Казна DAO — это единственный корпоративный банковский счёт в мире, где Ваши конкуренты могут читать каждую транзакцию в реальном времени. Прозрачность, которая является достоинством для управления, становится уязвимостью для операций. Каждый поставщик, которому Вы платите, каждая зарплата участника, каждый грант, каждая аллокация маркет-мейкеру и Ваш точный запас прочности — всё это лежит в публичном эксплорере, размеченное любым, кто потрудится составить карту Ваших кошельков. Конкуренты строят цены против Вашего запаса прочности. Контрагенты видят, сколько Вы платите всем остальным, ещё до того, как сесть за переговоры. Участники видят вознаграждение друг друга. Ничто из этого не приносит пользы управлению — это просто утечка.
Эта статья — о том, как сохранить операции казны конфиденциальными, оставляя саму казну под самостоятельным хранением и доступной для аудита тем, кому она и должна быть видна.
Что на самом деле утекает из публичной казны
Наведите блок-эксплорер на известный кошелёк казны — и Вы прочитаете:
- Запас прочности. Баланс плюс скорость расхода равняются точной оценке того, сколько организация ещё проживёт. В чужих руках это переговорное оружие.
- Каждого контрагента. Поставщики, аудиторы, биржи, маркет-мейкеры, юрфирмы, которым платят в крипте, — все атрибутируемы по оттокам.
- Вознаграждение. Выплаты участникам и команде ядра, нередко выводимые вплоть до конкретных людей, как только один адрес деанонимизирован.
- Стратегию. Внезапный крупный перевод маркет-мейкеру, новая грантовая программа, платёж за поглощение — видны ещё до любого анонса.
Это та же экспозиция, что создаёт публичный адрес для пожертвований, только масштабированная на всю организацию — см. /blog/accepting-crypto-donations-privately. И именно поэтому одно лишь шифрование сумм её не решает: чувствительная часть — это связи (кому платите Вы, кто платит Вам), а они остаются публичными даже при скрытых цифрах. /blog/encrypted-amounts-are-not-private.
Конфиденциальные платежи без отказа от хранения и аудируемости
Цель не в том, чтобы сделать казну чёрным ящиком для её же участников — а в том, чтобы лишить внешний мир возможности считывать каждую операционную деталь с блокчейна. Паттерн таков: маршрутизировать платежи через защищённый пул, чтобы публичная связь между «казной» и «этим конкретным платежом поставщику» была разорвана, при этом организация ведёт собственный учёт.
Казна вносит депозит в защищённый пул, затем оплачивает каждого контрагента как вывод с использованием доказательства с нулевым разглашением. Ончейн наблюдатель видит, как казна делает депозит в пул и как набор не связанных между собой выводов приземляется на разные адреса, — но не может привязать ни один платёж обратно к казне или друг к другу. /learn/what-is-a-shielded-pool — базовый механизм; /glossary/relayer объясняет, почему получателям не нужен gas, чтобы им заплатили.
Что важно:
- Самостоятельное хранение сохранено. Средства высвобождаются только доказательством, которое авторизуют подписанты казны; никто другой не может ими двигать. Это не кастодиальный миксер, это защищённый пул с самостоятельным хранением (/glossary/shielded-pool).
- Аудируемость — это выбор, а не значение по умолчанию. Организация сохраняет собственные офчейн-записи и может раскрывать их аудиторам, участникам или регуляторам выборочно — вместо того чтобы по умолчанию раскрывать всё всем.
- Платите нужным активом. Поставщикам, выставляющим счета в USDC, можно платить в USDC, даже если казна держит SOL, причём конвертация происходит внутри вывода, а не публичным свопом — /blog/swapping-sol-to-usdc-privately.
Типичные потоки казны
- Зарплата участникам. Платите команде, не публикуя вознаграждение каждого человека и весь граф команды. Этому посвящено отдельное руководство: /blog/private-payroll-on-solana.
- Платежи поставщикам и за услуги. Аудиторы, инфраструктура, юристы, маркетинг — оплачиваются без раскрытия связи или суммы как чистого публичного ребра.
- Гранты и финансирование экосистемы. Финансируйте получателей, не транслируя размер и ритм программы до того, как Вы готовы её анонсировать.
- Аллокации маркет-мейкерам и OTC. Передавайте объём контрагенту, не сигнализируя об этом рынку — /blog/private-otc-trades-on-solana.
Дисциплина на уровне организации
Операционные правила из /blog/solana-wallet-privacy-checklist применимы и здесь, с поправкой на казну:
- Не платите всем с одного видимого адреса плотным пакетом. Кластер выводов, синхронизированных по времени, в характерных суммах, наблюдатель может сгруппировать. Разносите и округляйте платежи.
- Используйте настоящую задержку приватности между пополнением пула и выплатой — /blog/the-privacy-delay-explained.
- Свежие адреса получателей для контрагентов везде, где это осуществимо; кошелёк поставщика с атрибутируемой историей заново связывает платёж (/learn/choosing-a-recipient-address).
- Соответствуйте толпе по суммам. Аномальный платёж из тонкого пула заново идентифицирует источник — /blog/anonymity-sets-on-solana.
Честная граница
Конфиденциальные операции — это не то же самое, что уход от обязательств. DAO по-прежнему должно своим участникам прозрачность управления там, где оно её обещало, и может быть обязано раскрытиями перед аудиторами или регуляторами — приватность от публичного рынка и выборочное раскрытие нужным сторонам совместимы, но второе — задача организации, а не протокола. И никакой публичный набор анонимности не победит противника, у которого уже есть Ваши офчейн-записи. /learn/what-solmask-cannot-protect-you-from и /docs/threat-model.
Начните с того, что составьте карту, какие потоки казны сегодня наиболее уязвимы, и сначала проведите через пул именно их. Старт на /swap.
FAQ
В. Разве DAO не нужна прозрачная казна для управления? О. Ей нужна прозрачность перед её участниками и аудиторами — которую обеспечивает выборочное раскрытие. Ей не нужно транслировать каждого поставщика, зарплату и цифру запаса прочности конкурентам и открытому рынку. Это разные аудитории.
В. Это кастодиально? Кто контролирует средства? О. Казна. Средства уходят только через доказательство, которое авторизуют её подписанты. Это защищённый пул с самостоятельным хранением, а не третья сторона, держащая Ваши деньги.
В. Сможем ли мы по-прежнему предоставить записи для аудита? О. Да. Организация ведёт собственные офчейн-записи и раскрывает их тем, кому сочтёт нужным. Приватность публичного графа и внутренний учёт независимы.
В. Можем ли мы платить поставщикам в USDC из казны в SOL? О. Да — конвертируйте внутри вывода, чтобы не было отдельного публичного свопа средств казны. См. /blog/swapping-sol-to-usdc-privately.
В. Какой поток переводить в приватный режим первым? О. Обычно зарплату и регулярные платежи поставщикам — те, что, повторяясь по публичному расписанию, утекают больше всего о размере команды, ритме и запасе прочности. Начните с них: /blog/private-payroll-on-solana.