Безопасен ли Bisq? Честный обзор безопасности 2026

В апреле 2022 года злоумышленник нашёл уязвимость в торговом протоколе Bisq и вывел около 250 000 долларов в BTC и XMR прежде, чем сеть успела заморозить торги. Bisq устоял, выпустил патч и тихо продолжил работу. Спустя четыре года тот же вопрос всплывает на форумах о приватности и в Telegram-чатах русскоязычных монерщиков: остался ли Bisq безопасной и устойчивой к цензуре альтернативой, какой он обещал быть, или ландшафт уже ушёл вперёд? В этом обзоре мы разберём настоящие риски — устройство протокола, отсутствие кастодиана, новую архитектуру Bisq 2, приватность фиатной стороны и то, как Bisq выглядит на фоне мгновенных обменников вроде MoneroSwapper для пользователей, чья основная цель — приватная конвертация BTC в XMR.

Короткий ответ — с оговорками. Bisq технически остаётся одной из самых лишённых доверия бирж, какие ещё работают, но «безопасность» зависит от того, какая угроза вас волнует. Потерять средства из-за взлома? Засветиться перед банком? Получить блокировку по 115-ФЗ за «подозрительные» операции? У каждого из этих вопросов свой ответ, и большинство русскоязычных обзоров их смешивает. Мы разделим их аккуратно.

Что такое Bisq на самом деле в 2026 году

Bisq — это пиринговая торговая сеть, построенная поверх Tor, существующая в двух версиях одновременно. Bisq v1 (оригинальная) использует мультиподпись 2-из-2 на блокчейне Bitcoin плюс залог безопасности с обеих сторон, чтобы удержать участников от обмана при обмене фиата на криптовалюту. Bisq 2 — выпущенный в стабильном виде в 2024 году и теперь рекомендуемый по умолчанию для новых пользователей — вводит несколько «торговых протоколов», включая Bisq Easy (без эскроу, на основе репутации, для новичков с небольшими суммами) и Bisq MuSig (улучшенный мультиподписной протокол для крупных сделок). Обе версии — открытый код, обе маршрутизируют каждое соединение через скрытые сервисы Tor, и ни одна не требует верификации личности на самой платформе.

• Нет центрального оператора: не существует компании Bisq, которая держала бы ваши средства. Сеть — это федерация пиров, запускающих десктопный клиент.
• Tor по умолчанию: каждое объявление, каждое сообщение и каждый шаг сделки идёт через луковую маршрутизацию; никакого «отката» на обычный интернет нет.
• Модель залога: в v1 и MuSig и мейкер, и тейкер блокируют залог, чтобы отказ от сделки стоил денег.
• Арбитраж — это люди: споры идут к избранным медиаторам и, если нужно, арбитрам — а не к автоматическому AML-движку.
• BTC-центрично: Bisq остаётся прежде всего биткойн-площадкой. Monero поддерживается как актив с обеих сторон, но координация расчётов всё ещё опирается на подтверждения биткойн-блокчейна.

Эта архитектура отвечает на первый вопрос о безопасности: может ли площадка убежать с вашими деньгами? Нет. Бежать не с чем, потому что нет площадки в кастодиальном смысле. Уже это ставит Bisq в категорию, принципиально отличную от Garantex (пока он работал), Binance или любой централизованной «без-KYC» биржи.

Реальная история безопасности

История Bisq — полезный стресс-тест, потому что, в отличие от большинства децентрализованных бирж, его действительно атаковали в продакшене, и он выжил.

Эксплойт протокола в апреле 2022 года

Инцидент 2022 года остаётся главным событием. Атакующий обнаружил, что адрес, используемый как fallback в спорных сделках, можно было незаметно подменить, и за один уикенд он вывел около 3 BTC и 4 000 XMR прежде, чем сеть была остановлена. Bisq DAO (ончейн-орган управления, который платит контрибьюторам токенами BSQ) проголосовал за компенсацию пострадавшим за счёт будущих комиссий с торгов. В течение нескольких недель протокол был исправлен, и торги в v1 возобновились. Никаких ключей не украли, никого не деанонимизировали — но несколько человек потеряли средства, лежавшие в активных сделках.

Урок, который стоит усвоить: мультисиг-эскроу, зависящий от корректно закодированной fallback-транзакции, безопасен ровно настолько, насколько безопасен код валидации. Реакция Bisq — публичный post-mortem, голосование DAO о компенсации и открытый патч — это то, как должна выглядеть система с минимизированным доверием. Сравните это с тишиной, которая следует за большинством эксплойтов на централизованных биржах.

Рутинные риски после 2022 года

После исправления 2022 года громких инцидентов больше не было, но мелкие проблемы продолжают определять безопасность пользователей:

• Откаты на стороне банка: SEPA Instant и российская СБП сильно сократили этот риск для мгновенных переводов, но обычная SEPA, любые карточные методы и любой способ оплаты с окном отмены остаются реальным вектором. Продавец, получивший фиат, может через несколько дней увидеть, как платёж отозвали.
• Жалоба контрагента: вредоносный покупатель может пожаловаться банку, что перевод по СБП — это «мошенничество», и счёт продавца окажется заблокирован в рамках 115-ФЗ, даже если арбитраж Bisq встанет на его сторону.
• Сбои Tor: Bisq полностью зависит от сети Tor. Длительные проблемы Tor — как перегрузка onion v3 в 2023 году или продолжающаяся блокировка от Роскомнадзора — приводят к застрявшим посреди процесса сделкам.
• Устаревшие клиенты: пользователи, работающие на клиенте старше нескольких минорных версий, пропускают исправления безопасности и рискуют видеть устаревшие офферы.

Если сделка на Bisq идёт не так, худший сценарий — это редко «ваша крипта исчезает». Обычно это «у вашей банковской выписки теперь странный паттерн переводов». Сначала продумайте фиатную сторону.

Приватность: реальность против маркетинга

Bisq часто описывают как «полностью приватный», но это преувеличение. Сама платформа никогда не видит вашу настоящую личность, но жизненный цикл сделки раскрывает информацию вашему контрагенту и, косвенно, банку.

На Bisq вы и человек на другой стороне сделки обмениваетесь тем, что требует выбранный способ оплаты. Для SEPA — это полное имя и IBAN. Для российских переводов — номер карты или номер телефона для СБП. Для Revolut — тег. Клиент Bisq никогда не передаёт это на сервер, но контрагент видит — а контрагент может быть сотрудником правоохранительных органов, аналитической фирмой по блокчейну или просто человеком, который ведёт логи. Для BTC-сделки ончейн-след тоже виден всему миру через адрес мультисиг-депозита, который несколько форензик-провайдеров (Chainalysis, Crystal Blockchain) уже маркируют как связанный с Bisq.

Для сделок с Monero история приватности гораздо лучше. Как только XMR попадает в ваш кошелёк, кольцевые подписи, скрытые адреса и RingCT стирают след. Но BTC-сторона свопа BTC→XMR на Bisq остаётся такой же идентифицируемой, как любая другая биткойн-транзакция. Пользователи, которым нужен чистый приватный выход, обычно комбинируют Bisq с кошельком, поддерживающим чёрнинг (например, Feather), или, всё чаще, просто отправляют BTC напрямую в обменник, который доставит XMR на свежий адрес.

Bisq против мгновенных обменников: практическое сравнение

Для большинства пользователей, ищущих «безопасен ли Bisq», подспудный вопрос — использовать ли Bisq вообще, или мгновенный обменник вроде MoneroSwapper, FixedFloat или SimpleSwap даст тот же результат с меньшим геморроем. Честный ответ зависит от того, какой компромисс вы готовы принять.

Свойство	Bisq (v1 / MuSig)	Bisq Easy	Мгновенный обмен (напр. MoneroSwapper)
Хранение средств во время сделки	Мультисиг 2-из-2, без кастодиана	На основе репутации, отправитель доверяет тейкеру	Сервис временно берёт кастодиальную роль
Идентификация на платформе	Нет	Нет (только Tor)	Нет для no-KYC сделок
Идентификация для контрагента	Да (реквизиты фиата)	Да (реквизиты фиата)	Нет (вы видите только своп-адрес)
Время расчёта BTC→XMR	От 30 минут до нескольких часов	15–45 минут	Обычно 10–30 минут
Комиссии	0,1–0,7% + майнерская	По договорённости	0,5–1,5% спред, без фикс-комиссии
Риск чарджбэка	Высокий (на стороне банка)	Высокий	Нет — крипта в крипту
Лимиты	До ~1 BTC, выше с возрастом аккаунта	Только малые суммы (обычно < 0,01 BTC)	Высокие лимиты без KYC
Реалистичный риск безопасности	Блокировки по 115-ФЗ, баги протокола	Дефолт контрагента	Неплатежеспособность или арест сервиса

Что эта таблица показывает на самом деле: Bisq оптимизирован под отсутствие доверия на уровне протокола, но переносит риск на фиатные рельсы. Мгновенные обменники поглощают торговый риск за небольшой спред, но возвращают кастодиальный момент. Ни один из вариантов не «безопаснее» в абстракте — они безопаснее против разных угроз. Пользователю, ориентированному на приватность, который уже держит BTC и просто хочет XMR, почти всегда комфортнее и менее рискованно на обменнике. Пользователю, которому надо войти в крипто-экономику с наличными или переводом с подконтрольного банковского счёта, Bisq остаётся одной из немногих рабочих не-KYC опций.

Чек-лист безопасности перед торговлей на Bisq

Если вы решили, что Bisq — правильный инструмент, следующая последовательность собирает меры предосторожности, которые опытные трейдеры регулярно рекомендуют на форуме Bisq и в r/Bisq. Список не исчерпывающий, но пропуск любого из шагов — это то, откуда берётся большая часть избегаемых потерь.

1. Проверьте бинарник. Скачивайте только с bisq.network, потом проверяйте PGP-подпись по ключам мейнтейнеров. Фальшивые установщики Bisq лежат в выдаче всех крупных поисковиков.
2. Заведите свежий кошелёк. Используйте выделенный кошелёк для Bisq, а не долгосрочное холодное хранилище. Клиент Bisq держит ключи для залога; относитесь к нему как к горячему кошельку.
3. Аккуратно выбирайте способ оплаты. SEPA Instant, российская СБП и физические наличные несут меньший риск чарджбэка. Методы по типу PayPal избегайте полностью.
4. Торгуйте с опытными мейкерами. Клиент Bisq показывает возраст аккаунта и статус подписания. Фильтруйте офферы от аккаунтов младше двух месяцев для всего, что больше «карманных» сумм.
5. Используйте последнюю версию клиента. Каждый релиз содержит исправления на уровне протокола. Работать на чём-то старше двух минорных версий — заметный риск.
6. Подготовьте получающий XMR-кошелёк. Для сделок BTC→XMR заранее настройте принимающий кошелёк (Feather, Cake или субадрес Monero CLI) до начала сделки. Опечатки в адресе в окне сделки — невосстановимы.
7. Не закрывайте окно сделки. Сделки на Bisq требуют, чтобы оба клиента были онлайн для подтверждений. Уход в офлайн в середине сделки — самая частая причина споров.
8. Документируйте всё. Скриншоты референса перевода, ID сделки, сообщений в Tor. Если включается арбитраж, медиаторы первым делом спросят именно это.

Для трейдеров, чья реальная цель — нога BTC→XMR без фиатной экспозиции, тот же чек-лист сокращается до двух шагов: отправить BTC в обменник, получить XMR на свежий субадрес Monero. MoneroSwapper — один из сервисов, который проводит этот обмен без KYC и маршрутизирует входящую сторону через Tor-зеркала, что делает операционный профиль сопоставимым со сделкой на Bisq минус банковская экспозиция.

Кейс: трейдер из Москвы, два маршрута

Рассмотрим пользователя в Москве, заботящегося о приватности, который уже держит 0,3 BTC в холодном кошельке и хочет конвертировать их в XMR для долгосрочного хранения. Tor у него поднят через obfs4-мост — на дворе 2026 год, и блокировка Tor Роскомнадзором, начавшаяся ещё в декабре 2021-го, никуда не делась. Два реалистичных маршрута выглядят очень по-разному.

Маршрут A — Bisq MuSig. Пользователь пополняет десктопный кошелёк Bisq из холодного хранилища, платит торговую комиссию в BSQ, чтобы сократить затраты, выставляет оффер на продажу BTC за EUR через SEPA (российский рубль как платёжный метод в Bisq практически не используется — рабочих фиатных рельс для РФ почти нет), и ждёт. Тейкер появляется в течение 90 минут. Они обмениваются реквизитами SEPA через Tor, пользователь получает EUR на европейский счёт (что само по себе требует наличия счёта в EU), отпускает BTC, и потом открывает вторую сделку: EUR за XMR. Суммарное время: примерно шесть часов в две сессии. Суммарная комиссия: около 0,4%. Профиль приватности: контрагенты увидели полное имя и IBAN; европейский банк теперь видит два необычных перевода за 48 часов. Сам XMR приватен, но окружающий фиатный след — нет. Российская сторона при этом фактически выпадает: без европейского счёта Bisq для рублёвой ноги не работает.

Маршрут B — мгновенный обменник. Пользователь отправляет 0,3 BTC с CoinJoin-микшированного UTXO на адрес обмена MoneroSwapper, указывает свежий субадрес Monero как назначение, и получает XMR примерно за 20 минут. Никакого фиата, никакой переписки с контрагентом, никакой банковской записи. Суммарная комиссия: майнерская комиссия Bitcoin плюс примерно 0,8% спреда. Профиль приватности: BTC-сторона несёт всю историю входящего UTXO; XMR-сторона приватна с момента поступления. Никакого фиатного отпечатка вообще — и российский банк не имеет никакого основания для срабатывания 115-ФЗ, потому что фиатная нога просто не задействована.

Маршрут A «безопаснее» против угрозы исчезновения третьей стороны-кастодиана. Маршрут B безопаснее против угрозы блокировки банковского счёта по 115-ФЗ или кластеризации форензик-фирмой вашего поведения с реальной личностью. Большинство пользователей — когда они продумывают, от чего конкретно защищаются — выбирают Маршрут B для ноги BTC→XMR и оставляют Bisq для более сложной задачи: входа в крипту через фиат без KYC, и то при наличии европейских реквизитов.

Bisq 2 и вопрос репутации

Bisq 2 вводит то, чего никогда не было в v1: явный репутационный слой. Bisq Easy, начальный протокол, вообще не имеет эскроу. Вместо этого аккаунты тейкеров накапливают «сожжённый BSQ» (токен управления Bisq) или подписанные реквизиты аккаунта, и офферы от аккаунтов с низкой репутацией просто скрываются фильтром по умолчанию. Это сознательный компромисс — Bisq Easy предназначен для маленьких сделок, где операционная нагрузка мультисига не оправдывает себя.

Репутационная система интересна с точки зрения безопасности, потому что меняет, кто несёт риск. В v1 риск несёт протокол через залог. В Bisq Easy риск несёт тейкер своей репутацией, если откажется от сделки. Для сделок до 100 евро это работает хорошо. Для больших сумм это пока не замена эскроу MuSig, и команда Bisq это явно проговаривает.

Конкретно для Monero MuSig-протокол Bisq 2 с XMR в качестве торгуемого актива всё ещё дозревает. Атомарные свопы между BTC и XMR с использованием адаптерных подписей (дизайн COMIT / unstoppable.swap) уже начинают появляться в экспериментальных сборках Bisq, но пока не дефолт. Ожидайте, что именно это станет крупнейшим сдвигом в истории безопасности Bisq в ближайшие 18 месяцев.

FAQ

Терял ли Bisq когда-нибудь средства пользователей?

Да, однажды и в крупном масштабе. Эксплойт протокола в апреле 2022 года привёл к потере у активных трейдеров около 3 BTC и 4 000 XMR. Bisq DAO проголосовал за компенсацию пострадавшим за счёт будущих комиссий с торгов, и протокол был исправлен в течение нескольких дней. Никакой последующий инцидент сопоставимых потерь не вызывал, но случай стоит знать перед тем, как ставить крупные сделки.

Нужен ли KYC на Bisq?

Нет. Сам Bisq никогда не спрашивает идентификацию. Однако ваш торговый контрагент увидит всё, что раскрывает выбранный способ оплаты — для SEPA это полное имя и IBAN, для наличных по почте — почтовый адрес. Ваш банк тоже видит фиатную сторону и может применить свои AML-триггеры (для российских пользователей — 115-ФЗ и блокировка по подозрительным операциям). «KYC на Bisq нет» — это правда; «полная анонимность» — нет.

Работает ли Bisq в 2026 году?

Да. Bisq v1 в режиме поддержки, но всё ещё обрабатывает сделки. Bisq 2 — активная ветка разработки, с Bisq Easy как рекомендуемой точкой входа и MuSig как рекомендуемым протоколом для больших сумм. Объём торгов мал по сравнению с централизованными биржами, но стабилен, и десктопный клиент получает регулярные релизы.

Какой способ оплаты на Bisq самый безопасный?

Физические наличные при личной встрече несут нулевой риск чарджбэка и не оставляют банковского следа, но имеют очевидные операционные риски. Среди электронных методов SEPA Instant считается самым безопасным, потому что расчёт окончателен в течение секунд. Методы с длинным окном отмены — PayPal, P2P-переводы Revolut при определённых условиях, ACH — выше по риску, и многие опытные продавцы их прямо отказываются принимать. Для российских пользователей наличные плюс СБП-перевод между доверенными контрагентами — типичная связка, хотя ни один из этих методов нативно не интегрирован в Bisq.

Bisq или мгновенный обменник для покупки Monero?

Если вы уже держите BTC или другую поддерживаемую монету, и ваша цель — приватный Monero, мгновенный обменник обычно быстрее, дешевле для малых сумм и полностью избегает фиатной экспозиции. MoneroSwapper и подобные Tor-доступные сервисы завершают конвертацию BTC→XMR менее чем за 30 минут без проверки личности и без участия банка. Bisq оставьте для более сложной задачи: перемещения между фиатом и криптой без KYC, где его инструментарий по-прежнему трудно заменить.

Может ли правоохранительный орган запросить данные Bisq?

Нет центральной организации, которую можно было бы вызвать в традиционном смысле. Bisq DAO — это федерация контрибьюторов, которым платят в BSQ. Однако отдельные медиаторы и арбитры — реальные люди в известных юрисдикциях, и они держат улики сделок (зашифрованными) в течение стандартного окна разрешения споров. С ними можно связаться по легальной процедуре, но они не хранят средства сделок, а данные, которые они видят, ограничены тем, чем контрагенты поделились друг с другом.

Заключение

Bisq безопасен в самом важном смысле: он не хранит ваши средства, не знает, кто вы, а сбои на уровне протокола были редкими, публичными и восстановимыми. Он не безопасен в обывательском смысле «ничего не может пойти не так». Банковские рельсы на фиатной стороне, обработка платёжных реквизитов контрагентом и операционная аккуратность при работе с клиентом — всё это твёрдо лежит на пользователе. На 2026 год Bisq остаётся правильным инструментом для сделок фиат-крипта, которым нужно избежать KYC, и менее убедительным инструментом для чистых крипта-в-крипту свопов, где мгновенные площадки вроде MoneroSwapper уже доставляют тот же приватный результат с меньшим трением и без банковской экспозиции. Выберите угрозу, от которой реально защищаетесь, потом выберите площадку. Самая сложная часть приватности при самокастоди — это честность с собой о том, какие риски вы тянете сами.