Multisig — это схема доступа к средствам, при которой для подписания транзакции требуется несколько независимых ключей (кворум m-of-n, например 2-из-3 или 3-из-5). Multisig снижает единичный риск компрометации: злоумышленнику недостаточно украсть один ключ, чтобы похитить активы. Схема применяется как в личном self-custody, так и в корпоративных казначействах и фондах/DAO.
Базовые моменты
Кворум (m-of-n). Из n созданных ключей минимум m должны подписать транзакцию, чтобы она стала действительной.
Разделение ключей. Ключи хранятся на разных устройствах/в разных местах и у разных людей, чтобы исключить «одну точку отказа».
Реализация по сетям. В Bitcoin multisig реализуется скриптами и PSBT; в сетях EVM — через смарт-контракты мультисиг-кошельков (смарт-контракты).
Роли и процессы. Возможны роли «инициатор», «подписант», «аудитор»; вводятся регламенты смены/ревокации ключей и аварийные процедуры.
Стоимость и UX. Транзакции иногда дороже/сложнее обычных, но цена компенсируется ростом устойчивости.
Как это работает (по шагам)
Проектирование схемы. Определяется цель (личное хранение/корпоративное казначейство), выбираются n и m. Для семьи часто 2-из-3; для компаний — 3-из-5 и больше.
Генерация ключей. Создаются n независимых ключей (желательно на аппаратных кошельках); seed-фразы хранятся раздельно.
Инициализация кошелька. Публичные ключи объединяются в конфигурацию (скрипт/контракт). Адрес кошелька становится «общим счётом».
Формирование транзакции. Создаётся заготовка (PSBT/EVM-вызов). Подписанты по очереди добавляют подписи на своих устройствах.
Достижение кворума. После m-й подписи транзакция считается валидной и публикуется в сеть.
Операционная рутина. Ведётся журнал действий, периодически проводится «сухая репетиция» подписи и проверка резервов.
Плюсы и ограничения
| Аспект | Плюсы | Минусы/ограничения |
|---|---|---|
| Устойчивость к взлому | Компрометация одного ключа не критична | Возрастает сложность процессов и ответственность за координацию |
| Управление и контроль | Можно разделять роли/лимиты/правила | «Жёсткий» кворум может заблокировать средства при утрате ключей |
| Аудит и прозрачность | Чёткие правила доступа, on-chain следы | Снижение приватности конфигурации/участников |
| Гибкость | Масштабируется под семью/команду/DAO | Не все приложения поддерживают мультисиг одинаково удобно |
Типовые конфигурации
2-из-3 (личное хранение). Два ключа у владельца на разных устройствах + «страховой» у доверенного лица/в сейфе. Потеря одного ключа не критична.
3-из-5 (компания/фонд). Казначей + два подписанта из совета; ещё два — резерв/аудит. Позволяет проходить отпуск/замены персонала без остановки операций.
m-из-n с геораспределением. Ключи хранятся в разных городах/странах и у разных юридических лиц — для снижения локальных рисков.
Модель угроз и контрольные меры
| Риск/сценарий | Где проявляется | Как снижать |
|---|---|---|
| Утрата ключа | Личный/корпоративный | Выберите схему с резервом (напр., 2-из-3), документируйте восстановление |
| Сговор/инсайд | Корпоративный | Ролевое разделение, независимый аудит, лимиты и двухэтапные выплаты |
| Компрометация устройства | Везде | Подписи на аппаратных кошельках, изоляция сред, регулярные проверки |
| «Заблокированный» кворум | Везде | Процедура ротации ключей, доверенные «аварийные» ключи, план на ЧС |
| Фишинг/ошибки реквизитов | Везде | Проверка адресов/сумм на экране устройства, тестовые транши, чек-листы |
Практика / чек-лист
Определите кворум под задачу. Для долгосрочного хранения — 2-из-3; для операционной деятельности — 3-из-5+ с ролевыми ограничениями.
Разнесите ключи. Разные устройства, места, хранители; seed-фразы не держите вместе и не дублируйте в «облаке».
Используйте аппаратные девайсы. Подписывайте на устройствах с экраном (всегда сверяйте реквизиты).
Заведите регламенты. Кто инициирует, кто подписывает, кто утверждает лимиты; как действовать при потере ключа/уходе сотрудника.
Тестируйте восстановление. Периодически проводите «сухую» подпись и малые переводы.
Логи и аудит. Ведите журнал операций, проводите независимые проверки резервов (при необходимости комбинируйте с PoR).
Частые вопросы (FAQ)
Чем multisig лучше одной «холодной» флешки? Одного украденного ключа недостаточно: нужен кворум, поэтому единичный взлом/утрата не обнуляют активы. Можно ли совмещать multisig и биржу? Да: операционную ликвидность держат на платформе (см. сравнение), резервы — в мультисиге. Сложно ли для новичка? Требует дисциплины, но базовая схема 2-из-3 с хорошими инструкциями понятна и надёжна. Подходит ли для DAO/фонда? Да: распределяет власть, снижает инсайдерские риски, облегчает аудит. Всегда ли multisig лучше? Нет. Для очень малых сумм избыточен; также учитывайте рост комиссий/сложности операций.
Вывод
Multisig — практичный способ поднять уровень защиты self-custody без «серебряной пули». Реальную устойчивость даёт не только кворум, но и грамотная организация: разнесение ключей, аппаратные подписи, регламенты ротации и регулярные тесты.
См. также
Self-custody Аппаратный кошелёк Seed-фраза Публичный ключ Self-custody vs биржа Смарт-контракт Proof of Reserves Bitcoin Криптобиржи Двухфакторная аутентификация