Мультисиг (multisig, мультиподпись, «кошелёк с кворумом») — схема управления криптоактивами, где для отправки средств требуется несколько независимых подтверждений. Вместо одной подписи используется правило m-of-n: из *n* ключей транзакцию должны подписать минимум *m* (например, 2-из-3 или 3-из-5).
Главная идея multisig — снизить «единичный риск»: кража, утрата или компрометация одного ключа не должна приводить к потере средств. Схема применяется в self-custody (для резервов и долгого хранения), в корпоративных казначействах и в DAO, где важно разделение полномочий.
Базовые понятия
- m-of-n (кворум): правило, сколько подписей нужно для траты.
- Подписанты (signers): участники/устройства, на которых находятся ключи.
- Политика доступа: описание, какие ключи участвуют и какой кворум требуется.
- Операционный процесс: multisig повышает безопасность только при независимом хранении ключей и понятных правилах работы с ними.
Как multisig реализуется в разных экосистемах
Bitcoin. В Bitcoin multisig строится на уровне скриптов/дескрипторов: транзакция становится валидной, когда собран кворум подписей. На практике часто используется формат частично подписанных транзакций (PSBT): один участник формирует заготовку, остальные добавляют подписи на своих устройствах.
EVM-сети. В сетях на базе EVM multisig чаще реализуется как смарт-контрактный кошелёк, который проверяет подписи и правила кворума внутри контракта. Базовый термин для понимания механики — смарт-контракт.
Вывод: «multisig» — не один продукт и не один интерфейс. Это принцип контроля доступа, который технически реализуется по-разному в разных сетях.
Multisig и threshold signatures (MuSig/FROST) — не одно и то же
Multisig часто путают с пороговыми подписями (threshold signatures). Оба подхода требуют участия нескольких сторон, но отличаются тем, как это выглядит в сети.
- Multisig: правило m-of-n закреплено в политике кошелька; сеть проверяет, что кворум подписей соблюдён (в зависимости от реализации может быть заметно, что это мультисиг).
- Threshold signatures (например, MuSig/FROST): участники совместно создают одну агрегированную подпись, которая выглядит как подпись одного ключа. Это может улучшать приватность и компактность данных, но предъявляет другие требования к протоколу координации и реализации.
Практически это два разных класса решений: multisig — про политику доступа «несколько ключей», threshold — про совместную подпись «как один ключ».
Когда multisig обычно оправдан
- Резервы и долгосрочное хранение: когда цена ошибки высокая и важна устойчивость к форс-мажорам.
- Семейные сценарии: когда нужно снизить риск «одной ошибки», сохранив возможность восстановления.
- Команда/бизнес: когда нельзя отдавать полный контроль одному человеку и нужен принцип «вторая подпись».
- Повышенные риски среды: частые поездки, разделение локаций, работа через разные контуры безопасности.
Для небольших сумм и повседневных переводов multisig часто избыточен: сложность процесса может стать источником ошибок.
Плюсы и ограничения
| Аспект | Плюсы | Ограничения |
|---|---|---|
| Защита | Один ключ не даёт контроля над средствами | Требуется дисциплина хранения и координация |
| Управление | Разделение ролей и полномочий | Риск «заблокированного кворума» при недоступности подписантов |
| Аудит | Понятные правила доступа и следы операций | Иногда ниже приватность конфигурации |
| Масштабирование | Подходит и для семьи, и для организаций | Поддержка и UX зависят от конкретных инструментов |
Риски multisig (что важно понимать заранее)
- Потеря/недоступность ключей: если кворум становится недостижимым, средства могут быть заблокированы.
- Операционные ошибки: неверное хранение seed, отсутствие «карты» того, как устроен кошелёк, ошибки при восстановлении.
- Компрометация устройств: если подписант подтверждает «не то», кворум не спасает. Поэтому для значимых сумм часто используют аппаратные кошельки и проверку реквизитов на экране устройства.
- Социальные риски: в семейных/командных схемах важны правила доступа и границы полномочий.
- Ложное чувство безопасности: multisig не заменяет базовую гигиену ключей и осторожность с фишингом.
Практическая рекомендация уровня принципов
Multisig сильнее всего работает, когда соблюдены три условия:
- Независимость ключей: разные устройства/места/хранители.
- Понятная политика доступа: кто подписывает и при каких условиях.
- Регулярная проверка готовности: периодический контроль того, что процесс восстановления и подписи понятен (без деталей «как настроить» — это уже тема прикладного гайда).
Если вы выбираете между самостоятельным хранением и хранением на платформе, полезно сравнить модели рисков: Self-custody vs биржа.