Кастодиальные и некастодиальные кошельки

1) Зачем выбор модели кошелька важен для iGaming

• скорость и предсказуемость Time-to-Finality/SLA;
• Cost per Approved и операционные издержки;
• уровень комплаенса (KYC/KYT/Travel Rule/санкции);
• безопасность ключей и простота UX.

2) Базовые модели

2.1 Кастодиальные (custodial)

Ключи и балансы хранит провайдер/VASP (или вы — как кастодиан). Пользователь имеет счет, а не приватный ключ.
Плюсы: быстрый старт, SLA/24×7, готовые KYT/Travel Rule, простые возвраты и отчетность, friendly-UX.
Минусы: доверие провайдеру, регуляторные требования, фокус на due diligence и резервирование провайдеров.

2.2 Некастодиальные (non-custodial/self-custody)

Ключ у пользователя (seed/passphrase, passkey, social recovery). Вы взаимодействуете с адресом/контрактом пользователя.
Плюсы: контроль у клиента, ниже кастодиальные риски, меньше требований к хранению PII/ключей.
Минусы: сложнее UX, ошибка сети/тега/адреса — ответственность у клиента; вам — KYT/Travel Rule-процедуры для unhosted.

2.3 Гибрид

Custody для массовых потоков (инвойсы, быстрые выводы).
Self-custody для VIP/веб-3 аудитории с повышенной гибкостью.
Внутренние субсчета + белые списки внешних адресов.

3) Технологии: мультисиг, MPC, AA

4) Безопасность ключей и операций

HSM/KMS для кастодиальных ключей; сегрегация сред (prod/stage), аппаратная энтропия, ротация.
Лимиты и политики вывода: дневные/часовые, velocity по адресам/сетям, «две подписи» для сумм > X.
RBAC/SoD: разделение обязанностей (создание/подписание/релиз).
Private relay/MEV-защита для крупных выплат.
Журналы и неизменяемые логи действий операторов и API-клиентов.

5) Комплаенс: KYC/KYT/Travel Rule/RBA

KYC/Tier-модель: ускоренный онбординг для Low Risk; EDD+SoF/SoW для High/VIP.
KYT: pre-check адресов/бирж/кластеров до зачисления и перед выводом; white/deny-лист адресов с TTL.
Travel Rule: VASP↔VASP обмен IVMS101; политика unhosted — подтверждение владения адресом (подпись/микроперевод), лимиты.
RBA-матрица: Low/Med/High → подтверждения, лимиты, manual review/hold/SAR.

6) Архитектурные паттерны

6.1 Custody-стек (референс)

Wallet/Custody Core: MPC/мультисиг, лимиты, политики.
Crypto Gateway: инвойсы, статусы, мемо/теги, динамические подтверждения.
Risk & Compliance Hub: KYT/санкции/Travel Rule, RBA-решения.
Treasury: T0-конверсия, RFQ/мультибиржи, ребаланс между сетями/кошельками.
Accounting & Recon: лейджер, мэппинг `invoice/withdrawal ↔ txid ↔ subaccount`.
Observability: метрики SLA/fee/ETA, алерты, аудиты.

6.2 Non-custody-стек

Smart-wallet/AA с policy-guardrails (daily caps, trusted spenders).
Address book/whitelisting; UX-валидации сети/мемо/тегов.
Self-custody support: инструкции, QR/deeplinks, статусы подтверждений.

7) UX: как не сломать конверсию

Seedless/passkeys/social recovery (для AA/MPC) вместо фразы из 12–24 слов.
Авто-детекция сети по адресу, обязательная валидация мемо/тега (XRP/XLM/TON и др.).
QR/deeplink, статусы: «адрес создан», «ожидаем подтверждений», «зачислено».
Пояснение комиссий и ETA до оплаты; подсказки по TXID/мемо.
Partial release при проверках (EDD/SoF) вместо «глухой» блокировки.

8) Экономика и операции

Комиссии сети + провайдера + KYT/Travel Rule + ops → считайте all-in по сети/активу.
Time-to-Finality p50/p95 — основной SLA; поддерживайте primary/secondary сети на актив.
Идемпотентность: ключи `invoice_id/withdrawal_id`, анти-дубли, backoff+jitter.
Реконсиляция T+0/T+1: суммы, комиссия, FX/курс, статусы, незакрытые остатки.
Возвраты: это новый ончейн-перевод; правило «на исходный адрес/сеть или подтвержденный новый».

9) Сравнение моделей: что выбрать

Вывод: для массовых регионов и новичков — custody (или гибрид). Для крипто-нативных/VIP — non-custody/AA в дополнение.

10) Специальные темы

10.1 Белые списки и адресная книга

Подтверждение владения адресом + KYT → whitelist с TTL; быстрые T+0/T+1 выводы.

10.2 Сети и стейблкоины

Держите USDT/TRON и USDC/L2 как базовый набор; резервные сети (BSC/SOL).
Динамические подтверждения по RBA (сумма/сегмент/нагрузка).

10.3 Инциденты и деградации

Сеть перегружена/fee↑ → авто-роутинг на secondary; информирование ETA в UI.
KYT high-risk → hold, SoF, Travel Rule; возможный SAR.
Провайдер недоступен → фейловер на резервного, ручной выпуск критических выплат.

11) Данные и приватность

Минимизация PII, токенизация идентификаторов, раздельное хранение от PAN/PIN/PAN-safe.
Шифрование в покое/транзите, подпись вебхуков.
Retention: логи решений/кейсов в соответствии с законом (часто 5+ лет).
DSR/доступ: процессы выдачи/исправления/удаления данных (где применимо).

12) Метрики и OKR

Approval Rate и Time-to-Finality p50/p95 (депозиты/выводы).
KYT reject % / санкции hits / SAR-conversion.
Доля ошибок сети/тега, повторяемость адресных ошибок.
Cost per Approved по сети/активу/модели, доля батч-выводов.
Uptime провайдеров, задержки вебхуков, число авто-switch-over.

13) Анти-паттерны

«Принимаем в любой сети» без валидации → потери.
Один кастодиальный провайдер без резерва → SPOF.
Хранение ключей без HSM/KMS/мультисиг и лимитов.
Нет KYT/Travel Rule для unhosted («мелкие суммы — можно») → блокировки.
Отсутствие идемпотентности/анти-дублей → двойные списания/зачисления.
Seed-UX без альтернатив (passkeys/social recovery) → высокий churn и тикеты.

14) Чек-лист внедрения (коротко)

• Выбор модели: custody, non-custody или гибрид по сегментам.
• Ключевая безопасность: HSM/KMS, MPC/мультисиг, лимиты, 4-глаз.
• Сети/активы: primary/secondary, динамические подтверждения, мемо/теги-валидатор.
• KYT/санкции/Travel Rule, политика unhosted (подпись адреса, whitelist).
• Treasury: T0-конверсия, RFQ/мультибиржи, пул ликвидности на 2+ сетях.
• Accounting/Recon: лейджер, `invoice/withdrawal ↔ txid ↔ subaccount`, источники курсов.
• Идемпотентность, анти-дубли, ретраи с backoff+jitter; подписанные вебхуки.
• UX: seedless/passkeys/AA, QR/deeplink, ETA и прозрачные комиссии.
• Плейбуки инцидентов: сеть/провайдер/KYT, partial release/hold/SAR.
• Метрики/алерты: AR, финализация, KYT-отказы, аптайм, switch-over.

15) Резюме

Кастодиальные кошельки дают скорость, SLA и «из коробки» комплаенс — идеальны для массового on-ramp/off-ramp. Некастодиальные — контроль и гибкость для крипто-нативной аудитории и VIP. Лучший выбор для iGaming — гибрид: custody как дефолт, self-custody/AA как дополнение, плюс дисциплина безопасности (HSM/MPC/мультисиг), KYT/Travel Rule/RBA, корректный учет и «бережный» UX (seedless/passkeys). Так платежные рельсы остаются быстрыми, безопасными и прибыльными.