Не-кастодия · доказуемо

Ключи, которыми мы торгуем, не могут вывести твои деньги.

perpwave не просит доверия — он его доказывает. Trade-only ключи физически не умеют выводить средства, а Trust Receipt позволяет тебе проверить это самому, не полагаясь на наше слово.

trade-only нет права withdrawhash-chain журнал
система: dry-стартключи: trade-onlywithdraw: запрещёнпроверяемо

Три опоры не-кастодии

Кастодия, которую можно проверить, а не пообещать.

Trade-only ключи

Ты создаёшь agent/signer-ключ, который только размещает ордера. Мастер-кошелёк с деньгами остаётся у тебя. В коде бота нет функции вывода; usdClassTransfer заблокирован дважды.

Проверка: ключ без права withdraw на бирже

Trust Receipt

Криптографическое доказательство: agent ≠ кошелёк, signer ≠ владелец. Каждая реальная сделка попадает в hash-chain журнал. Ты сверяешь это офлайн, не доверяя оператору.

Проверка: сверить адреса и хэш сам

Старт в тесте

Бот всегда стартует в dry (тест, без реальных ордеров). Реальную торговлю включаешь сам. Экстренное закрытие всего — одна кнопка в Telegram и в вебе.

Проверка: режим виден в кабинете

Trust Receipt

«Проверь сам, не доверяй

Trust Receipt — это машинно-проверяемая выписка прав твоих ключей. Любой технический друг может убедиться, что perpwave может только торговать — без обращения к нам.

Trust Receiptпроверено · подписано · hash-chain
trade-only
Право вывода (withdraw)отсутствует ✓
Право перевода (transfer)отсутствует ✓
agent ≠ мастер-кошелёкподтверждено ✓
signer ≠ владелец RISExподтверждено ✓
Размещение ордеровразрешено
Режим запускаdry (тест)
Запись в журналведётся ✓
1
Бот выводит хэш своего кода
Receipt привязан к конкретной версии движка — нельзя подменить логику после проверки.
2
Сверяешь права ключей on-chain
agent-key и signer-key проверяются против мастер-адреса — они не совпадают и не имеют withdraw.
3
Каждая сделка — в hash-chain
Журнал действий нельзя переписать задним числом; ты видишь, что бот только торговал.
Честно: trade-only ключи хранятся на сервере оператора зашифрованными (Fernet, права 0600). Они не умеют выводить, но это не «полностью без кастодии» — мастер-ключ остаётся только у тебя.

Архитектура custody

Что у тебя. Что у нас.

Остаётся у тебя

  • Мастер-кошелёк и право вывода средств
  • Возможность отозвать agent/signer-ключ в любой момент
  • Решение включить реальную торговлю
  • Кнопка экстренного закрытия — закрывает только твой аккаунт

Только у нас (trade-only)

  • Trade-only ключи — зашифрованы (Fernet, 0600), подписывают ордера
  • Система отказывает ключу с правом вывода (fail-closed на создании)
  • Сервер с движком — open→hedge→rollback, под placement-lock
  • Никакого доступа к чужим аккаунтам или ключам

Анти-Sybil моат

Каждый аккаунт — со своим почерком.

Поведенческий отпечаток (плечо, размер, длина холда, суточный ритм, темп) детерминирован донор-кошельком, а не рандомом. Аккаунты под одним фондированием выглядят независимыми для чейн-аналитики, а per-trade джиттер делает паттерн неуловимым.

~14 измерений почерка
Пары, плечо-диапазон, стиль размера, длина и разброс холда, суточная кривая, темп оборота.
Джиттер на каждой сделке
Персона воспроизводима, но конкретные сделки варьируются — устойчиво к кластеризации.
Per-account прокси в плане
Планируется резидентный прокси на аккаунт, чтобы площадки не склеивали флот по IP — часть незавершённой per-account изоляции (см. границы ниже).

Self-audit флота

Раз в ~2 дня аналитик смотрит, как торгует наш флот — глазами Sybil-хантера — и тихо корректирует. Сильный сигнал → алерт оператору с готовым планом.

Разброс плеча88%
Декорреляция пар76%
Разнос таймингов81%
Высокий процент = аккаунты выглядят несвязанными. <50% → алерт.
Плечо намеренно разнообразно (≈2–20x, hard-cap 20x) — это свойство анти-Sybil моата, а не недосмотр. Безопасность удержания обеспечивает не низкое плечо, а liq-guard (см. Safety-стек ниже), который закрывает обе ноги задолго до ликвидации.

Safety-стек

Защита капитала — слоями.

liq-guard
Закрывает обе ноги, когда убыточная приближается к ликвидации (≈60% маржи) — задолго до 100%.
basis-guard
Закрывает цикл, если цены площадок разъехались и остаточная экспозиция превысила порог.
unhedged-watchdog
Если одна нога исчезла/ликвидировалась — мгновенно закрывает вторую, восстанавливая нейтральность.
dead-man switch
Если торговый цикл завис — флот закрывается и ставится на паузу автоматически.
дневной лимит убытка
При просадке по реальному PnL движок переходит в защитный режим.
warm-up
Первые ~50 минут реала — меньший размер, плавный разгон.
Честные границы: нет внешнего аудита или лицензии — есть реальный код с зелёными тестами. Это не «полностью без кастодии»: trade-only ключи хранятся на сервере зашифрованными (Fernet, 0600), без права вывода, а мастер-ключ остаётся только у тебя. Реальная торговля приглашённых юзеров включается после завершения per-account изоляции ключей — сейчас многопользовательский режим безопасен только в тесте (dry). Комиссии и bleed — оценка, ещё не зафиксированы вживую. Аирдроп спекулятивен — мы не обещаем токен, его цену или размер.

Хочешь проверить сам?

Доступ — по приглашению. Получишь онбординг, вставишь trade-only ключи и сразу увидишь свой Trust Receipt.