ПРОВЕРЯЕМОСТЬ

Доверие механизмом,
а не словом.

Хеш-цепь blake3 с дозаписью в конец над каждым событием. Двойная запись на каждый перевод. Детерминированный повтор из WAL с нуля. Цепь выгружается наружу — её можно проверить независимо.

ДОКАЗАТЕЛЬСТВА

Что значит «проверяемо»
на самом деле.

Четыре механизма, а не прилагательные. Каждый — это система, которую можно изучить, выгрузка, которую можно проверить, свойство, на которое можно опереться.

01

Цепь blake3 с дозаписью в конец.

Каждое исполнение, перевод и изменение баланса хешируется вместе с предыдущим событием. Подмените любую запись — и цепь дальше рвётся, заметно, по построению.

02

Баланс по двойной записи.

Каждое изменение баланса — сбалансированная пара переводов. Контрольный гейт сверяет кеш и реестр шаг в шаг на каждой пачке. Расхождение — обрыв обработки.

03

База аудита с минимумом прав.

База аудита вынесена отдельно и имеет лишь необходимый минимум прав. Горячий путь не может переписать историю — её можно только дополнять.

04

Выгрузка вершины хеша наружу.

Вершина хеша цепи выгружается во внешнюю систему по фиксированному графику. Любой, у кого есть эта вершина, может независимо проверить целостность цепи.

СЛОМАЙТЕ САМИ

Подмена обрыв цепи.

Аудит-цепь — не заявление, которое надо принять на веру. Каждое событие хешируется вместе с предыдущим — поэтому кликните любой блок ниже, чтобы подменить его, и смотрите, как рвётся каждый хеш дальше по цепи, заметно, по построению.

↑ Нажмите на любой блок (кроме genesis), чтобы подменить. Хеши после него сломаются — заметно.

Block 00 · init
GENESIS
b1165923
55c04291
Block 01 · fill
BTC-PERP +0.45
81ae307e
9dc30b18
Block 02 · fill
ETH-PERP +1.20
8dd2160e
af981868
Block 03 · fill
BTC-PERP −0.10
f3475c4c
3b4af49a
Block 04 · tfr
USDC dep +5,000
4cec5030
7b7e09da
Block 05 · fill
BTC-PERP +0.25
4dcdd8fc
24f722ca
Block 06 · fill
SOL-PERP +12.0
e28cd308
0376f4fe
Block 07 · fill
ETH-PERP −0.40
511d46f0
78a842be
ПЕРИМЕТР

Слои, все проверяемы.

Безопасность здесь — не одна стена, а четыре независимых слоя: кто вы, что может ключ, кто двигает средства и можно ли верить записи. У каждого свой разбор.

Passkeys + step-up

Сессия — не отмычка.

Вход устойчив к фишингу по построению — на passkeys, а пограничные действия — вывод, смена whitelist, выпуск ключа — требуют свежего подтверждения на периметре (RFC 9470). Сессии по риску ужимают окно доверия, когда сигналы выглядят аномально.

Разбор: /identity — сессии, step-up, риск.

Scoped API-ключи

Только те права, что вы дали.

У API-ключей есть область — read, trade и withdraw это раздельные права, — а запросы подписываются Ed25519, а не несут секрет-предъявитель, так что утёкший ключ сам по себе не рабочий токен. Ключи с правом вывода работают только на whitelist-адреса.

Разбор: /identity — ключи с областью и подписью.

Пороговое хранение

Нет единой точки подписи.

Средства в покое хранятся под пороговой подписью t-of-n: ни одна машина не держит ключ целиком и не подпишет вывод в одиночку. Новый адрес проходит выдержку по времени, а внешний аудит гейтит mainnet.

Разбор: /custody — пороговая подпись.

Детерминированный повтор

Реестр, который можно перезапустить.

Каждое событие записано в WAL до подтверждения, а весь реестр детерминированно повторяется от генезиса до бит-в-бит того же состояния — записи доверяют потому, что её можно пересчитать, а не потому, что так сказано.

Разбор: /technology — запись до ack.

Большинство бирж просят им верить.
Ядро пересобрано так, чтобы оно показывало само.

ДЕТАЛИ

Вопросы прямые ответы.

Что может утёкшая сессия, кто двигает средства, что такое следы вмешательства конкретно и можно ли переписать историю.

Что если утечёт токен сессии?

Сессия — не отмычка. Действия высокой ставки — движение средств, смена whitelist, выпуск ключа — стоят за step-up на периметре и требуют свежего сильного подтверждения в момент запроса, так что украденная сессия не выведет средства втихую. Сессии по риску ужимают окно доверия, когда сигналы аномальны, а запросы к API подписываются, а не полагаются на секрет-предъявитель.

Кто на самом деле может двигать средства?

Ни одна сторона в одиночку. Выводы подписывает порог t-of-n независимых сторон, и полный приватный ключ никогда не собирается ни на одной машине — взлома одного сервера мало, чтобы подписать вывод. Вдобавок вывод обязан пройти step-up, whitelist-адрес и выдержку по времени, прежде чем порог вообще подпишет.

Что такое следы вмешательства конкретно?

Каждое исполнение, перевод и изменение баланса хешируется вместе с предыдущим событием в цепь blake3 с дозаписью. Подмените любую запись — и каждый хеш дальше рвётся, заметно, по построению, ведь каждый хеш зависит от предыдущего. База аудита работает с минимумом прав, так что горячий путь не может переписать историю — её можно только дополнять.

Может ли биржа переписать свою историю?

Не тихо. Горячий путь не может переписать базу аудита — роли с минимумом прав разрешают только дозапись, — а вершина хеш-цепи выгружается наружу по фиксированному графику, становясь обязательством, которое уже держит кто-то другой. Чтобы переписать историю незаметно, пришлось бы сломать цепь и сойтись с вершиной, что уже покинула здание.

Дальше

Гибридное слияние

Смотреть путь
Высокорисковые деривативы. На бессрочных контрактах можно потерять больше, чем внесённая начальная маржа. Недоступно резидентам ограниченных юрисдикций (не-US · не-UK).
Полное раскрытие рисков →