Крипто-кастодиан 2.0: почему для защиты цифровых активов сертификаты важнее лицензий

Биткоину почти 20 лет, но мир финансов все еще спорит: как правильно хранить крипту? С одной стороны - полная свобода (и риск все потерять, забыв пароль), с другой - традиционные банки с их бюрократией.

На стыке этих миров появились крипто-кастодианы - сервисы, которые берут на себя хранение ваших цифровых активов. Но технологии ушли так далеко, что старые правила (лицензии) за ними не успевают. 

Разбираемся, почему будущее за сертификацией и технологией MPC.

Что такое крипто-кастодиан и при чем тут «распиленный» ключ?

В обычном банке кастодиан - это сейф или депозитарий. В крипте все иначе. Главное здесь - приватный ключ (ваш цифровой доступ к деньгам), и кто владеет ключом, тот владеет активами. Раньше кастодиан просто хранил этот ключ у себя. Если его взламывали, то деньги исчезали. Сегодня на смену пришла технология MPC (распределенная подпись).

Представьте, что ключ от сейфа никогда не существует целиком. Он «разрезан» на несколько фрагментов:

1. Один кусочек у вас в телефоне.
2. Второй - на сервере сервиса.
3. Третий - в защищенном облаке.

Чтобы совершить платеж, эти части «созваниваются» и создают подпись, но сам ключ целиком не собирается ни в одной точке.

Почему это безопаснее обычного банка?

Технология MPC решает три главные проблемы:

• Единая точка отказа: Если вы потеряете телефон или хакеры взломают сервер компании, то денег они не получат. Одной части ключа недостаточно.
• Защита от «плохого» сотрудника: Даже директор компании-кастодиана не может украсть ваши биткоины, потому что у него просто нет полного доступа.
• Гибкость: Вы можете настроить правила. Например, чтобы крупные суммы уходили только после подтверждения от трех разных людей.

Регуляторы и «кнопка паузы»

Государства часто боятся криптовалют из-за их анонимности. Но современные кастодианы - это идеальный компромисс, потому что у сервиса есть техническая возможность заблокировать транзакцию по требованию суда или финансовой разведки. 

То есть:

• Кастодиан не может украсть ваши деньги.
• Кастодиан может остановить их вывод, если есть подозрение в преступлении.

Для государства это прозрачность, для клиента - гарантия права собственности.

Главный спор: лицензия или сертификат?

Сейчас во многих странах от крипто-сервисов требуют лицензии. Но давайте подумаем: зачем нужна лицензия банку? Потому что банк распоряжается вашими деньгами. Лицензия - это обещание государства, что банк вас не обманет. Но MPC-кастодиан не имеет доступа к вашим деньгам. Он лишь предоставляет технологию для подписи. Это как требовать банковскую лицензию у производителя дверных замков.

Вместо лицензий индустрии нужны жесткие международные сертификаты:

1. SOC 2 Type II - аудит, который проверяет: действительно ли ваши данные защищены и надежна ли система в течение долгого времени.
2. ISO 27001 - мировой стандарт информационной безопасности.
3. CCSS - специальный стандарт именно для криптовалют.

Что это даст рынку Кыргызстана и СНГ?

Если регуляторы перейдут от модели «даем лицензию тем, кому доверяем» к модели «проверяем технические сертификаты безопасности», это изменит все:

• Для бизнеса: Запуск технологичных проектов станет быстрее и дешевле (не нужно годами ждать одобрения бумажек).
• Для клиентов: Появится больше надежных сервисов, где риск взлома сведен к нулю.
• Для банков: Традиционные финансовые институты смогут легче внедрять крипто-услуги, используя сертифицированные MPC-решения.

Лицензирование нужно там, где есть риск, что посредник украдет ваши деньги. Сертификация же нужна там, где технология должна работать как часы. Современные крипто-кастодианы - это прежде всего высокие технологии, и оценивать их нужно по качеству кода и безопасности, а не по толщине папки с документами.

Автор статьи: Александр Колохматов - эксперт с 30-летним опытом работы в банковской сфере и на фондовом рынке. Профессионально занимается блокчейн-технологиями с 2016 года. Основатель крипто-кастодиального сервиса, создатель блокчейна Orgon и BaaS системы Safina.