппаратного обеспечения с защитой от вскрытия и задокументированных политик безопасности. Соответствие таким стандартам, как FIPS 140-3 и NIST SP 800-57, предоставляет проверяемые и общепринятые гарантии безопасности.
• Аттестованные TEE: Доверенные среды исполнения (Trusted Execution Environments) привязывают ключи к конкретному, верифицированному коду, работающему в изолированных анклавах. Используя службу управления ключами (KMS), вы можете создавать политики, которые передают ключевой материал только этим аттестованным рабочим нагрузкам, гарантируя, что подписывать может только одобренный код.
• Приватные реле для защиты от MEV: Эти сервисы позволяют отправлять конфиденциальные транзакции напрямую билдерам блоков или валидаторам, минуя публичный мемпул. Это значительно снижает риск фронтраннинга и других форм MEV.
• Внебиржевые расчеты (Off-Exchange Settlement): Эта модель позволяет хранить залог в сегрегированном хранилище, одновременно торгуя на централизованных площадках. Это ограничивает риск контрагента, ускоряет взаимозачет и высвобождает капитал.
• Контроли, сопоставленные с SOC 2 / ISO: Документирование и тестирование операционных контролей на соответствие признанным фреймворкам позволяет клиентам, аудиторам и партнерам доверять вашей безопасности и комплаенсу, а также независимо проверять их.

Стратегия минимизации задержек: куда уходят миллисекунды​

Для достижения низкого времени исполнения транзакций необходимо оптимизировать каждый этап их жизненного цикла:

• Интент → Решение по политике: Держите логику оценки политик «горячей» в оперативной памяти. Кэшируйте данные KYT (Know-Your-Transaction) и белых списков с короткими ограниченными значениями времени жизни (TTL) и, по возможности, заранее вычисляйте кворумы подписантов.
• Подписание: Используйте постоянные сессии MPC и дескрипторы ключей HSM, чтобы избежать задержек на холодный старт. Для TEE закрепляйте анклавы, прогревайте пути аттестации и повторно используйте сессионные ключи там, где это безопасно.
• Трансляция: Отдавайте предпочтение постоянным соединениям WebSocket с RPC-узлами вместо HTTP. Размещайте свои сервисы исполнения в тех же регионах, где находятся ваши основные RPC-провайдеры. При скачках задержки делайте идемпотентные повторные попытки и дублируйте трансляцию через нескольких провайдеров.
• Подтверждение: Вместо постоянного опроса статуса транзакции подпишитесь на квитанции (receipts) и события напрямую из сети. Направляйте эти изменения состояния в конвейер сверки для немедленной обратной связи с пользователем и внутреннего учета.

Установите строгие SLO для каждого этапа (например, проверка политики < 20 мс, подписание < 50–100 мс, трансляция < 50 мс при нормальной нагрузке) и обеспечивайте их соблюдение с помощью бюджетов ошибок и автоматического переключения при деградации задержек p95 или p99.

Риск и комплаенс на этапе проектирования​

Современный стек кастодиального хранения должен рассматривать комплаенс как неотъемлемую часть системы, а не как надстройку.

• Оркестрация Travel Rule: Генерируйте и проверяйте данные отправителя и получателя в режиме реального времени при каждой инструкции по переводу. Автоматически блокируйте или перенаправляйте транзакции с участием неизвестных поставщиков услуг виртуальных активов (VASP) и регистрируйте криптографические подтверждения каждого обмена данными для целей аудита.
• Риск адресов и белые списки: Интегрируйте ончейн-аналитику и списки санкционных проверок напрямую в механизм политик. Применяйте принцип «запрет по умолчанию», когда переводы разрешены только на адреса из белых списков или в рамках конкретных исключений из политик.
• Неизменяемый аудит: Хешируйте каждый запрос, одобрение, подпись и трансляцию в журнал, работающий только на добавление. Это создает защищенный от несанкционированного доступа аудиторский след, который можно передавать в SIEM для обнаружения угроз в реальном времени и предоставлять аудиторам для тестирования контролей.
• Структура контроля: Сопоставьте каждый технический и операционный контроль с критериями доверия SOC 2 (безопасность, доступность, целостность обработки, конфиденциальность и приватность) и внедрите программу непрерывного тестирования и валидации.

Внебиржевые расчеты: безопасное взаимодействие с площадками​

Стек кастодиального хранения, созданный для институционального масштаба, должен активно минимизировать риски, связанные с биржами. Сети внебиржевых расчетов являются ключевым инструментом для этого. Они позволяют фирме хранить активы в собственном сегрегированном хранилище, в то время как биржа зеркалирует этот залог для мгновенной торговли. Окончательный расчет происходит с фиксированной периодичностью с гарантиями, аналогичными принципу «поставка против платежа» (DvP).

Такая архитектура радикально сокращает использование «горячих кошельков» и связанные с ними риски контрагента, сохраняя при этом скорость, необходимую для активной торговли. Она также повышает эффективность капитала, так как вам больше не нужно избыточно финансировать неиспользуемые балансы на нескольких площадках, и упрощает управление операционными рисками, сохраняя залог сегрегированным и полностью проверяемым.

Контрольный список (скопируйте в свой регламент)​

• Кастодиальное хранение ключей
  • Использование MPC с порогом t-of-n в независимых доменах доверия (например, мультиоблако, локальные серверы, HSM).
  • Использование модулей, прошедших валидацию FIPS, где это возможно; наличие планов ежеквартальной ротации ключей и перевыпуска ключей в случае инцидентов.
• Политики и утверждения
  • Внедрение динамического механизма политик с лимитами оборота, поведенческой эвристикой и ограничениями по рабочему времени.
  • Требование подтверждения по принципу «четырех глаз» для высокорискованных операций.
  • Применение белых списков адресов и проверок Travel Rule перед любой операцией подписания.
• Усиление исполнения
  • Использование приватных реле транзакций по умолчанию для крупных или чувствительных ордеров.
  • Использование двух RPC-провайдеров с балансировкой на основе их состояния и надежной защитой от повторного воспроизведения.
• Мониторинг и реагирование
  • Внедрение обнаружения аномалий в режиме реального времени для частоты интентов, отклонений цен на газ и неудачных включений транзакций.
  • Наличие функции экстренного отключения (kill-switch) одним кликом для заморозки всех подписантов для конкретного актива или площадки.
• Комплаенс и аудит
  • Ведение неизменяемого журнала событий для всех действий в системе.
  • Проведение непрерывного тестирования контролей в соответствии с SOC 2.
  • Обеспечение надежного хранения всех доказательств соблюдения Travel Rule.

Примечания по внедрению​

• Люди и процессы превыше всего: Технологии не могут исправить неопределенные политики авторизации или неясную ответственность за дежурство (on-call). Четко определите, кто уполномочен изменять политику, обновлять код подписанта (signer code), проводить ротацию ключей и одобрять исключения.
• Минимизируйте сложность там, где это возможно: Каждая новая интеграция блокчейна, моста или площадки (venue) добавляет нелинейный операционный риск. Добавляйте их обдуманно, с четким тестовым покрытием, мониторингом и планами отката.
• Тестируйте как злоумышленник: Регулярно проводите учения по хаос-инжинирингу. Симулируйте потерю подписанта, сбои аттестации анклава, зависание мемпулов, ограничение API площадок и некорректные данные Travel Rule, чтобы убедиться в устойчивости вашей системы.
• Докажите это: Отслеживайте KPI, которые действительно важны для ваших клиентов:
  • Время до трансляции (time-to-broadcast) и время до первого подтверждения (p95/p99).
  • Процент транзакций, отправленных через MEV-безопасные маршруты, по сравнению с публичным мемпулом.
  • Использование площадок и повышение эффективности обеспечения за счет использования внебиржевых расчетов (off-exchange settlement).
  • Метрики эффективности контроля, такие как процент переводов с полными данными Travel Rule и скорость закрытия результатов аудита.

Итог​

Кастодиальная платформа, достойная институциональных потоков, работает быстро, подтверждает свои средства контроля и ограничивает контрагентские и информационные риски — и все это одновременно. Для этого требуется глубоко интегрированный стек, построенный на MEV-ориентированной маршрутизации, подписании на базе аппаратных средств или MPC, инфраструктуре active/active и внебиржевых расчетах, которые обеспечивают безопасность активов при доступе к глобальной ликвидности. Объединив эти компоненты в единый, отлаженный конвейер, вы обеспечиваете то, что институциональные клиенты ценят больше всего: уверенность на скорости.