Multisig — multi-signature — это конфигурация кошелька, где трата требует более одного приватного ключа. Самая распространённая форма — 2-of-3: существуют три ключа, любые два требуются для подписи, третий может быть потерян без потери средств. Самое большое улучшение хранения, доступное российскому холдеру после шестизначного долларового порога.
Что 2-of-3 реально означает
Вы держите три независимых ключа, обычно на трёх разных устройствах в трёх разных локациях. Принимающий адрес — это специальный "multisig адрес", сгенерированный комбинированием всех трёх публичных ключей. Чтобы потратить с него, кошелёк собирает подписи от любых двух из трёх ключей — третий может быть co-signer, душеприказчиком, backup в холодном хранении, или просто уничтожен.
Результат — кошелёк без единой точки отказа. Потеряйте один ключ, и средства всё ещё восстанавливаемы. Потеряйте одно устройство полностью, и средства всё ещё в безопасности. Имейте один ключ скомпрометированным, и злоумышленник всё ещё не может потратить.
Реализации, с которыми столкнётся российский холдер
On-chain multisig (Bitcoin native). Sparrow Wallet, Specter, Bitcoin Core, Liana — все поддерживают n-of-m multisig с аппаратными co-signers. Транзакции видны on-chain как multisig-траты. Это самая battle-tested реализация; протокол поддерживает это с 2012 года через P2SH и с 2017 через SegWit.
Smart-contract multisig (Ethereum). Safe (бывший Gnosis Safe) — доминирующий выбор. Multisig-логика работает в смарт-контракте; подписи собираются off-chain и подаются в контракт для исполнения. Используется большинством DAO, всеми крупными DeFi-протоколами и растущим числом российских высокодостоятельных индивидов, управляющих шести- и семизначными позициями.
Кастодиальный multisig. Casa, Unchained Capital и BitGo предлагают "managed multisig", где сервис держит один или два ключа, вы держите остальные. Полезно для нетехнических российских холдеров с существенными суммами, которые хотят операционный backup и услуги наследования; менее интересно любому, готовому запустить Sparrow или Safe самостоятельно.
Setup, который реально работает
2-of-3 multisig для российского холдера обычно выглядит так: ключ 1 на аппаратном кошельке дома, ключ 2 на аппаратном кошельке у нотариуса (или в банковской ячейке Сбера или Альфа-Банка), ключ 3 в запечатанном конверте дома у доверенного члена семьи. Используйте три разные марки аппаратных кошельков — Ledger плюс Trezor плюс Coldcard, скажем — чтобы избежать риска одного вендора в supply chain.
Setup занимает выходные, чтобы сделать правильно. Соедините с письменным документом восстановления, который объясняет нетехническому душеприказчику, как координировать два из трёх ключей без раскрытия третьего. Без этого документа multisig более опасен, чем single-key холодный кошелёк.
Когда multisig — неправильный выбор
До стека 2 миллионов рублей операционная сложность превышает маржинальный прирост безопасности. Останьтесь на single-sig аппаратном кошельке плюс стальной backup. Выше 20 миллионов рублей multisig становится дефолтом.
Дополнительное чтение: Shamir Backup, Аппаратный кошелёк, Кошелёк социального восстановления.