Кошельки GUIDE · 2026

Multi-sig в TON 2026: безопасность для корпоративных средств

Как работает multi-sig в TON, что такое контракт multisig-contract-v2, какие интерфейсы для развёртывания и подписания, типовые конфигурации для команд и DAO.

Автор: TON Adoption Team · исследовательская группа проекта
Опубликовано: 25 декабря 2025 г.
Обновлено: 3 марта 2026 г.

Содержание33разделов

Зачем нужен multi-sig
Реализация multi-sig в TON
Аудиты
Архитектура
Жизненный цикл ордера
Типовые конфигурации
2-of-3 — для частного пользователя
3-of-5 — для команды
2-of-2 — для парного управления
3-of-7 — для DAO
Инструменты для работы с multi-sig
multisig.ton.org
Tonkeeper и MyTonWallet
Самостоятельное развёртывание
Развёртывание multi-sig: пошагово
1. Подготовка ключей
2. Развёртывание контракта
3. Тестирование
4. Документация
Сценарии использования
Корпоративный казначейский кошелёк
DAO treasury
Family treasury
Проектный grant treasury
Минусы и грабли
Скорость операций
Газ выше
Юзабилити
Сложность восстановления
Mismatch версий
Multi-sig vs обычный Ledger
Что в итоге
Источники

Multi-sig (мультиподпись) — это распределение прав на распоряжение средствами между несколькими ключами с требованием совпадения подписей. Для команд, DAO и серьёзных частных накоплений в TON это базовая практика. В этом материале — что устроено внутри, как развернуть, какие конфигурации работают и где грабли.

Зачем нужен multi-sig

Одиночный ключ — единственная точка отказа. Скомпрометирован seed → потеряны все средства. Multi-sig устраняет это:

Защита от компрометации одного устройства. Атакующий, получивший один ключ, не может вывести средства.
Защита от внутреннего риска. В команде ни один сотрудник не может в одиночку перевести деньги.
Защита от собственной ошибки. Если потерял один из своих собственных ключей — фонды доступны через оставшиеся.
Прозрачность. Каждая операция требует явного подтверждения от заданного количества участников, всё видно в блокчейне.

Цена — выше сложность операций и время на сбор подписей.

Реализация multi-sig в TON

В TON multi-sig — это смарт-контракт-кошелёк, не отдельная функция протокола. Каноническая реализация — multisig-contract-v2 от TON Core team, версия 2.0 от апреля 2024 года.

Аудиты

Контракт прошёл два независимых аудита:

Zellic — отчёт опубликован в репозитории.
Trail of Bits — security review завершён в марте 2024.

Оба аудита подтвердили корректность логики; известных публично уязвимостей в стабильной версии нет.

Архитектура

Контракт хранит:

Список подписантов (signers). Любой TON-адрес — обычный кошелёк, Ledger-аккаунт, другой multi-sig, смарт-контракт.
Список proposers (опционально). Адреса, которые могут предлагать ордера, но не голосовать за них.
Threshold (порог). Минимальное число подписей k для выполнения ордера.
Wallet ID. Уникальный идентификатор, чтобы развернуть несколько multi-sig с одинаковым набором ключей.

Жизненный цикл ордера

Создание (propose). Любой signer или proposer создаёт ордер: «отправить X TON на адрес Y, выполнить вызов Z». Ордер отправляется в контракт.
Сбор подписей. Подписанты публикуют свои подтверждения через транзакции в контракт. Каждая подпись фиксируется в стейте контракта.
Истечение срока. Если за установленное время (часы) не собрано k подписей — ордер истекает и не может быть исполнен.
Исполнение. Когда собрано k подтверждений — ордер автоматически выполняется (или может быть инициирован любым подписантом).

Изменение конфигурации (добавить / убрать подписанта, поменять threshold) — это тоже ордер, требующий k подписей. Это значит нельзя «угнать» multi-sig тихо — изменение списка подписантов фиксируется в блокчейне.

Типовые конфигурации

2-of-3 — для частного пользователя

Три Ledger-ключа, распределённые географически:

Ключ A — дома.
Ключ B — в банковской ячейке.
Ключ C — у юриста или доверенного партнёра.

Для подписи достаточно любых двух. Потеря одного — не критична. Скомпрометирован один — не критично.

Подходит для долгосрочного хранения $50k–500k.

3-of-5 — для команды

Пять подписантов, нужны три. Часто используют:

CEO,
CFO,
CTO,
доверенный investor / advisor,
безопасный resource (банковская ячейка с aircraft-режимом устройства).

Это «команда + страховка». Любые трое могут подписать в нормальной операции, но никто из любых двух не может вывести деньги.

2-of-2 — для парного управления

Часто между двумя ключевыми фигурами с равным правом. Не отказоустойчиво (потеря одного ключа = блокировка фондов навсегда), поэтому требует обязательного отдельного recovery-ключа в схеме либо более защищённого бэкапа seed.

3-of-7 — для DAO

Расширенная команда с гранулярным контролем. Сложнее в обслуживании — имеет смысл при бюджете DAO от $1M.

Инструменты для работы с multi-sig

multisig.ton.org

Веб-интерфейс от TON Foundation для создания и управления multi-sig контрактами. Поддерживает:

развёртывание контракта с выбором подписантов и порога;
создание ордеров;
сбор подписей через TON Connect;
мониторинг состояния и истории ордеров.

Подходит для большинства сценариев. Подключение — через Tonkeeper или MyTonWallet.

Tonkeeper и MyTonWallet

Прямой поддержки управления multi-sig внутри кошельков пока нет, но они отлично работают как подписанты — через TON Connect к multisig.ton.org или другим интерфейсам. Каждая подпись отображается в общем UI кошелька как обычная транзакция.

Самостоятельное развёртывание

Для технических команд возможно поднять свой UI на основе открытого кода multisig-contract-v2 и SDK от TON Foundation. Это даёт полный контроль над интерфейсом и логикой логирования, но требует инженерных ресурсов.

Развёртывание multi-sig: пошагово

Допустим, нужно развернуть 2-of-3 multi-sig на трёх Ledger-аккаунтах.

1. Подготовка ключей

Купи три Ledger Nano S Plus или X.
Настрой каждый отдельно (отдельный seed на каждом устройстве, записанный на стальную пластину).
Установи TON-приложение на каждом.
Получи публичный адрес каждого через Tonkeeper или MyTonWallet.
Тестовый перевод $5 на каждый Ledger — убедись, что устройства работают.

2. Развёртывание контракта

Открой multisig.ton.org.
Подключи кошелёк, который оплатит развёртывание (нужно ~0.5–1 TON на gas).
Введи три адреса подписантов.
Установи threshold = 2.
Опционально — Wallet ID, если планируется несколько multi-sig.
Подтверди транзакцию развёртывания.
Получи адрес multi-sig — он будет публичным, на него можно отправлять средства.

3. Тестирование

Не пополняй основной суммой сразу.

Положи $50 на адрес multi-sig.
Создай ордер — отправить $10 на любой свой адрес.
Подпиши с двух из трёх Ledger-ов.
Убедись что ордер исполнился.
Создай ордер на изменение конфигурации (например, временно поменять threshold) и проверь.
Только после полного цикла — пополняй основной суммой.

4. Документация

Запиши:

адрес multi-sig;
адреса всех подписантов;
кому принадлежит каждый ключ;
threshold;
процедура смены ключей;
контакты восстановления для каждого подписанта.

Эта документация хранится в безопасном месте, доступном всем подписантам. Без неё восстановление при инциденте — кошмар.

Сценарии использования

Корпоративный казначейский кошелёк

Компания держит operational treasury в TON / USDT-jetton. Multi-sig 3-of-5 с подписантами CEO, CFO, COO, advisor и cold backup. Любые расходы выше определённого порога — через multi-sig, операционные мелочи — через одиночный кошелёк с лимитом.

DAO treasury

Голосование сообщества определяет ордера, multi-sig из делегатов исполняет. Threshold обычно высокий (например, 5-of-7) для защиты от сговора подмножества делегатов.

Family treasury

Семейный кошелёк с распределением между членами семьи. Threshold обычно низкий (например, 2-of-4 — двое родителей и двое детей старшего возраста), но с обязательной документацией наследования.

Проектный grant treasury

Проект получает грант от TON Foundation, получает на multi-sig 3-of-5 с участием представителя фонда. Каждая трата прозрачна и видна донорам.

Минусы и грабли

Скорость операций

Сбор подписей занимает часы или дни в распределённой команде. Для активного DeFi multi-sig не подходит — нужны отдельные операционные кошельки с малыми лимитами.

Газ выше

Каждая операция multi-sig дороже обычной транзакции (gas на верификацию подписей). Для небольших переводов это перебор.

Юзабилити

Каждый подписант должен понимать процесс, иметь активный кошелёк и устройство. В команде часто кто-то «не подписал вовремя», блокируя срочный платёж.

Сложность восстановления

Если потерян ключ и оставшегося количества недостаточно для подписи — фонды безвозвратно заблокированы. 2-of-2 без recovery-ключа — это бомба замедленного действия. Всегда оставляй люфт по threshold.

Mismatch версий

Multisig-contract-v2 — текущий стандарт. Если развернёшь старую v1 — некоторые инструменты могут не поддерживать. Используй только v2 от TON Core, не самописные форки.

Multi-sig vs обычный Ledger

Сценарий	Обычный Ledger	Multi-sig 2-of-3
Защита одного телефона	Достаточна	Избыточна
Защита команды	Не подходит	Идеально
Скорость операций	Секунды	Часы–дни
Стоимость газа	Низкая	Высокая
Сумма $5k–50k	Достаточно	Возможно избыточно
Сумма $50k+	Минимум	Стандарт

Подробно про холодное хранение — Холодное хранение TON: стратегии и инструменты.

Что в итоге

Multi-sig в TON в 2026 году — зрелая технология. Контракт multisig-contract-v2 проверен аудитами, инфраструктура (multisig.ton.org, TON Connect, поддержка Ledger через подписантов) работает. Для частного пользователя multi-sig имеет смысл от $50k–100k; для команд — практически с любого корпоративного объёма.

Главное правило: всегда оставляй люфт по threshold (никогда не 2-of-2 без recovery), всегда тестовые ордера перед основной суммой, всегда документируй процесс.

Источники

github.com/ton-blockchain/multisig-contract-v2 — multisig от TON Core team.
Аудиты Zellic и Trail of Bits — отчёты в репозитории.
docs.ton.org — общая документация по TON.
multisig.ton.org — официальный веб-интерфейс TON Foundation.

Частые вопросы

Что такое multi-sig в TON технически?

Это смарт-контракт-кошелёк, который требует подписи k из n уполномоченных адресов перед выполнением транзакции. Стандартная реализация — multisig-contract-v2 от TON Core team, прошла аудиты Zellic в 2024 году и Trail of Bits в марте 2024.

Можно ли использовать Ledger как один из подписантов multi-sig?

Да. Каждый подписант — это любой TON-адрес, включая Ledger-аккаунты. Это рекомендованная конфигурация для серьёзных кошельков — несколько Ledger-ов в roли подписантов, что даёт двойную защиту аппаратными устройствами и распределением.

Как часто истекает срок действия неподписанного ордера?

По умолчанию ордер живёт несколько часов после создания, точное время задаётся при инициации каждой транзакции. Если за это время не собрано необходимое число подписей — ордер истекает и должен быть создан заново.

Сколько подписантов можно настроить в multi-sig?

Технического жёсткого лимита в multisig-contract-v2 нет, но на практике конфигурации сверх 5–7 подписантов становятся неудобными в управлении. Для команды до 10 человек разумный максимум — 5 ключей со схемой 3-of-5; больше — usability страдает.

Что если один из подписантов теряет seed-фразу?

Если потерян ключ только одного подписанта и порог достижим без него (например, 2-of-3 при потере одного), кошелёк остаётся работоспособным. Можно через действующее большинство переподписать конфигурацию подписантов и заменить потерянный ключ на новый.

Какие интерфейсы поддерживают multi-sig в TON?

На 2026 год основные — multisig.ton.org (веб-интерфейс TON Foundation), Tonkeeper (через расширения), MyTonWallet, и специализированные tooling-решения для команд. Само взаимодействие — через TON Connect либо ручную сборку транзакции.

Можно ли использовать multi-sig для DeFi-операций?

Технически да — кошелёк-multisig может вызывать любые dApps через TON Connect. На практике процесс медленный (надо собирать подписи), поэтому для активного DeFi используют отдельный «операционный» multi-sig с более низким порогом или одиночный ключ ограниченной суммы.