Корпоративная криптовалюта не должна зависеть от одного телефона, одной seed phrase и одного человека, который «всегда делает выводы». Пока команда небольшая, такая схема кажется удобной. Проблемы начинаются, когда сотрудник увольняется, теряет устройство, становится недоступен или по ошибке подтверждает крупный перевод.
Мультисиг-кошелёк меняет сам принцип доступа к средствам. Для отправки транзакции требуется не один ключ, а заранее установленное количество независимых подписей. Так бизнес может превратить устную договорённость «крупные платежи согласуем вместе» в правило, которое действительно исполняется на уровне блокчейна или смарт-аккаунта.
При этом мультиподпись не создаёт абсолютную безопасность. Она полезна только вместе с нормальным распределением ролей, проверкой реквизитов, планом восстановления и понятным порядком замены подписантов.
Как работает мультисиг-кошелёк
Мультисиг — сокращение от multi-signature, то есть «несколько подписей». В обычном некастодиальном кошельке транзакцию подтверждает один приватный ключ. В мультисиг-схеме есть несколько участников, а перевод выполняется только после того, как собрано нужное количество подтверждений.
Правило обычно записывают как M-of-N:
- N — общее количество подписантов;
- M — минимальное число подписей для проведения операции.
Например, в схеме 2 из 3 доступ есть у трёх участников, но для отправки средств достаточно любых двух подписей. В схеме 3 из 5 транзакцию должны подтвердить минимум трое из пяти.
Реализация зависит от сети. В Bitcoin условие с несколькими подписями задаётся в скрипте транзакции. В Ethereum и других EVM-сетях часто используется смарт-аккаунт: контракт хранит список владельцев и порог подтверждений, проверяет подписи и только после этого выполняет перевод.
Важно не путать мультисиг с ситуацией, когда несколько сотрудников знают одну seed phrase. Общая seed phrase остаётся одним ключом: её утечка даёт полный доступ к кошельку. В правильной схеме у каждого подписанта отдельный кошелёк и собственный приватный ключ.
Если команде нужно сначала разобраться с базовыми понятиями, полезно изучить, чем seed phrase отличается от private key.
Какие задачи бизнеса решает мультиподпись
Главная ценность мультисиг-кошелька — не в количестве кликов перед переводом. Он позволяет выстроить контролируемую систему доступа к корпоративным средствам.
Убирает зависимость от одного ключа
В обычном кошельке потеря или компрометация одного приватного ключа может привести к полной потере доступа. Схема 2 из 3 продолжит работать, если один подписант временно недоступен, но человек с одним скомпрометированным ключом не сможет самостоятельно вывести средства.
Для компании это защита не только от взлома, но и от организационных рисков: болезни, командировки, увольнения, поломки устройства и конфликтов между участниками.
Разделяет подготовку и утверждение платежа
Один сотрудник может сформировать транзакцию, а финансовый директор и руководитель — независимо проверить получателя, сумму, актив, сеть и назначение перевода.
Такой порядок снижает вероятность ошибочного или несанкционированного вывода. Кроме того, у компании появляется понятный журнал согласований: видно, кто участвовал в подтверждении операции.
Даёт время заметить ошибку
Перевод в блокчейне после подтверждения обычно нельзя отменить через поддержку. Второй подписант может обнаружить неверный адрес, неправильную сеть, лишний ноль в сумме или подозрительный вызов смарт-контракта.
Но сама мультиподпись не анализирует смысл транзакции. Если все необходимые участники без проверки подтвердят вредоносную операцию, кошелёк её выполнит. Защиту создаёт независимая проверка, а не просто несколько подписей.
Отделяет резерв от операционных средств
Кошелёк для ежедневных расходов и кошелёк для хранения резерва решают разные задачи. Из операционного баланса бизнес может оплачивать комиссии, возвраты и регулярные выплаты. Основной резерв при этом хранится отдельно и переводится только после нескольких подтверждений.
Это уменьшает сумму, которая постоянно находится под риском ежедневных операций. Общие принципы выбора кошелька под конкретную задачу разобраны в материале о видах и сценариях использования криптокошельков.
Как выбрать схему подписей
Универсальной конфигурации нет. Чем выше порог, тем сложнее провести несанкционированный перевод, но тем выше риск остановить работу из-за недоступности участников.
Схема 1 из 2 позволяет любому из двух подписантов самостоятельно распоряжаться средствами. Она создаёт резервный доступ, но почти не решает задачу совместного контроля.
В схеме 2 из 2 каждая операция требует участия обоих владельцев. Это исключает единоличный вывод, однако потеря одного ключа может заблокировать кошелёк. Такая модель подходит только при тщательно проверенном восстановлении.
Схема 2 из 3 часто становится разумной отправной точкой для небольшой компании. Она требует двух подтверждений и при этом допускает временную недоступность одного участника. Подписантами могут быть CEO, финансовый директор и отдельный резервный участник.
Схема 3 из 5 подходит более крупной команде, фонду, DAO или проекту с существенным казначейством. Она лучше распределяет полномочия, но требует чёткой координации и обычно замедляет операции.
При выборе порога нужно учитывать:
- размер и назначение баланса;
- частоту транзакций;
- допустимое время согласования;
- количество действительно независимых участников;
- последствия потери одного или нескольких ключей;
- порядок действий в нерабочее время и при чрезвычайной ситуации.
Для резерва, который перемещается раз в месяц, можно использовать более строгую схему. Для срочных ежедневных выплат нужен другой процесс и, возможно, отдельный операционный кошелёк с лимитом.
Как распределить роли подписантов
Формула 2 из 3 сама по себе ничего не гарантирует. Важно, кто контролирует ключи и насколько эти ключи независимы друг от друга.
Не храните всё в одном месте
Три аппаратных кошелька в одном сейфе могут одновременно пострадать от кражи, пожара или потери доступа к офису. Три программных кошелька на одинаково настроенных ноутбуках могут оказаться уязвимы для одной вредоносной программы.
Ключи стоит разделять по людям, устройствам и местам хранения. Для значительного резерва может быть оправдано и географическое разделение. Цель проста: один инцидент не должен позволить злоумышленнику собрать необходимый порог подписей.
Привязывайте доступ к роли
Структура может выглядеть так:
- финансовый подписант проверяет основание и сумму операции;
- руководитель даёт окончательное бизнес-согласование;
- резервный подписант подключается при недоступности одного из основных участников.
Резервный ключ нельзя воспринимать как забытый дубликат. Для него тоже нужны правила хранения, проверки и использования.
Разделяйте создание и проверку транзакции
Если один человек скопировал адрес, создал перевод и сам же сообщил остальным, что всё верно, независимого контроля не получилось.
Заявка на перевод должна содержать актив, сеть, сумму, адрес, назначение, подтверждающий документ и ожидаемую комиссию. Для крупных операций адрес стоит сверять через отдельный канал связи или заранее утверждённый реестр.
После отправки финансовая команда может проверить TXID, адрес, сумму и статус в блокчейн-эксплорере. Это помогает не только контролировать перевод, но и корректно провести сверку.
Чем мультисиг отличается от обычного кошелька, MPC и кастодиального счёта
У бизнеса есть несколько способов организовать доступ к криптоактивам. Они решают похожие задачи, но устроены по-разному.
Обычный кошелёк с одним ключом
Это самый простой и быстрый вариант. Он может подойти для небольшого операционного баланса с жёстким лимитом. Для существенного резерва такая схема создаёт зависимость от одного человека и одного секрета.
Мультисиг-кошелёк
Каждый участник использует отдельный ключ, а правило подтверждения задаётся явно. В зависимости от сети схема исполняется скриптом или смарт-контрактом. Преимущество — прозрачное совместное управление. Ограничение — выбранная архитектура должна поддерживать нужные активы и сети.
MPC-кошелёк
MPC, или multi-party computation, распределяет процесс формирования подписи между несколькими участниками. Полный приватный ключ при этом не требуется собирать в одном месте.
Практическая разница состоит в том, что классический мультисиг собирает несколько отдельных подписей, которые проверяет блокчейн-скрипт или смарт-аккаунт. Пороговая криптография может сформировать одну корректную подпись совместными вычислениями нескольких сторон.
Компании важнее оценивать не название технологии, а конкретные условия: кто может провести перевод, где исполняется политика доступа, что произойдёт при недоступности участника, как меняются владельцы и кто контролирует восстановление.
Кастодиальный сервис
В кастодиальной модели средства контролирует или совместно контролирует провайдер. Это может упростить отчётность и ежедневные операции, но добавляет зависимость от контрагента, его правил, доступности и юрисдикции.
Компания может сочетать несколько моделей: использовать платёжную систему для входящих платежей, операционный кошелёк для текущих расходов, а мультисиг — для хранения резерва.
Какие риски мультисиг не устраняет
Мультиподпись снижает риск одного ключа, но при плохой организации создаёт новые точки отказа.
Можно скомпрометировать несколько подписантов
Если злоумышленник получает контроль над достаточным количеством ключей, порог больше не защищает кошелёк. Тот же результат возможен, если участников убедили подтвердить одну и ту же вредоносную транзакцию.
Нужны независимые устройства, понятная процедура сверки и обучение фишинговым сценариям. Мультисиг должен быть частью общей системы безопасности криптоплатежей и риск-контроля.
Слишком строгая схема может заморозить средства
Конфигурация 3 из 3 перестаёт работать при потере одного ключа. Даже схема 2 из 3 может оказаться уязвимой, если два участника хранят резервные копии одинаковым способом или постоянно путешествуют вместе с устройствами.
Сценарий восстановления нужно тестировать до того, как на адрес поступит значительный баланс.
Дополнительные модули увеличивают поверхность атаки
Смарт-аккаунты могут поддерживать лимиты, автоматизацию, recovery-механизмы, guards и другие расширения. Они дают больше возможностей, но добавляют код и настройки, которые тоже могут содержать ошибки.
Особенно внимательно нужно относиться к модулям, способным выполнять операции в обход обычного порядка подписей. Чем проще конфигурация, тем легче её проверить.
Несколько подписей не заменяют AML
Мультисиг отвечает на вопрос «кто разрешил перевод», но не определяет, связан ли адрес с мошенничеством, санкционными рисками или запрещённым контрагентом.
Для крупных и нетипичных операций бизнесу может потребоваться AML-проверка адреса и оценка риска. Конкретные требования зависят от юрисдикции, модели бизнеса и внутренних правил.
Как связать мультисиг с приёмом криптоплатежей
Необязательно направлять каждый клиентский платёж сразу в основное корпоративное хранилище. Такой подход может усложнить привязку перевода к заказу, возвраты, работу с несколькими сетями и автоматическое обновление статусов.
Практичнее разделить систему на три уровня:
- Платёжный уровень создаёт инвойс, обнаруживает транзакцию и связывает её с заказом или аккаунтом клиента.
- Операционный уровень обслуживает комиссии, возвраты, текущие выплаты и небольшие рабочие остатки.
- Казначейский уровень хранит резерв под контролем мультиподписи.
CryptumPay можно использовать на платёжном уровне: API, виджет или платёжная ссылка помогают учитывать входящие операции, а ручной или автоматический вывод позволяет переводить накопленный баланс на утверждённый кошелёк компании по её собственному графику.
Финансовой команде при этом нужно определить лимит операционного остатка и момент перевода средств в казначейство. В статье про операции с USDT для финансового директора разобраны сверка, конвертация и правила вывода.
Технической команде пригодится чеклист подключения API для криптоплатежей, чтобы ещё до передачи средств в казначейство правильно настроить статусы и связь платежа с заказом.
Чеклист внедрения мультисиг-кошелька
До перевода основного баланса команда должна провести тестовый запуск.
- Определить активы и сети, которые будет хранить казначейство.
- Выбрать количество подписантов и порог подтверждений.
- Назначить основных и резервных участников.
- Выдать каждому независимый кошелёк и защищённое устройство.
- Разделить ежедневные устройства и резервные материалы для восстановления.
- Описать состав заявки на перевод и порядок проверки реквизитов.
- Установить лимиты операционного кошелька и правила перевода в резерв.
- Зафиксировать процедуру добавления, удаления и замены подписантов.
- Проверить небольшое пополнение и вывод.
- Смоделировать потерю одного ключа и восстановление работы.
- Проверить модули, permissions, лимиты и возможности обновления смарт-аккаунта.
- Назначить ответственного за сверку завершённых операций.
Не стоит ждать увольнения сотрудника, чтобы впервые выяснить, как удалить его адрес из списка владельцев.
Когда бизнесу нужен мультисиг
Мультисиг стоит рассмотреть, если возможный ущерб от единоличного, ошибочного или заблокированного перевода уже выше, чем издержки на дополнительное согласование.
Характерные признаки:
- один сотрудник контролирует больше криптовалюты, чем должен;
- компания хранит USDT или другие активы дольше короткого операционного периода;
- в выплатах и выводах участвуют несколько отделов;
- инвесторам, директорам или аудиторам нужен формальный порядок согласования;
- личный кошелёк основателя фактически стал корпоративной инфраструктурой;
- бизнес должен продолжать работу после ухода или потери доступа одного участника.
Для небольших рабочих сумм может быть достаточно защищённого обычного кошелька с лимитом. Для высокочастотных автоматических операций, институционального хранения или сложной работы в нескольких сетях одного мультисига может быть недостаточно.
Частые вопросы
Схема 2 из 3 всегда лучше остальных?
Нет. Она популярна, потому что сочетает совместное подтверждение с возможностью пережить недоступность одного участника. Выбор зависит от размера команды, частоты операций и требований к восстановлению.
Может ли один человек владеть несколькими ключами?
Технически да, но тогда теряется смысл распределённого контроля. Если один человек или одно устройство контролирует достаточно ключей для достижения порога, единая точка отказа остаётся.
Что делать, если подписант увольняется?
Использовать действующий порог подтверждений, чтобы удалить старого владельца и добавить нового. Процедуру нужно завершить до возникновения спора или потери контакта с сотрудником.
Защитит ли мультисиг от перевода на неверный адрес?
Он даёт ещё одну возможность обнаружить ошибку. Но если необходимое количество участников подтвердило неправильный адрес, транзакция будет выполнена.
Нужно ли принимать клиентские платежи прямо на мультисиг?
Не всегда. Если бизнесу нужны автоматические статусы, привязка к заказам, возвраты, конвертация и несколько сетей, удобнее отделить платёжную обработку от долгосрочного хранения и переводить остаток в мультисиг по установленным правилам.
Совместный доступ требует совместного процесса
Мультисиг-кошелёк закрепляет важное правило технически: один человек не может самостоятельно вывести корпоративный резерв. Это заметно надёжнее, чем хранить средства компании за одной seed phrase.
Но формула 2 из 3 ещё не является полноценной системой управления. Нужны независимые подписанты, сверка реквизитов, тест восстановления, замена владельцев, AML-контроль, учёт транзакций и разделение операционного баланса и резерва.
При правильной организации мультисиг даёт растущей компании то, чего не может дать личный кошелёк основателя: непрерывность работы и распределённую ответственность при сохранении прямого контроля над активами.
