CHECKMATE
Обзор ВЭД / OTC — Ладья Майнинг — Конь AML — Ферзь Трейдинг — Слон Запросить доступ

Ладья · Rook · Защита расчёта

Защищённый ВЭД и OTC

Глубокий разбор того, как приватная пермишенная расчётная сеть проводит трансграничные и внебиржевые сделки RUB ↔ CNY ↔ USDT атомарно, без расчётного риска и без потери приватности — оставаясь полностью проверяемой регулятором.

≈ 12 мин чтения · по техдокументу Finance OS
Запросить котировку Как это устроено
$50k
минимальная сделка
$50M
лимит сделки
секунды
финальность расчёта
2
регуляторных контура

Глава 1 · Задача

Трение трансграничного расчёта

Сегодня расчёт по линии RUB ↔ CNY ↔ USDT собирается из звеньев: банк-отправитель, один или несколько корреспондентов, конвертация, криптонога, банк-получатель. Каждое звено добавляет время, комиссию и риск.

Пока деньги в пути, у сторон сохраняется расчётный риск: одна нога может пройти, а встречная — зависнуть. Параллельно растёт регуляторное давление — идентификация контрагента, санкционный и PEP-скрининг, пороги обязательного контроля. Делать это вручную поверх разрозненных каналов дорого и ненадёжно.

Отправитель +t +% Корреспондент +t +% Конвертация +t +% Криптонога +t +% Получатель
Рис. 1 · Классическая цепочка корреспондентского расчёта: каждое звено добавляет время, комиссию и риск.
Пока деньги в пути, одна нога может пройти, а встречная — зависнуть. Это и есть расчётный риск.
Finance OS · техдокумент, гл. 2

Глава 2 · Технология

Одна приватная расчётная плоскость

Finance OS — это приватная пермишенная расчётная сеть. В отличие от публичных блокчейнов, в ней нет глобального бродкаста, общего mempool и публичного эксплорера: узлы обмениваются транзакциями только с теми, кого касается сделка (модель need-to-know).

Финальность расчёта обеспечивает нотариус: он проверяет уникальность входных состояний (защита от двойного расходования), не видя содержимого сделки. Каждый участник — юридически идентифицированный узел с собственным хранилищем и пройденным KYC, а не псевдонимный адрес.

Главная роль узла — шлюз. Он связывает финансовые институты для межбанковских ВЭД-расчётов и внешние криптосервисы (кошельки, обменники, платёжные агенты) в единую расчётную плоскость.

Шлюз Finance OS приватные каналы + комиссия Банки-корреспонденты Платёжные агенты Криптокошельки Обменники
Рис. 2 · Узел Finance OS как шлюз: единая точка интеграции поверх приватных двусторонних каналов.
Приватность держится между контрагентами: участник A не видит сделок участника B.
Принцип need-to-know

Глава 3 · Интеграция

Вместо попарных связок — одна

Без шлюза каждый кошелёк, обменник и агент строят попарные интеграции друг с другом, и число связей растёт квадратично. Со шлюзом каждый подключается один раз.

попарно · N² шлюз · N
Рис. 3 · Попарная сетка (N² связей) против hub-and-spoke (N подключений).
Связей при 6 участниках, попарно 15
растёт квадратично: N·(N−1)/2
Подключений через шлюз 6
одна интеграция на участника

Это hub-and-spoke поверх приватных двусторонних каналов. Кошельку не нужно знать о других участниках — он видит только свои операции, а каждая конвертация несёт комплаенс-метаданные.

Глава 4 · Расчётная модель

DvP/PvP: либо обе ноги, либо ни одной

Две ноги операции — например, рублёвая и USDT- или CNY-нога — синхронизируются атомарно через нотариус по модели delivery-versus-payment / payment-versus-payment: либо проходят обе одновременно, либо не проходит ни одна. Сторона не может оказаться в положении, когда отдала свою ногу, а встречную не получила.

Рублёвая нога RUB Крипто-нога USDT / CNY Нотариус атомарная финальность ✓ Либо обе, либо ни одной — расчётного риска нет
Рис. 4 · Атомарная синхронизация двух ног через нотариус. Финальность — за секунды.

Атомарность DvP/PvP

Либо обе ноги одновременно, либо ни одной — встречного риска нет.

Быстрая финальность

Расчёт финализируется за секунды, без цепочки nostro/vostro и посредников.

Приватность need-to-know

Данные сделки передаются только её сторонам. A не видит сделок B.

Идентифицированный контрагент

Каждый участник прошёл KYC/KYB — это не анонимный адрес.

Цепочка корреспондентов vs Finance OS

Корреспондентский расчёт часы–дни
Finance OS секунды
Финальность
Корреспондентский расчёт 4–5
Finance OS 0
Посредников
Корреспондентский расчёт есть
Finance OS снят
Расчётный риск

Сравнение иллюстративное и отражает архитектурную разницу моделей, а не гарантированный бенчмарк по конкретной сделке.

Глава 5 · Контроль доступа

Кто и что видит

Модель доступа построена так, что бизнес сохраняет суверенитет над своими данными, а каждая роль видит строго необходимый объём.

Сторона сделки

Видит

Полные коммерческие условия своих сделок и их статус

Не видит

Сделки других участников сети

Контрагент

Видит

Те же сделки, в которых он участвует

Не видит

Сделки стороны с другими контрагентами

Оператор сети

Видит

Регуляторный срез операции и сумму своей комиссии

Не видит

Коммерческие условия и детали сделки

Регулятор

Видит

Конкретную сделку по законному запросу с доказательством неизменности

Не видит

Постоянный поток сделок

Глава 6 · Аудит

Аудируемость без потери приватности

Видимость для оператора сама по себе не нарушает требование «A не видит сделки B» — это требование про приватность между контрагентами. Реальная цена в другом: оператор-наблюдатель «по всему» становится централизованным honeypot и воссоздаёт ровно тот агрегированный датасет, отсутствие которого и было главным преимуществом сети.

Поэтому цель — не «дать регулятору всё», а дать минимально достаточное, держа агрегированный узел как можно меньше и защищённее.

1

Полный observer-узел

Оператору записываются все видимые состояния. Полный аудит-трейл из коробки, но он получает весь граф и коммерческие детали — руками строится honeypot.

Honeypot высокий
2 рекомендуется

Раздельные состояния + commitment

Транзакция выпускает TradeState (только A и B) и ComplianceState (срез + хэш). Оператор держит только комплаенс-срез — минимальный honeypot.

Honeypot минимальный
3

ZK / доверенные вычисления

Контрагенты доказывают соответствие правилам без раскрытия данных. Honeypot почти исчезает, но технология незрелая и дорогая.

Honeypot почти нет
1 атомарная транзакция 1 atomic tx → 2 state TradeState полные условия — только A, B Видят только A и B ComplianceState ID, сумма, флаги, хэш(Trade) Оператор (observer) только комплаенс-срез Росфинмониторинг / ЦБ по запросу Участник C — не получает состояний
Рис. 5 · Паттерн 2 — раздельные состояния: аудит без потери приватности.
Законный запрос Сторона отдаёт TradeState Сверка хэша ✓ Целостность
Рис. 6 · Раскрытие по законному запросу: сверка хэша доказывает, что сделку не переписали задним числом.
Совпало — значит сделку не переписали задним числом. Целостность доказывается без публикации коммерческих деталей.
Логика раскрытия по запросу

Глава 7 · Состав данных

ComplianceState под 115-ФЗ

В состоянии лежат ссылки и вердикты, а не персональные данные и коммерческие условия. Полные ПДн и KYC-досье остаются в off-chain KYC-сторе оператора. Чем меньше в состоянии — тем меньше honeypot и ниже ответственность за хранение.

ПолеНазначениеКлассЧувствит.
Группа 1 · Идентификация операции
txId (UUID) Уникальная ссылка на операцию ядро низкая
timestamp (UTC) Время; нужно для порогов и паттернов ядро низкая
tradeStateHash Commitment — якорь целостности при раскрытии ядро низкая
Группа 2 · Стороны (по ссылке, без ПДн)
payer/payeeClientRef KYC-идентификаторы сторон, не сами ПДн ядро средняя
payer/payeeUboRef Ссылки на бенефициарных владельцев ядро средняя
payer/payeeJurisdiction Страны сторон; риск-оценка ВЭД ядро средняя
Группа 3 · Финансовые параметры
assetType Валюта или крипто-актив ядро низкая
amount Сумма в активе ядро средняя
amountRubEquivalent Рублёвый эквивалент для порогов контроля ядро средняя
operationType / direction Вид операции и направление ядро низкая
Группа 4 · Крипто-специфика (chain-screening)
source/destAddressRef Адреса или токенизированные ссылки на них расшир. высокая
chainTxRef Ссылка на on-chain транзакцию, если есть расшир. высокая
Группа 5 · Комплаенс-вердикты
sanctionsScreeningResult Результат проверки по перечню ядро низкая
pepFlag Публичное должностное лицо ядро низкая
riskScore / riskLevel Риск-оценка операции ядро низкая
mandatoryControlFlag Подлежит обязательному контролю ядро низкая
suspiciousFlag + reasonCode Признак необычной/подозрительной операции ядро низкая
Развилка по адресам кошельков — для техспецов+
Хранить адрес в открытом виде удобно для chain-analytics, но он линкуем и тянет всю on-chain историю. Рекомендация: на состоянии держать только вердикт скрининга плюс солёный хэш адреса, а полный адрес — в off-chain мониторинговом сторе оператора. Тогда утечка самого состояния без таблицы маппинга не деанонимизирует стороны.

Оговорка. Точный состав формализованного электронного сообщения задаётся форматами Росфинмониторинга и применимыми НПА (по киргизскому контуру — требованиями НБКР). Это инженерная отправная точка для проектирования состояния, а не готовая форма отчётности. Финальный набор полей валидируется с комплаенс-функцией. Не является юридической консультацией.

Глава 8 · Опсек

Сетевая топология безопасности

Базовый принцип один: из приватной зоны наружу не торчит ничего, наружу смотрит только DMZ, и в ней минимум. Клиентский API детектируем по определению, а P2P-транспорт узлов прячется полностью. Сетевой шлюз работает по паттерну float/bridge: bridge внутри держит ключи и сам инициирует исходящие соединения, float в DMZ принимает входящий трафик, но ключей не держит и внутрь не ходит.

Публичная зона / интернет Клиент Внешний пир / сканер DMZ — единственная видимая поверхность Reverse proxy float · релей без ключей Приватное ядро (без публичных IP) App + bridge Узлы · нотариус · operator · БД Изолированный сегмент HSM · корень PKI offline bridge →
Рис. 7 · Зоны доверия: наружу смотрит только DMZ; внутрь соединение инициирует bridge (inside-out).
Принципы сегментации — для техспецов+
  • Default-deny: всё, что не разрешено явно, запрещено.
  • Направление инициации важнее портов: float принимает входящие, но внутрь не инициирует никогда.
  • Микросегментация: нотариус, operator и данные — отдельные сегменты, east-west трафик фильтруется.
  • Контроль egress: у приватных сегментов нет общего выхода в интернет, только узкий allow-list.
  • Приватный PKI: доверие замкнуто на корень сети, а не публичный CA — нет утечки в Certificate Transparency.
Матрица firewall-правил (фрагмент) — для техспецов+
Поток (источник → назначение)ПортДоступ
Internet → DMZ: reverse proxy 443/tcp allow
Internet (bridge пира) → DMZ: float 10005/tcp allow
DMZ: float → любой приватный сегмент * deny
App → Node: RPC 10003/tcp allow
Private: bridge → DMZ: float tunnel allow
Internet / DMZ → Notary * deny
любой → Operator * deny
Node / Notary / Operator → HSM PKCS#11 allow
Operator → эндпоинт отчётности 443/tcp allow

Порты даны как пример. Ключевое правило: float внутрь не инициирует — скомпрометированный релей не даёт прохода в ядро.

Сокрытие узлов направлено против атакующих и конкурентов, а не против собственного регулятора: комплаенс-канал остаётся достижим для авторизованных ролей по дизайну.
Пределы метода

Глава 9 · Регуляторика

Два регуляторных контура

Сеть работает в двух контурах сразу: российском (115-ФЗ, отчётность в Росфинмониторинг) и киргизском (лицензия PUVA, требования НБКР). Санкционный и PEP-скрининг встроены в поток обработки и проходят до расчёта, а не обходятся.

115-ФЗ
РФ · Росфинмониторинг
Мониторинг, обязательный контроль и формализованные сообщения (ФЭС).
PUVA · НБКР
Киргизский контур
Лицензионный режим для операций с виртуальными активами.
Санкции + PEP
До исполнения
Скрининг проходит до расчёта и не обходится.
ЭПР
Банк России
Экспериментальный правовой режим для трансграничных крипторасчётов.

Глава 10 · Применение

Направления потока и кому это нужно

RUB ↔ CNY ↔ USDT USDT ↔ RUB USDT ↔ USD BTC ↔ EUR ETH ↔ USDT USDT ↔ CNY BTC ↔ RUB

Майнинг-фермы

Конвертация добытого BTC в рубли крупными траншами без обвала цены на бирже

Импортёры и экспортёры

Закрытие валютных контрактов и оплата зарубежным поставщикам в USDT/CNY

Институциональные инвесторы

Покупка и продажа BTC/ETH суммой от $1M без раскрытия позиции рынку

Банки-корреспонденты

Межбанковские ВЭД-расчёты по линии Россия — Китай на приватном леджере

P2P-трейдеры и обменники

Поставка ликвидности для пополнения стоков под клиентский спрос

Платёжные агенты

Расчёт между принципалом и конечным контрагентом через лицензированное VASP-лицо

Глава 11 · Эндшпиль

Как заключается сделка

01

Запрос котировки

Указываете направление и сумму. Получаете курс за минуты, без раскрытия позиции рынку.

02

Согласование

Подтверждаете курс, реквизиты и сроки. Курс фиксируется для подписания.

03

Безопасный расчёт

Эскроу удерживает средства одной стороны до подтверждения получения от другой. Атомарно.

04

Документы

Договор, акт и отчёт об операции — полный пакет для бухгалтерии и валютного контроля.

Справочник

Глоссарий

Need-to-know+
Модель доступа: данные передаются только сторонам сделки, без глобального бродкаста.
TradeState+
Состояние с полными коммерческими условиями сделки; видно только её сторонам.
ComplianceState+
Состояние с регуляторным срезом и хэшем TradeState; видно оператору и опционально регулятору.
Нотариус+
Сервис, проверяющий уникальность входных состояний и обеспечивающий финальность; содержимого сделки не видит.
DvP / PvP+
Delivery-/payment-versus-payment: атомарный обмен двух ног расчёта без риска для сторон.
Commitment+
Криптографический хэш полных данных на состоянии; доказывает неизменность при раскрытии.
Float / bridge+
Паттерн шлюза: bridge внутри держит ключи и инициирует исходящие, float в DMZ принимает трафик без ключей.
mTLS+
Взаимная TLS-аутентификация: без сертификата сети соединение не устанавливается.
PKI+
Инфраструктура открытых ключей; доверие замкнуто на корень сети, а не публичный CA.
HSM / PKCS#11+
Аппаратный модуль безопасности для хранения ключей и подписания, и стандартный интерфейс к нему.
Оверлей+
Приватная mesh-сеть (WireGuard, headscale), по которой идёт P2P, скрывая адреса узлов.
VASP+
Поставщик услуг с виртуальными активами (по терминологии FATF).
ЭПР+
Экспериментальный правовой режим Банка России для трансграничных крипторасчётов.
115-ФЗ / ФЭС+
Закон о ПОД/ФТ и формализованное электронное сообщение в Росфинмониторинг.
PUVA / НБКР+
Киргизский лицензионный режим для операций с виртуальными активами и его регулятор.
DMZ+
Демилитаризованная зона: сегмент между интернетом и приватной сетью, где стоит только релей.

Лучший курс на крупные суммы

Оставьте заявку — менеджер свяжется в течение часа и согласует условия под вашу сделку.

Запросить котировку Открыть кабинет