Taproot-хранилища
Как работает некастодиальное Bitcoin-кредитование
Программируемые Bitcoin-скрипты, пороговые подписи и выход, который никто не может переписать. Архитектура за пост-Celsius Bitcoin-кредитом.
Кратко
Каждый Bitcoin-кредит, который вам предлагали последние десять лет, работает одинаково. Вы отправляете Bitcoin кредитору. Он держит. Вы надеетесь, что вернёт. Celsius не вернул. BlockFi не вернул. Voyager не вернул. Клиентские Bitcoin стали чьим-то залогом, чьим-то плечом, чьим-то убытком.
Есть другой путь. Заприте Bitcoin в скрипте на блокчейне Bitcoin, который точно определяет, что с ними может произойти. Кооперативный возврат, автоматическая ликвидация или ваш собственный выход, если кредитор исчезнет. Никакого усмотрения. Никакого смешения. Никакой рехипотекации. Проверяемо любым, у кого есть Bitcoin-нода. Технология, делающая это возможным, — Taproot, активированный в ноябре 2021. Способ её использования для кредитования называется Taproot-хранилище.
Что продолжает убивать Bitcoin-кредиторов
Каждый рухнувший Bitcoin-кредитор умер одинаково. Они держали клиентские Bitcoin в общем хранении, то есть брали депозиты всех и смешивали в один баланс. Потом делали то, что делают банки. Одалживали. Хедж-фондам, внутренним торговым столам, сестринским компаниям, кто платил больше.
Эта практика называется рехипотекацией. Она легальна почти везде, так работает практически любой традиционный банк, и это источник банковской системы с частичным резервированием. В нормальной банковской среде это работает, потому что есть страхование вкладов, центробанки как кредитор последней инстанции, и десятилетия регулятивной инфраструктуры, не дающие фокусу развалиться.
В крипто-кредитовании ничего этого нет. Когда музыка останавливается, ваш конкретный Bitcoin исчезает, размытый в обломках. Вы становитесь необеспеченным кредитором в суде по банкротству, иногда восстанавливая копейки на рубль, иногда годами позже.
Это не только проблема Celsius или BlockFi. Это структурное свойство любого кредитного продукта, где кредитор берёт усмотрительное хранение залога. Единственный способ реально починить — убрать усмотрение из уравнения целиком. Для этого и существуют Taproot-хранилища. Если вы ещё не контролируете собственные ключи, наш руководство по холодному хранению — полезный пререквизит.
Что Taproot реально принёс в Bitcoin
Bitcoin всегда имел скрипты. С первого дня каждый Bitcoin-output заперт маленькой программой, говорящей "вот что надо доказать, чтобы меня потратить." Простой кошелёк запирает средства скриптом "докажи, что знаешь приватный ключ к этому публичному ключу." Мультиподписной кошелёк запирает скриптом "докажи, что у тебя есть подписи M из N указанных ключей."
До Taproot у сложных скриптов было три проблемы. Они были публичны. Каждое условие, при котором output можно потратить, было видно on-chain с момента создания. Они были дороги. Сложные скрипты занимали больше места в блоке, значит — выше комиссии. Они были ограничены. Язык скриптов Bitcoin был умышленно ограничен.
Taproot, активированный в ноябре 2021, изменил все три. Taproot-output выглядит on-chain как один публичный ключ. Сложный скрипт спрятан внутри Merkle-дерева возможных условий, и раскрывается только ветка, которую реально используют. Платите только за используемую ветку, остальные остаются невидимы, а язык их написания (Tapscript) выразительнее старого.
На практике вы создаёте Bitcoin-output с пятью, десятью, пятьюдесятью разными условиями траты, каждое со своей политикой, и output выглядит on-chain как любая обычная одноключевая транзакция — пока вам не понадобится реально использовать одну из веток. Это и делает хранилище возможным.
Хранилище в концепте
Забудьте на минуту про детали реализации. Что вообще означает слово "хранилище" в этом контексте?
Хранилище — Bitcoin-output, который можно потратить больше чем одним способом, где каждый путь траты срабатывает при разных условиях и стороны, способные запустить каждый путь, — разные.
Простой пример: представьте хранилище с семейными сбережениями. Его тратят одним из трёх способов. Партнёр подписывает — средства идут на адрес вывода, контролируемый обоими. Вы один подписываете — средства идут на ваш адрес, но только после 30-дневного таймлока. Доверенный родственник подписывает с нотариусом — средства идут куда они укажут, используется только в экстренном случае. Три двери. У каждой своя политика. Bitcoin-кредитное хранилище работает ровно по той же логике.
Три двери Bitcoin-кредитного хранилища
У некастодиального Bitcoin-кредитного хранилища обычно три пути траты.
Дверь 1: кооперативный возврат
Заёмщик возвращает кредит в долларах (обычно стейблкоин). Подписная инфраструктура кредитора верифицирует возврат, подписывает транзакцию, освобождающую залог, и заёмщик получает Bitcoin обратно на адрес вывода, указанный при создании хранилища. Так должна заканчиваться подавляющая часть кредитов. Эквивалент погашения ипотеки и получения свидетельства о праве собственности.
Дверь 2: ликвидация
Стоимость залога падает ниже порога ликвидации, или срок кредита истекает без возврата. Эту дверь подписывает инфраструктура кредитора без подписи заёмщика. Скрипт принуждает, чтобы этот путь можно было использовать только для отправки средств на конкретный адрес ликвидации, не куда хочет кредитор. Когда средства туда приходят, они идут в голландский аукцион (цена начинается высоко и падает, пока кто-то не возьмёт). Кредитор не назначает цену. Это делает рынок. Выручка погашает кредит, излишек возвращается заёмщику.
Дверь 3: односторонний выход
Это та, что важна. Если кредитор исчезает (банкротство, взлом, регуляторный запрет, просто пропал), заёмщик тратит дверь выхода сам. Никакой координации с кредитором. Никаких судебных процедур. Никакого суда по банкротству. Строит транзакцию публичным инструментом, отправляет в сеть Bitcoin, средства приходят в кошелёк.
Нюанс: этот путь заперт относительным таймлоком, обычно около года. Output хранилища нельзя потратить по этому пути, пока не пройдёт достаточно времени с депозита. Таймлок даёт кредитору длинное окно использовать дверь 1 или дверь 2 при нормальной работе. На практике дверь 3 почти никогда не должна использоваться. Это пожарная сигнализация, не главная дверь. Но дверь существует, принуждается Bitcoin-скриптом, и ни один человек её не перепишет.
Вот что "некастодиальный" реально значит в контексте Bitcoin-кредитования. Не "кредитор обещает вернуть монеты." Не "у кредитора есть страховка." Не "кредитор использует регулируемого хранителя." А "если все, кто управляют кредитором, завтра исчезнут, вы всё равно вернёте Bitcoin, имея только Bitcoin-ноду и кусок публичного софта."
Запертая дверь: NUMS-трюк
На каждом Taproot-output есть четвёртый путь, о котором мы не говорили. Он называется key-path spend.
Taproot-output технически заперт одним публичным ключом, со скрипт-путями как резерв. Большинство Taproot-кошельков используют key-path как дешёвый и приватный способ двигать средства, все стороны держат доли соответствующего приватного ключа и подписывают совместно.
В Bitcoin-кредитном хранилище key-path опасен. Будь у кредитора и заёмщика общий ключ для траты output вне трёх дверей — весь смысл хранилища подорван. Подписная инфраструктура кредитора могла бы сговориться (или быть скомпрометированной) и двинуть средства вне правил.
Решение называется NUMS внутренний ключ. NUMS — "Nothing Up My Sleeve." Идея — построить публичный ключ так, чтобы доказать: никто не знает соответствующего приватного. Стандарт — взять SHA-256 хеш известной фразы (что-то вроде "SURGE-NUMS" или "BIP-341-NUMS") и использовать как x-координату публичного ключа. Любой проверит, что ключ выведен так. Никто не выведет приватный из хеша — это требовало бы взлома SHA-256, что сломало бы Bitcoin полностью.
Практический эффект: key-path spend на правильно построенном кредитном хранилище доказуемо бесполезен. Единственный способ потратить output — через один из трёх скрипт-путей. Кредитор буквально не обойдёт правила, даже если захочет. Это деталь, отделяющая серьёзный некастодиальный продукт от маркетинговой кампании. Всегда проверяйте, отключён ли key-path в любом Taproot-хранилище, которому собираетесь доверить Bitcoin.
Кто подписывает транзакции кредитора: пороговые подписи
Двери 1 и 2 обе требуют подписи кредитора. Если кредитор — одна компания с одним подписным ключом, вы воссоздали кастодиальную модель с лишними шагами. Скомпрометированный ключ, недобросовестный сотрудник или регуляторное изъятие инфраструктуры — всё становится единичными точками отказа.
Решение — пороговые подписи. Подписной ключ кредитора делится между несколькими независимыми сторонами, с порогом для производства валидной подписи. Порог 3-из-5 значит: любые 3 из 5 подписантов могут совместно подписать транзакцию, а 2 — нет. Подписантам не нужно доверять друг другу, нужно лишь следовать протоколу.
Для Bitcoin есть несколько схем пороговых подписей. Две самые используемые — FROST (Flexible Round-Optimized Schnorr Threshold) и Lindell 2024. FROST хорошо изучен, широко реализован, и выдаёт валидную Schnorr-подпись, неотличимую от одноподписантной on-chain. Lindell 2024 новее и имеет свойство identifiable abort: если подписант ведёт себя плохо в процессе подписи, протокол даёт криптографическое доказательство кто. Это важно, когда нужно экономически штрафовать.
Сложнее вопрос для любого кредитора, заявляющего о пороговой подписи — кто реально подписанты. Порог 3-из-5 бессмысленен, если 5 подписантов — сотрудники одной компании. Ищите подписантов, работающих независимо, географически распределённых и репутационно отдельных. Если кредитор не опубликовал имена подписантов — относитесь к заявлению о децентрализации как к предварительному, пока не опубликует.
Что это значит для вас как заёмщика
Если рассматриваете Bitcoin-кредит, архитектура выше меняет некоторые вещи в том, как следует оценивать продукт.
Хранение проверяемо. Должны иметь возможность найти адрес хранилища в Bitcoin-обозревателе (mempool.space подойдёт) и увидеть залог там как обычный UTXO. Должны иметь возможность проверить скрипт, увидеть три пути траты и подтвердить, что key-path отключён. Если кредитор не показывает залог on-chain — вы снова в кастодиальной модели.
Рехипотекация невозможна. Ваши Bitcoin не в пуле. Их не одалживают трейдерам. Они вообще не двигаются между депозитом и выводом, если не сработает одна из трёх дверей. Можете проверить on-chain в любое время.
Выход реален. Если кредитор исчезает, возвращаете залог сами. Тестируйте заранее. Запустите инструмент одностороннего выхода на testnet-хранилище. Убедитесь, что работает. Не верьте слову кредитора.
Допущение доверия смещается. Вы больше не доверяете платёжеспособности, хранению или страховке кредитора. Вы доверяете Bitcoin-скрипту делать то, что говорит, пороговой подписи иметь достаточно независимых подписантов для предотвращения сговора, и EVM-кредитным контрактам (если кредитор использует) быть аудированными.
Смарт-контракт-риск реален. Большинство некастодиальных Bitcoin-кредитных продуктов использует EVM-сеть для слоя учёта кредита. Bitcoin-сторона может быть герметичной, а EVM-сторона с багом. Аудит-позиция обеих сторон важна.
Поведение ликвидации иное. У кастодиального кредитора ликвидация обычно значит "кредитор продаёт BTC по той цене, что получает внутри." В некастодиальном хранилище ликвидация обычно значит "BTC идёт в публичный голландский аукцион." Механизм аукциона прозрачнее, но и медленнее.
Реальная реализация: Surge Credit
Самая развитая реализация описанной архитектуры — Surge Credit, долларовая кредитная линия под залог Bitcoin, запустившая публичную бету мейннета в апреле 2026.
Surge строит Taproot-хранилища точно по описанному в посте трёхдверному паттерну. Кооперативный возврат, автоматическая ликвидация голландским аукционом на Base (Ethereum L2 от Coinbase), и односторонний выход с CSV-таймлоком около года. Key-path отключён NUMS внутренним ключом, выведенным из SHA-256 хеша строки "SURGE-NUMS." Схема пороговой подписи — Lindell 2024 с порогом простого большинства на Distributed Custody Network. Учёт кредита работает на Base. USDC течёт cross-chain через CCTP v2 от Circle.
Работу на уровне протокола аудирует Брэндон Блэк (reardencode), соавтор BIP-349 (OP_INTERNALKEY) и бывший инженер Taproot-кошельков в BitGo. EVM-контракты тоже на аудите на момент написания. Структура управления — двухсущностная модель (Amby Inc. строит софт, Surge Foundation управляет протоколом) как у Aave и Morpho.
Для целей этого разбора Surge — самый чистый текущий пример того, как модель Taproot-хранилища реально доставляется в годном для использования продукте. Конструкция хранилища принципиальна, отключение key-path корректно, схема пороговой подписи выбрана хорошо, выход реален и тестируем. Другие реализации похожих архитектур придут, и должны. Смотрите наш полный обзор Surge Credit для ставок, условий, текущей истории и честных компромиссов использования бета-продукта.
На что смотреть у любого Bitcoin-кредитора
Быстрый чек-лист, если оцениваете любой продукт, заявляющий о некастодиальности.
- Можете ли вы увидеть залог on-chain? Найдите адрес хранилища на mempool.space или любом Bitcoin-обозревателе. Должен быть обычный UTXO под Taproot-скриптом, а не баланс во внутреннем леджере кредитора.
- Отключён ли key-path? Спросите кредитора. Ответ должен быть да, и они должны указать на NUMS-конструкцию. Если ответ нет или не знают о чём вы — хранилище не реально некастодиальное.
- Существует ли путь одностороннего выхода и можете его протестировать? Спросите инструмент выхода. Запустите на testnet-хранилище, если доступно. Проверьте длительность таймлока. Убедитесь, что путь работает без зависимости от инфраструктуры кредитора.
- Прозрачен ли набор пороговой подписи? Сколько подписантов? Названы ли? Независимы ли? Есть ли путь для новых подписантов присоединиться со временем?
- Какая позиция по аудитам? Кто аудировал Bitcoin-скрипт? Кто аудировал EVM? Отчёты публичны? Ремедиации завершены?
- Что происходит при ликвидации? Голландский аукцион, внутренняя продажа, централизованный order book? Куда идёт выручка? Излишек возвращается заёмщику?
- Где кредитор хранит ключи? HSM? Hot-инфраструктура? Multi-cloud? Географическое распределение?
- Какая структура управления? Протокол апгрейдится? Кто контролирует ключи апгрейда? Есть фонд? Команда подотчётна кому-то кроме VC?
Кредитор, проваливший любой пункт, не обязательно плох, но каждый пробел — что-то, что стоит понять, прежде чем решить, сколько капитала ему доверить. Кредиторы, набирающие очки по всему чек-листу, редки сегодня. Будут менее редки в ближайшие годы.
Фронтир и что ещё нужно решить
Модель Taproot-хранилища не закончена. Несколько вещей должны созреть до выхода в мейнстрим.
Децентрализация DCN при масштабировании. Сегодня распределённые сети хранения обычно малы (3-10 подписантов) и часто непрозрачны по личностям. Масштабирование до десятков или сотен независимых подписантов с публичной репутацией и экономической ответственностью — открытая проблема.
Cross-chain зависимость. Большинство некастодиальных Bitcoin-кредиторов используют EVM-сеть для кредитного движка, потому что Bitcoin-скрипт сам не справляется с накоплением процентов, расчётами переменных ставок или мульти-активной бухгалтерией. Если кредитная сеть падает, ежедневный поток займ-возврат ломается. Путь одностороннего выхода остаётся, но live-опыт деградирует. Уменьшение зависимости — активная область исследований.
Нативные Bitcoin-оффрампы. Большинство продуктов сегодня выдают USDC, стейблкоин на EVM-сети. Уйти из USDC в фиат на банковский счёт всё ещё требует централизованной биржи или сервиса вроде MoonPay. Bitcoin-нативные оффрампы должны созреть, чтобы опыт был таким же гладким, как у кастодиального кредитора. Для российских пользователей санкции дополнительно усложняют большинство централизованных оффрампов; P2P через биржи может оставаться основным практичным путём.
Налоговая и юридическая ясность. Некастодиальные кредиты под залог Bitcoin попадают в иную правовую категорию, чем традиционные обеспеченные кредиты. Их трактовка по налоговым кодексам разных стран не урегулирована. В РФ ФНС считает продажу BTC доходом, облагаемым НДФЛ; заём под BTC без продажи — не налоговое событие, но принудительная ликвидация может квалифицироваться как реализация. Консультируйтесь со специалистом.
Приватность между хранилищами. Сегодня каждое хранилище выглядит on-chain немного иначе, значит, искушённый наблюдатель потенциально может кластеризовать все хранилища одного кредитора по паттернам скриптов или графам транзакций. Улучшение анонимного набора on-chain в работе.
Заключение
Рынок Bitcoin-кредитов в разгаре перехода. Кастодиальная модель, определившая цикл 2020-2022, съела трёх крупнейших игроков. Следующий цикл строится на ином фундаменте, где обещание кредитора заменено скриптом, который любой проверит, и выходом, который никто не перепишет.
Он не закончен. История децентрализации с дырами, пользовательский опыт с трением, аудит- инфраструктура ещё созревает. Но направление верное, и оно единственное, что бьёт по корню — почему Bitcoin-кредиторы продолжают взрываться. Будете занимать под Bitcoin — поймите, какую модель используете. Будете одалживать Bitcoin (или стейблкоины под залог Bitcoin) — поймите, кто реально держит ключи. Технология делать это правильно существует сегодня. Продукты, использующие её корректно, всё ещё редки. Но разрыв сокращается, и "доверьтесь нам" становится всё менее приемлемым ответом с каждым циклом.
Частые вопросы
Что такое Taproot-хранилище?
Taproot-хранилище — это Bitcoin-output, запертый под Taproot-скриптом с несколькими возможными путями траты, где каждый путь срабатывает по разным условиям и принуждается Bitcoin-скриптом, а не хранителем. В контексте Bitcoin-кредитования у типичного хранилища три пути: кооперативный возврат, автоматическая ликвидация и односторонний выход для заёмщика, если кредитор исчезнет. Адрес хранилища — обычный Bitcoin UTXO, который вы смотрите на любом обозревателе вроде mempool.space.
Что такое рехипотекация и почему это важно для Bitcoin-кредитов?
Рехипотекация — это когда кредитор берёт ваш залог и использует для своих целей: одалживает трейдерам, ставит как залог под свои кредиты или рискует иначе. Это легально почти везде и так работает практически любой традиционный банк. В крипто-кредитовании этот механизм обанкротил Celsius, BlockFi и Voyager. Когда ставки кредитора проигрывают, ваши конкретные Bitcoin исчезают, размытые в обломках их баланса. Вы становитесь необеспеченным кредитором в банкротстве. Некастодиальные дизайны Taproot-хранилищ делают рехипотекацию структурно невозможной — ваши Bitcoin никогда не покидают скрипт.
Что такое NUMS-трюк?
NUMS — это "Nothing Up My Sleeve". В Taproot-хранилище для кредита key-path трата — четвёртый потенциальный способ двигать средства, позволяющий сторонам обойти скрипт-пути. Чтобы отключить, разработчики выводят внутренний публичный ключ из SHA-256 хеша известной фразы вроде "SURGE-NUMS" или "BIP-341-NUMS". Любой проверит, что ключ выведен так, и никто не выведет приватный ключ из хеша — это требовало бы взлома SHA-256. Итог: key-path доказуемо бесполезен, и кредитор не обойдёт скрипт даже сговором.
Могут ли мои Bitcoin двинуть в Taproot-хранилище без моего разрешения?
Только через один из явных скрипт-путей, никогда по усмотрению. Кооперативный возврат требует, чтобы вы погасили долг и обе стороны подписали. Ликвидация может произойти, только если коэффициент залога пробивает порог, и даже тогда выручка должна идти через определённый адрес ликвидации и голландский аукцион. Вне этих двух случаев остаётся ваш собственный односторонний выход, запертый относительным таймлоком около года. Нет пути, который просто позволил бы кредитору забрать ваши Bitcoin.
Действительно ли помогают аудиты?
Да, но только когда они публичны, актуальны и сделаны людьми, понимающими конкретную аудируемую технологию. Для продуктов кредитования на Taproot-хранилищах нужны минимум два аудита: один на стороне Bitcoin-скрипта от Bitcoin-специфического специалиста по протоколу (не общего крипто-аудитора) и один на стороне EVM смарт-контракта, обрабатывающего учёт кредита. Оба отчёта должны быть публичны, а любые выводы — с задокументированными ремедиациями. Если кредитор заявляет об аудитах, но не показывает отчёты — считайте заявление непроверенным.
FROST vs Lindell 2024 (Lin24): какая схема пороговой подписи лучше?
Обе производят валидные Schnorr-подписи on-chain, неотличимые от подписи одной стороны. FROST старше, лучше изучен и стандарт для большинства развёртываний пороговых подписей. Lindell 2024 новее и имеет свойство identifiable abort: если подписант ведёт себя плохо в процессе подписи, протокол даёт криптографическое доказательство кто это сделал. Это важно, когда нужно экономически штрафовать недобросовестных подписантов. Для заёмщика оба — разумный выбор и оба сильнее одиночного ключа подписи. Сложнее вопрос — кто на самом деле подписанты, а не какую схему используют.
Почему большинство некастодиальных Bitcoin-кредиторов используют Base или другую EVM-сеть?
Потому что Bitcoin-скрипт сам по себе плохо справляется с накоплением процентов, расчётами переменных ставок, мульти-активной бухгалтерией или голландскими аукционами. EVM-сети справляются. Разделение такое: Bitcoin держит залог в Taproot-хранилище, EVM-сеть (обычно Base, Ethereum L2 от Coinbase) выполняет кредитный движок. USDC ходит cross-chain через Circle CCTP. Компромисс — реальный смарт-контракт-риск на стороне EVM и зависимость от работы этой сети для ежедневных займов и возвратов. Путь одностороннего выхода доступен даже при падении EVM-сети.
Могу ли я вернуть свои Bitcoin, если кредитор исчезнет?
Да, если хранилище построено правильно. Путь одностороннего выхода — это весь смысл дизайна. После относительного таймлока (типично около года) вы сами строите Bitcoin-транзакцию публичным инструментом выхода, отправляете в сеть Bitcoin, и средства приходят в ваш кошелёк. Никакой координации с кредитором. Никакого суда по банкротству. Стоит заранее протестировать инструмент выхода на testnet-хранилище — а не верить на слово кредитору.
Дополнительное чтение
Обзор Surge Credit
Честный обзор первой мейнстрим кредитной линии на Taproot-хранилищах.
Лучшие Bitcoin-кредиты 2026
Полное сравнение всех крупных Bitcoin-кредитных платформ.
Обзор Hodl Hodl / Debifi
Некастодиальные P2P-кредиты с мультиподписью. Другая модель, тоже некастодиальная.
Холодное хранение Bitcoin
Как сначала вообще держать свои Bitcoin.
Безопасность Bitcoin
Лучшие практики самохранения, идущие в комплекте с некастодиальным кредитованием.