Как работает multisig escrow на P2P-биржах без KYC

В марте 2025 года Управление по контролю за иностранными активами США (OFAC) внесло в санкционный список Garantex — крупнейшую русскоязычную P2P-площадку, на которой обслуживалось более семи миллионов аккаунтов. В течение суток заблокированными оказались около 28 миллионов долларов в USDT, а пользователям, успевшим подтвердить email, начали приходить требования «расширенной верификации» — селфи с паспортом, документы об источнике средств, скан коммунальных квитанций. Большинство тех аккаунтов своих балансов так и не увидели. Подобные истории — главная причина, по которой русскоязычные трейдеры массово переходят на P2P-площадки без KYC. Но торговать напрямую с незнакомцем кажется страшным до тех пор, пока вы не разберётесь в криптографической страховке, которая лежит в основе процесса. Эта страховка называется multisig escrow, и со времён первого atomic swap это самое важное изобретение в области приватной торговли. На Haveno, Bisq, RoboSats и будущем Serai DEX именно мультиподпись 2-из-3 позволяет передать Monero контрагенту, которого вы никогда не видели, без посредника-кастодиана.

Этот гайд проходит через весь механизм — как генерируются ключи, почему подписантов три, а не два, как разрешаются споры без слива приватности и что происходит, если одна сторона просто пропала. Если вы когда-нибудь свопали через MoneroSwapper и задавались вопросом, как децентрализованные опции маршрутизации сохраняют средства от начала до конца сделки, multisig-схема ниже — это и есть фундамент, который делает доверительно-минимальный P2P в 2026 году реально возможным.

Почему централизованный эскроу провалился и его заменил multisig

Большую часть 2010-х P2P-биржи вроде оригинального LocalBitcoins работали на модели централизованного эскроу. Вы клали монеты в кошелёк, контролируемый платформой, а платформа выпускала их, когда покупатель подтверждал оплату. Эта схема работала ровно до тех пор, пока в 2019-м регуляторы не продавили обязательный KYC, пока exit-скамы не выкачивали пользовательские кошельки, а суды не начали обязывать операторов раскрывать каждого контрагента в базе. Допущение «платформа не украдёт и не сдаст» оказалось невыполнимым обещанием — особенно для русскоязычной аудитории, где банковский надзор может потребовать данные о транзакциях буквально по запросу мессенджера.

Multisig escrow переворачивает модель. Вместо того чтобы монеты держала одна сторона, три участника владеют по фрагменту ключа, и любые два из них могут подписать выпуск средств. Платформа становится арбитром в спорах, а не хранителем. Структурные последствия:

• Нет единой точки изъятия: постановление суда против оператора биржи не двигает средства, потому что оператор держит только один из трёх ключей.
• Нет риска exit-скама: если платформа исчезла, покупатель и продавец всё равно могут совместно высвободить средства двумя своими ключами, без участия арбитра.
• Нет рычага KYC: платформа никогда не касается ваших монет, поэтому у неё нет регуляторного предлога требовать документы у любой из сторон.
• Сопротивление цензуре: сама ончейн-транзакция выглядит как обычная отправка Monero, неотличимая от любого другого multisig-сетапа в сети.
• Криптографические доказательства спора: арбитр видит только подписанные сообщения, относящиеся к сделке, а не всю историю кошелька любой из сторон.

Сдвиг произошёл не на бумаге. После того как в 2014-м Bisq внедрил 2-из-2 мультиподпись, а в 2018-м расширил до 2-из-3, модель перекочевала на Monero-нативные платформы, как только Haveno и протокол Serai доказали, что схему подписи CLSAG в Monero можно адаптировать для многосторонней подписи. По данным агрегаторов Monero Observer, к концу 2025 года более 38 процентов всего peer-to-peer оборота Monero шло через те или иные реализации 2-из-3 multisig escrow.

Криптография за 2-из-3 multisig в Monero

Multisig в Monero — это не простая пороговая схема Schnorr, как в Bitcoin Taproot. Это многораундовый протокол поверх CLSAG, алгоритма кольцевых подписей, принятого в Monero в 2020 году. Понимание общей формы того, что происходит под капотом кошелька, объясняет, почему сетап занимает несколько минут и почему некоторые биржи до сих пор считают эту функцию экспериментальной.

Генерация ключей и три раунда подписи

Когда покупатель, продавец и арбитр открывают сделку, каждый локально генерирует приватную долю spend-ключа и приватную долю view-ключа. Они обмениваются соответствующей публичной информацией через зашифрованный реле платформы, но приватные доли никогда не покидают устройство пользователя. Из объединённого публичного материала выводится совместный stealth-адрес — именно на этот адрес продавец вносит продаваемый Monero. Поскольку адрес сконструирован из трёх независимых секретов, ни одна сторона — даже арбитр — не может потратить с него в одиночку.

Подпись release-транзакции требует координации двух из трёх участников через три раунда обмена. Первый раунд — обмен предварительными nonce; второй — обмен частичными подписями над телом транзакции; третий — их объединение в финальную CLSAG-подпись, которую сеть принимает так, будто она пришла от одного подписанта. Вся последовательность завершается меньше чем за минуту на современном кошельке, но её нельзя свести к единичному обмену сообщениями, потому что схема подписи Monero требует детерминированной привязки nonce ради безопасности.

Почему именно 2-из-3, а не 2-из-2 или 3-из-3

Схема 2-из-2 проще, но хрупка: если одна из сторон теряет ключ или отказывается подписывать, средства зависают навсегда. Схема 3-из-3 ещё хуже — она требует участия арбитра в каждом релизе, что убивает саму идею минимизации доверия. Золотая середина 2-из-3 даёт:

• Happy path: покупатель и продавец подписывают вместе, арбитр не нужен, ни одна третья сторона не видит исхода сделки.
• Путь спора: арбитр подписывает совместно с той стороной, на чью сторону он встал после изучения чат-логов и доказательств оплаты.
• Путь исчезновения: если арбитр пропал (платформа офлайн, аккаунт скомпрометирован), две сотрудничающие стороны всё равно могут завершить сделку.

Ключ арбитра сам по себе часто является мультиподписным ключом, контролируемым федерацией арбитров, а не отдельным человеком, что добавляет ещё один слой децентрализации. Mainnet Haveno, например, использует ротационный пул общественных арбитров, забонденных XMR-залогом, который они потеряют, если будут уличены в сговоре.

Time-локи и путь брошенной сделки

Каждый multisig-эскроу включает time-lock — обычно от 24 до 72 часов после того, как продавец отметил получение платежа. Если обе стороны замолчали, time-lock позволяет продавцу односторонне забрать средства после истечения окна. Это защищает от троллей, которые открывают сделку и уходят, чтобы бесконечно гриферить продавца. Точная длительность согласуется в момент открытия сделки и зашивается в логику смарт-эскроу платформы; на Bisq дефолт — 30 дней для фиатных сделок, на Haveno — намного короче, потому что подтверждение фиатного платежа там не требуется.

Сравнение multisig-эскроу на основных платформах без KYC

Multisig escrow реализован не везде одинаково. Некоторые платформы по-прежнему опираются на одного арбитра, другие — на федерацию; одни поддерживают Monero нативно, другие требуют обёрнутых представлений. Различия важны, потому что они меняют ваш профиль риска в худшем сценарии.

Платформа	Схема multisig	Модель арбитра	Monero нативно	Типичное время сделки
Haveno (mainnet)	2-из-3 CLSAG multisig	Федеративный ротационный пул с XMR-залогом	Да — напрямую ончейн	15–40 минут
Bisq 1 (legacy)	2-из-2 BTC multisig + залог	Один арбитр на регион	Нет — BTC уходит в XMR вторым свопом	1–2 часа со свопом
Bisq 2 (2025+)	Репутационная, опциональный multisig	Медиатор (некастодиальный)	Частично — через atomic XMR-BTC своп	30–90 минут
RoboSats (Lightning-шлюз)	2-из-2 с hold-инвойсом	Координатор RoboSats	Нет — XMR через своп-агрегатор	20–60 минут
Serai DEX (testnet 2026)	Пороговые FROST-подписи	Валидаторный сет (на базе Substrate)	Да — кросс-чейн через threshold sigs	10–25 минут
RetoSwap (бывший Haveno Reto)	2-из-3 CLSAG multisig	Оператор + публичные логи споров	Да — напрямую ончейн	15–35 минут

Стоит учитывать, что Bisq 1 был выведен из эксплуатации для новых сделок в конце 2025-го по мере выкатки Bisq 2, но большая часть пользовательской базы до сих пор воспринимает его как референсный дизайн. Haveno остаётся золотым стандартом Monero-нативного multisig, потому что он наследует экономическую модель безопасности Bisq — гарантийные депозиты с обеих сторон — и переносит её на полностью приватный актив. Serai DEX, всё ещё в тестнете на момент написания, стоит наблюдения: его пороговая схема FROST потенциально открывает trustless-свопы между BTC, XMR и ETH вообще без обёрнутых токенов.

«Вся суть multisig в том, чтобы убрать вопрос доверия из сделки и заменить его вопросом криптографической процедуры. Если вам приходится доверять платформе — это не multisig, это кастодиальный кошелёк с лишними шагами».

Пошагово: P2P-сделка с multisig от старта до финиша

Ниже — канонический поток, который вы встретите на Haveno или любой схожей 2-из-3 платформе. Покупатель отправляет фиат или другую криптовалюту; продавец высвобождает Monero из эскроу. Названия кнопок и вкладок различаются, но базовые шаги универсальны.

1. Обе стороны вносят гарантийный депозит. Обычно 10–15 процентов от размера сделки в XMR, заблокированных в том же multisig-кошельке, который будет держать сумму сделки. Этот залог арбитр может списать в случае недобросовестного поведения — экономический клей, который удерживает систему в честных рамках.
2. Продавец фондирует эскроу. Полная сумма продаваемого XMR отправляется на свежесгенерированный 2-из-3 stealth-адрес. Транзакция должна получить требуемое количество подтверждений (обычно 10 блоков на Haveno), прежде чем сделка может двинуться дальше.
3. Покупатель отправляет оплату. Вне сети — банковский перевод, перевод по СБП, наличные почтой, gift-карта или другая криптовалюта — в зависимости от условий оффера. Покупатель отмечает «платёж отправлен» в интерфейсе платформы.
4. Продавец подтверждает получение. Как только продавец убедился, что платёж прошёл (для крипты — секунды, для трансграничного банковского перевода — дни), он жмёт «платёж получен», что запускает кошелёк покупателя на сборку своей части подписи релиза.
5. Двусторонняя подпись. Покупатель и продавец обмениваются CLSAG-долями подписи через три раунда. Их кошельки объединяют доли в валидную spend-транзакцию, которая высвобождает XMR плюс залог продавца покупателю и возвращает залог покупателя. Без участия арбитра.
6. Ончейн-сетлмент. Объединённая транзакция бродкастится в сеть Monero и подтверждается примерно за две минуты. Снаружи она выглядит как любая другая транзакция Monero — ни один наблюдатель не отличит её от обычной отправки.

Если покупатель так и не отметил платёж отправленным, продавец может вернуть свои средства после таймаута брошенной сделки. Если же покупатель платёж отметил, а продавец отказывается подтверждать, покупатель открывает спор и в дело вступает арбитр.

Разрешение споров без слива приватности

Поток споров — это место, где multisig escrow отрабатывает свои хлеба, и одновременно место, где новички чаще всего неправильно понимают гарантии приватности. Открытие спора не раскрывает ваш кошелёк — оно раскрывает только сообщения и доказательства, которые вы сами решили предоставить арбитру. На Haveno интерфейс спора позволяет каждой стороне загрузить зашифрованные вложения (банковские выписки, скриншоты чата с контрагентом, чеки платёжного провайдера), которые может расшифровать только арбитр.

Задача арбитра — решить, какому из двух не-арбитражных ключей будет предложено со-подписать финальный релиз. Он не видит вашу реальную личность, если только вы сами её не раскроете; он не видит ваши другие сделки; он не видит баланс вашего кошелька за пределами оспариваемого эскроу. CLSAG-схема гарантирует, что даже после разрешения спора ончейн-транзакция неотличима от релиза по happy path. В блокчейне Monero нет встроенного «флага спора» — эта информация остаётся в базе платформы, которая, в свою очередь, обычно живёт на Tor-only сервере с минимальным логированием.

Рабочий пример: представим, что покупатель из Тбилиси отправляет SEPA-перевод продавцу в Берлине на 1,5 XMR в евро через грузинский счёт. Продавец заявляет, что средства не пришли. Покупатель загружает заверенный SEPA-PDF, показывающий, что IBAN получателя совпадает с указанным аккаунтом продавца. Арбитр изучает PDF, проверяет историю продавца (Haveno хранит обезличенный репутационный счёт) и выносит решение в пользу покупателя. Арбитр и покупатель затем подписывают релиз вместе, XMR уходит на кошелёк покупателя, а залог продавца конфискуется в пользу покупателя как компенсация. Вся сделка не оставляет публичных следов, кроме одной обычной на вид Monero-транзакции.

Где это становится по-настоящему интересно — это сочетание multisig escrow с дальнейшими инструментами приватности. После получения средств по итогам спора многие трейдеры прогоняют XMR через второй кошелёк, иногда направляя его через анонимные своп-рельсы MoneroSwapper, чтобы конвертировать в другой актив до повторного использования. Этот паттерн «закрой сделку, потом отмой» избыточен для честных трейдеров, но является стандартной процедурой для тех, кто регулярно торгует в условиях угроз, включающих пассивные блокчейн-аналитические фирмы.

Типичные сценарии сбоя и как multisig их предотвращает

Даже при сильной криптографии большая часть сделок ломается на пользовательском опыте вокруг multisig. Понимание сценариев сбоя — это то, что отделяет гладкую первую сделку от стрессовой. Самые частые подводные камни 2025–2026 годов:

• Проблемы синхронизации кошелька во время раундов подписи: если кошелёк одной из сторон не досинхронизирован до текущей высоты блока, доли подписи могут быть отвергнуты. Решение — синхронизироваться до открытия сделки и держать кошелёк открытым на всю её продолжительность.
• Обрыв Tor-цепочки: большинство платформ работают только через Tor, и обрыв цепи в середине подписи может оставить сделку зависшей. Решение — перезапустить клиент платформы, что обычно перестраивает цепь и возобновляет работу с последнего чекпоинта без потери состояния сделки.
• Несогласованный fee bumping: если mempool Monero перегружен и multisig-транзакция висит неподтверждённой, высвободить её можно только пересборкой подписи с более высокой комиссией. Одни платформы автоматизируют это, другие требуют ручного вмешательства.
• Мошенничество в офчейн-платеже: фиатная нога — самое слабое звено. Чарджбек по SEPA, реверс PayPal, отзыв перевода СБП в первые 24 часа, поддельные наличные — всё это остаётся возможным. Multisig защищает только ончейн-сторону, поэтому выбор способа оплаты по-прежнему критичен.
• Потеря wallet-файла до подписи: если покупатель теряет кошелёк между отправкой платежа и подписью релиза, восстановить средства смогут только арбитр и продавец, и только при сотрудничестве продавца. Бэкапы multisig-файла кошелька не обсуждаются.

Заметьте: ни один из этих сценариев не связан с тем, что сама криптография была сломана. Математика держится безупречно с момента запуска CLSAG-multisig. Каждая задокументированная потеря средств в P2P-торговле Monero с 2022 года связана с ошибкой пользователя, токсичным способом оплаты или социальной инженерией — но не со схемой multisig как таковой.

FAQ

Может ли арбитр украсть мои средства в 2-из-3 multisig?

Нет. Арбитр держит только один из трёх ключей, а система требует двух подписей для любой траты. Арбитр сможет подписать, только если покупатель или продавец подпишет вместе с ним. Единственный способ «украсть» — сговор с контрагентом против вас, поэтому платформы вроде Haveno бондят арбитров значительным XMR-залогом и рандомно ротируют их по сделкам. Если сговор — ваша модель угроз, выбирайте платформу с федерацией, а не с одним арбитром.

Multisig escrow действительно без KYC, или платформы всё-таки собирают ID?

Настоящие multisig P2P-платформы не собирают KYC. Haveno, Bisq, RoboSats и Serai никогда не видят ваши документы, потому что они никогда не касаются ваших средств и не выступают в роли money transmitter в большинстве юрисдикций. Вы заходите через Tor, торгуете под псевдонимом, и ваша единственная «репутация» — числовой счёт, привязанный к ключевой паре конкретной платформы. Способ фиатной оплаты, который вы выбираете, всё ещё может раскрыть вашу личность вашему банку — но это отдельный слой от самой платформы.

Что станет с моим Monero, если платформа уйдёт офлайн посреди сделки?

Поскольку платформа держит только один ключ (арбитра), она не может двигать средства в одиночку. Если у покупателя и продавца ключи остались, они могут подписать вместе и высвободить эскроу, больше никогда не касаясь платформы. Большинство площадок публикуют процедуру восстановления открыто, чтобы трейдеры знали, как сетлить вручную. Серьёзным риск становится только тогда, когда платформа уходит во время активного спора — в этом случае затронутые средства могут быть заблокированы, пока пользователи не скоординируются вне платформы.

Чем это отличается от atomic swap?

Atomic swap — это trustless кросс-чейн обмен через hash time-locked контракты; никакой третьей стороны вообще нет. Multisig escrow — это перевод одного актива, защищённый требованием подписи трёх сторон. Atomic swaps отлично работают для крипто-к-крипто, но не для крипто-к-фиат, и именно там сияет multisig: офчейн-нога платежа нуждается в арбитре, способном изучить доказательства, если возник спор.

Добавляет ли multisig escrow какие-то комиссии по сравнению с обычной транзакцией Monero?

Да, двух видов. Во-первых, ончейн-транзакция релиза чуть больше обычной отправки одним подписантом, потому что включает данные многосторонней подписи — это добавляет примерно 30–40 процентов к сетевой комиссии, что в абсолютных XMR-цифрах всё равно копейки. Во-вторых, платформа обычно берёт небольшой процент за сделку (типично 0,5–1 процент на Haveno), чтобы компенсировать арбитров и финансировать разработку. По сравнению со спредом на централизованной бирже после накладных расходов KYC это почти всегда дешевле.

Могут ли правоохранительные органы запросить у арбитра данные о моей сделке?

Записи арбитра, если их затребуют по решению суда, раскроют только псевдонимный ID сделки, зашифрованные сообщения спора (которые он сам не сможет расшифровать без своего ключа) и публичный multisig-адрес. Они не раскроют вашу реальную личность, если только вы сами не раскрыли её в ходе медиации. На платформах, управляемых федеративными, географически распределёнными операторами (Haveno, Serai), нет единой юрисдикции, в которую можно подать запрос. Это структурно отличается от централизованной биржи, где одно судебное решение может вынудить раскрыть каждый аккаунт.

Заключение

Multisig escrow — это технология, которая делает по-настоящему trustless peer-to-peer торговлю Monero возможной без сдачи личности, без доверия кастодиану и без изобретения экзотической криптографии. Модель 2-из-3 — обманчиво простой примитив, который решает три большие проблемы P2P — мошенничество контрагента, изъятие платформой и нейтральность арбитража — используя ровно стандартные подписи CLSAG и немного координации nonce. Для любого, кто всерьёз заботится о фунгибельности своих XMR, понимание этого механизма перестало быть опциональным в 2026-м — это базовая грамотность, ожидаемая от любого приватно-мыслящего трейдера.

Когда вам нужно быстро войти или выйти из Monero и при этом минимизировать риск контрагента, не разворачивая полноценную Haveno-сделку, MoneroSwapper предоставляет лаконичный no-KYC своп-слой, который дополняет multisig P2P, а не конкурирует с ним. Комбинация — multisig для крупных или фиат-сделок, своп-агрегация для быстрых крипто-крипто переводов — это то, как опытные пользователи в 2026 году сохраняют и приватность, и ликвидность одновременно.