Baysart: A Compliant Self-Custody Cash System
Manat-native digital cash with AML enforced at the boundary — without custody or surveillance
Abstract
Crypto today forces a choice between two incomplete things. A self-custodial wallet gives its user sole control of their keys but polices nothing that moves through it. A compliant service can screen for dirty money but only by custodying user funds and surveilling user activity. Baysart Wallet rejects that choice. It is a self-custody wallet — keys are generated and held on the user's own device, and Baysart is a client, never a custodian — that nonetheless enforces rigorous anti-money-laundering controls, without taking custody and without watching its users. The mechanism is boundary enforcement: at each point where value crosses between the open self-custodial zone and the regulated world, a single fail-closed compliance path screens the money, using signals a client cannot forge — geolocation the server observes from the request rather than the device reports, and hardware-backed device attestation — rather than surveillance of behaviour. AZNS, a manat-linked stable unit, is the cash hub through which that value moves.
1. Introduction
Bitcoin solved trustless cash: value that moves between parties who need not trust each other or any intermediary. What it did not solve — what it deliberately left out of scope — is the question a regulator asks of any system that touches the real economy: is this money clean, and do you know it is not moving to a sanctioned party? Fifteen years later, that unanswered question is the fault line running through the entire industry, and it has hardened into a false choice.
On one side sits pure self-custody. The user holds their keys; no one can freeze their funds or close their account; the software is a tool, not an institution. This is the property that makes crypto worth having. But a self-custodial wallet, as normally built, is also lawless by construction: it will relay any transaction to any destination, and it neither knows nor cares whether the coin passing through it was stolen an hour ago. On the other side sits the compliant intermediary — an exchange, a licensed payment firm, a bank. It can screen a transaction against sanctions lists and taint databases, refuse a suspicious cash-out, and file the reports a regulator expects. But it buys that ability at a price: it custodies the user's funds, so it can freeze them; it surveils the user's activity, so it can report it; and the user, having surrendered both control and privacy, is back inside exactly the system crypto set out to replace.
The industry treats this as a law of nature — that compliance requires custody and surveillance, and that self-custody requires lawlessness. It is not a law of nature. It is an artifact of where the controls are placed. If AML enforcement is built into an intermediary that holds the money, then holding the money and watching the user become prerequisites for the control. But if enforcement is placed instead at the protocol boundary — the specific moments where value crosses from the open self-custodial world into a regulated action like a fiat cash-out or a desk trade — then the money can be screened at that crossing without ever being custodied between crossings, and the user can be checked against a jurisdiction rule using a signal the server already observes without the wallet reporting anything about where they are or what they do. Custody and surveillance turn out to be one particular implementation of compliance, not compliance itself.
Azerbaijan makes the case concrete. It is a cash-heavy economy with real and growing crypto use, and a widening gap between the two: no manat-native digital cash that an ordinary person can hold themselves, move instantly, and convert to and from the wider crypto economy — while the compliance expectations any serious financial product must meet only rise. Filling that gap with another custodial exchange reproduces the old trade-off. Filling it with another lawless wallet fails the first compliance question and cannot last. What is missing, and what Baysart is built to be, is a manat-native, self-custodial cash system that is also AML-hard: the user's own keys, the user's own funds, and a compliance perimeter that catches dirty money precisely because it enforces at the boundary rather than by holding the money and watching the person.
2. Design Principles
Five principles govern every decision in the system. They are ordered, and where they conflict the earlier one wins.
1. Self-custody by default. Keys are generated and stored on the user's device. Baysart holds no user funds and cannot move, freeze, or recover them. The wallet is a client that helps the user act on their own assets; it is never a custodian standing between the user and their money. Everything else is built to preserve this property, not to erode it.
2. Fail-closed money paths (code is law). Every regulated action — mint, burn, desk buy or sell, cross-chain swap, bridge, cash-out — passes through a single compliance orchestrator before it can settle. That orchestrator is fail-closed: if it cannot produce a trustworthy verdict — a screening provider is down, unconfigured, or the chain is unsupported — the action is refused, never quietly allowed. A money path that cannot be proven safe does not run.
3. Compliance without surveillance. Controls are enforced at the boundaries where value crosses into the regulated world, not by monitoring what users do in between. In the open self-custodial zone — holding, receiving, sending on-chain and peer-to-peer — there is no watching and no gatekeeping by design. Screening attaches to the money at the crossing, not to the person over time.
4. Honest claims. No control is described in any public document — this paper included — unless it is live or built in the code today. Roadmap is labelled roadmap. This is enforced against a governed AML threat-model document that cites a source-code location for every control it lists and records the honest residual risk each one leaves open. A protection that is planned is not a protection that exists, and it is not written as one.
5. Minimal data collection. The wallet requests no device location and no GPS; it holds no location permission. The only geographic signal is country-level, resolved from the source IP the server already receives on every request, and the device's IANA time zone — not its coordinates — sent as a header. Boundary enforcement is designed to need the least data that can do the job, and to prefer signals the server already sees over anything the wallet must collect.
3. AZNS: The Cash Hub
AZNS is a manat-linked stable unit and the settlement layer the wallet routes every movement of value through. It serves two roles at once. As a unit, it is designed to track the Azerbaijani manat, so a balance held in AZNS is intended to hold its value in the currency users actually price their lives in, rather than float against it. As infrastructure, it is the hub: the common denomination into which the wallet converts, and out of which it delivers, every asset it touches. These two roles reinforce each other. A stable unit is only useful if value can reach it and leave it freely; a settlement hub is only trustworthy if the unit it settles in holds still.
Issuance on Liquid
AZNS is issued as a native asset on the Liquid Network, a Bitcoin sidechain, and is also present on Polygon and Solana so it can move where users and liquidity already are. Liquid was chosen for the settlement core because it supports Confidential Transactions: the network can blind the amount and asset type of a transfer, so an ordinary AZNS payment need not broadcast its size to the world. Privacy here is a property of the payment rail, not a way to evade oversight — the wallet pairs confidential on-chain movement with a compliance perimeter at every regulated boundary (see Section 5).
One part of the system is deliberately kept in the clear: issuance itself. The issuer mints and burns AZNS through publicly auditable, unconfidential operations, so that total supply on each chain can be read on-chain and proven at any time. This is what lets the reserve model in Section 6 hold supply accountable to backing. Confidentiality protects the user's balance; transparency governs the total. AZNS is a permissionless bearer unit on the USDC model — once minted it lives on-chain and can move peer-to-peer or through any wallet; the system does not pretend to freeze or claw back coins in that open state.
How value moves through the hub
Every substantive action in the wallet — buying a coin, selling one, converting between assets, bridging across chains, cashing in from fiat, cashing out to fiat — resolves against AZNS rather than pairing assets directly against each other. The pattern is consistent:
- Cash in. A user brings in manat (or an incoming stablecoin/crypto deposit). Value settles into AZNS: the corresponding AZNS is minted to the user against reserve backing.
- Buy any coin. The user spends AZNS. The hub sources the target asset from its delivery floats across the relevant chain and delivers it; the spent AZNS is burned.
- Sell any coin. The user delivers crypto to the desk. The proceeds settle into freshly minted AZNS, backed by the stablecoin the sale realized.
- Convert / bridge. A move from one asset or chain to another is expressed as a settlement into AZNS and a delivery back out on the destination side, rather than a bespoke pair-by-pair path.
- Cash out. The user redeems AZNS for manat. The AZNS is burned and fiat is paid out.
The value-flow is therefore a hub-and-spoke shape: user fiat ⇄ AZNS ⇄ any coin on any supported chain — Bitcoin and Lightning, Liquid, the EVM chains (Ethereum, Base, Arbitrum, Optimism, Avalanche, BNB), Solana, and others. AZNS sits in the middle of every route.
Why a hub model
Routing everything through one unit is an architectural decision, not a convenience. It buys three things:
- Liquidity concentration. A pair-by-pair model needs a market for every asset against every other. A hub needs only each asset against AZNS. Liquidity that would otherwise be fragmented across dozens of thin pairs is pooled behind a single unit, so any asset can reach any other through a route that is always quotable.
- One unit of account. Balances, quotes, fees, limits, and history are all denominated in one manat-linked unit. The user sees a coherent picture in the currency they think in, and the system reasons about its own solvency in one denomination instead of reconciling many.
- One compliance boundary. Because value crosses into and out of the regulated world at the AZNS settlement point, controls attach in one place rather than being reimplemented per asset or per chain. The hub is where screening, caps, and jurisdiction checks bind — the single perimeter Section 5 describes.
The hub is thus both the product surface users experience — one stable balance that can become anything and come from anything — and the control surface that makes the rest of the system tractable. AZNS is how Baysart touches the real manat economy, and the point at which the wallet's promises about value and about compliance are both kept.
4. Self-Custody Architecture
Baysart is a wallet, not a bank. The private keys that control a user's funds are generated on the user's device, encrypted at rest on that device, and never transmitted to our servers. The twelve-word recovery seed is shown once, to the user, and is theirs to keep. There is no server-side copy, no key-escrow, and no administrative override that can move a user's coins. In the vocabulary of this document, Baysart is a client, and the server is an orchestrator — it coordinates, prices, and screens, but it does not custody.
This is a deliberate architectural line, and it defines what the server can and cannot do.
What the server never holds. The server never holds a user's private keys, seed phrase, or any material from which they could be derived. It cannot sign a transaction on a user's behalf. It cannot freeze, seize, or claw back an asset that lives in a user's self-custodial wallet. Once value is in the open zone — held on-chain in a wallet the user controls — it moves only when the user's own key signs, exactly as with any non-custodial wallet.
What the server does hold. The server holds the things an orchestrator legitimately needs: account and session records, KYC verification state (verified through a third-party provider, not re-derived by us), the compliance counters and audit rows described in the next section, cached market data and quotes, and — for the regulated desk — the treasury float that a fiat cash-out or a cross-chain settlement is paid from. It records the source IP a request arrives on (which every server receives) and an IANA time-zone string the client reports. It does not hold device GPS; the app requests no location permission and collects no coordinates.
How a non-custodial money path works. The distinction is clearest in the shape of a transaction. When a user sends crypto on-chain, the wallet builds and signs the transaction locally; the server's role is at most to relay the already-signed bytes to the network, the same service a public node performs. Baysart never takes possession of the funds, and the destination is a field inside a transaction the user has already authorized. These open-zone paths are, by construction, unscreened — a point we state plainly rather than paper over, because we could not screen them without pretending to a control we do not have.
The regulated paths — buying or selling coin at our desk, cashing in or out of fiat, swapping or bridging through us — are different in exactly one respect: at these points value crosses between the user's self-custodial world and our regulated float. That crossing is the only place we can enforce anything, and it is the only place we do. The user still signs; the server orchestrates the leg it settles and screens it before settling. Custody of keys never changes hands. What changes is that the server, standing at its own chokepoint, refuses to complete its side of the exchange unless the compliance checks pass.
This is the property that makes the rest of the system honest. Because we do not custody keys, we cannot surveil balances we do not hold, and we do not claim to. Because we do operate the fiat and cross-chain chokepoints, we can enforce anti-money-laundering controls precisely where regulated value enters and leaves — and nowhere else. The architecture draws the enforcement boundary at the desk, not around the user. Self-custody is not a feature bolted onto a custodial core; it is the foundation, and the compliance stack is built to work with it rather than by dismantling it.
5. Compliance Without Surveillance
The conventional wisdom is that a compliant money system must be a surveilling one: to stop dirty money, watch every user. Baysart rejects the premise. Anti-money-laundering enforcement here is a property of the protocol boundary, not of a panopticon over users. The system stops the movement of illicit value while holding far less about the people moving it. The mechanism that makes this possible is a single idea, applied ruthlessly: enforce only on signals a user cannot forge.
The trust boundary
Every signal a client sends can be split into two classes, and the distinction is the whole design.
Device-reported signals are untrusted. GPS coordinates, a device identifier, SIM country, locale, and even the reported time zone all originate inside software the user controls. On a rooted or jailbroken device, the mature tooling ecosystem (Magisk, LSPosed, Shizuku, Frida) can rewrite any of them in a single tap. A location a phone claims is therefore worthless as a hard gate. In Baysart, no device-reported value is ever, on its own, a hard block. This is not an oversight; it is a refusal to build compliance theater on a spoofable input.
Server-observed and hardware-attested signals are trusted. The source IP the server's own socket observes cannot be rewritten by client software the way GPS can — the worst an adversary can do is route through a VPN, which is itself a detectable condition. Session-to-session IP history, the originating network's autonomous-system, and — where hardware attestation is enabled — a cryptographic verdict from the device's secure element are anchored outside the attacker's reach. These are the only signals allowed to hard-gate value.
Everything below sits on this boundary. Hard blocks rest exclusively on trusted signals. Untrusted signals are permitted only to raise friction — to trigger a step-up re-verification, never a silent denial and never a hard lock. A launderer who fully controls a rooted client can forge the soft signals and will merely be asked to prove liveness; the hard perimeter does not move.
One fail-closed orchestrator
Every regulated money path — desk buy, desk sell, fiat cash-out, cross-chain swap, bridge, and the DeFi rails — passes through a single gate, compliance.preflight(). It runs, in order: an asset-allowlist check (only recognized assets convert to or from the cash hub; an unknown token is refused); a per-user risk and block check (admin lock, PEP flag, per-action block); the sanctions and taint screen; and the throughput caps (a per-transaction ceiling and per-identity and system-wide daily counters, the counter increment made atomic with the transaction's settlement claim).
The orchestrator is fail-closed by construction. If a trustworthy verdict cannot be produced — the screening provider is down, unconfigured, or the chain is one the screening map does not cover — the action is refused with an error, never quietly allowed. A chain absent from the screening map is rejected outright rather than passed unscreened. This posture is verified in production: the screening perimeter runs with a live provider and the fail-closed kill-switch engaged. The invariant is simple to state and load-bearing: nothing reaches mint, burn, deliver, or payout without clearing this gate.
KYT: screening the money, not the face
KYC establishes who a person is; it says nothing about whether the money they move is clean. The laundering risk lives in the funds. So at every regulated crossing, a Know-Your-Transaction screen runs against a provider that checks the counterparty address for sanctions exposure, PEP association, and taint. A blocking verdict refuses the action; an ambiguous verdict parks it for review rather than settling it; an unavailable provider fails the action closed. Dirty coin arriving at the desk to be sold is re-screened at deposit before any irreversible conversion, and a held deposit is parked, not lost. The screen binds the funds at the exact moment they would cross our perimeter.
Cross-chain taint tracing
For the cash hub's native Liquid rail — which no external KYT vendor covers — Baysart runs its own taint tracer. Specific addresses and UTXOs can be flagged; the tracer then walks a coin's ancestry across the Liquid transaction graph by breadth-first search and blocks any coin that descends from a flagged source, fail-closed if the graph cannot be fully read. A verdict cache is keyed to a flag epoch that changes whenever the flag set changes, so a newly flagged ancestor retroactively invalidates a coin that screened clean earlier; stale "clean" verdicts are impossible by construction.
The design also confronts an internal-mixer risk honestly. The cash hub's supply-neutral cross-chain movement burns source coins and mints fresh ones, which severs on-chain lineage by design — a trace alone would not catch value hopped across chains. The answer is not to pretend the trace sees more than it does, but to gate the flag store directly at the peer-to-peer crossing: both sender and recipient settlement addresses are checked against the flag store before any burn or mint runs. Where lineage is preserved (direct on-chain sends), the ancestry trace still catches flagged history at the eventual off-ramp. We document exactly what each layer catches and what it does not.
Jurisdiction control from un-spoofable geography
A bank asks a customer to declare their country on a form. Baysart derives it from the source IP the server already observes, resolved against offline MaxMind GeoLite2 databases bundled into the image — no external call, no per-request cost, no user IP ever leaving the box, and no device location permission. Sanctioned jurisdictions (OFAC-comprehensive) are a hard block. Softer geographic tells — a datacenter or hosting network suggesting a VPN, an impossible-travel jump across recent sessions, or a device-reported time zone that disagrees with the IP's time zone — feed a step-up, never a hard block, because they are weaker signals. The essential property is that the hard block rests on server-observed geography, which a rooted device cannot forge, rather than on a device-reported location, which it can. This control is engineered and coming online: it ships behind a switch, enabled once its databases are provisioned and verified against real traffic in production, and the published policy language it backs is treated as aspirational until it is fully live. It is described here as architecture.
Hardware attestation
The corroborating trusted signal is hardware-backed device attestation — Play Integrity on Android and App Attest on iOS, each server-verified against the platform's root of trust — which detects a rooted, hooked, or emulated runtime that an OS-level attacker cannot fully hide. Its verdict feeds the same device-trust step-up. This layer is built but pending enablement: it is disabled by default and awaits production credentials and a device test matrix before it is switched on. It is deliberately never the sole gate for a large payout; it is one layer, combined with the server-observed signals above.
Device-trust step-up and risk-triggered declarations
The seed-phrase-mule case — a launderer operating a legitimately-KYC'd account restored onto a stranger's device — is answered by device trust. A device is trusted on first sight through normal login; a freshly-seen device showing restore characteristics can be downgraded to pending liveness, and an untrusted device must pass a liveness step-up before it can move fiat out. The person currently holding the account is forced to re-prove they are the verified face before value leaves the regulated perimeter. This raises the cost of the common attack and catches the resold-seed case; we state its residual limits (a client-reported device id is spoofable; the property that gives the gate teeth is that an attacker does not know the victim's original value to replay it) rather than overstate its reach. This control is built and rolling out to the installed base ahead of its fail-closed cutover.
The through-line is that declarations and step-ups are triggered by risk, at the moment a trusted signal warrants them — not demanded up front from every user as a blanket intake form. A user whose signals are clean is asked for nothing extra. The system escalates only when an un-spoofable signal says it should. That is the entire thesis: anti-money-laundering enforced at the protocol boundary, on signals users cannot forge, instead of surveillance imposed on users who have done nothing.
6. AZNS Economics
This section describes, at a conceptual level, what stands behind AZNS and how the system is engineered to keep the unit stable. It states mechanisms, not guarantees; the disclaimer at the end applies throughout.
What backs AZNS
AZNS is designed to be backed by a reserve, denominated in manat, that the system computes from real custody holdings rather than asserting by policy. The reserve is the sum of the assets Baysart actually holds to stand behind circulating AZNS: settled bank manat; stablecoin balances (USDC and USDT) held by the treasury across the supported chains and in exchange custody; pooled stablecoin held for cross-chain settlement; and crypto held in the desk's own settlement wallets. Non-manat holdings are valued into manat using a cached central-bank reference rate.
Two design properties govern this calculation, and both exist to prevent the reserve from ever looking larger than it is:
- Conservative valuation. USD-denominated holdings are valued at a stressed exchange rate — a rate marked down from the reference — so that a favorable currency move cannot make a thin reserve appear sufficient. In-flight value that has been committed to leave custody is subtracted before it settles, so the same funds are never counted as both still-held and already-promised.
- Conservative-zero on failure. Every component of the reserve is read defensively: if any input cannot be read reliably — a data source is down, a snapshot is stale, a rate is missing — that component counts as zero. A read failure can only ever shrink the measured reserve, never inflate it. With nothing readable, the reserve is zero and the system issues nothing.
How stability is maintained
Stability is enforced at the moment of issuance by a reserve gate. The governing invariant is simple: circulating supply must not exceed the measured (stressed) reserve. Before any new AZNS is minted, the system checks that total supply plus the requested amount still fits within the reserve; if it would not, the mint is refused. The reserve may exceed supply — the system is allowed to be over-collateralized — but it is never permitted to issue past its backing. Because AZNS supply is issued and burned through publicly auditable on-chain operations, total supply is a quantity the gate can read and hold accountable rather than estimate.
The gate is built to be safe under real-world timing. Concurrent issuance is serialized through a single locked reserve counter, so two mints cannot each spend the same headroom. On-chain confirmation lag — the gap between authorizing a mint and seeing it reflected in on-chain supply — is bridged by a pending counter that self-heals as confirmations land. The gate is fail-closed: if supply cannot be read, issuance stops rather than proceeding blind. The intended effect is that AZNS is issued only against backing that has been conservatively measured to exist.
The manat linkage is maintained structurally, not by a market-price feed. The system does not read an AZNS trading price or run an arbitrage loop; stability rests on reserve-gated issuance, burn-on-redemption, and a fixed official reference rate for converting between manat and the reserve's holdings. This is a design intended to keep the unit anchored to its backing, described here as a mechanism rather than a promised outcome.
Redemption
Redemption runs the issuance path in reverse. When a user cashes out, the AZNS being redeemed is burned and the corresponding value is paid out to the user — reducing supply as backing is released, keeping the two sides moving together. Redemption is a regulated boundary, so it passes the compliance perimeter (Section 5) — screening and applicable limits — before value leaves. Redemption is subject to the same operational realities as any settlement system: it depends on liquidity, on payout rails being available, and on the applicable controls clearing. It is a designed path, not an unconditional on-demand promise.
Fees and liquidity management
Baysart's revenue comes from transparent, bounded fees on routing — a spread baked into quoted rates and explicit, capped fee components on trades — configured within defined limits so a fee can never balloon and can never turn into an unintended discount. Fees reduce what a user receives on a conversion; they do not silently increase what a user spends. Network fees on a given action may be sponsored by the treasury under an explicit, budgeted policy that fails closed to user-pays when a cap or budget is exhausted. Retained fees are recorded to a separate revenue ledger that sits off the money path.
Liquidity to serve buys and cash-outs is held in per-chain delivery floats, tracked in an internal ledger where every unit entering or leaving custody is recorded and periodically reconciled against live on-chain balances. Floats are topped up from liquidity sources and drawn down as the wallet delivers assets to users, and the reserve accounting treats a delivery's committed outflow as spoken-for the moment it is reserved. This float inventory is accounted for separately from the AZNS reserve, so serving liquidity is never confused with the backing that stands behind circulating supply.
The reserve and float model described here is the current engineering design and is subject to change as the system, its custody arrangements, and its regulatory posture evolve. This document is informational only. It is not a prospectus, not a securities offering, and not an offer or solicitation to buy or sell any asset. It is not investment, financial, legal, or tax advice. AZNS is designed as a manat-linked settlement unit, not a speculative or interest-bearing investment, and nothing here is a guarantee of value, redeemability, or return.
7. Threat Model
Baysart's compliance claim is only as good as the adversary it survives. This section states, in public-safe terms, who that adversary is and how each laundering vector is closed. It is a summary; the governed engineering document is the single source of truth, and it is bound by one rule that this whitepaper also obeys: no control is described as a capability unless it is live in production or built in the codebase. Planned work is labeled as planned. Nothing here is aspirational dressed as operational.
The adversary
We model two attackers, not a careless user:
- The launderer — a party whose objective is to move value of unlawful origin through the wallet and out to spendable fiat, obscuring its trail along the way. This adversary is patient, funds a network, and will acquire genuine identities and devices rather than defeat one check.
- The compromised device — a rooted, jailbroken, or emulated client that lies about itself. Any signal the device reports about its own location, identity, or integrity must be treated as forgeable. Our controls therefore lean on signals the client cannot spoof: what the server observes about a request, and what device hardware can cryptographically attest.
The laundering risk lives in the funds, not the face. Identity verification tells us who a person is; it does not tell us whether the money is clean. The screening layer, the on-chain taint tracing, and the caps are what address the money.
Laundering vectors and their controls
| Vector | Shape of the defense | Status |
|---|---|---|
| Seed-phrase mule — a clean, verified account operated by someone who is not its verified owner | Device-trust step-up: a re-verification of the live person is required before value leaves the regulated perimeter when the account shows restore characteristics | Built; rolling out |
| Internal P2P mixer — dirty funds passed between accounts to break the trail before cash-out | A dual-party taint gate screens both sides before any transfer branch runs, fail-closed | Built |
| Smurfing under caps — many accounts each kept below a per-account ceiling | Per-identity caps and a system-wide ceiling bind today; cross-account correlation and identity deduplication are open work | Partial; correlation on roadmap |
| Dirty-coin cash-out — externally-sourced tainted coin deposited to be sold for fiat | The deposit is re-screened before any irreversible conversion; an unclean result parks the funds rather than converting them | LIVE |
| Cross-chain hop-washing — value moved across chains to outrun any single monitor | Every regulated rail routes through one fail-closed preflight; unmapped chains are refused, not passed unscreened | LIVE (mapped chains) |
| Ungated side-door off-ramps — a value-moving endpoint that skips the screen | The known side-door off-ramps route through the same compliance orchestrator before settlement | Built |
| Jurisdiction / sanctions — access from a prohibited or sanctioned jurisdiction | Server-observed IP geolocation resolves the request's origin against a sanctions block-list, with corroborating device attestation; because it is server-side it cannot be forged by a rooted device | Built; coming online |
What we do not claim
Two positions are honest, deliberate limits rather than controls:
- The open zone is unscreened by design. Self-custody on-chain sends — including transactions relayed through our public broadcast endpoints — carry no screening, exactly as they would through any public node. We are one interchangeable relay, not a chokepoint holding value. Screening attaches where value crosses our regulated perimeter, not to open-chain movement that never touches us.
- Card-fraud velocity is an accepted risk during internal testing and will be revisited before public launch.
Every control above degrades gracefully: where a trustworthy screening verdict cannot be produced — a vendor is down, a chain is unmapped, a jurisdiction cannot be resolved — the regulated action is refused, never silently allowed. Fail-closed is the invariant. The residual risks that remain after each control are recorded honestly in the governed document, because a control described without its residual is a control oversold.
8. Governance and Legal Posture
Rules we issue, and enforce in code
Baysart's compliance rules are self-issued. We do not borrow a regulator's authority, and we do not imply an endorsement, license, or supervision we have not received. The rules exist because we wrote them and hold ourselves to them; their credibility rests not on a stamp but on the fact that they are enforced in code on the money paths, fail-closed, and are verifiable against a governed threat model that cites the code behind every claim.
This is the deliberate inversion at the center of the project. A conventional compliance program is a set of promises a supervised institution makes and an auditor later checks. Ours is a set of behaviors the software performs at the moment value crosses a boundary — screen before the irreversible step, refuse when a verdict is untrustworthy, cap what one identity can move. "Code is law" is not a slogan here; it is the governance model. A rule that is not in the code path is not a rule we claim.
That discipline is protected by a governing rule the whole organization is bound to: no public document — this whitepaper included — may describe a protection that is not live in production or built in the codebase. Marketing cannot outrun engineering. When this document says a control is live, it is running in production today; when it says built, the code exists and is pending deployment or enablement; when it says roadmap, it is an intention and is labeled as one.
Regulatory positioning: pre-launch, no license claimed
Baysart is pre-launch and holds no financial-services license. We claim none, and nothing in our product should be read as a statement that we are authorized, registered, or supervised by any authority. AZNS is described as a manat-linked stable unit and settlement hub; that description carries no promise of a security, no investment return, and no guarantee beyond what the reserve and redemption mechanics themselves provide. This document is informational and is not an offer of securities or investment advice.
The Azerbaijan crypto-law tension, stated plainly
We operate against an unsettled legal backdrop and will not pretend otherwise. Azerbaijan's draft crypto-assets law creates genuine tension for a wallet like ours in two respects. First, its posture toward domestic crypto payment use is restrictive, which bears directly on how freely a bearer instrument may circulate for everyday settlement inside the country. Second, a manat-linked unit sits on a licensing fork that is not yet resolved: whether such a unit is treated as a crypto token or as electronic money determines which licensing regime applies, and those regimes carry materially different obligations. We do not know today which way that fork resolves, and we are not going to represent a settled answer where none exists. Our design keeps both paths open rather than betting the product on an outcome we cannot control.
Jurisdiction limits
The product is not offered where it is prohibited. Access from sanctioned jurisdictions is blocked at the server, using origin signals the client cannot forge, and higher-risk jurisdictions are treated as a step-up trigger rather than a blanket bar. As stated in Section 5 and Section 7, this geographic control is built and being brought online; until it is fully live in production we say so, and we do not represent a geographic control as operating before it operates. Where local law prohibits our service, we do not seek to serve that market by technical evasion.
How the rules evolve
The threat model is a living engineering document, re-verified against the code on a dated cadence. Controls move through explicit states — planned, built, live — and public claims follow that state, never lead it. As the legal picture in Azerbaijan and the jurisdictions we serve clarifies, and as licensing paths open, the governing rules will be revised in the same document, in the open, with the same standard: what we say we do must be what the code does.
9. Roadmap
The following are intentions, not promises, and are stated in the order we expect to pursue them. Each depends on operational, legal, or third-party steps outside our sole control, and none should be read as a commitment to a date.
- Bring the geographic and device-integrity controls fully online. Server-side IP-geolocation jurisdiction screening and hardware-backed device attestation (Play Integrity on Android, App Attest on iOS) are built. The remaining work is operational — provisioning data, wiring credentials, and verifying on a real device matrix — before each is fully enabled and enforcing in production.
- Complete deployment of the branch-staged controls. The seed-phrase-mule step-up, the P2P dual-party taint gate, and the side-door off-ramp gating are built; the remaining work is completing their rollout and their fail-closed cutover across the installed base.
- Close the identity-correlation gap. Per-account caps bind today, but a single person can hold multiple accounts. Cross-account correlation and identity-level deduplication — collapsing accounts that share device, payment, or withdrawal signals onto one effective identity for cap purposes — are planned work, not yet built.
- Jurisdiction and geo-policy maturation. Extend jurisdiction coverage, refine the block-versus-step-up boundary, and improve resolution against evasion techniques such as residential-proxy masking that current heuristics do not fully catch.
- Licensing progression. As the Azerbaijan crypto-asset and manat-licensing questions clarify, pursue the appropriate authorization path. We will claim a license only once we hold it.
- Product and rail maturation. Harden the fiat on- and off-ramps, extend the screened-chain map, and mature the AZNS settlement rails — always behind the same fail-closed, honestly-labeled discipline that governs the rest of the system.
10. Conclusion
Bitcoin proved that cash can be trustless — that value can move without a custodian in the middle. The objection that has dogged crypto ever since is that trustless cash is also ungoverned cash, and that the only known cure is to put an institution back in the middle to hold the funds and watch the user. Baysart Wallet is the argument that this cure is unnecessary. Trustless cash can be AML-hard. Self-custody and compliance are not opposites; they are made to look like opposites only by an implementation choice — placing the controls inside a custodian — that can be unmade. Move enforcement to the protocol boundary, screen the money at the crossings using signals a client cannot forge, and the user keeps their keys, their funds, and their privacy while the system still refuses dirty money and sanctioned destinations. AZNS gives that system a manat-denominated cash hub through which real value moves. The compliance stack is the proof that it can move cleanly. Neither property is bought at the other's expense — that is the whole claim, and the rest of this paper is how it is kept.
References
- S. Nakamoto. Bitcoin: A Peer-to-Peer Electronic Cash System. 2008.
- Blockstream. The Liquid Network — a Bitcoin sidechain with Confidential Transactions and issued assets.
- G. Maxwell. Confidential Transactions. 2015.
- Google. Play Integrity API — device and app integrity verdicts backed by hardware attestation.
- Apple. App Attest and DeviceCheck — Secure Enclave app attestation.
- MaxMind. GeoLite2 Databases — offline IP-to-country / ASN geolocation.
- Financial Action Task Force (FATF). International Standards on Combating Money Laundering.
- U.S. Office of Foreign Assets Control (OFAC). Sanctions Programs and Country Information.
- Baysart. AML Threat Model — the governed internal document that is the single source of truth for every control described here; each entry cites its source-code location and records its residual risk.
Baysart: Uyğunluq Prinsipli Öz-Saxlama Nağd Sistemi
Manat əsaslı rəqəmsal nağd pul — sərhəddə tətbiq olunan AML, saxlama və nəzarət olmadan
Xülasə
Bu gün kriptovalyuta iki natamam variant arasında seçim etməyə məcbur edir. Öz-özünə saxlama (self-custody) pulqabı istifadəçiyə açarları üzərində tam nəzarət verir, lakin içindən keçən heç nəyi nəzarətdə saxlamır. Uyğunluq (compliance) tələblərinə cavab verən xidmət isə çirkli pulu yoxlaya bilər, lakin bunu yalnız istifadəçinin vəsaitlərini öz nəzarətinə götürərək və istifadəçinin fəaliyyətini izləyərək edir. Baysart Wallet bu seçimi rədd edir. Bu, öz-özünə saxlama pulqabıdır — açarlar istifadəçinin öz cihazında yaradılır və saxlanılır, Baysart isə müştəri (client) rolundadır, heç vaxt saxlayıcı (custodian) deyil — buna baxmayaraq, vəsaitləri öz nəzarətinə götürmədən və istifadəçilərini izləmədən, çirkli pulların yuyulmasına qarşı (anti-money-laundering) ciddi nəzarəti tətbiq edir. Mexanizm sərhəd nəzarətidir: dəyərin açıq öz-özünə saxlama zonası ilə tənzimlənən dünya arasında keçdiyi hər nöqtədə vahid, uğursuzluqda bağlanan (fail-closed) uyğunluq yolu pulu yoxlayır və bunu müştərinin saxtalaşdıra bilmədiyi siqnallardan istifadə etməklə edir — cihazın bildirdiyi deyil, serverin sorğudan müşahidə etdiyi coğrafi mövqe və aparat dəstəkli cihaz təsdiqləməsi (attestation) əsasında, davranışın izlənilməsi ilə deyil. Manata bağlı sabit vahid olan AZNS bu dəyərin hərəkət etdiyi nağd pul mərkəzidir (cash hub).
1. Giriş
Bitcoin etibar tələb etməyən nağd pul məsələsini həll etdi: bir-birinə və ya hər hansı vasitəçiyə etibar etmək məcburiyyətində olmayan tərəflər arasında hərəkət edən dəyər. Onun həll etmədiyi — qəsdən əhatə dairəsindən kənarda buraxdığı — məsələ isə tənzimləyicinin real iqtisadiyyata toxunan istənilən sistemə verdiyi sualdır: bu pul təmizdirmi və onun sanksiyalı bir tərəfə hərəkət etmədiyini bilirsinizmi? On beş il sonra, bu cavabsız sual bütün sənayeni bölən qırılma xəttidir və o, saxta bir seçimə çevrilib.
Bir tərəfdə saf öz-özünə saxlama dayanır. İstifadəçi açarlarını özündə saxlayır; heç kim onun vəsaitlərini dondura və ya hesabını bağlaya bilməz; proqram təminatı bir alətdir, təsisat deyil. Kriptovalyutanı dəyərli edən məhz bu xüsusiyyətdir. Lakin adətən qurulduğu şəkildə öz-özünə saxlama pulqabı da öz mahiyyətinə görə qanunsuzdur: o, istənilən əməliyyatı istənilən təyinat nöqtəsinə ötürəcək və içindən keçən sikkənin bir saat əvvəl oğurlanıb-oğurlanmadığını nə bilir, nə də vecinə alır. Digər tərəfdə isə uyğunluq tələblərinə cavab verən vasitəçi dayanır — birja, lisenziyalı ödəniş şirkəti, bank. O, əməliyyatı sanksiya siyahıları və çirklənmə (taint) məlumat bazaları ilə yoxlaya, şübhəli nağdlaşdırmadan imtina edə və tənzimləyicinin gözlədiyi hesabatları verə bilər. Lakin bu qabiliyyəti müəyyən qiymətə əldə edir: o, istifadəçinin vəsaitlərini saxlayır, deməli onları dondura bilər; o, istifadəçinin fəaliyyətini izləyir, deməli onu hesabata verə bilər; həm nəzarəti, həm də məxfiliyi təslim etmiş istifadəçi isə yenidən kriptovalyutanın əvəz etmək istədiyi sistemin içinə qayıtmış olur.
Sənaye bunu təbiət qanunu kimi qəbul edir — guya uyğunluq saxlama və izləmə tələb edir, öz-özünə saxlama isə qanunsuzluq tələb edir. Bu, təbiət qanunu deyil. Bu, nəzarət mexanizmlərinin harada yerləşdirilməsindən doğan bir nəticədir. Əgər AML tələbləri pulu saxlayan vasitəçiyə qurulubsa, onda pulu saxlamaq və istifadəçini izləmək bu nəzarətin ilkin şərtinə çevrilir. Lakin əgər tələblər bunun əvəzinə protokol sərhədinə — dəyərin açıq öz-özünə saxlama dünyasından fiat nağdlaşdırma və ya masa (desk) ticarəti kimi tənzimlənən əmələ keçdiyi konkret anlara — yerləşdirilsə, onda pul bu keçidlərdə heç vaxt keçidlər arasında saxlanılmadan yoxlanıla bilər, istifadəçi isə pulqabının onun harada olduğu və ya nə etdiyi barədə heç nə bildirmədən, serverin onsuz da müşahidə etdiyi siqnaldan istifadə edərək yurisdiksiya qaydası ilə yoxlanıla bilər. Məlum olur ki, saxlama və izləmə uyğunluğun özü deyil, uyğunluğun yalnız bir konkret həyata keçirilmə formasıdır.
Azərbaycan bu fikri əyaniləşdirir. Bu, nağd pula əsaslanan, real və artan kripto istifadəsi olan bir iqtisadiyyatdır və bu ikisi arasında get-gedə genişlənən bir uçurum var: adi insanın özündə saxlaya biləcəyi, ani hərəkət etdirə biləcəyi və daha geniş kripto iqtisadiyyatına və ondan çevirə biləcəyi manat-doğma rəqəmsal nağd pul yoxdur — hər bir ciddi maliyyə məhsulunun cavab verməli olduğu uyğunluq gözləntiləri isə yalnız artır. Bu boşluğu daha bir saxlayıcı birja ilə doldurmaq köhnə güzəşti təkrarlayır. Onu daha bir qanunsuz pulqabı ilə doldurmaq isə ilk uyğunluq sualında uğursuz olur və davam gətirə bilməz. Çatışmayan şey — və Baysart-ın olmaq üçün qurulduğu şey — manat-doğma, öz-özünə saxlama nağd pul sistemidir, həm də AML baxımından sərtdir: istifadəçinin öz açarları, istifadəçinin öz vəsaitləri və çirkli pulu tutan bir uyğunluq perimetri — məhz ona görə ki, o, pulu saxlamaqla və insanı izləməklə deyil, sərhəddə tələb tətbiq edir.
2. Dizayn Prinsipləri
Sistemdəki hər qərarı beş prinsip idarə edir. Onlar sıralanıb və ziddiyyət yarandıqda əvvəlki qalib gəlir.
1. Standart olaraq öz-özünə saxlama. Açarlar istifadəçinin cihazında yaradılır və saxlanılır. Baysart heç bir istifadəçi vəsaitini saxlamır və onları hərəkət etdirə, dondura və ya bərpa edə bilməz. Pulqabı istifadəçiyə öz aktivləri üzərində hərəkət etməkdə kömək edən müştəridir; o, heç vaxt istifadəçi ilə onun pulu arasında dayanan saxlayıcı deyil. Qalan hər şey bu xüsusiyyəti qorumaq üçün qurulub, onu aşındırmaq üçün deyil.
2. Uğursuzluqda bağlanan pul yolları (kod qanundur). Hər tənzimlənən əməl — buraxılış (mint), yandırma (burn), masada alqı və ya satqı, zəncirlərarası dəyişmə (swap), körpü (bridge), nağdlaşdırma — həll olunmazdan əvvəl vahid uyğunluq orkestratorundan keçir. Bu orkestrator uğursuzluqda bağlanandır: əgər o etibarlı bir hökm verə bilmirsə — yoxlama provayderi işləmir, konfiqurasiya olunmayıb və ya zəncir dəstəklənmirsə — əməl rədd olunur, heç vaxt səssizcə buraxılmır. Təhlükəsiz olduğu sübut oluna bilməyən pul yolu işə düşmür.
3. İzləmə olmadan uyğunluq. Nəzarət dəyərin tənzimlənən dünyaya keçdiyi sərhədlərdə tətbiq olunur, arada istifadəçilərin nə etdiyini izləməklə deyil. Açıq öz-özünə saxlama zonasında — saxlama, qəbul etmə, zəncirdaxili və şəxsdən-şəxsə (peer-to-peer) göndərmə — dizayn etibarı ilə heç bir izləmə və heç bir qapıçılıq yoxdur. Yoxlama zaman keçdikcə şəxsə deyil, keçid anında pula bağlanır.
4. Dürüst iddialar. Heç bir nəzarət heç bir ictimai sənəddə — bu sənəd də daxil olmaqla — bu gün kodda canlı və ya qurulmuş olmadıqca təsvir edilmir. Yol xəritəsi yol xəritəsi kimi etiketlənir. Bu, sadaladığı hər nəzarət üçün mənbə-kod yerini istinad edən və hər birinin açıq buraxdığı dürüst qalıq riski qeyd edən idarə olunan AML təhlükə-modeli sənədinə qarşı tətbiq edilir. Planlaşdırılan qorunma mövcud olan qorunma deyil və o, elə də yazılmır.
5. Minimal məlumat toplanması. Pulqabı heç bir cihaz mövqeyi və heç bir GPS tələb etmir; heç bir mövqe icazəsi saxlamır. Yeganə coğrafi siqnal ölkə səviyyəsindədir və serverin onsuz da hər sorğuda aldığı mənbə IP-dən, həmçinin cihazın koordinatları deyil, IANA saat qurşağından — başlıq (header) kimi göndərilir — həll olunur. Sərhəd nəzarəti işi görə biləcək ən az məlumata ehtiyac duyacaq şəkildə və pulqabının toplamalı olduğu hər hansı şeydən çox serverin onsuz da gördüyü siqnalları üstün tutacaq şəkildə tərtib edilib.
3. AZNS: Nağd Pul Mərkəzi
AZNS manata bağlı sabit vahiddir və pulqabının dəyərin hər hərəkətini yönləndirdiyi hesablaşma (settlement) qatıdır. O eyni anda iki rol oynayır. Vahid kimi, o, Azərbaycan manatını izləmək üçün tərtib edilib, belə ki, AZNS-də saxlanılan qalıq istifadəçilərin həyatlarını əslində qiymətləndirdiyi valyutada öz dəyərini saxlamalı — ona qarşı üzməməlidir. İnfrastruktur kimi, o, mərkəzdir: pulqabının içinə çevirdiyi və içindən çıxardığı hər aktivin ümumi vahid ölçüsüdür. Bu iki rol bir-birini gücləndirir. Sabit vahid yalnız dəyər ona sərbəst çata və ondan sərbəst çıxa bilirsə faydalıdır; hesablaşma mərkəzi isə yalnız hesablaşdığı vahid sabit qalırsa etibarlıdır.
Liquid üzərində buraxılış
AZNS Bitcoin yan-zənciri olan Liquid Network üzərində doğma aktiv kimi buraxılır, həmçinin istifadəçilərin və likvidliyin onsuz da olduğu yerlərdə hərəkət edə bilməsi üçün Polygon və Solana üzərində də mövcuddur. Hesablaşma nüvəsi üçün Liquid seçildi, çünki o, Konfidensial Əməliyyatları (Confidential Transactions) dəstəkləyir: şəbəkə köçürmənin məbləğini və aktiv növünü gizlədə bilər, belə ki, adi bir AZNS ödənişinin öz həcmini bütün dünyaya yayımlamasına ehtiyac yoxdur. Buradakı məxfilik ödəniş relsinin bir xüsusiyyətidir, nəzarətdən yayınmaq üsulu deyil — pulqabı konfidensial zəncirdaxili hərəkəti hər tənzimlənən sərhəddəki uyğunluq perimetri ilə birləşdirir (Bölmə 5-ə baxın).
Sistemin bir hissəsi qəsdən açıq saxlanılır: buraxılışın özü. Emitent AZNS-i ictimai olaraq audit edilə bilən, qeyri-konfidensial əməliyyatlar vasitəsilə buraxır və yandırır, belə ki, hər zəncirdəki ümumi təchizat zəncirdə oxuna və istənilən vaxt sübut edilə bilər. Bölmə 6-dakı ehtiyat modelinin təchizatı təminata (backing) qarşı hesabatlı saxlamasına imkan verən məhz budur. Konfidensiallıq istifadəçinin qalığını qoruyur; şəffaflıq isə ümumi məbləği idarə edir. AZNS USDC modelinə əsaslanan icazə tələb etməyən (permissionless) daşıyıcı vahiddir — bir dəfə buraxıldıqdan sonra o, zəncirdə yaşayır və şəxsdən-şəxsə və ya istənilən pulqabı vasitəsilə hərəkət edə bilər; sistem bu açıq halda sikkələri dondurmuş və ya geri qaytarmış kimi göstərmir.
Dəyər mərkəzdən necə keçir
Pulqabında hər əhəmiyyətli əməl — sikkə almaq, sikkə satmaq, aktivlər arasında çevirmək, zəncirlərarası körpü qurmaq, fiatdan nağdlaşdırmaq, fiata nağdlaşdırmaq — aktivləri bir-birinə qarşı birbaşa cütləşdirmək əvəzinə AZNS-ə qarşı həll olunur. Nümunə ardıcıldır:
- Nağd giriş. İstifadəçi manat (və ya daxil olan stablecoin/kripto depoziti) gətirir. Dəyər AZNS-ə həll olunur: müvafiq AZNS ehtiyat təminatına qarşı istifadəçiyə buraxılır.
- İstənilən sikkəni al. İstifadəçi AZNS xərcləyir. Mərkəz hədəf aktivi müvafiq zəncir üzrə çatdırılma ehtiyatlarından (delivery floats) əldə edir və çatdırır; xərclənən AZNS yandırılır.
- İstənilən sikkəni sat. İstifadəçi kriptonu masaya çatdırır. Gəlir satışın reallaşdırdığı stablecoin ilə təmin olunmuş, yeni buraxılmış AZNS-ə həll olunur.
- Çevir / körpü qur. Bir aktivdən və ya zəncirdən digərinə keçid, sifarişli cüt-cüt yol əvəzinə, AZNS-ə həll olunma və təyinat tərəfində geri çatdırılma kimi ifadə olunur.
- Nağd çıxış. İstifadəçi AZNS-i manata geri alır. AZNS yandırılır və fiat ödənilir.
Beləliklə, dəyər axını mərkəz-və-spiseylər (hub-and-spoke) formasındadır: istifadəçi fiatı ⇄ AZNS ⇄ istənilən dəstəklənən zəncirdə istənilən sikkə — Bitcoin və Lightning, Liquid, EVM zəncirləri (Ethereum, Base, Arbitrum, Optimism, Avalanche, BNB), Solana və digərləri. AZNS hər marşrutun ortasında dayanır.
Niyə mərkəz modeli
Hər şeyi bir vahiddən keçirmək arxitektura qərarıdır, rahatlıq deyil. O, üç şey qazandırır:
- Likvidliyin cəmlənməsi. Cüt-cüt model hər aktiv üçün hər digər aktivə qarşı bazar tələb edir. Mərkəzə isə yalnız hər aktivin AZNS-ə qarşı olması lazımdır. Əks halda onlarla nazik cüt arasında parçalanacaq likvidlik vahid vahidin arxasında toplanır, belə ki, istənilən aktiv həmişə qiymətləndirilə bilən bir marşrut vasitəsilə istənilən digərinə çata bilər.
- Vahid hesab vahidi. Qalıqlar, kotirovkalar, komissiyalar, limitlər və tarixçə — hamısı bir manata bağlı vahiddə ifadə olunur. İstifadəçi düşündüyü valyutada aydın mənzərə görür, sistem isə çoxlu vahidi uzlaşdırmaq əvəzinə öz ödəmə qabiliyyəti (solvency) barədə bir vahiddə mühakimə yürüdür.
- Vahid uyğunluq sərhədi. Dəyər tənzimlənən dünyaya AZNS hesablaşma nöqtəsində girib-çıxdığı üçün, nəzarət hər aktiv və ya hər zəncir üzrə yenidən tətbiq edilmək əvəzinə bir yerdə bağlanır. Mərkəz yoxlamanın, limitlərin və yurisdiksiya yoxlamalarının bağlandığı yerdir — Bölmə 5-in təsvir etdiyi vahid perimetr.
Beləliklə, mərkəz həm istifadəçilərin təcrübə etdiyi məhsul səthidir — hər şeyə çevrilə və hər şeydən gələ bilən bir sabit qalıq — həm də sistemin qalan hissəsini idarə oluna bilən edən nəzarət səthidir. AZNS Baysart-ın real manat iqtisadiyyatına toxunma üsuludur və pulqabının həm dəyər, həm də uyğunluq barədə vədlərinin hər ikisinin yerinə yetirildiyi nöqtədir.
4. Öz-Özünə Saxlama Arxitekturası
Baysart pulqabıdır, bank deyil. İstifadəçinin vəsaitlərini idarə edən şəxsi açarlar istifadəçinin cihazında yaradılır, həmin cihazda saxlanarkən şifrələnir və heç vaxt serverlərimizə ötürülmür. On iki sözlük bərpa toxumu (recovery seed) bir dəfə istifadəçiyə göstərilir və onu saxlamaq onun öz işidir. Server tərəfində heç bir surət, açar-emanet (key-escrow) və istifadəçinin sikkələrini hərəkət etdirə biləcək heç bir inzibati üstünlük yoxdur. Bu sənədin lüğətində Baysart müştəridir, server isə orkestratordur — o koordinasiya edir, qiymətləndirir və yoxlayır, lakin saxlama etmir.
Bu, qəsdən çəkilmiş arxitektura xəttidir və serverin nə edə biləcəyini və nə edə bilməyəcəyini müəyyən edir.
Serverin heç vaxt saxlamadığı. Server heç vaxt istifadəçinin şəxsi açarlarını, toxum ifadəsini və ya onlardan əldə edilə biləcək hər hansı materialı saxlamır. O, istifadəçinin adından əməliyyat imzalaya bilməz. O, istifadəçinin öz-özünə saxlama pulqabında yaşayan aktivi dondura, ələ keçirə və ya geri qaytara bilməz. Dəyər açıq zonada olduqdan sonra — istifadəçinin idarə etdiyi pulqabıda zəncirdə saxlanıldıqda — o, yalnız istifadəçinin öz açarı imzaladıqda hərəkət edir, tam olaraq istənilən qeyri-saxlayıcı pulqabında olduğu kimi.
Serverin saxladığı. Server orkestratorun qanuni olaraq ehtiyac duyduğu şeyləri saxlayır: hesab və sessiya qeydləri, KYC yoxlama vəziyyəti (bizim tərəfimizdən yenidən əldə olunmuş deyil, üçüncü tərəf provayder vasitəsilə yoxlanmış), növbəti bölmədə təsvir olunan uyğunluq sayğacları və audit sətirləri, keşlənmiş bazar məlumatları və kotirovkalar və — tənzimlənən masa üçün — fiat nağdlaşdırmasının və ya zəncirlərarası hesablaşmanın ödənildiyi xəzinə ehtiyatı (treasury float). O, sorğunun gəldiyi mənbə IP-ni (bunu hər server alır) və müştərinin bildirdiyi IANA saat-qurşağı sətrini qeyd edir. O, cihaz GPS-ini saxlamır; tətbiq heç bir mövqe icazəsi tələb etmir və heç bir koordinat toplamır.
Qeyri-saxlayıcı pul yolu necə işləyir. Fərq əməliyyatın formasında ən aydın görünür. İstifadəçi zəncirdə kripto göndərdikdə, pulqabı əməliyyatı yerli olaraq qurur və imzalayır; serverin rolu ən çoxu artıq imzalanmış baytları şəbəkəyə ötürməkdir — ictimai bir node-un yerinə yetirdiyi eyni xidmət. Baysart heç vaxt vəsaitləri ələ almır və təyinat nöqtəsi istifadəçinin artıq icazə verdiyi əməliyyatın içindəki bir sahədir. Bu açıq-zona yolları öz mahiyyətinə görə yoxlanılmır — bunu üstündən keçmək əvəzinə açıq şəkildə deyirik, çünki onları malik olmadığımız bir nəzarəti iddia etmədən yoxlaya bilmərik.
Tənzimlənən yollar — masamızda sikkə alqı-satqısı, fiat giriş-çıxışı, bizim vasitəmizlə dəyişmə və ya körpü qurmaq — yalnız bir cəhətdən fərqlənir: bu nöqtələrdə dəyər istifadəçinin öz-özünə saxlama dünyası ilə bizim tənzimlənən ehtiyatımız arasında keçir. Bu keçid hər hansı bir şeyi tətbiq edə biləcəyimiz yeganə yerdir və bunu etdiyimiz yeganə yerdir. İstifadəçi yenə də imzalayır; server həll etdiyi mərhələni orkestr edir və həll etməzdən əvvəl onu yoxlayır. Açarların saxlanması heç vaxt əl dəyişmir. Dəyişən şey odur ki, öz boğaz nöqtəsində (chokepoint) dayanan server, uyğunluq yoxlamaları keçmədikcə mübadilənin öz tərəfini tamamlamaqdan imtina edir.
Sistemin qalan hissəsini dürüst edən xüsusiyyət budur. Açarları saxlamadığımız üçün, saxlamadığımız qalıqları izləyə bilmərik və bunu iddia etmirik. Fiat və zəncirlərarası boğaz nöqtələrini idarə etdiyimiz üçün, çirkli pulların yuyulmasına qarşı nəzarəti tam olaraq tənzimlənən dəyərin girib-çıxdığı yerdə — və başqa heç yerdə — tətbiq edə bilərik. Arxitektura tələb sərhədini istifadəçinin ətrafında deyil, masada çəkir. Öz-özünə saxlama saxlayıcı nüvəyə birləşdirilmiş bir funksiya deyil; o, təməldir və uyğunluq yığını onu sökmək yolu ilə deyil, onunla birlikdə işləmək üçün qurulub.
5. İzləmə Olmadan Uyğunluq
Ənənəvi baxış budur ki, uyğunluq tələblərinə cavab verən pul sistemi izləyən sistem olmalıdır: çirkli pulu dayandırmaq üçün hər istifadəçini izləmək lazımdır. Baysart bu müddəanı rədd edir. Burada çirkli pulların yuyulmasına qarşı tələb protokol sərhədinin xüsusiyyətidir, istifadəçilər üzərindəki panoptikonun deyil. Sistem qeyri-qanuni dəyərin hərəkətini sərhəddə dayandırır, üstəlik onu hərəkət etdirən insanlar barədə daha az məlumat saxlayır. Bunu mümkün edən mexanizm amansızcasına tətbiq olunan vahid ideyadır: yalnız istifadəçinin saxtalaşdıra bilmədiyi siqnallar üzərində tələb tətbiq et.
Etibar sərhədi
Müştərinin göndərdiyi hər siqnalı iki sinfə bölmək olar və bu fərq bütün dizaynın özəyidir.
Cihazın bildirdiyi siqnallar etibarsızdır. GPS koordinatları, cihaz identifikatoru, SIM ölkəsi, dil (locale) və hətta bildirilən saat qurşağı — hamısı istifadəçinin idarə etdiyi proqram təminatının içində yaranır. Rutlanmış (rooted) və ya jailbreak edilmiş cihazda yetkin alət ekosistemi (Magisk, LSPosed, Shizuku, Frida) onların istənilənini bir toxunuşla yenidən yaza bilər. Deməli, telefonun iddia etdiyi mövqe sərt qapı kimi dəyərsizdir. Baysart-da heç bir cihaz-bildirişli dəyər heç vaxt tək başına sərt bloka səbəb olmur. Bu, bir səhv deyil; bu, saxtalaşdırıla bilən girişdən uyğunluq teatrı qurmaqdan imtinadır.
Serverin müşahidə etdiyi və aparatla təsdiqlənmiş siqnallar etibarlıdır. Serverin öz soketinin müşahidə etdiyi mənbə IP GPS kimi müştəri proqramı tərəfindən yenidən yazıla bilməz — düşmənin edə biləcəyi ən pis şey VPN vasitəsilə yönləndirməkdir ki, bu da özlüyündə aşkarlana bilən bir haldır. Sessiyadan-sessiyaya IP tarixçəsi, mənbə şəbəkənin muxtar sistemi (autonomous system) və — aparat təsdiqləməsi aktiv olduqda — cihazın təhlükəsiz elementindən gələn kriptoqrafik hökm hücumçunun əli çatmayan yerdə lövbərlənib. Dəyəri sərt-qapılaya bilən yeganə siqnallar bunlardır.
Aşağıdakı hər şey bu sərhədin üzərində dayanır. Sərt bloklar yalnız etibarlı siqnallara söykənir. Etibarsız siqnallara yalnız sürtünməni artırmağa icazə verilir — əlavə təkrar-yoxlama (step-up) tetiklemek üçün, heç vaxt səssiz imtina və heç vaxt sərt kilid deyil. Rutlanmış müştərini tam idarə edən pul yuyucu yumşaq siqnalları saxtalaşdıra bilər və ondan yalnız canlılıq (liveness) sübutu istəniləcək; sərt perimetr yerindən tərpənmir.
Uğursuzluqda bağlanan vahid orkestrator
Hər tənzimlənən pul yolu — masada alqı, masada satqı, fiat nağdlaşdırma, zəncirlərarası dəyişmə, körpü və DeFi relsləri — vahid qapıdan, compliance.preflight()-dən keçir. O, ardıcıllıqla işləyir: aktiv-icazə-siyahısı yoxlaması (yalnız tanınan aktivlər nağd pul mərkəzinə çevrilir və ya ondan çevrilir; naməlum token rədd olunur); istifadəçi-üzrə risk və blok yoxlaması (admin kilidi, PEP bayrağı, əməl-üzrə blok); sanksiya və çirklənmə yoxlaması; və ötürmə qabiliyyəti limitləri (əməl-üzrə tavan və şəxsiyyət-üzrə və sistem-miqyaslı gündəlik sayğaclar — sayğacın artırılması əməliyyatın hesablaşma iddiası ilə atomik edilir).
Orkestrator öz quruluşuna görə uğursuzluqda bağlanandır. Əgər etibarlı hökm istehsal oluna bilmirsə — yoxlama provayderi işləmir, konfiqurasiya olunmayıb və ya zəncir yoxlama xəritəsinin əhatə etmədiyi bir zəncirdirsə — əməl xəta ilə rədd olunur, heç vaxt səssizcə buraxılmır. Yoxlama xəritəsində olmayan zəncir yoxlanmadan ötürülmək əvəzinə birbaşa rədd olunur. Bu mövqe istehsalatda (production) yoxlanılır: yoxlama perimetri canlı provayderlə və uğursuzluqda bağlanan söndürmə açarı (kill-switch) qoşulu vəziyyətdə işləyir. Dəyişməz qayda ifadə etməsi sadə və yükdaşıyıcıdır: heç nə bu qapıdan keçmədən buraxılışa, yandırmaya, çatdırılmaya və ya ödənişə çatmır.
KYT: pulu yoxlamaq, üzü deyil
KYC insanın kim olduğunu müəyyən edir; onun hərəkət etdirdiyi pulun təmiz olub-olmaması barədə heç nə demir. Yuyulma riski vəsaitlərin içindədir. Ona görə də hər tənzimlənən keçiddə, kontragent ünvanını sanksiya risqinə, PEP əlaqəsinə və çirklənməyə görə yoxlayan provayderə qarşı bir Əməliyyatı-Tanı (Know-Your-Transaction) yoxlaması işləyir. Bloklayan hökm əməldən imtina edir; qeyri-müəyyən hökm onu həll etmək əvəzinə baxış üçün parkeyer edir; əlçatan olmayan provayder əməli bağlı vəziyyətdə uğursuzluğa uğradır. Satılmaq üçün masaya gələn çirkli sikkə hər hansı geri dönməz çevrilmədən əvvəl depozitdə yenidən yoxlanılır və saxlanmış depozit itmir, parkeyer edilir. Yoxlama vəsaitləri məhz onların perimetrimizi keçəcəyi anda bağlayır.
Zəncirlərarası çirklənmə izləməsi
Nağd pul mərkəzinin doğma Liquid relsi üçün — ki, heç bir xarici KYT təchizatçısı onu əhatə etmir — Baysart öz çirklənmə izləyicisini işlədir. Konkret ünvanlar və UTXO-lar bayraqlana bilər; izləyici sonra sikkənin əcdadını Liquid əməliyyat qrafı boyunca eninə axtarışla (breadth-first search) gəzir və bayraqlanmış mənbədən törəyən istənilən sikkəni bloklayır, qraf tam oxuna bilmirsə uğursuzluqda bağlanır. Hökm keşi bayraq dəsti dəyişdikcə dəyişən bayraq epoxasına (flag epoch) bağlanır, belə ki, yeni bayraqlanmış əcdad daha əvvəl təmiz yoxlanmış sikkəni geriyə dönük etibarsız edir; köhnəlmiş "təmiz" hökmlər öz quruluşuna görə mümkün deyil.
Dizayn həmçinin daxili-mikser riskini də dürüstcə qarşılayır. Nağd pul mərkəzinin təchizat-neytral zəncirlərarası hərəkəti mənbə sikkələri yandırır və yeni sikkələr buraxır ki, bu da dizayn etibarı ilə zəncirdaxili nəsil xəttini kəsir — tək başına izləmə zəncirlər arasında sıçramış dəyəri tutmazdı. Cavab izləmənin gördüyündən çoxunu gördüyü kimi göstərmək deyil, əksinə, bayraq anbarını (flag store) birbaşa şəxsdən-şəxsə keçiddə qapılamaqdır: hər hansı yandırma və ya buraxılış işə düşməzdən əvvəl həm göndərənin, həm də alanın hesablaşma ünvanları bayraq anbarına qarşı yoxlanılır. Nəsil xətti qorunduğu yerdə (birbaşa zəncirdaxili göndərmələr), əcdad izləməsi son çıxış nöqtəsində (off-ramp) yenə də bayraqlanmış tarixçəni tutur. Hər qatın nəyi tutduğunu və nəyi tutmadığını dəqiq sənədləşdiririk.
Saxtalaşdırıla bilməyən coğrafiyadan yurisdiksiya nəzarəti
Bank müştəridən ölkəsini bir formada bəyan etməyi istəyir. Baysart onu serverin onsuz da müşahidə etdiyi mənbə IP-dən əldə edir və bunu image-a yerləşdirilmiş oflayn MaxMind GeoLite2 məlumat bazalarına qarşı həll edir — heç bir xarici çağırış, heç bir sorğu-üzrə xərc, heç vaxt qutunu tərk etməyən istifadəçi IP-si və heç bir cihaz mövqe icazəsi yoxdur. Sanksiyalı yurisdiksiyalar (OFAC-ın hərtərəfli siyahısı) sərt blokdur. Daha yumşaq coğrafi əlamətlər — VPN-i işarə edən datamərkəz və ya hostinq şəbəkəsi, son sessiyalar arasında mümkünsüz-səyahət sıçrayışı və ya IP-nin saat qurşağı ilə uyğun gəlməyən cihaz-bildirişli saat qurşağı — əlavə təkrar-yoxlamanı qidalandırır, heç vaxt sərt blok deyil, çünki onlar daha zəif siqnallardır. Əsas xüsusiyyət budur ki, sərt blok rutlanmış cihazın saxtalaşdıra biləcəyi cihaz-bildirişli mövqeyə deyil, onun saxtalaşdıra bilmədiyi serverin-müşahidə etdiyi coğrafiyaya söykənir. Bu nəzarət tərtib edilib və işə salınmaqdadır: o, bir açarın arxasında göndərilir, məlumat bazaları təmin edildikdə və istehsalatda real trafikə qarşı yoxlandıqda aktivləşir və dəstəklədiyi dərc olunmuş siyasət mətni tam canlı olana qədər arzuolunan (aspirational) kimi qəbul edilir. O, burada arxitektura kimi təsvir olunur.
Aparat təsdiqləməsi
Təsdiqləyici etibarlı siqnal aparat dəstəkli cihaz təsdiqləməsidir — Android-də Play Integrity və iOS-da App Attest, hər biri platformanın etibar kökünə qarşı server tərəfindən yoxlanılır — bu, OS-səviyyəli hücumçunun tam gizlədə bilmədiyi rutlanmış, qarmaqlanmış (hooked) və ya emulyasiya edilmiş iş-mühitini aşkar edir. Onun hökmü eyni cihaz-etibarı əlavə təkrar-yoxlamasını qidalandırır. Bu qat qurulub, lakin aktivləşdirilməsi gözlənilir: o, standart olaraq sönülüdür və işə salınmazdan əvvəl istehsalat kimlik məlumatlarını və cihaz test matrisini gözləyir. O, böyük ödəniş üçün heç vaxt qəsdən tək qapı deyil; o, yuxarıdakı serverin-müşahidə etdiyi siqnallarla birləşdirilmiş bir qatdır.
Cihaz-etibarı əlavə təkrar-yoxlaması və risk-tetiklemeli bəyanatlar
Toxum-ifadəli qatır (seed-phrase mule) halı — qanuni şəkildə KYC edilmiş hesabı yad birinin cihazına bərpa edərək idarə edən pul yuyucu — cihaz etibarı ilə cavablanır. Cihaz normal giriş vasitəsilə ilk baxışda etibarlı sayılır; bərpa xüsusiyyətləri göstərən təzəcə görünən cihaz canlılıq gözləmə (pending liveness) vəziyyətinə endirilə bilər və etibarsız cihaz fiatı bayıra çıxarmadan əvvəl canlılıq əlavə təkrar-yoxlamasından keçməlidir. Hazırda hesabı əlində saxlayan şəxs, dəyər tənzimlənən perimetri tərk etməzdən əvvəl yoxlanmış üz olduğunu yenidən sübut etməyə məcbur edilir. Bu, ümumi hücumun xərcini artırır və yenidən satılmış-toxum halını tutur; onun qalıq məhdudiyyətlərini (müştəri-bildirişli cihaz identifikatoru saxtalaşdırıla bilər; qapıya diş verən xüsusiyyət odur ki, hücumçu qurbanın orijinal dəyərini onu təkrarlamaq üçün bilmir) həddindən artıq şişirtmək əvəzinə açıq şəkildə deyirik. Bu nəzarət qurulub və uğursuzluqda bağlanan keçidindən əvvəl mövcud istifadəçi bazasına yayılır.
Əsas fikir odur ki, bəyanatlar və əlavə təkrar-yoxlamalar ümumi qəbul forması kimi əvvəlcədən hər istifadəçidən tələb olunmur, əksinə etibarlı siqnal onları məcbur etdiyi anda, risk tərəfindən işə düşür. Siqnalları təmiz olan istifadəçidən heç bir əlavə şey istənilmir. Sistem yalnız saxtalaşdırıla bilməyən siqnal belə deməli olduğunu bildirdikdə eskalasiya edir. Bütün tezis budur: heç nə etməmiş istifadəçilərə tətbiq olunan izləmə əvəzinə, istifadəçilərin saxtalaşdıra bilmədiyi siqnallar üzərində protokol sərhədində tətbiq olunan çirkli pulların yuyulmasına qarşı tələb.
6. AZNS İqtisadiyyatı
Bu bölmə konseptual səviyyədə AZNS-in arxasında nəyin dayandığını və sistemin vahidi sabit saxlamaq üçün necə tərtib edildiyini təsvir edir. O, mexanizmləri qeyd edir, təminatları deyil; sonundakı imtina bildirişi (disclaimer) hər yerə şamil olunur.
AZNS-i nə təmin edir
AZNS-in manatla ifadə olunmuş, sistemin siyasətlə iddia etmək əvəzinə real saxlama holdinglərindən hesabladığı bir ehtiyat tərəfindən təmin olunması nəzərdə tutulub. Ehtiyat Baysart-ın dövriyyədəki AZNS-in arxasında dayanmaq üçün faktiki olaraq saxladığı aktivlərin cəmidir: hesablaşdırılmış bank manatı; xəzinənin dəstəklənən zəncirlər üzrə və birja saxlamasında saxladığı stablecoin qalıqları (USDC və USDT); zəncirlərarası hesablaşma üçün toplanmış stablecoin; və masanın öz hesablaşma pulqablarında saxlanan kripto. Manat olmayan holdinglər keşlənmiş mərkəzi-bank istinad kursu ilə manata dəyərləndirilir.
Bu hesablamanı iki dizayn xüsusiyyəti idarə edir və hər ikisi ehtiyatın heç vaxt olduğundan böyük görünməməsi üçün mövcuddur:
- Mühafizəkar dəyərləndirmə. ABŞ dolları ilə ifadə olunmuş holdinglər stresli mübadilə kursu ilə dəyərləndirilir — istinaddan aşağı işarələnmiş kurs — belə ki, əlverişli valyuta hərəkəti nazik ehtiyatı kifayət kimi göstərə bilməsin. Saxlamanı tərk etməyə həsr edilmiş uçuşdakı dəyər hesablaşmadan əvvəl çıxılır, belə ki, eyni vəsait heç vaxt həm hələ-saxlanılan, həm də artıq-vəd olunmuş kimi sayılmır.
- Uğursuzluqda mühafizəkar-sıfır. Ehtiyatın hər komponenti müdafiə xarakterli oxunur: əgər hər hansı giriş etibarlı şəkildə oxuna bilmirsə — məlumat mənbəyi işləmir, snapshot köhnəlib, kurs yoxdursa — həmin komponent sıfır sayılır. Oxuma uğursuzluğu ölçülmüş ehtiyatı yalnız kiçildə bilər, heç vaxt şişirdə bilməz. Heç nə oxunmadıqda, ehtiyat sıfırdır və sistem heç nə buraxmır.
Sabitlik necə saxlanılır
Sabitlik buraxılış anında bir ehtiyat qapısı ilə tətbiq olunur. İdarəedici dəyişməz qayda sadədir: dövriyyədəki təchizat ölçülmüş (stresli) ehtiyatı keçməməlidir. Hər hansı yeni AZNS buraxılmazdan əvvəl, sistem ümumi təchizat plus tələb olunan məbləğin hələ də ehtiyata sığdığını yoxlayır; əgər sığmazsa, buraxılış rədd olunur. Ehtiyat təchizatı keçə bilər — sistemin həddindən artıq təminatlı (over-collateralized) olmasına icazə verilir — lakin onun heç vaxt təminatını keçib buraxmasına icazə verilmir. AZNS təchizatı ictimai olaraq audit edilə bilən zəncirdaxili əməliyyatlar vasitəsilə buraxıldığı və yandırıldığı üçün, ümumi təchizat qapının təxmin etmək əvəzinə oxuya və hesabatlı saxlaya biləcəyi bir kəmiyyətdir.
Qapı real-dünya vaxtlaması altında təhlükəsiz olacaq şəkildə qurulub. Eyni vaxtlı buraxılış vahid kilidli ehtiyat sayğacı vasitəsilə seriyalaşdırılır, belə ki, iki buraxılış eyni sərbəst yeri (headroom) xərcləyə bilməz. Zəncirdaxili təsdiq gecikməsi — buraxılışa icazə verilməsi ilə onun zəncirdaxili təchizatda əks olunması arasındakı boşluq — təsdiqlər çatdıqca öz-özünü sağaldan gözləmə sayğacı ilə körpülənir. Qapı uğursuzluqda bağlanandır: əgər təchizat oxuna bilmirsə, kor-koranə davam etmək əvəzinə buraxılış dayanır. Nəzərdə tutulan effekt odur ki, AZNS yalnız mühafizəkar şəkildə mövcud olduğu ölçülmüş təminata qarşı buraxılır.
Manat bağlantısı bazar-qiyməti axını ilə deyil, struktur olaraq saxlanılır. Sistem AZNS ticarət qiymətini oxumur və ya arbitraj dövrü işlətmir; sabitlik ehtiyat-qapılı buraxılışa, geri-alma-yandırmaya (burn-on-redemption) və manat ilə ehtiyatın holdingləri arasında çevirmə üçün sabit rəsmi istinad kursuna söykənir. Bu, vahidi öz təminatına lövbərlənmiş saxlamaq üçün nəzərdə tutulan dizayndır və burada vəd olunmuş nəticə kimi deyil, mexanizm kimi təsvir olunur.
Geri-alma
Geri-alma (redemption) buraxılış yolunu tərsinə işlədir. İstifadəçi nağdlaşdırdıqda, geri alınan AZNS yandırılır və müvafiq dəyər istifadəçiyə ödənilir — təminat sərbəst buraxıldıqca təchizatı azaldır və iki tərəfi birlikdə hərəkət etdirir. Geri-alma tənzimlənən sərhəddir, ona görə də dəyər çıxmazdan əvvəl uyğunluq perimetrindən (Bölmə 5) — yoxlamadan və tətbiq olunan limitlərdən — keçir. Geri-alma istənilən hesablaşma sisteminin tabe olduğu eyni əməliyyat reallıqlarına tabedir: o, likvidlikdən, ödəniş relslərinin əlçatan olmasından və tətbiq olunan nəzarətin keçməsindən asılıdır. O, tərtib edilmiş bir yoldur, qeyri-şərti tələb-üzrə vəd deyil.
Komissiyalar və likvidlik idarəetməsi
Baysart-ın gəliri yönləndirmə üzərindəki şəffaf, məhdud komissiyalardan gəlir — kotirovka olunmuş kurslara qatılmış spred və ticarətlərdə açıq, tavanlı komissiya komponentləri — müəyyən limitlər daxilində konfiqurasiya edilir ki, komissiya heç vaxt şişə bilməsin və heç vaxt nəzərdə tutulmamış endirimə çevrilə bilməsin. Komissiyalar istifadəçinin çevirmədə aldığını azaldır; onlar istifadəçinin xərclədiyini səssizcə artırmır. Müəyyən bir əməldəki şəbəkə komissiyaları xəzinə tərəfindən açıq, büdcələnmiş siyasət çərçivəsində sponsor edilə bilər ki, bu siyasət tavan və ya büdcə tükəndikdə istifadəçi-ödəyir vəziyyətinə uğursuzluqda bağlanır. Saxlanılan komissiyalar pul yolundan kənarda dayanan ayrıca gəlir dəftərinə (revenue ledger) yazılır.
Alqıları və nağdlaşdırmaları təmin etmək üçün likvidlik zəncir-üzrə çatdırılma ehtiyatlarında saxlanılır və daxili dəftərdə izlənilir, burada saxlamaya girən və ondan çıxan hər vahid qeyd olunur və vaxtaşırı canlı zəncirdaxili qalıqlara qarşı uzlaşdırılır. Ehtiyatlar likvidlik mənbələrindən doldurulur və pulqabı istifadəçilərə aktivlər çatdırdıqca çəkilir, ehtiyat mühasibatlığı isə çatdırılmanın öhdəlik altına götürülmüş çıxışını ehtiyata götürüldüyü an sərf edilmiş sayır. Bu ehtiyat inventarı AZNS ehtiyatından ayrıca hesablanır, belə ki, xidmət likvidliyi heç vaxt dövriyyədəki təchizatın arxasında dayanan təminatla qarışdırılmır.
Burada təsvir olunan ehtiyat və çatdırılma-ehtiyatı modeli cari mühəndislik dizaynıdır və sistem, onun saxlama tənzimləmələri və tənzimləyici mövqeyi inkişaf etdikcə dəyişikliyə məruz qala bilər. Bu sənəd yalnız məlumatlandırıcı xarakter daşıyır. O, prospekt deyil, qiymətli kağızların təklifi deyil və hər hansı aktivin alqı-satqısı üçün təklif və ya çağırış deyil. O, investisiya, maliyyə, hüquqi və ya vergi məsləhəti deyil. AZNS spekulyativ və ya faiz gətirən investisiya deyil, manata bağlı hesablaşma vahidi kimi tərtib edilib və buradakı heç nə dəyər, geri-alına bilənlik və ya gəlir təminatı deyil.
7. Təhlükə Modeli
Baysart-ın uyğunluq iddiası yalnız onun tab gətirdiyi düşmən qədər yaxşıdır. Bu bölmə ictimai-təhlükəsiz terminlərlə həmin düşmənin kim olduğunu və hər yuyulma vektorunun necə bağlandığını qeyd edir. Bu bir xülasədir; idarə olunan mühəndislik sənədi yeganə həqiqət mənbəyidir və o, bu whitepaper-in də əməl etdiyi bir qayda ilə bağlıdır: heç bir nəzarət istehsalatda canlı və ya kod bazasında qurulmadıqca qabiliyyət kimi təsvir edilmir. Planlaşdırılan iş planlaşdırılan kimi etiketlənir. Buradakı heç nə əməliyyat kimi geyindirilmiş arzu deyil.
Düşmən
Diqqətsiz istifadəçini deyil, iki hücumçunu modelləşdiririk:
- Pul yuyucu — məqsədi qanunsuz mənşəli dəyəri pulqabı vasitəsilə xərclənə bilən fiata çıxarmaq və yol boyu onun izini gizlətmək olan tərəf. Bu düşmən səbirlidir, bir şəbəkəni maliyyələşdirir və bir yoxlamanı məğlub etmək əvəzinə həqiqi kimliklər və cihazlar əldə edəcək.
- Ələ keçirilmiş cihaz — özü haqqında yalan danışan rutlanmış, jailbreak edilmiş və ya emulyasiya edilmiş müştəri. Cihazın öz mövqeyi, kimliyi və ya bütövlüyü barədə bildirdiyi istənilən siqnal saxtalaşdırıla bilən kimi qəbul edilməlidir. Ona görə də nəzarətimiz müştərinin saxtalaşdıra bilmədiyi siqnallara söykənir: serverin sorğu haqqında müşahidə etdiyi və cihaz aparatının kriptoqrafik olaraq təsdiq edə biləcəyi.
Yuyulma riski üzdə deyil, vəsaitlərin içindədir. Kimlik yoxlaması bizə insanın kim olduğunu deyir; pulun təmiz olub-olmadığını demir. Yoxlama qatı, zəncirdaxili çirklənmə izləməsi və limitlər pula ünvanlanan şeylərdir.
Yuyulma vektorları və onların nəzarəti
| Vektor | Müdafiənin forması | Status |
|---|---|---|
| Toxum-ifadəli qatır — yoxlanmış sahibi olmayan biri tərəfindən idarə olunan təmiz, yoxlanmış hesab | Cihaz-etibarı əlavə təkrar-yoxlaması: hesab bərpa xüsusiyyətləri göstərdikdə dəyər tənzimlənən perimetri tərk etməzdən əvvəl canlı şəxsin yenidən yoxlanması tələb olunur | Built; rolling out |
| Daxili P2P mikser — nağdlaşdırmadan əvvəl izi qırmaq üçün hesablar arasında ötürülən çirkli vəsaitlər | İkitərəfli çirklənmə qapısı hər hansı köçürmə budağı işə düşməzdən əvvəl hər iki tərəfi yoxlayır, uğursuzluqda bağlanır | Built |
| Limitlər altında smurfinq — hər biri hesab-üzrə tavandan aşağı saxlanan çoxlu hesab | Şəxsiyyət-üzrə limitlər və sistem-miqyaslı tavan bu gün bağlanır; hesablar-arası korrelyasiya və kimlik dedublikasiyası açıq işdir | Partial; correlation on roadmap |
| Çirkli-sikkə nağdlaşdırması — fiata satılmaq üçün depozit edilmiş, xaricdən əldə olunmuş çirklənmiş sikkə | Depozit hər hansı geri dönməz çevrilmədən əvvəl yenidən yoxlanılır; təmiz olmayan nəticə vəsaitləri çevirmək əvəzinə parkeyer edir | LIVE |
| Zəncirlərarası sıçrama-yuyulması — istənilən tək monitoru ötmək üçün zəncirlər arasında hərəkət etdirilən dəyər | Hər tənzimlənən rels vahid uğursuzluqda bağlanan preflight-dən keçir; xəritələnməmiş zəncirlər yoxlanmadan ötürülmür, rədd olunur | LIVE (mapped chains) |
| Qapılanmamış yan-qapı çıxışları — yoxlamanı ötən dəyər-hərəkət nöqtəsi | Məlum yan-qapı çıxışları hesablaşmadan əvvəl eyni uyğunluq orkestratorundan keçir | Built |
| Yurisdiksiya / sanksiyalar — qadağan olunmuş və ya sanksiyalı yurisdiksiyadan giriş | Serverin-müşahidə etdiyi IP coğrafi mövqesi sorğunun mənşəyini sanksiya blok-siyahısına qarşı həll edir, təsdiqləyici cihaz təsdiqləməsi ilə; server-tərəfli olduğu üçün rutlanmış cihaz onu saxtalaşdıra bilməz | Built; coming online |
İddia etmədiyimiz şeylər
İki mövqe nəzarət deyil, dürüst, qəsdən qoyulmuş məhdudiyyətlərdir:
- Açıq zona dizayn etibarı ilə yoxlanılmır. Öz-özünə saxlama zəncirdaxili göndərmələri — ictimai yayım nöqtələrimiz vasitəsilə ötürülən əməliyyatlar da daxil olmaqla — heç bir yoxlama daşımır, tam olaraq istənilən ictimai node vasitəsilə olduğu kimi. Biz dəyər saxlayan bir boğaz nöqtəsi deyil, bir-birini əvəz edə bilən relslərdən biriyik. Yoxlama bizə heç vaxt toxunmayan açıq-zəncir hərəkətinə deyil, dəyərin tənzimlənən perimetrimizi keçdiyi yerə bağlanır.
- Kart-fırıldağı sürəti daxili test zamanı qəbul edilmiş riskdir və ictimai buraxılışdan əvvəl yenidən nəzərdən keçiriləcək.
Yuxarıdakı hər nəzarət zərif şəkildə deqradasiya edir: etibarlı yoxlama hökmü istehsal oluna bilmədiyi yerdə — təchizatçı işləmir, zəncir xəritələnməyib, yurisdiksiya həll oluna bilmir — tənzimlənən əməl rədd olunur, heç vaxt səssizcə buraxılmır. Uğursuzluqda bağlanmaq dəyişməz qaydadır. Hər nəzarətdən sonra qalan qalıq risklər idarə olunan sənəddə dürüstcə qeyd olunur, çünki qalığı olmadan təsvir edilmiş nəzarət həddindən artıq satılmış nəzarətdir.
8. İdarəetmə və Hüquqi Mövqe
Buraxdığımız və kodda tətbiq etdiyimiz qaydalar
Baysart-ın uyğunluq qaydaları öz-özünə buraxılıb. Biz tənzimləyicinin səlahiyyətini borc almırıq və almadığımız təsdiqi, lisenziyanı və ya nəzarəti nəzərdə tutmuruq. Qaydalar mövcuddur, çünki biz onları yazdıq və özümüzü onlara riayət etməyə məcbur edirik; onların etibarlılığı möhürə deyil, pul yollarında kodda tətbiq olunmalarına, uğursuzluqda bağlanmalarına və hər iddianın arxasındakı kodu istinad edən idarə olunan təhlükə modelinə qarşı yoxlanıla bilməsinə söykənir.
Bu, layihənin mərkəzindəki qəsdən çevrilmədir. Ənənəvi uyğunluq proqramı nəzarət olunan təsisatın verdiyi və auditorun sonradan yoxladığı vədlər toplusudur. Bizimki isə dəyər sərhədi keçdiyi anda proqram təminatının yerinə yetirdiyi davranışlar toplusudur — geri dönməz addımdan əvvəl yoxla, hökm etibarsız olduqda imtina et, bir kimliyin hərəkət etdirə biləcəyini limitlə. "Kod qanundur" burada şüar deyil; o, idarəetmə modelidir. Kod yolunda olmayan qayda bizim iddia etdiyimiz qayda deyil.
Bu intizamı bütün təşkilatın bağlı olduğu idarəedici qayda qoruyur: heç bir ictimai sənəd — bu whitepaper daxil olmaqla — istehsalatda canlı və ya kod bazasında qurulmamış qorunmanı təsvir edə bilməz. Marketinq mühəndisliyi qabaqlaya bilməz. Bu sənəd bir nəzarətin live olduğunu deyəndə, o bu gün istehsalatda işləyir; built deyəndə, kod mövcuddur və yerləşdirilməsi və ya aktivləşdirilməsi gözlənilir; roadmap deyəndə, o bir niyyətdir və elə də etiketlənir.
Tənzimləyici mövqe: buraxılışdan əvvəl, lisenziya iddia edilmir
Baysart buraxılışdan əvvəl mərhələdədir və heç bir maliyyə-xidmətləri lisenziyası saxlamır. Biz heç birini iddia etmirik və məhsulumuzdakı heç nə bizim hər hansı orqan tərəfindən səlahiyyətləndirilmiş, qeydiyyata alınmış və ya nəzarət olunan olduğumuz bəyanatı kimi oxunmamalıdır. AZNS manata bağlı sabit vahid və hesablaşma mərkəzi kimi təsvir olunur; bu təsvir qiymətli kağız vədi, investisiya gəliri və ehtiyat və geri-alma mexanikasının özünün təmin etdiyindən başqa təminat daşımır. Bu sənəd məlumatlandırıcıdır və qiymətli kağızların təklifi və ya investisiya məsləhəti deyil.
Azərbaycan kripto-qanun gərginliyi, açıqca ifadə edilmiş
Biz həll olunmamış hüquqi fon qarşısında fəaliyyət göstəririk və bunun əksini iddia etməyəcəyik. Azərbaycanın kripto-aktivlər haqqında qanun layihəsi bizimki kimi pulqabı üçün iki cəhətdən həqiqi gərginlik yaradır. Birincisi, onun daxili kripto ödəniş istifadəsinə münasibəti məhdudlaşdırıcıdır ki, bu da daşıyıcı alətin ölkə daxilində gündəlik hesablaşma üçün nə qədər sərbəst dövr edə biləcəyinə birbaşa aiddir. İkincisi, manata bağlı vahid hələ həll olunmamış bir lisenziyalaşdırma çəngəlində dayanır: belə vahidin kripto token və ya elektron pul kimi qəbul edilməsi hansı lisenziyalaşdırma rejiminin tətbiq olunduğunu müəyyən edir və bu rejimlər əhəmiyyətli dərəcədə fərqli öhdəliklər daşıyır. Bu çəngəlin bu gün hansı istiqamətdə həll olunacağını bilmirik və mövcud olmayan yerdə həll olunmuş cavabı təqdim etməyəcəyik. Dizaynımız nəzarət edə bilmədiyimiz nəticəyə məhsulu qurban vermək əvəzinə hər iki yolu açıq saxlayır.
Yurisdiksiya məhdudiyyətləri
Məhsul qadağan olunduğu yerdə təklif olunmur. Sanksiyalı yurisdiksiyalardan giriş müştərinin saxtalaşdıra bilmədiyi mənşə siqnallarından istifadə edərək serverdə bloklanır, daha yüksək riskli yurisdiksiyalar isə tam qadağa əvəzinə əlavə təkrar-yoxlama tetikleyicisi kimi qəbul olunur. Bölmə 5 və Bölmə 7-də deyildiyi kimi, bu coğrafi nəzarət qurulub və işə salınmaqdadır; o istehsalatda tam canlı olana qədər bunu deyirik və coğrafi nəzarəti işləməzdən əvvəl işləyirmiş kimi təqdim etmirik. Yerli qanun xidmətimizi qadağan etdiyi yerdə, texniki yayınma yolu ilə həmin bazara xidmət etməyə çalışmırıq.
Qaydalar necə inkişaf edir
Təhlükə modeli tarixli tezlikdə koda qarşı yenidən yoxlanan canlı bir mühəndislik sənədidir. Nəzarətlər açıq vəziyyətlərdən keçir — planlaşdırılmış, qurulmuş, canlı — və ictimai iddialar bu vəziyyəti izləyir, heç vaxt qabaqlamır. Azərbaycanda və xidmət etdiyimiz yurisdiksiyalarda hüquqi mənzərə aydınlaşdıqca və lisenziyalaşdırma yolları açıldıqca, idarəedici qaydalar eyni sənəddə, açıq şəkildə, eyni standartla yenidən nəzərdən keçiriləcək: etdiyimizi dediyimiz şey kodun etdiyi şey olmalıdır.
9. Yol Xəritəsi
Aşağıdakılar vədlər deyil, niyyətlərdir və onları güdəcəyimizi gözlədiyimiz ardıcıllıqla göstərilir. Hər biri bizim tam nəzarətimizdən kənar əməliyyat, hüquqi və ya üçüncü-tərəf addımlarından asılıdır və heç biri bir tarixə öhdəlik kimi oxunmamalıdır.
- Coğrafi və cihaz-bütövlüyü nəzarətlərini tam işə sal. Server-tərəfli IP-coğrafi mövqe yurisdiksiya yoxlaması və aparat dəstəkli cihaz təsdiqləməsi (Android-də Play Integrity, iOS-da App Attest) qurulub. Qalan iş əməliyyatdır — məlumatın təmin edilməsi, kimlik məlumatlarının qoşulması və real cihaz matrisində yoxlanması — hər biri tam aktivləşdirilib istehsalatda tətbiq olunmazdan əvvəl.
- Budaq-mərhələli nəzarətlərin yerləşdirilməsini tamamla. Toxum-ifadəli qatır əlavə təkrar-yoxlaması, P2P ikitərəfli çirklənmə qapısı və yan-qapı çıxışı qapılaması qurulub; qalan iş onların yayılmasını və mövcud istifadəçi bazası üzrə uğursuzluqda bağlanan keçidini tamamlamaqdır.
- Kimlik-korrelyasiya boşluğunu bağla. Hesab-üzrə limitlər bu gün bağlanır, lakin bir şəxs çoxlu hesab saxlaya bilər. Hesablar-arası korrelyasiya və kimlik-səviyyəli dedublikasiya — cihaz, ödəniş və ya çıxış siqnallarını paylaşan hesabları limit məqsədləri üçün bir effektiv kimliyə birləşdirmək — planlaşdırılmış işdir, hələ qurulmayıb.
- Yurisdiksiya və coğ-siyasət yetkinləşməsi. Yurisdiksiya əhatəsini genişləndir, blok-versus-əlavə-təkrar-yoxlama sərhədini incələ və cari heuristikaların tam tutmadığı yaşayış-proksi (residential-proxy) maskalanması kimi yayınma texnikalarına qarşı həlli yaxşılaşdır.
- Lisenziyalaşdırma irəliləyişi. Azərbaycan kripto-aktiv və manat-lisenziyalaşdırma sualları aydınlaşdıqca, müvafiq səlahiyyət yolunu güd. Lisenziyanı yalnız onu əldə etdikdən sonra iddia edəcəyik.
- Məhsul və rels yetkinləşməsi. Fiat giriş və çıxış-ramplarını möhkəmləndir, yoxlanan-zəncir xəritəsini genişləndir və AZNS hesablaşma relslərini yetkinləşdir — həmişə sistemin qalan hissəsini idarə edən eyni uğursuzluqda bağlanan, dürüstcə etiketlənmiş intizam çərçivəsində.
10. Nəticə
Bitcoin sübut etdi ki, nağd pul etibar tələb etməyən ola bilər — dəyər ortada bir saxlayıcı olmadan hərəkət edə bilər. O vaxtdan bəri kriptonu izləyən etiraz budur ki, etibar tələb etməyən nağd pul həm də idarə olunmayan nağd puldur və yeganə məlum əlac ortaya yenidən bir təsisat qoyub vəsaitləri saxlamaq və istifadəçini izləməkdir. Baysart Wallet bu əlacın lazımsız olduğu iddiasıdır. Etibar tələb etməyən nağd pul AML baxımından sərt ola bilər. Öz-özünə saxlama və uyğunluq əks qütblər deyil; onlar yalnız bir həyata keçirilmə seçimi ilə — nəzarəti bir saxlayıcının içinə yerləşdirməklə — əks qütblər kimi göstərilir və bu seçim geri qaytarıla bilər. Tələbi protokol sərhədinə köçürün, keçidlərdə pulu müştərinin saxtalaşdıra bilmədiyi siqnallarla yoxlayın, və istifadəçi öz açarlarını, vəsaitlərini və məxfiliyini saxlayır, sistem isə çirkli pulu və sanksiyalı təyinatları yenə də rədd edir. AZNS bu sistemə real dəyərin hərəkət etdiyi manatla ifadə olunmuş nağd pul mərkəzi verir. Uyğunluq yığını isə onun təmiz hərəkət edə bilməsinin sübutudur. Heç bir xüsusiyyət digərinin hesabına əldə edilmir — bütün iddia budur və bu sənədin qalan hissəsi onun necə qorunduğudur.
İstinadlar
- S. Nakamoto. Bitcoin: A Peer-to-Peer Electronic Cash System. 2008.
- Blockstream. The Liquid Network — Konfidensial Əməliyyatlar və buraxılmış aktivlərlə Bitcoin yan-zənciri.
- G. Maxwell. Confidential Transactions. 2015.
- Google. Play Integrity API — aparat təsdiqləməsi ilə dəstəklənən cihaz və tətbiq bütövlüyü hökmləri.
- Apple. App Attest and DeviceCheck — Secure Enclave tətbiq təsdiqləməsi.
- MaxMind. GeoLite2 Databases — oflayn IP-dən-ölkəyə / ASN coğrafi mövqe.
- Financial Action Task Force (FATF). International Standards on Combating Money Laundering.
- U.S. Office of Foreign Assets Control (OFAC). Sanctions Programs and Country Information.
- Baysart. AML Threat Model — burada təsvir olunan hər nəzarət üçün yeganə həqiqət mənbəyi olan idarə olunan daxili sənəd; hər qeyd öz mənbə-kod yerini istinad edir və qalıq riskini qeyd edir.
Baysart: Комплаенс-совместимая система самостоятельного хранения наличных
Цифровые наличные в манатах с AML, обеспечиваемым на границе, без custody и слежки
Аннотация
Криптовалюта сегодня вынуждает выбирать между двумя неполноценными вариантами. Некастодиальный кошелёк даёт пользователю единоличный контроль над ключами, но не контролирует ничего из того, что через него проходит. Комплаенс-сервис способен отсеивать грязные деньги, но лишь ценой хранения средств пользователя и слежки за его действиями. Baysart Wallet отвергает этот выбор. Это некастодиальный кошелёк — ключи генерируются и хранятся на устройстве самого пользователя, а Baysart выступает клиентом, а не хранителем средств, — который тем не менее обеспечивает строгие меры противодействия отмыванию денег, не принимая средства на хранение и не наблюдая за пользователями. Механизм — это контроль на границах: в каждой точке, где ценность пересекает рубеж между открытой некастодиальной зоной и регулируемым миром, единый комплаенс-путь, работающий по принципу fail-closed, проверяет деньги, опираясь на сигналы, которые клиент не может подделать, — геолокацию, которую сервер наблюдает из самого запроса, а не ту, о которой сообщает устройство, и аппаратно подтверждённую аттестацию устройства, — а не на слежку за поведением. AZNS, стабильная единица, привязанная к манату, — это денежный хаб, через который движется эта ценность.
1. Введение
Bitcoin решил задачу бездоверительной наличности: ценность движется между сторонами, которым не нужно доверять друг другу или какому-либо посреднику. Чего он не решил — что он сознательно оставил за рамками, — так это вопрос, который любой регулятор задаёт любой системе, соприкасающейся с реальной экономикой: чисты ли эти деньги и уверены ли вы, что они не движутся к подсанкционной стороне? Пятнадцать лет спустя этот неотвеченный вопрос стал разломом, проходящим через всю отрасль, и затвердел в ложный выбор.
С одной стороны — чистое некастодиальное хранение. Пользователь держит свои ключи; никто не может заморозить его средства или закрыть его счёт; программное обеспечение — это инструмент, а не институт. Именно это свойство и делает криптовалюту ценной. Но некастодиальный кошелёк в его обычном исполнении по своей конструкции ещё и беззаконен: он передаст любую транзакцию любому получателю и при этом ни знает, ни заботится о том, была ли монета, проходящая через него, украдена час назад. С другой стороны — комплаентный посредник: биржа, лицензированная платёжная компания, банк. Он способен проверить транзакцию по санкционным спискам и базам данных о происхождении средств, отказать в подозрительном выводе и подать отчётность, которую ожидает регулятор. Но эту способность он покупает дорогой ценой: он держит средства пользователя на хранении, а значит, может их заморозить; он следит за действиями пользователя, а значит, может о них донести; и пользователь, отдав и контроль, и приватность, вновь оказывается внутри ровно той системы, которую криптовалюта задумывалась заменить.
Отрасль считает это законом природы — будто комплаенс требует хранения средств и слежки, а некастодиальность требует беззакония. Это не закон природы. Это следствие того, где размещены средства контроля. Если противодействие отмыванию встроено в посредника, который держит деньги, то удержание денег и наблюдение за пользователем становятся предпосылками для этого контроля. Но если контроль размещён вместо этого на границе протокола — в тех конкретных моментах, где ценность пересекает рубеж из открытого некастодиального мира в регулируемое действие вроде вывода в фиат или сделки на деске, — тогда деньги можно проверить на этом пересечении, ни разу не приняв их на хранение между пересечениями, а пользователя можно сверить с правилом юрисдикции, используя сигнал, который сервер уже наблюдает, при этом кошелёк ничего не сообщает ни о том, где находится пользователь, ни о том, что он делает. Хранение и слежка оказываются лишь одной конкретной реализацией комплаенса, а не самим комплаенсом.
Азербайджан делает этот довод осязаемым. Это экономика с преобладанием наличных и реальным, растущим использованием криптовалют, при увеличивающемся разрыве между тем и другим: нет манат-нативной цифровой наличности, которую обычный человек мог бы держать сам, мгновенно переводить и конвертировать в более широкую криптоэкономику и обратно, — при том что требования комплаенса, которым обязан соответствовать любой серьёзный финансовый продукт, лишь растут. Заполнить этот разрыв ещё одной кастодиальной биржей — значит воспроизвести старый компромисс. Заполнить его ещё одним беззаконным кошельком — значит провалить первый же вопрос комплаенса и не выжить. Чего не хватает и чем Baysart создан быть — это манат-нативная, некастодиальная система наличности, которая при этом устойчива к отмыванию: собственные ключи пользователя, собственные средства пользователя и комплаенс-периметр, который улавливает грязные деньги именно потому, что обеспечивает контроль на границе, а не за счёт удержания денег и наблюдения за человеком.
2. Принципы проектирования
Пять принципов управляют каждым решением в системе. Они упорядочены, и там, где они вступают в конфликт, побеждает более ранний.
1. Некастодиальность по умолчанию. Ключи генерируются и хранятся на устройстве пользователя. Baysart не держит средств пользователя и не может их перемещать, замораживать или восстанавливать. Кошелёк — это клиент, помогающий пользователю распоряжаться собственными активами; он никогда не является хранителем, стоящим между пользователем и его деньгами. Всё остальное построено так, чтобы сохранять это свойство, а не размывать его.
2. Денежные пути по принципу fail-closed (код — это закон). Каждое регулируемое действие — эмиссия, сжигание, покупка или продажа на деске, кросс-чейн-обмен, мост, вывод в фиат — проходит через единый комплаенс-оркестратор, прежде чем может быть исполнено. Этот оркестратор работает по принципу fail-closed: если он не может вынести достоверный вердикт — провайдер скрининга недоступен, не настроен или сеть не поддерживается, — действие отклоняется, но никогда не пропускается втихую. Денежный путь, безопасность которого нельзя доказать, не исполняется.
3. Комплаенс без слежки. Средства контроля применяются на границах, где ценность пересекает рубеж в регулируемый мир, а не за счёт мониторинга того, что пользователи делают в промежутке. В открытой некастодиальной зоне — хранение, приём, отправка в сети и напрямую между людьми — по замыслу нет ни наблюдения, ни привратника. Скрининг привязывается к деньгам на пересечении, а не к человеку во времени.
4. Честные заявления. Ни один механизм контроля не описывается ни в одном публичном документе — включая эту работу, — если он не работает или не построен в коде сегодня. Дорожная карта помечается как дорожная карта. Это обеспечивается сверкой с управляемым документом модели угроз ПОД, который для каждого перечисленного механизма контроля указывает местоположение в исходном коде и фиксирует честный остаточный риск, который каждый из них оставляет открытым. Защита, которая запланирована, — это не защита, которая существует, и её не описывают как таковую.
5. Минимальный сбор данных. Кошелёк не запрашивает ни местоположение устройства, ни GPS; он не держит разрешения на геолокацию. Единственный географический сигнал — это уровень страны, определяемый по исходному IP, который сервер и так получает в каждом запросе, и часовой пояс IANA устройства — не его координаты, — передаваемый в заголовке. Контроль на границах спроектирован так, чтобы обходиться минимумом данных, достаточным для выполнения задачи, и предпочитать сигналы, которые сервер и так видит, всему тому, что кошельку пришлось бы собирать.
3. AZNS: денежный хаб
AZNS — это стабильная единица, привязанная к манату, и уровень расчётов, через который кошелёк маршрутизирует каждое движение ценности. Она выполняет две роли одновременно. Как единица она спроектирована отслеживать азербайджанский манат, чтобы баланс, хранимый в AZNS, был призван удерживать свою стоимость в той валюте, в которой пользователи фактически оценивают свою жизнь, а не колебаться относительно неё. Как инфраструктура она является хабом: общим знаменателем, в который кошелёк конвертирует и из которого доставляет каждый актив, которого он касается. Эти две роли усиливают друг друга. Стабильная единица полезна лишь тогда, когда ценность может свободно к ней приходить и её покидать; расчётный хаб надёжен лишь тогда, когда единица, в которой он рассчитывается, стоит на месте.
Эмиссия в Liquid
AZNS выпускается как нативный актив в сети Liquid Network — сайдчейне Bitcoin, — а также присутствует в Polygon и Solana, чтобы двигаться там, где уже находятся пользователи и ликвидность. Liquid был выбран для расчётного ядра потому, что поддерживает Confidential Transactions: сеть может скрыть сумму и тип актива перевода, так что обычный платёж в AZNS не обязан вещать свой размер всему миру. Приватность здесь — это свойство платёжного рельса, а не способ уклониться от надзора: кошелёк сочетает конфиденциальное движение в сети с комплаенс-периметром на каждой регулируемой границе (см. Раздел 5).
Одна часть системы сознательно оставлена открытой: сама эмиссия. Эмитент выпускает и сжигает AZNS через публично проверяемые, неконфиденциальные операции, чтобы совокупное предложение в каждой сети можно было прочесть в блокчейне и доказать в любой момент. Именно это позволяет резервной модели из Раздела 6 держать предложение подотчётным обеспечению. Конфиденциальность защищает баланс пользователя; прозрачность управляет совокупным объёмом. AZNS — это разрешительно-независимая единица на предъявителя по модели USDC: однажды выпущенная, она живёт в блокчейне и может двигаться напрямую между людьми или через любой кошелёк; система не притворяется, будто может заморозить или отозвать монеты в этом открытом состоянии.
Как ценность движется через хаб
Каждое существенное действие в кошельке — покупка монеты, её продажа, конвертация между активами, переход между сетями через мост, ввод из фиата, вывод в фиат — рассчитывается относительно AZNS, а не через прямую пару активов друг с другом. Паттерн неизменен:
- Ввод средств. Пользователь вносит манат (или входящий депозит стейблкоина/криптовалюты). Ценность оседает в AZNS: соответствующий AZNS эмитируется пользователю под резервное обеспечение.
- Покупка любой монеты. Пользователь тратит AZNS. Хаб добывает целевой актив из своих запасов для доставки в соответствующей сети и доставляет его; потраченный AZNS сжигается.
- Продажа любой монеты. Пользователь передаёт крипту на деск. Выручка оседает в свежеэмитированном AZNS, обеспеченном стейблкоином, который принесла продажа.
- Конвертация / мост. Переход из одного актива или сети в другой выражается как расчёт в AZNS и обратная доставка на стороне назначения, а не как отдельный путь для каждой пары.
- Вывод средств. Пользователь погашает AZNS в манат. AZNS сжигается, и фиат выплачивается.
Поток ценности, таким образом, имеет форму «хаб-и-спицы»: фиат пользователя ⇄ AZNS ⇄ любая монета в любой поддерживаемой сети — Bitcoin и Lightning, Liquid, сети EVM (Ethereum, Base, Arbitrum, Optimism, Avalanche, BNB), Solana и другие. AZNS находится в центре каждого маршрута.
Почему модель хаба
Маршрутизация всего через одну единицу — это архитектурное решение, а не удобство. Оно даёт три вещи:
- Концентрация ликвидности. Модель «пара-к-паре» требует рынка для каждого актива против каждого другого. Хабу нужен лишь каждый актив против AZNS. Ликвидность, которая иначе была бы раздроблена по десяткам тонких пар, объединяется за одной единицей, так что любой актив может достичь любого другого через маршрут, по которому всегда можно получить котировку.
- Одна расчётная единица. Балансы, котировки, комиссии, лимиты и история — всё выражено в одной привязанной к манату единице. Пользователь видит целостную картину в валюте, в которой мыслит, а система рассуждает о собственной платёжеспособности в одном знаменателе, а не сверяет множество.
- Одна граница комплаенса. Поскольку ценность пересекает рубеж в регулируемый мир и обратно в точке расчёта AZNS, средства контроля привязываются в одном месте, а не переопределяются для каждого актива или каждой сети. Хаб — это место, где связываются скрининг, лимиты и проверки юрисдикции, — тот единый периметр, который описывает Раздел 5.
Хаб, таким образом, является и продуктовой поверхностью, которую переживают пользователи, — единый стабильный баланс, который может стать чем угодно и прийти откуда угодно, — и поверхностью контроля, делающей остальную часть системы управляемой. AZNS — это то, как Baysart соприкасается с реальной манатной экономикой, и та точка, в которой одновременно выполняются обещания кошелька и о ценности, и о комплаенсе.
4. Архитектура некастодиального хранения
Baysart — это кошелёк, а не банк. Приватные ключи, управляющие средствами пользователя, генерируются на устройстве пользователя, шифруются в состоянии покоя на этом устройстве и никогда не передаются на наши серверы. Двенадцатисловная фраза восстановления показывается один раз, пользователю, и принадлежит ему. Нет ни серверной копии, ни депонирования ключей, ни административного обхода, способного переместить монеты пользователя. В терминологии этого документа Baysart — это клиент, а сервер — оркестратор: он координирует, оценивает и проверяет, но не хранит.
Это сознательная архитектурная черта, и она определяет, что сервер может и чего не может.
Чего сервер никогда не держит. Сервер никогда не держит приватные ключи пользователя, seed-фразу или любой материал, из которого их можно было бы вывести. Он не может подписать транзакцию за пользователя. Он не может заморозить, изъять или отозвать актив, живущий в некастодиальном кошельке пользователя. Как только ценность оказалась в открытой зоне — хранится в блокчейне в кошельке, который пользователь контролирует, — она движется только тогда, когда подписывает собственный ключ пользователя, ровно как в любом некастодиальном кошельке.
Что сервер держит. Сервер держит то, что оркестратору законно необходимо: записи об учётной записи и сессии, состояние проверки KYC (верифицированное через стороннего провайдера, а не переопределяемое нами), комплаенс-счётчики и аудиторские записи, описанные в следующем разделе, кэшированные рыночные данные и котировки, а также — для регулируемого деска — казначейский резерв, из которого оплачивается вывод в фиат или кросс-чейн-расчёт. Он записывает исходный IP, с которого приходит запрос (который получает любой сервер), и строку часового пояса IANA, о которой сообщает клиент. Он не держит GPS устройства; приложение не запрашивает разрешения на геолокацию и не собирает координат.
Как работает некастодиальный денежный путь. Различие яснее всего видно в форме транзакции. Когда пользователь отправляет крипту в сети, кошелёк собирает и подписывает транзакцию локально; роль сервера — самое большее ретранслировать уже подписанные байты в сеть, тот же сервис, что выполняет публичный узел. Baysart никогда не вступает во владение средствами, а получатель — это поле внутри транзакции, которую пользователь уже авторизовал. Эти пути открытой зоны по своей конструкции не проходят скрининг — мы заявляем это прямо, а не заминаем, потому что не смогли бы их проверять, не притворяясь, будто располагаем контролем, которого у нас нет.
Регулируемые пути — покупка или продажа монеты на нашем деске, ввод или вывод фиата, обмен или переход через мост через нас — отличаются ровно в одном отношении: в этих точках ценность пересекает рубеж между некастодиальным миром пользователя и нашим регулируемым резервом. Это пересечение — единственное место, где мы можем что-либо обеспечить, и единственное, где мы это делаем. Пользователь по-прежнему подписывает; сервер оркеструет тот отрезок, который он рассчитывает, и проверяет его перед расчётом. Хранение ключей никогда не меняет владельца. Меняется лишь то, что сервер, стоя на собственной узловой точке, отказывается завершить свою сторону обмена, пока не пройдены проверки комплаенса.
Именно это свойство делает остальную систему честной. Поскольку мы не храним ключи, мы не можем следить за балансами, которых не держим, и не претендуем на это. Поскольку мы действительно управляем фиатной и кросс-чейн узловыми точками, мы можем обеспечивать меры противодействия отмыванию именно там, где регулируемая ценность входит и выходит, — и нигде более. Архитектура проводит границу контроля у деска, а не вокруг пользователя. Некастодиальность — это не функция, привинченная к кастодиальному ядру; это фундамент, а комплаенс-стек построен так, чтобы работать вместе с ним, а не за счёт его демонтажа.
5. Комплаенс без слежки
Расхожая мудрость гласит, что комплаентная денежная система обязана быть слежащей: чтобы остановить грязные деньги, наблюдай за каждым пользователем. Baysart отвергает эту предпосылку. Противодействие отмыванию здесь — это свойство границы протокола, а не паноптикума над пользователями. Система останавливает движение незаконной ценности на границе, храня при этом гораздо меньше о людях, которые её движут. Механизм, делающий это возможным, — одна идея, применённая беспощадно: обеспечивать контроль только на сигналах, которые пользователь не может подделать.
Граница доверия
Каждый сигнал, который посылает клиент, можно разделить на два класса, и это различие — весь замысел.
Сигналы, о которых сообщает устройство, недоверенные. Координаты GPS, идентификатор устройства, страна SIM-карты, локаль и даже сообщаемый часовой пояс — всё это возникает внутри программного обеспечения, которое контролирует пользователь. На устройстве с root или jailbreak зрелая экосистема инструментов (Magisk, LSPosed, Shizuku, Frida) может переписать любой из них в одно касание. Местоположение, о котором телефон заявляет, поэтому бесполезно как жёсткий барьер. В Baysart ни одно сообщаемое устройством значение никогда само по себе не является жёсткой блокировкой. Это не упущение; это отказ строить театр комплаенса на подделываемом входе.
Сигналы, наблюдаемые сервером и аппаратно подтверждённые, доверенные. Исходный IP, который наблюдает собственный сокет сервера, нельзя переписать клиентским ПО так, как GPS: худшее, что может сделать противник, — это направить трафик через VPN, что само по себе является обнаружимым состоянием. История IP от сессии к сессии, автономная система исходной сети и — там, где включена аппаратная аттестация, — криптографический вердикт из защищённого элемента устройства закреплены вне досягаемости атакующего. Это единственные сигналы, которым позволено жёстко блокировать ценность.
Всё нижеследующее стоит на этой границе. Жёсткие блокировки опираются исключительно на доверенные сигналы. Недоверенным сигналам позволено лишь повышать трение — запускать дополнительную повторную проверку (step-up), но никогда молчаливый отказ и никогда жёсткую блокировку. Отмыватель, полностью контролирующий root-клиент, может подделать мягкие сигналы и всего лишь получит просьбу подтвердить живость; жёсткий периметр не сдвигается.
Один оркестратор по принципу fail-closed
Каждый регулируемый денежный путь — покупка на деске, продажа на деске, вывод в фиат, кросс-чейн-обмен, мост и рельсы DeFi — проходит через единственный шлюз, compliance.preflight(). Он выполняет по порядку: проверку по списку разрешённых активов (только распознанные активы конвертируются в денежный хаб и из него; неизвестный токен отклоняется); проверку риска и блокировок по пользователю (административная блокировка, флаг PEP, блокировка по конкретному действию); скрининг санкций и происхождения средств; и проверку пропускных лимитов (потолок на транзакцию, а также суточные счётчики по идентичности и по системе в целом, причём инкремент счётчика делается атомарным с претензией на расчёт транзакции).
Оркестратор по своей конструкции работает по принципу fail-closed. Если достоверный вердикт не может быть вынесен — провайдер скрининга недоступен, не настроен или сеть не покрыта картой скрининга, — действие отклоняется с ошибкой, но никогда не пропускается втихую. Сеть, отсутствующая в карте скрининга, отвергается напрямую, а не пропускается без проверки. Эта позиция проверена в продакшене: периметр скрининга работает с живым провайдером и включённым «аварийным выключателем» fail-closed. Инвариант прост в формулировке и несущий: ничто не достигает эмиссии, сжигания, доставки или выплаты, не пройдя этот шлюз.
KYT: скрининг денег, а не лица
KYC устанавливает, кто человек; он ничего не говорит о том, чисты ли деньги, которые он движет. Риск отмывания живёт в средствах. Поэтому на каждом регулируемом пересечении запускается скрининг Know-Your-Transaction против провайдера, который проверяет адрес контрагента на санкционную экспозицию, ассоциацию с PEP и происхождение средств. Блокирующий вердикт отклоняет действие; неоднозначный вердикт откладывает его на рассмотрение, а не рассчитывает; недоступный провайдер отклоняет действие по принципу fail-closed. Грязная монета, прибывающая на деск для продажи, повторно проверяется при депозите до какой-либо необратимой конвертации, а задержанный депозит откладывается, а не теряется. Скрининг привязывается к средствам ровно в тот момент, когда они пересекли бы наш периметр.
Кросс-чейн-трассировка происхождения
Для нативного рельса денежного хаба в Liquid — который не покрывает ни один внешний KYT-вендор — Baysart запускает собственный трассировщик происхождения (taint tracer). Конкретные адреса и UTXO можно пометить; трассировщик затем обходит родословную монеты по графу транзакций Liquid поиском в ширину и блокирует любую монету, происходящую из помеченного источника, работая по принципу fail-closed, если граф нельзя прочесть полностью. Кэш вердиктов привязан к эпохе флагов, которая меняется всякий раз, когда меняется набор флагов, так что новопомеченный предок задним числом аннулирует монету, ранее прошедшую скрининг как чистая; устаревшие «чистые» вердикты невозможны по конструкции.
Замысел честно противостоит и риску внутреннего миксера. Нейтральное к предложению кросс-чейн-движение денежного хаба сжигает исходные монеты и эмитирует свежие, что по замыслу обрывает ончейн-родословную, — одна только трассировка не поймала бы ценность, перескочившую между сетями. Ответ не в том, чтобы притворяться, будто трассировка видит больше, чем видит, а в том, чтобы шлюзировать хранилище флагов напрямую на пересечении между людьми: и адрес расчёта отправителя, и адрес расчёта получателя сверяются с хранилищем флагов до запуска любого сжигания или эмиссии. Там, где родословная сохраняется (прямые ончейн-отправки), трассировка предков всё равно ловит помеченную историю на итоговом выходе. Мы документируем точно, что ловит и чего не ловит каждый слой.
Контроль юрисдикции из неподделываемой географии
Банк просит клиента задекларировать свою страну в анкете. Baysart выводит её из исходного IP, который сервер и так наблюдает, сверяя с офлайн-базами данных MaxMind GeoLite2, встроенными в образ, — без внешнего вызова, без стоимости на каждый запрос, без выхода пользовательского IP за пределы машины и без разрешения на геолокацию устройства. Подсанкционные юрисдикции (полный охват OFAC) — жёсткая блокировка. Более мягкие географические признаки — дата-центр или хостинговая сеть, указывающие на VPN, невозможный по времени скачок между недавними сессиями или сообщаемый устройством часовой пояс, расходящийся с часовым поясом IP, — питают step-up, но никогда жёсткую блокировку, потому что это более слабые сигналы. Существенное свойство в том, что жёсткая блокировка опирается на наблюдаемую сервером географию, которую устройство с root подделать не может, а не на сообщаемое устройством местоположение, которое оно подделать может. Этот механизм контроля спроектирован и вводится в строй: он поставляется за переключателем, включаемым после того, как его базы данных подготовлены и проверены на реальном трафике в продакшене, а публичные формулировки политики, которые он подкрепляет, считаются заявленными намерениями, пока он не заработает полностью. Здесь он описан как архитектура.
Аппаратная аттестация
Подкрепляющий доверенный сигнал — это аппаратно подтверждённая аттестация устройства: Play Integrity на Android и App Attest на iOS, каждая проверяется на сервере против корня доверия платформы, — которая обнаруживает среду выполнения с root, хуками или эмуляцией, которую атакующий уровня ОС не может полностью скрыть. Её вердикт питает тот же step-up доверия к устройству. Этот слой построен, но ожидает включения: он отключён по умолчанию и ждёт продакшен-учётных данных и матрицы тестов на устройствах, прежде чем будет включён. Он сознательно никогда не является единственным шлюзом для крупной выплаты; это один слой, сочетаемый с наблюдаемыми сервером сигналами выше.
Step-up доверия к устройству и декларации, запускаемые риском
Случай «мула с seed-фразой» — отмыватель, управляющий законно прошедшей KYC учётной записью, восстановленной на чужом устройстве, — решается доверием к устройству. Устройству доверяют с первого взгляда через обычный вход; свежеувиденное устройство, демонстрирующее признаки восстановления, может быть понижено до ожидания проверки живости, а недоверенное устройство обязано пройти step-up проверки живости, прежде чем сможет вывести фиат наружу. Человек, в данный момент держащий учётную запись, вынужден заново доказать, что он и есть верифицированное лицо, прежде чем ценность покинет регулируемый периметр. Это повышает цену типовой атаки и ловит случай перепроданной seed-фразы; мы заявляем остаточные пределы этого механизма (сообщаемый клиентом идентификатор устройства подделываем; свойство, придающее шлюзу зубы, в том, что атакующий не знает исходного значения жертвы, чтобы его воспроизвести), а не преувеличиваем его охват. Этот механизм контроля построен и разворачивается на установленной базе перед его переходом на fail-closed.
Сквозная мысль в том, что декларации и step-up запускаются риском, в тот момент, когда доверенный сигнал их оправдывает, — а не требуются заранее у каждого пользователя как сплошная анкета при приёме. У пользователя, чьи сигналы чисты, ничего дополнительного не просят. Система эскалирует только тогда, когда неподделываемый сигнал говорит, что следует. В этом весь тезис: противодействие отмыванию, обеспечиваемое на границе протокола, на сигналах, которые пользователи не могут подделать, вместо слежки, наложенной на пользователей, не сделавших ничего.
6. Экономика AZNS
Этот раздел описывает на концептуальном уровне, что стоит за AZNS и как система спроектирована удерживать единицу стабильной. Он излагает механизмы, а не гарантии; дисклеймер в конце применяется на всём его протяжении.
Что обеспечивает AZNS
AZNS спроектирован быть обеспеченным резервом, выраженным в манатах, который система вычисляет из реальных хранимых активов, а не декларирует директивой. Резерв — это сумма активов, которые Baysart фактически держит, чтобы стоять за обращающимся AZNS: расчётный банковский манат; балансы стейблкоинов (USDC и USDT), удерживаемые казначейством в поддерживаемых сетях и на хранении бирж; объединённый стейблкоин, удерживаемый для кросс-чейн-расчётов; и крипта, удерживаемая в собственных расчётных кошельках деска. Неманатные активы оцениваются в манат по кэшированному эталонному курсу центрального банка.
Два проектных свойства управляют этим расчётом, и оба существуют, чтобы резерв никогда не выглядел больше, чем он есть:
- Консервативная оценка. Активы, выраженные в долларах США, оцениваются по стрессовому обменному курсу — курсу, уценённому относительно эталонного, — так что благоприятное движение валюты не может заставить тонкий резерв казаться достаточным. Ценность в пути, которая уже обязана покинуть хранение, вычитается до её расчёта, так что одни и те же средства никогда не учитываются одновременно и как всё ещё удерживаемые, и как уже обещанные.
- Консервативный ноль при сбое. Каждый компонент резерва читается защитно: если какой-либо вход нельзя прочесть надёжно — источник данных недоступен, снимок устарел, курс отсутствует, — этот компонент считается нулём. Сбой чтения может лишь уменьшить измеренный резерв, но никогда его не раздуть. Если ничего не читается, резерв равен нулю и система не эмитирует ничего.
Как поддерживается стабильность
Стабильность обеспечивается в момент эмиссии резервным шлюзом. Управляющий инвариант прост: обращающееся предложение не должно превышать измеренный (стрессовый) резерв. Перед эмиссией любого нового AZNS система проверяет, что совокупное предложение плюс запрошенная сумма всё ещё умещаются в резерв; если не умещаются, эмиссия отклоняется. Резерв может превышать предложение — системе позволено быть избыточно обеспеченной, — но ей никогда не позволено эмитировать сверх своего обеспечения. Поскольку предложение AZNS эмитируется и сжигается через публично проверяемые ончейн-операции, совокупное предложение — это величина, которую шлюз может прочесть и держать подотчётной, а не оценивать.
Шлюз построен так, чтобы быть безопасным при реальном тайминге. Одновременная эмиссия сериализуется через единый заблокированный счётчик резерва, так что две эмиссии не могут потратить один и тот же запас. Задержка ончейн-подтверждения — разрыв между авторизацией эмиссии и её отражением в ончейн-предложении — перекрывается счётчиком ожидающих операций, который самовосстанавливается по мере поступления подтверждений. Шлюз работает по принципу fail-closed: если предложение нельзя прочесть, эмиссия останавливается, а не идёт вслепую. Предполагаемый эффект в том, что AZNS эмитируется только под обеспечение, которое консервативно измерено как существующее.
Привязка к манату поддерживается структурно, а не через поток рыночной цены. Система не читает торговую цену AZNS и не запускает арбитражный цикл; стабильность держится на эмиссии, ограниченной резервом, сжигании при погашении и фиксированном официальном эталонном курсе для конвертации между манатом и активами резерва. Это замысел, призванный удерживать единицу привязанной к её обеспечению, описанный здесь как механизм, а не как обещанный исход.
Погашение
Погашение проходит путь эмиссии в обратную сторону. Когда пользователь выводит средства, погашаемый AZNS сжигается, а соответствующая ценность выплачивается пользователю — уменьшая предложение по мере высвобождения обеспечения, удерживая обе стороны в движении вместе. Погашение — это регулируемая граница, поэтому оно проходит комплаенс-периметр (Раздел 5) — скрининг и применимые лимиты — до того, как ценность уйдёт. Погашение подчиняется тем же операционным реалиям, что и любая расчётная система: оно зависит от ликвидности, от доступности выплатных рельсов и от прохождения применимых средств контроля. Это спроектированный путь, а не безусловное обещание по требованию.
Комиссии и управление ликвидностью
Доход Baysart поступает от прозрачных, ограниченных комиссий на маршрутизацию — спреда, заложенного в котируемые курсы, и явных, ограниченных компонентов комиссии на сделках, — настроенных в пределах заданных границ, так что комиссия никогда не может раздуться и никогда не может превратиться в непреднамеренную скидку. Комиссии уменьшают то, что пользователь получает при конвертации; они не увеличивают втихую то, что пользователь тратит. Сетевые комиссии на конкретное действие могут спонсироваться казначейством по явной, забюджетированной политике, которая переходит в режим fail-closed на «платит пользователь», когда лимит или бюджет исчерпаны. Удержанные комиссии записываются в отдельную книгу доходов, которая находится вне денежного пути.
Ликвидность для обслуживания покупок и выводов удерживается в запасах для доставки по каждой сети, отслеживаемых во внутренней книге, где каждая единица, входящая в хранение или покидающая его, записывается и периодически сверяется с живыми ончейн-балансами. Запасы пополняются из источников ликвидности и расходуются по мере того, как кошелёк доставляет активы пользователям, а резервный учёт трактует обязательный отток по доставке как зарезервированный в тот момент, когда он зарезервирован. Этот инвентарь запасов учитывается отдельно от резерва AZNS, так что обслуживающая ликвидность никогда не путается с обеспечением, стоящим за обращающимся предложением.
Резервно-запасная модель, описанная здесь, — это текущий инженерный замысел, и она подлежит изменению по мере эволюции системы, её договорённостей о хранении и её регуляторной позиции. Этот документ носит исключительно информационный характер. Он не является проспектом эмиссии, не является предложением ценных бумаг и не является офертой или приглашением к покупке или продаже какого-либо актива. Он не является инвестиционной, финансовой, юридической или налоговой консультацией. AZNS спроектирован как привязанная к манату расчётная единица, а не как спекулятивная или процентная инвестиция, и ничто здесь не является гарантией стоимости, погашаемости или доходности.
7. Модель угроз
Заявление Baysart о комплаенсе хорошо ровно настолько, насколько хорош противник, которого оно переживает. Этот раздел излагает в безопасных для публикации терминах, кто этот противник и как закрывается каждый вектор отмывания. Это сводка; управляемый инженерный документ является единым источником истины, и он связан одним правилом, которому подчиняется и этот whitepaper: ни один механизм контроля не описывается как возможность, если он не работает в продакшене или не построен в кодовой базе. Запланированная работа помечается как запланированная. Ничто здесь не является заявленным намерением, выданным за действующее.
Противник
Мы моделируем двух атакующих, а не небрежного пользователя:
- Отмыватель — сторона, чья цель — провести ценность незаконного происхождения через кошелёк и вывести её в тратимый фиат, скрывая её след по пути. Этот противник терпелив, финансирует сеть и будет приобретать подлинные личности и устройства, а не обходить одну проверку.
- Скомпрометированное устройство — клиент с root, jailbreak или эмуляцией, который лжёт о себе. Любой сигнал, о котором устройство сообщает относительно собственного местоположения, идентичности или целостности, должен считаться подделываемым. Поэтому наши средства контроля опираются на сигналы, которые клиент не может подделать: то, что сервер наблюдает о запросе, и то, что аппаратура устройства может криптографически подтвердить.
Риск отмывания живёт в средствах, а не в лице. Проверка личности говорит нам, кто человек; она не говорит нам, чисты ли деньги. Слой скрининга, ончейн-трассировка происхождения и лимиты — вот что адресует деньги.
Векторы отмывания и их средства контроля
| Вектор | Форма защиты | Статус |
|---|---|---|
| Мул с seed-фразой — чистая, верифицированная учётная запись, управляемая тем, кто не является её верифицированным владельцем | Step-up доверия к устройству: повторная проверка живого человека требуется до того, как ценность покинет регулируемый периметр, когда учётная запись показывает признаки восстановления | Built; rolling out |
| Внутренний P2P-миксер — грязные средства, передаваемые между учётными записями, чтобы оборвать след до вывода | Двусторонний шлюз происхождения проверяет обе стороны до запуска любой ветви перевода, по принципу fail-closed | Built |
| Смурфинг под лимитами — множество учётных записей, каждая удерживается ниже потолка на счёт | Лимиты по идентичности и общесистемный потолок связывают сегодня; кросс-аккаунтная корреляция и дедупликация идентичностей — открытая работа | Partial; correlation on roadmap |
| Вывод грязной монеты — извне добытая помеченная монета, депонированная для продажи за фиат | Депозит повторно проверяется до любой необратимой конвертации; нечистый результат откладывает средства, а не конвертирует их | LIVE |
| Отмывание перескоком между сетями — ценность перемещается между сетями, чтобы обогнать любой единичный монитор | Каждый регулируемый рельс маршрутизируется через один preflight по принципу fail-closed; несопоставленные сети отклоняются, а не пропускаются без проверки | LIVE (mapped chains) |
| Незакрытые «боковые» выходы — эндпоинт движения ценности, минующий скрининг | Известные «боковые» выходы маршрутизируются через тот же комплаенс-оркестратор до расчёта | Built |
| Юрисдикция / санкции — доступ из запрещённой или подсанкционной юрисдикции | Наблюдаемая сервером IP-геолокация сверяет происхождение запроса со списком санкционных блокировок, с подкрепляющей аттестацией устройства; поскольку это на стороне сервера, устройство с root не может это подделать | Built; coming online |
Чего мы не заявляем
Две позиции — это честные, сознательные пределы, а не средства контроля:
- Открытая зона по замыслу не проходит скрининг. Некастодиальные ончейн-отправки — включая транзакции, ретранслируемые через наши публичные эндпоинты вещания, — не несут никакого скрининга, ровно как это было бы через любой публичный узел. Мы — один взаимозаменяемый ретранслятор, а не узловая точка, удерживающая ценность. Скрининг привязывается там, где ценность пересекает наш регулируемый периметр, а не к движению в открытой сети, которое нас никогда не касается.
- Скорость мошенничества с картами — принятый риск на время внутреннего тестирования и будет пересмотрена перед публичным запуском.
Каждый механизм контроля выше деградирует изящно: там, где достоверный вердикт скрининга нельзя вынести — вендор недоступен, сеть не сопоставлена, юрисдикцию нельзя разрешить, — регулируемое действие отклоняется, но никогда не пропускается втихую. Fail-closed — это инвариант. Остаточные риски, которые остаются после каждого механизма контроля, честно фиксируются в управляемом документе, потому что механизм контроля, описанный без своего остатка, — это перепроданный механизм контроля.
8. Управление и правовая позиция
Правила, которые мы издаём и обеспечиваем в коде
Комплаенс-правила Baysart изданы нами самими. Мы не заимствуем полномочия регулятора и не подразумеваем одобрения, лицензии или надзора, которых не получали. Правила существуют потому, что мы их написали и держим себя к ним; их доверие покоится не на печати, а на том факте, что они обеспечиваются в коде на денежных путях, по принципу fail-closed, и проверяемы против управляемой модели угроз, которая указывает код за каждым заявлением.
Это сознательная инверсия в центре проекта. Обычная программа комплаенса — это набор обещаний, которые даёт поднадзорный институт и которые аудитор позже проверяет. Наша — это набор поведений, которые программное обеспечение выполняет в момент, когда ценность пересекает границу: проверить перед необратимым шагом, отказать, когда вердикт недостоверен, ограничить то, что одна идентичность может двигать. «Код — это закон» здесь не лозунг; это модель управления. Правило, которого нет в пути кода, — это не правило, на которое мы претендуем.
Эту дисциплину защищает управляющее правило, которому связана вся организация: ни один публичный документ — включая этот whitepaper — не может описывать защиту, которая не работает в продакшене или не построена в кодовой базе. Маркетинг не может обогнать инженерию. Когда этот документ говорит, что механизм контроля live, он работает в продакшене сегодня; когда он говорит built, код существует и ожидает развёртывания или включения; когда он говорит roadmap, это намерение, и оно помечено как таковое.
Регуляторное позиционирование: до запуска, лицензия не заявлена
Baysart находится до запуска и не держит лицензии на финансовые услуги. Мы не претендуем ни на какую, и ничто в нашем продукте не следует читать как заявление о том, что мы авторизованы, зарегистрированы или поднадзорны какому-либо органу. AZNS описывается как привязанная к манату стабильная единица и расчётный хаб; это описание не несёт ни обещания ценной бумаги, ни инвестиционной доходности, ни гарантии сверх того, что дают сами механизмы резерва и погашения. Этот документ информационен и не является предложением ценных бумаг или инвестиционной консультацией.
Напряжение с азербайджанским крипто-законом, изложенное прямо
Мы работаем на неурегулированном правовом фоне и не будем притворяться иначе. Азербайджанский проект закона о криптоактивах создаёт подлинное напряжение для кошелька вроде нашего в двух отношениях. Во-первых, его позиция в отношении внутреннего использования криптовалюты для платежей ограничительна, что прямо касается того, насколько свободно инструмент на предъявителя может обращаться для повседневных расчётов внутри страны. Во-вторых, привязанная к манату единица стоит на лицензионной развилке, которая ещё не разрешена: трактуется ли такая единица как криптотокен или как электронные деньги, определяет, какой лицензионный режим применяется, а эти режимы несут существенно разные обязательства. Мы не знаем сегодня, в какую сторону разрешится эта развилка, и не собираемся представлять урегулированный ответ там, где его нет. Наш замысел держит оба пути открытыми, а не ставит продукт на исход, который мы не можем контролировать.
Ограничения по юрисдикциям
Продукт не предлагается там, где он запрещён. Доступ из подсанкционных юрисдикций блокируется на сервере, с использованием сигналов происхождения, которые клиент не может подделать, а юрисдикции более высокого риска трактуются как триггер step-up, а не как сплошной запрет. Как указано в Разделе 5 и Разделе 7, этот географический механизм контроля построен и вводится в строй; пока он не заработает полностью в продакшене, мы так и говорим и не представляем географический механизм контроля как действующий до того, как он действует. Там, где местное право запрещает наш сервис, мы не стремимся обслуживать этот рынок техническим уклонением.
Как эволюционируют правила
Модель угроз — это живой инженерный документ, повторно проверяемый против кода с датированной периодичностью. Средства контроля проходят через явные состояния — planned, built, live, — и публичные заявления следуют этому состоянию, но никогда его не опережают. По мере прояснения правовой картины в Азербайджане и юрисдикциях, которые мы обслуживаем, и по мере открытия лицензионных путей управляющие правила будут пересматриваться в том же документе, открыто, по тому же стандарту: то, что мы говорим, что делаем, должно быть тем, что делает код.
9. Дорожная карта
Нижеследующее — это намерения, а не обещания, и изложено в том порядке, в каком мы ожидаем ими заниматься. Каждое зависит от операционных, юридических или сторонних шагов вне нашего единоличного контроля, и ни одно не следует читать как обязательство к дате.
- Полностью ввести в строй географические средства контроля и контроль целостности устройства. Серверный скрининг юрисдикции по IP-геолокации и аппаратно подтверждённая аттестация устройства (Play Integrity на Android, App Attest на iOS) построены. Оставшаяся работа операционная — подготовка данных, подключение учётных данных и проверка на реальной матрице устройств — до того, как каждое будет полностью включено и обеспечивает контроль в продакшене.
- Завершить развёртывание поэтапно готовящихся средств контроля. Step-up для мула с seed-фразой, двусторонний P2P-шлюз происхождения и шлюзирование «боковых» выходов построены; оставшаяся работа — завершение их развёртывания и их перехода на fail-closed по всей установленной базе.
- Закрыть пробел в корреляции идентичностей. Лимиты по счёту связывают сегодня, но один человек может держать несколько учётных записей. Кросс-аккаунтная корреляция и дедупликация на уровне идентичности — схлопывание учётных записей, разделяющих сигналы устройства, платежа или вывода, в одну эффективную идентичность для целей лимитов — это запланированная работа, ещё не построенная.
- Созревание юрисдикции и гео-политики. Расширить охват юрисдикций, уточнить границу между блокировкой и step-up и улучшить разрешение против техник уклонения, таких как маскировка резидентными прокси, которую текущие эвристики не полностью ловят.
- Продвижение по лицензированию. По мере прояснения азербайджанских вопросов о криптоактивах и лицензировании маната идти по подходящему пути авторизации. Мы заявим о лицензии только тогда, когда будем её держать.
- Созревание продукта и рельсов. Укрепить фиатные рельсы ввода и вывода, расширить карту проверяемых сетей и развить расчётные рельсы AZNS — всегда за той же дисциплиной fail-closed с честной маркировкой, которая управляет остальной частью системы.
10. Заключение
Bitcoin доказал, что наличность может быть бездоверительной, — что ценность может двигаться без хранителя посередине. Возражение, преследующее криптовалюту с тех пор, состоит в том, что бездоверительная наличность — это ещё и неуправляемая наличность, и что единственное известное лекарство — это вернуть институт в середину, чтобы держать средства и наблюдать за пользователем. Baysart Wallet — это аргумент, что это лекарство не нужно. Бездоверительная наличность может быть устойчивой к отмыванию. Некастодиальность и комплаенс не противоположны; они выглядят противоположными лишь из-за одного реализационного выбора — размещения средств контроля внутри хранителя, — который можно отменить. Перенесите контроль на границу протокола, проверяйте деньги на пересечениях, используя сигналы, которые клиент не может подделать, — и пользователь сохраняет свои ключи, свои средства и свою приватность, тогда как система по-прежнему отказывает грязным деньгам и подсанкционным получателям. AZNS даёт этой системе манат-выраженный денежный хаб, через который движется реальная ценность. Комплаенс-стек — это доказательство, что она может двигаться чисто. Ни одно свойство не покупается за счёт другого — в этом всё заявление, а остальная часть этой работы — о том, как оно выполняется.
Ссылки
- S. Nakamoto. Bitcoin: A Peer-to-Peer Electronic Cash System. 2008.
- Blockstream. The Liquid Network — сайдчейн Bitcoin с Confidential Transactions и выпускаемыми активами.
- G. Maxwell. Confidential Transactions. 2015.
- Google. Play Integrity API — вердикты о целостности устройства и приложения, подкреплённые аппаратной аттестацией.
- Apple. App Attest and DeviceCheck — аттестация приложения на базе Secure Enclave.
- MaxMind. GeoLite2 Databases — офлайн-геолокация IP-в-страну / ASN.
- Financial Action Task Force (FATF). International Standards on Combating Money Laundering.
- U.S. Office of Foreign Assets Control (OFAC). Sanctions Programs and Country Information.
- Baysart. AML Threat Model — управляемый внутренний документ, являющийся единым источником истины для каждого описанного здесь механизма контроля; каждая запись указывает своё местоположение в исходном коде и фиксирует свой остаточный риск.