Розробка холодного гаманця біржи
Холодне хранення — це зберігання приватних ключів у повністю ізольованій від інтернету середовищі. 70–90% резервів біржи повинні знаходитися в cold storage. Взломи крупних бирж (Mt.Gox, Bitfinex, Binance 2019) показали: саме гарячі гаманці — основна ціль атак. Холодний гаманець, побудований правильно, фізично неможливо взломати удалено.
Принципи cold storage
Air-gapped система
Air gap — фізична ізоляція: компʻютер для підпісу транзакцій ніколи не підключається до інтернету. Навіть у "вимкненому" стані — WiFi і Bluetooth відключені або фізично видалені.
Workflow підпісу транзакції:
Online Server → створює unsigned tx → USB/QR → Air-gapped PC → підписує → USB/QR → Online Server → broadcast
QR-коди переважніші за USB (USB може бути вектором атаки через BadUSB). Animated QR (BBQR формат) дозволяють передавати великі дані через серію QR-кодів.
Апаратні гаманці
Ledger і Trezor — consumer-grade HSM. Підходять для warm wallet й для операторів з невеликими обсягами. Приватний ключ створюється й зберігається всередину устройства, ніколи не експортується.
Для enterprise — Thales Luna HSM, AWS CloudHSM, YubiHSM. Апаратна захист з FIPS 140-2 сертифікацією, підтримка multi-party computation (MPC).
Multi-Signature гаманці
Одна людина з одним ключем — єдина точка відмови. Multi-sig вимагає M з N підписів для транзакції.
Bitcoin P2SH Multisig
Приклад: 2-of-3 (2 з 3 ключів повинні підписати)
- key1 — CEO (hardware wallet в офісі)
- key2 — CTO (hardware wallet дома)
- key3 — CFO (hardware wallet у банківській ячейці)
Ethereum Gnosis Safe
Gnosis Safe — стандарт de facto для Ethereum multisig. Smart contract wallet з підтримкою M-of-N, time locks, delegate calls.
Процедури доступу до cold wallet
Задокументований SOP (Standard Operating Procedure)
Кожен вивід з cold storage повинен слідувати задокументованій процедурі.
Кожен крок логується з timestamp й підписами учасників.
Time locks
Для додаткового захисту — time lock на крупні переводи. Gnosis Safe підтримує через TimelockController.
Якщо ключі скомпрометовані — у команди є 48 годин помітити підозрілу транзакцію й скасувати її.
Схема зберігання ключів
3-2-1 правило: 3 копії ключа, 2 різних носіїв, 1 оффсайт.
Для біржи:
- 2-of-3 Gnosis Safe для Ethereum резервів
- 2-of-3 Bitcoin multisig (P2WSH) для Bitcoin резервів
- Ключі у: CEO (HSM в офісі), CTO (HSM дома), незалежний кастодіан (HSM у банківській ячейці)
- Seed phrases на metal backup (Cryptosteel, Bilodeau) — огнеупорні й водонепроникні
- Зашифровані цифрові копії в різних юрисдикціях (AWS S3 з SSE-KMS + EncryptedLocal)
Структура хранення:
Hot Wallet: 5–10% резервів (автоматичні виводи)
Warm Wallet: 15–20% резервів (2-of-3 multisig, пополняє hot wallet)
Cold Storage: 70–80% резервів (air-gapped, ручний вивід по SOP)
Аудит й верифікація резервів
Proof of Reserves — публичне доведення, що біржа дійсно володіє коштами:
Merkle tree з балансами користувачів. Біржа публікує:
- Merkle root усіх балансів
- Баланси на блокчейні (верифіковано публічно)
- Кожен користувач може верифікувати своё включення в Merkle tree
Таймлайн розробки
| Компонент | Термін |
|---|---|
| Gnosis Safe multi-sig setup | 1 тиждень |
| Bitcoin P2WSH multisig | 2–3 тижні |
| SOP документація + процедури | 1–2 тижні |
| Air-gapped підписання workflow | 2–3 тижні |
| Proof of Reserves implementation | 2–3 тижні |
| Security audit | 2–4 тижні |
Повна cold storage система з задокументованими процедурами й Proof of Reserves: 2–3 місяці.