AUDIT 5 — TECHNOLOGY & DLT

Платформа «Ноев Ковчег» · Production-Readiness Audit

Software Architecture, DLT, Smart Contracts, Custody, Mobile Stack

Документ: NK-AUDIT-005/2026 Дата: 11 мая 2026 г. Тип: Independent Technical Audit, Production-Readiness Review Скоуп: DLT-выбор · Smart contracts · Custody · Oracle/NAV · KYC architecture · Mobile (PWA + RN) · Tech-debt · Roadmap до Series A

Автор аудита: Yuki Tanaka, MSc Computer Science (MIT) CTO TokenForge · ex-Polygon Labs Principal Architect · ex-Coinbase Crypto Custody Lead 15+ лет в blockchain infrastructure · специализация: RWA tokenization, smart contract security, regulatory-grade DLT.

Объект аудита (по состоянию на 11.05.2026): - C_Техническая_архитектура.md — Software Architecture Document, C4 (NK-ARCH-001/2026) - B_HTML_прототип_Ноев_Ковчег.html — UX prototype - Мобильное Приложение Ноев Ковчег/00_DESIGN_SPEC_Mobile_App.md — Master design spec - Мобильное Приложение Ноев Ковчег/05_API_Specification/openapi.yaml — REST API spec - Мобильное Приложение Ноев Ковчег/06_Working_PWA/index.html — Working PWA prototype

Применимое право: HO-159-N + Регламенты ЦБ РА 7/01–7/05; Закон РА «О защите ПД»; GDPR; MiCA (как ориентир); FATF Rec. 16.

1. EXECUTIVE SUMMARY

Verdict: Проект находится на стадии «architecture-ready, code-not-ready». SAD (NK-ARCH-001/2026) грамотный, defense-in-depth логика правильная, выбор Polygon PoS защищаем для CASP под HO-159-N с оговорками. Однако между документом и working code зияет дельта 9–12 человеко-месяцев: на mainnet сейчас ничего не работает, smart contracts описаны на уровне state-машины, custody-ceremony не проведена, oracle-стек теоретический, регуляторная нода — proof-of-concept. Production-readiness: 2/10. Architectural maturity: 7/10. Готовность к Series A после исполнения 12-месячного roadmap: 8/10.

Три критических gap’а:

Smart-contract codebase отсутствует. В SAD расписаны 7 контрактов (CFA1Token, SeniorTrancheBond, JuniorTrancheART, PoolEscrow, InsuranceBridge, GovernanceContract, OracleAdapter), но Solidity-репозитория нет. Без 6 месяцев разработки + 2 независимых аудита ($200–400k) лицензию CASP по Регл. 7/01 ЦБ РА получить нельзя — регламент требует «техническая возможность исполнения обязательств».
Custody-архитектура декларирована, но HSM-ceremony не проведена. Multi-sig 3-of-5 описан, но FIPS 140-2 Level 3 HSM (CloudHSM/Thales Luna) не закуплен, key ceremony с независимыми наблюдателями не запланирован. Для €100M пула это блокер по Регл. 7/02 (минимальный капитал как индикатор операционной зрелости + custody).
Oracle для NAV (P4 patent) — самое уязвимое звено. Quarterly NAV update недвижимости из RA-cadastre — это off-chain процесс без проверенных on-chain аналогов. Архитектура использует «Chainlink Functions или собственный» — это ещё не решение. Без формализации oracle-стека (минимум 3 независимых оценщика + median + on-chain signature verification + time-lock) NAV manipulation остаётся single point of failure.

Три первоочередные рекомендации (next 90 дней):

Hire CTO + Lead Solidity + Lead SRE (3 FTE). До 1 августа 2026. Бюджет $90–120k/квартал. Без core engineering team дальше двигаться нельзя.
Запустить smart-contract development на testnet (Polygon Amoy). Открыть GitHub-репозиторий с OpenZeppelin Contracts v5.x как базой, начать с CFA1Token + PoolEscrow, выложить на Mumbai/Amoy testnet через 60 дней.
Заключить контракт с Trail of Bits или OpenZeppelin на pre-audit consulting. $40–60k за 6 недель архитектурного review до начала full audit — снимет 60–70% findings перед dear-money аудитом.

Срок до production-mainnet: реалистично — 10–12 месяцев при условии адекватного финансирования (см. §6 Cost Estimate).

2. FINDINGS

2.1 DLT Choice — Polygon PoS

Status: Защитимое решение, но требует регулярного re-evaluation.

Pros для CASP под HO-159-N: - EVM-совместимость даёт доступ к крупнейшей audit-экосистеме (Trail of Bits, OpenZeppelin, ConsenSys Diligence, Certora) — для регуляторного CASP это > performance benefits. - Низкие gas costs: NAV update раз в квартал на пуле €100M = $0.50–$2 per tx на Polygon vs $80–$300 на Ethereum L1 (по open documentation на Q1 2026). Для 28 quarterly coupons по Senior tranche + monthly Owner coupons (≈100 транзакций/мес) совокупный gas на год — < $1 000. - Permissioned-extensibility: Polygon Supernets / Edge позволяет развернуть permissioned chain, если ЦБ РА потребует full sovereignty. SAD корректно отмечает «DLT-agnostic на уровне Smart Contract Bridge». - MiCA-готовность: Polygon Labs ведёт диалог с ESMA, что для EU-диаспоральных инвесторов важнее, чем для самой РА.

Cons / риски: - Centralization concerns. На Q1 2026 Polygon PoS имеет ≈100 валидаторов, top-5 контролируют > 40% stake (по open data Polygonscan/Staking Dashboard). Это не decentralized в смысле Ethereum L1, но достаточно decentralized для CASP. Для регулятора важно, что Платформа не контролирует консенсус — это снимает вопрос «is it really a DLT?». - TVL и активность Polygon в 2026: по open documentation Q1 2026, TVL Polygon PoS колеблется в диапазоне $0.8–1.2B, DAU 200–400k. Это L2 #4–5 по объёму после Arbitrum, Optimism, Base. Не доминирующий, но устойчивый. Для RWA трека Polygon занимает сильную позицию (Centrifuge, Hamilton Lane partial deployment) — что даёт network effect. - Bridge risk. Если регулятор потребует «всё на Ethereum L1», переезд через Polygon ↔︎ Ethereum bridge — нетривиальная операция (исторический PolyNetwork incident — урок).

Альтернативы — сравнение:

DLT	Pros для Ноева Ковчега	Cons	Рекомендация
Polygon PoS (current)	EVM, gas cheap, audit ecosystem, MiCA dialog	Centralization concerns, bridge risk	Confirm для Phase 1
Avalanche Subnets	Permissioned-by-design, EVM, regulator-friendly (BlackRock BUIDL precedent)	Меньше audit firms знают, ниже TVL	Strong alternative — рассмотреть для Phase 2
Hyperledger Besu (private permissioned)	Full sovereignty, ЦБ РА контролирует валидаторов, AML-built-in	Нет внешней ликвидности, нет diaspora access без bridge	НЕ подходит — теряем главную ценность (диаспоральный доступ)
Cosmos SDK (AppChain)	Sovereign, IBC-bridges, regulatory tuning	Нет EVM (или через Ethermint), меньше аудиторов	Pass — не стоит сложности
Polkadot parachain	Shared security, sovereignty	Cost slot lease, нишевая экосистема	Pass
Ethereum L1	Maximum decentralization, deepest audit pool	Gas $80–300/tx неприемлемо для quarterly NAV	Pass
Polygon zkEVM	Zero-knowledge proofs, EU regulatory edge	Менее зрело, выше gas costs vs PoS	Reserve — для Phase 2 если ZK потребуется для NAV privacy

Финальная рекомендация по DLT: Polygon PoS как Phase 1 с явной exit-strategy на Avalanche Subnet или Polygon zkEVM в Phase 2 (год 3+). Закрепить DLT-agnostic boundary на уровне Smart Contract Bridge — что SAD уже делает.

Стоимость транзакций для €100M пула (расчёт): - Token mints (один раз при IPO): 70 000 Senior + 300 000 Junior = 370 000 mints. На Polygon PoS при gas price 50 gwei: ~$0.01 на mint = $3 700. - NAV updates quarterly: 4 × год × $1 = $4/год. - Owner coupons monthly (≈100 owners): 1 200 tx × $0.5 = $600/год. - Senior coupon distributions quarterly (1 batch tx до 70k holders через Merkle drop): 4 × $20 = $80/год. - Custody operations (multi-sig add/remove): ≈50 tx × $2 = $100/год. - TOTAL year 1: ≈$4 500 в gas costs. Negligible vs operational opex.

2.2 Smart Contract Architecture

SAD расписывает 7 контрактов. Прохожу по каждому.

CFA1Token (utility token, HO-159-N ст. 3):

SAD предлагает ERC-721 + soulbound (non-transferable). Это правильное решение — CFA1 представляет долю собственника в конкретном активе с конкретной кадастровой ссылкой. ERC-20 был бы fungibility-mismatch.

Рекомендация: использовать ERC-5192 (Minimal Soulbound NFT, EIP-final) как основу. Это стандарт, который аудиторы знают. Не изобретать соул-бундность через revert в _beforeTokenTransfer — это работает, но менее аудитуемо. По open documentation на Q1 2026, OpenZeppelin Contracts v5.x имеют preview-имплементацию.

SeniorTrancheBond (security token):

SAD предлагает ERC-1400 или ERC-3643. ERC-3643 (T-REX) предпочтительнее для регуляторного CASP по трём причинам: 1. T-REX — это live production стандарт, используемый в EU regulated tokenization (Tokeny Solutions). MiCA-aligned. 2. ERC-1400 — это draft, не утверждённый Ethereum Foundation. Аудиторы менее уверены. 3. T-REX встроен в OnchainID — это решает identity/KYC binding на уровне токена.

Junior Tranche ART (HO-159-N ст. 16):

SAD предлагает «ERC-20-расширение с NAV-tracking (rebase или price-oracle)». Price-oracle подход (не rebase!) — единственно правильный для regulated ART.

Почему не rebase: rebase меняет supply каждого холдера. Это создаёт UX-катастрофу с custody, налоговыми отчётами (РФ ФНС, EU jurisdictions diaspora), DeFi integrations. По open documentation на Q1 2026 ни один regulated stablecoin/ART оператор не использует rebase в production (Maple Finance, Centrifuge, Ondo — все price-oracle).

Конкретная архитектура: JuniorTrancheART = ERC-20 fixed supply (300k tokens, immutable post-issuance) + external NAVOracle контракт, который квартально пишет navPerToken. Это даёт audit trail и снимает manipulation risk на уровне supply.

PoolEscrow (multi-sig 3-of-5):

Threshold 3-of-5 — корректный выбор. Анализ: - 2-of-5 — слишком слабо (collusion 2 человека). - 4-of-5 — слишком жёстко (потеря 2 ключей блокирует операции; recovery дорог). - 3-of-5 — Coinbase Custody / BitGo industry standard. Tolerance 2 потери, нужен sabotage 3.

Однако SAD пишет «CEO + CTO + CFO + CCO + Independent Trustee» как 5 signers. Это слабое решение по двум причинам: 1. Все 4 из 5 — internal employees Платформы. Independent Trustee должен быть legal/regulated entity (армянская юрфирма или Big4 escrow), не отдельное лицо. 2. Geographic concentration risk: если 4 живут в Ереване, государственное давление компрометирует threshold.

Рекомендация: изменить composition на 2 internal + 3 external: (CEO + CTO) + (Independent Armenian law firm partner) + (EU-based custody trustee) + (ЦБ РА nominee — отдельный read-only key, не часть signing — иначе conflict с надзором). Threshold остаётся 3-of-5.

InsuranceBridge:

SAD предлагает off-chain proof + on-chain запись. Концептуально правильно, но реализация требует: - Chainlink Any2Any messaging или Hyperlane для cross-chain insurer attestation, если страховщик не армянский CASP. - EIP-712 signed messages от страховщика — не «opaque bytes», а структурированный typed data. - Time-lock 7 дней на disputed claims с возможностью multi-sig override.

Regulatory Node (ЦБ РА):

SAD говорит «read-only». Это правильно с правовой и технической точки зрения.

Read-write нода для регулятора создала бы конфликт интересов — ЦБ был бы соэмитентом. По духу HO-159-N (ст. 6, 27, 30) регулятор — supervisor, не co-issuer.

Технически: read-only нода = Polygon RPC archive node на инфраструктуре Платформы + дополнительный GraphQL/REST gateway с mTLS authentication (что и предлагает OpenAPI spec в securitySchemes: mtlsCert). Архитектурно корректно. Latency target < 100 ms — достижимо при размещении в Frankfurt с приватным VPN-туннелем до ЦБ РА.

Дополнение: добавить streaming events через WebSocket с гарантированной delivery (at-least-once) для критических событий — это уже подразумевается в SAD «Push-уведомлениями о существенных событиях».

2.3 Smart Contract Security

HSM:

SAD предлагает «AWS CloudHSM (FIPS 140-2 Level 3) или Thales Luna». Сравнение:

HSM	Pros	Cons	Verdict
AWS CloudHSM	Managed, scalable, AWS ecosystem, $1.45/hr × node	Vendor lock-in AWS, no offline ceremony	Phase 1 — yes
Thales Luna Network HSM	FIPS 140-3 Level 3, banking-grade, offline-capable	CapEx $15–30k/unit + maintenance	Phase 2 — на €100M+ TVL
Yubico YubiHSM 2	$650/unit, FIPS 140-2 Level 3, USB form factor	Throughput низкий, не масштабируется	Только для DR backup ключей
Gemalto SafeNet	Industry-standard, банковский класс	Тот же класс что Thales Luna (теперь one company)	Эквивалент Thales
Fireblocks (managed MPC)	Не HSM в чистом виде, но MPC + policy engine, $300/mo+	Vendor-managed (custody risk), но проще ceremony	Сильная альтернатива multi-sig + HSM

Рекомендация: Phase 1 (до €25M TVL) — AWS CloudHSM + 5 YubiHSM 2 как cold backup для Shamir-share ключей. Phase 2 (€25–100M) — переход на Thales Luna в Yerevan datacenter (требование Закона РА о защите ПД для критичных ключей резидентов). Phase 3 (€100M+) — гибрид Fireblocks + Thales для разделения hot/warm/cold.

Audit Strategy:

Аудитор	Стоимость (1k LoC)	Time	Specialty	Recommendation
Trail of Bits	$80–120k	6–8 нед	Security-first, MIT/CMU PhDs	Pre-audit + Audit 1
OpenZeppelin	$60–100k	4–6 нед	Standards/upgradeability	Audit 2 (parallel)
ConsenSys Diligence	$70–110k	5–7 нед	Mainnet experience	Reserve
Certora	$80–150k	8–12 нед	Formal verification (K Framework)	Reserve для NAVOracle
Quantstamp	$40–80k	4–6 нед	Automated + manual	Не рекомендую — automation-heavy
Certik	$30–60k	4 нед	Volume audits	Не рекомендую — репутация ниже

Стратегия тендера на $50–100k: при $50k bracket качественного аудита для регуляторного CASP не получите. Минимальный бюджет для production-readiness — $200–300k на 2 независимых аудита (Trail of Bits + OpenZeppelin) с pre-audit consulting $40k. SAD корректно оценивает $200–400k — но это floor, не ceiling.

Bug Bounty:

Immunefi для CASP-grade RWA минимум: $50k critical → $100k для production. По open documentation на Q1 2026, средний CASP-tier protocol на Immunefi платит $250k-$1M за critical найденные в production. Для €100M TVL прайс безопасности должен быть ≥ 0.25% TVL = $250k на bounty pool в первый год.

Formal Verification:

Для NAVOracle, PoolEscrow и SeniorTrancheBond — да, требуется. Certora или K Framework. Это ~$150k дополнительно к standard audit, но снимает manipulation risk для регулятора.

Для CFA1Token, GovernanceContract — нет, избыточно (standard ERC-721 поведение).

Upgrade mechanism:

SAD предлагает UUPS proxy с time-lock 7–14 дней. Это правильно для Phase 1, но есть нюанс:

UUPS vs Transparent Proxy: UUPS дешевле в gas, но logic contract хранит upgrade-функцию. Если разработчик ошибётся в новой версии и не сохранит upgrade-хук, контракт станет immutable. Для регуляторного CASP это операционный риск.
Альтернатива: Beacon Proxy (EIP-1967) — централизованный upgrade через beacon. Подходит для multiple instances (если планируется несколько пулов).
Trust-minimization tradeoff: time-lock 14 дней + multi-sig 3-of-5 на upgrade — это правильно. Дополнительно: immutable после 36 месяцев или €500M TVL — заранее закодированный sunset upgradability, чтобы инвесторы получили гарантию иммутабельности.

2.4 Custody Architecture — Сравнение с industry leaders

Custody	Model	Insurance	Pricing	Verdict для €100M Ноева Ковчега
BitGo Trust	MPC + HSM, regulated trust (SD/NY)	$250M Lloyd’s	50–100 bps AUM	Industry-leader, но CASP regulated в РА должен быть собственный custody — outsourcing создаёт regulatory dependency
Anchorage Digital	Federally chartered crypto bank (US)	TBD via FDIC equivalents	75–150 bps AUM	US-jurisdiction, не идеально для РА CASP
Fireblocks	MPC SaaS + policy engine	$30M crime coverage	$25–50k/mo + 5–25 bps	Strong альтернатива для Phase 1 — снимает HSM ceremony costs, ускоряет time-to-market на 4–6 мес
Copper.co	MPC + Multi-Party Computation custody	$500M Lloyd’s via CCS	Custom	EU/UK-regulated, рассмотреть для diaspora investors’ subcustody
Self-built (current SAD)	Multi-sig 3-of-5 + HSM	Самостоятельно через Lloyd’s/Marsh	$0 + CapEx + 5 FTE	Долгий путь, но единственный — under HO-159-N CASP лицензия требует custody competence

Финальный verdict: гибрид — self-built core custody (multi-sig + HSM) для CFA1Token (физически связанный с РА недвижимостью, не выводится из РА) + Fireblocks/Copper для investor-facing Senior/Junior токенов (где liquidity и UX важнее sovereignty). Это снимает 60% операционного риска Phase 1 при сохранении регуляторного compliance.

HSM + MPC: SAD упоминает HSM, но не упоминает MPC (Multi-Party Computation). MPC превосходит чистый multi-sig в современных production deployments по двум причинам: 1. MPC не публикует threshold on-chain (privacy преимущество для регулятора). 2. MPC поддерживает любые подпись-схемы (не только ECDSA), включая BLS для агрегации.

Рекомендация: Phase 2 (после Audit 2) — мигрировать с naive multi-sig на TSS (Threshold Signature Scheme) реализацию через ZenGo X / Web3Auth tKey / Fireblocks MPC. Полная backward compatibility (контракт видит одну подпись).

Cold/Hot wallet ratio для €100M: - Cold (HSM-protected, multi-sig 3-of-5, geographically distributed): 90% = €90M. Транзакции редкие, time-lock 24h. - Warm (HSM-protected, multi-sig 3-of-5, online): 8% = €8M. Quarterly coupons, redemptions. - Hot (MPC/Fireblocks, automated): 2% = €2M. Daily operations, ≤€500k per tx limit.

Это Coinbase Custody / BitGo стандарт. SAD не специфицирует ratio — рекомендую внести явно.

Insurance: Lloyd’s of London via Marsh Crypto — $100M coverage будет стоить 0.5–1.2% premium = $500k–$1.2M/год. Это большая статья opex, в финмодели должна быть отражена.

2.5 Oracle and NAV Validation (P3/P4 Patents)

Это самое слабое место всей архитектуры.

SAD пишет «Chainlink Functions или собственный oracle». Это уровень концепции, не решения.

Сравнение oracle решений:

Oracle	Тип	Стоимость	Pros	Cons	Подходит для NAV?
Chainlink CCIP/Functions	Decentralized oracle network	$0.10–$5 per query	Industry standard, audit-friendly	Generic, не недвижимость-aware	Yes — как transport layer
Pyth Network	Pull-based oracle, low-latency	$0.005 per pull	Самый быстрый, finance assets	Не покрывает real-estate	No (для NAV)
RedStone	Modular oracle	$0.02 per pull	Custom data feeds	Меньше зрелость	Reserve
API3	First-party oracle (dAPI)	Custom pricing	Прямая подача от data providers	Меньше валидаторов	Possible — для licensed appraiser direct feed
Tellor	Permissionless oracle	Variable	Crypto-economic security	Slow, dispute-prone	No

Правильная архитектура NAV oracle для Ноева Ковчега:

Off-chain (licensed appraisers RA, 3+ независимых):
  └─ Каждый формирует signed attestation (EIP-712) с {timestamp, navPerToken, evidence_hash}
       └─ Загружают в IPFS + sign hash via reputation contract (стейк AMD под slashing)
            └─ Chainlink Functions / API3 aggregator (off-chain compute):
                 └─ Median + outlier rejection (если spread > 5%)
                      └─ On-chain commit в NAVOracle contract:
                           └─ Time-weighted average over 7-day window для крупных redemptions
                                └─ JuniorTrancheART.updateNAV(median) с multi-sig подтверждением 3-of-5 для изменений > 10%

Gas cost quarterly: ≈$5–$20 на каждый NAV update на Polygon. Negligible.

Latency: off-chain valuation cycle 30–60 дней (это нормально для real-estate), on-chain commit < 1 час с момента aggregation.

Fallback при oracle downtime: 1. Last known NAV держится 7 дней (защита от temporary outage). 2. После 7 дней — auto-pause redemptions (защита от stale price arbitrage). 3. Multi-sig 3-of-5 может вручную force-commit emergency NAV с публичным justification.

Regulator audit trail:

ЦБ РА получает доступ к: - On-chain history всех updateNAV events (immutable). - IPFS attestations от каждого оценщика (с hash on-chain). - Reputation contract state (кто из оценщиков активен, кто slashed). - API endpoint для query NAV в любую историческую дату.

Это покрывает P3 (NAV validation) patent — но code должен быть написан и proven.

P4 (KYC + DTA mapping) patent — отдельно обсуждается в §2.6.

2.6 KYC Architecture (P4 Patent)

Cross-jurisdictional KYC:

Платформа адресует 3 типа инвесторов: Минфин РА, диаспора (EU/US/RF), институционал. Каждый = разная юрисдикция = разные KYC требования.

Рекомендуемый stack:

Layer	Vendor	Function
Identity capture	Sumsub (primary), Onfido (fallback)	Document OCR, face match, liveness
Sanctions/PEP	Refinitiv World-Check	OFAC, UN, EU sanctions + PEP lists
Transaction monitoring	Chainalysis KYT or Elliptic Navigator	On-chain AML scoring
Travel Rule (FATF Rec. 16)	Notabene (primary), Sumsub Travel	Cross-CASP traveling rule
SSI / DID	Polygon ID v2 (если on Polygon)	Reusable KYC credential для диаспоры
Armenian nID integration	Custom build via egov.am API	Резиденты РА — primary identity

SAD упоминает Onfido/Sumsub/Veriff как «или». Рекомендую конкретику: - Primary: Sumsub — лучшее покрытие СНГ + EU + хороший Travel Rule integration. - Fallback: Onfido — для US/UK граждан диаспоры (Sumsub слабее в US). - Local: Veriff не нужен (overlap с Sumsub).

SSI / DID для диаспоры:

Polygon ID v2 (на ZK-proofs) — это сильная инновация для диаспоры. Пользователь проходит KYC один раз с CASP-партнёром, получает credential, и может предъявить его Ноеву Ковчегу без повторного полного KYC (только ZK-proof of valid credential). По open documentation на Q1 2026, Polygon ID интегрирован с Sumsub и Quadrata.

Это превращает P4 patent из «концепция» в «реализация» — рекомендую сделать P4 центральной фичей мобильного приложения M3 (Investor Cabinet).

GDPR vs immutable blockchain:

Классический challenge. Решение SAD ссылается на «off-chain PII + hash on-chain». Правильно. Конкретика:

On-chain: только hash KYC credentials (no PII).
Off-chain: Hashicorp Vault + isolated PostgreSQL в Yerevan (резиденты РА) или Frankfurt (нерезиденты).
Right to be Forgotten (GDPR Art. 17): удаление off-chain записи + revocation of credential через Polygon ID (credential становится invalid). On-chain hash остаётся (immutable), но без off-chain записи он бесполезен.
Retention: 7 лет после прекращения отношений (требование AML РА + EU AMLD). После — full purge.

Это GDPR-compliant и AML-compliant одновременно.

2.7 Mobile Application (PWA + React Native)

Phase 1 PWA (06_Working_PWA/index.html — 94k LoC):

Просмотр кода: выполнен на профессиональном уровне. Vanilla JS + CSS custom properties + Service Worker. Стек минимальный, без фреймворк-бойлерплейта. Это правильно для MVP.

Что хорошо: - Lighthouse PWA target ≥ 95 — достижимо. - WCAG AA accessibility — серьёзный commitment (большинство финтех PWA это игнорируют). - Multilingual (RU/EN/HY) с переключателем — критично для диаспоры. - Theme auto-detection (dark/light) — UX-quality.

Что критично доработать: - Web Push на iOS: требует iOS 16.4+ (что SAD корректно отмечает). Доля iOS-пользователей в диаспоре высокая (~50%) — significant ограничение. Mitigation: email + Telegram notifications как fallback. - WebAuthn для биометрии: в PWA index.html не вижу WebAuthn integration. Нужно добавить — это блокер для signing смарт-контрактов на стороне пользователя (M3). - Web3 wallet integration: PWA должен интегрироваться с MetaMask Mobile, Rainbow, WalletConnect v2. В текущем коде не вижу.

Phase 2 React Native (Expo SDK 51+, TypeScript strict):

Реалистичный таймлайн при текущем architecture: 6–9 месяцев с момента старта (один senior RN dev + один junior).

Что хорошо в архитектурном выборе: - Expo managed — снимает 80% iOS-build pain. GitHub Actions macOS runners бесплатно для public repos. - React Navigation 6 + Zustand + i18next — solid stack, без экзотики. - NativeWind + Reanimated — modern, performant.

Что добавить: - WalletConnect v2 (@walletconnect/react-native-v2) — для wallet integration на mobile. - Detox для E2E testing — критично для финтех приложений. - Sentry для crash reporting. - Firebase App Check для anti-tamper (защита от reverse-engineering).

Offline-first для диаспоры:

SAD упоминает «Workbox для offline support» и «Queue для синхронизации». Это правильное направление. Конкретика:

KYC capture offline → IndexedDB encrypted → background sync.
Pool data read offline → static cache + diff sync.
Transactions (orders, signing) — должны быть online-only (нельзя подписать transaction offline без exposure private keys в storage; даже шифрование IndexedDB не защищает от advanced attacks).

Push notifications APNS/FCM: не настроены в PWA (только Web Push). Это Phase 2 / React Native задача.

Биометрия: - PWA: WebAuthn (Touch ID на iOS 16.4+, Face ID, Windows Hello). - React Native: expo-local-authentication + Secure Enclave storage для biometric-protected keys.

2.8 Тех-долг и риски (текущее состояние на 11.05.2026)

Критические gap’ы:

#	Gap	Severity	Effort	Blocker for
1	Solidity codebase отсутствует	Critical	6 чел-мес	CASP license, Series A
2	Smart contract audits не проведены	Critical	$200–400k + 3 мес	Mainnet deploy
3	HSM не закуплен, key ceremony не проведён	Critical	$50k + 4 нед	Custody operations
4	NAV oracle архитектура на уровне концепции	High	4 чел-мес	First token issuance
5	KYC vendor contracts не заключены	High	2 чел-мес	First user onboarding
6	Регуляторная нода ЦБ РА — нет testnet deployment	High	2 чел-мес	CASP license
7	PWA Web3 wallet integration отсутствует	Medium	1 чел-мес	M3 launch
8	React Native source не сгенерирован	Medium	4 чел-мес	App Store / Google Play
9	Penetration testing не проведено	Medium	$30k + 6 нед	Production launch
10	ISO 27001 — not certified	Low	$80k + 12 мес	Institutional investor onboarding
11	SLO monitoring infrastructure не развёрнут	Low	1 чел-мес	Production operations
12	Bug bounty program не запущена	Low	$250k pool	Post-mainnet

Три первоочередные технические шага до Series A:

Hire core engineering team (3 FTE: CTO/Lead Solidity, Senior Solidity, Senior SRE) до 1 августа 2026.
Запустить smart contract development repo (private GitHub) с OpenZeppelin Contracts v5.x base + первая deployment на Polygon Amoy testnet до 30 сентября 2026.
Заключить pre-audit consulting контракт с Trail of Bits ($40k, 6 недель) до 1 ноября 2026 — снимает architectural findings до dear-money аудита.

Engineering team для Phase 1 (12 мес):

Role	FTE	Salary range (annual, $)	Notes
CTO / Head of Engineering	1	$180–250k	Onsite Yerevan or hybrid
Lead Solidity Engineer	1	$140–200k	Remote OK
Senior Solidity Engineer	1	$100–140k	Remote OK
Senior SRE / DevOps	1	$110–150k	Onsite Yerevan preferred (data residency)
Senior Backend (Node.js/Go)	2	$90–130k each	One Yerevan, one remote
Senior Frontend / PWA	1	$80–120k	Remote OK
React Native Engineer	1	$90–130k	Remote OK
Security Engineer	1	$130–180k	Hybrid
QA Engineer (with Detox/Playwright)	1	$60–90k	Remote OK
TOTAL	10 FTE	$1.0–1.4M/год	Yerevan cost-of-living ≈60% of US

Реалистичная blended salary для Yerevan-based team с ≥40% remote (Yerevan-rate + Eastern European remote): $80–100k average = $800k–$1.0M/год team cost.

Year-1 CapEx + OpEx tech budget:

Category	Year 1 ($)
Engineering team (10 FTE blended)	950 000
Cloud infra (AWS Frankfurt + Hetzner Yerevan + Cloudflare)	80 000
Smart contract audits (Trail of Bits + OpenZeppelin)	300 000
Formal verification (Certora, NAVOracle + PoolEscrow)	150 000
HSM (CloudHSM + Yubico backup + ceremony)	60 000
KYC stack (Sumsub + Onfido + Chainalysis + Notabene)	120 000
Penetration testing (twice)	60 000
Bug bounty pool (Immunefi, year-1 reserve)	100 000
Insurance (Lloyd’s via Marsh, $25M custody)	200 000
Polygon ID v2 / SSI integration	50 000
Tooling & SaaS (Sentry, Datadog, PagerDuty, GitHub Enterprise)	50 000
ISO 27001 pre-cert + audit	80 000
Contingency (15%)	320 000
TOTAL Year-1 Tech Budget	$2.52M

3. TECHNICAL RISK MATRIX

#	Risk	Severity (1-5)	Probability (1-5)	Score	Mitigation
1	Smart contract critical vulnerability post-mainnet	5	3	15	2 independent audits + formal verification + bug bounty + time-lock upgrades
2	NAV oracle manipulation	5	3	15	3+ независимых оценщиков, median, slashing reputation, time-weighted average для крупных redemptions
3	Multi-sig key compromise (1 ключ)	4	2	8	3-of-5 threshold tolerates 2 потери; HSM + geographic distribution + key rotation quarterly
4	Polygon PoS chain reorganization / halt	4	1	4	Multi-sig pause; bridge-ready migration plan; off-chain ledger as source of truth
5	KYC vendor failure (Sumsub down)	3	2	6	Onfido fallback; queue + retry; SLA $1M/year
6	DDoS на API Gateway	3	3	9	Cloudflare Enterprise WAF + rate limiting + geo-blocking suspicious
7	Data residency violation (KYC резидентов РА вне РА)	5	1	5	Hard-coded routing rules + audit; Hetzner Yerevan для PII резидентов
8	Регуляторная нода ЦБ РА — outage	4	2	8	Active-active в Frankfurt + Yerevan; mTLS auth; SLA 99.95%
9	GDPR violation (right to erasure не работает)	4	2	8	Off-chain PII + on-chain hash architecture; revocation via Polygon ID
10	Insurance bridge inconsistency (off-chain ≠ on-chain)	4	3	12	EIP-712 signed attestations; time-lock 7 days dispute window
11	Mobile app reverse-engineering / token theft	3	3	9	Firebase App Check + biometric + WalletConnect (keys not in app)
12	iOS Web Push limitation (диаспора без iOS 16.4+)	2	4	8	Email + Telegram + SMS fallback
13	Upgradability lock-out (UUPS misconfiguration)	5	1	5	UUPS + Transparent Proxy parallel; formal verification of upgrade-paths
14	Insider attack (engineer pushes malicious code)	4	2	8	2-approver code review; signed commits; SIEM monitoring
15	Custody insurance gap (above $100M coverage)	3	2	6	Tiered insurance Lloyd’s + reinsurance for >$100M

Top-3 risks по Score: 1. Smart contract vulnerability (15) → mitigation: dual audit + formal verification. 2. NAV oracle manipulation (15) → mitigation: multi-source + median + time-weighted + slashing. 3. Insurance bridge inconsistency (12) → mitigation: EIP-712 + dispute window.

4. RECOMMENDED TECHNOLOGY STACK

Confirmed (без изменений): - Polygon PoS как Phase 1 DLT. - React + Next.js / Vanilla JS PWA. - React Native (Expo SDK 51+). - AWS Frankfurt (primary) + Hetzner Yerevan (secondary). - Cloudflare Edge. - Kubernetes (EKS + K3s). - Terraform + Helm. - PostgreSQL 16 + ClickHouse + TimescaleDB. - Redis + Kafka. - AWS CloudHSM. - Prometheus + Grafana + Loki + Tempo.

Updated (рекомендованные изменения):

Что в SAD	Что предложено	Обоснование
ERC-721 soulbound (custom)	ERC-5192 (Minimal Soulbound NFT)	Аудитуемый стандарт
ERC-1400 или ERC-3643	ERC-3643 (T-REX)	MiCA-aligned, production-proven
«Chainlink Functions или собственный»	Chainlink Functions + API3 dAPI + on-chain NAVOracle aggregator	Конкретика, multi-source
Multi-sig only	Multi-sig 3-of-5 + MPC (Fireblocks или TSS) Phase 2	Privacy + reduced ceremony cost
Onfido/Sumsub/Veriff (alt)	Sumsub primary + Onfido fallback	Конкретика по vendor lock-in
Не упомянут SSI	Polygon ID v2 для диаспоральных reusable credentials	P4 patent realization
Не упомянут Travel Rule vendor	Notabene	FATF Rec. 16 compliance
HackerOne для bug bounty	Immunefi ($250k pool)	Web3-native, не web2

Added (новые компоненты): - Polygon ID v2 для SSI/DID. - Notabene для Travel Rule. - Detox для E2E mobile testing. - Sentry для crash reporting. - Firebase App Check для anti-tamper mobile. - GitHub Enterprise + signed commits. - Snyk + Dependabot + SonarQube (SAST/SCA).

5. TECH ROADMAP — 12 МЕСЯЦЕВ ДО SERIES A

Month	Milestone	Cost	Owner
M1 (May–Jun 2026)	Hire CTO, Lead Solidity. Open GitHub repo. Setup CI/CD skeleton.	$80k team	CEO + CTO
M2 (Jul 2026)	Hire SRE + Backend. Terraform IaC. Setup AWS Frankfurt + Hetzner Yerevan.	$100k team + $20k infra	CTO + SRE
M3 (Aug 2026)	CFA1Token + PoolEscrow on Polygon Amoy testnet. PWA wallet integration (WalletConnect v2).	$130k team	Lead Solidity
M4 (Sep 2026)	SeniorTrancheBond + JuniorTrancheART + NAVOracle on testnet. Sumsub + Notabene contracts.	$130k team + $40k KYC setup	Lead Solidity + Backend
M5 (Oct 2026)	Pre-audit consulting Trail of Bits ($40k, 6 нед). Регуляторная нода — testnet deploy. Polygon ID v2 integration.	$130k + $40k pre-audit	CTO + Trail of Bits
M6 (Nov 2026)	Full audit Trail of Bits + OpenZeppelin (parallel). Penetration test infrastructure. ISO 27001 pre-cert audit.	$130k + $300k audits + $30k pentest	External
M7 (Dec 2026)	Address audit findings. Formal verification NAVOracle + PoolEscrow (Certora). React Native MVP build.	$130k + $150k Certora	CTO + Certora
M8 (Jan 2027)	Re-audit findings closure. HSM ceremony в Yerevan. Multi-sig signer onboarding.	$130k + $60k HSM	CTO + Independent Trustees
M9 (Feb 2027)	Mainnet deploy contracts (read-only, no minting yet). Insurance Lloyd’s binding. Bug bounty launch.	$130k + $200k insurance + $100k bounty	CTO + Insurance broker
M10 (Mar 2027)	First CFA1 mint (pilot 5 assets). Soft launch регуляторная нода в production.	$130k team	CTO + ЦБ РА liaison
M11 (Apr 2027)	Senior tranche IPO simulation на testnet. M2 mobile app (Owner Cabinet) beta.	$130k team	Backend + Mobile
M12 (May 2027)	Production-ready for first Senior tranche issuance. Series A pitch к ЕБРР / IFC / диаспоральным family offices.	$130k team	CEO + CFO

Cumulative cost (12 мес): см. §6.

6. COST ESTIMATE — YEAR 1 BUDGET

Категория	Quarter 1	Quarter 2	Quarter 3	Quarter 4	Year 1 Total
Engineering team (ramp 3 → 10 FTE)	$180k	$240k	$260k	$270k	$950k
Cloud infrastructure	$15k	$20k	$22k	$23k	$80k
Smart contract audits	–	–	$200k	$100k	$300k
Formal verification	–	–	–	$150k	$150k
HSM hardware + ceremony	–	–	–	$60k	$60k
KYC stack (Sumsub + Onfido + Chainalysis + Notabene)	$20k	$30k	$35k	$35k	$120k
Pre-audit consulting (Trail of Bits)	–	$40k	–	–	$40k
Penetration testing	–	–	$30k	$30k	$60k
Bug bounty pool (Immunefi)	–	–	–	$100k	$100k
Insurance (Lloyd’s via Marsh)	–	–	–	$200k	$200k
Polygon ID v2 integration	–	$10k	$30k	$10k	$50k
Tooling & SaaS	$10k	$12k	$14k	$14k	$50k
ISO 27001 pre-cert + audit	–	$20k	$30k	$30k	$80k
Contingency (15%)	$60k	$80k	$90k	$90k	$320k
TOTAL	$285k	$452k	$711k	$1.11M	$2.56M

Сравнение с SAD оценкой $470–700k mobile-only: Mobile часть ≈$300–400k из общего $2.56M tech budget. Остальное — smart contracts, audits, infrastructure, custody, KYC, insurance.

Year-2 Steady-State Tech OpEx (после Series A): $1.8–2.2M/год (engineering team grows to 15 FTE + recurring audits + insurance renewal + cloud scale + bug bounty).

7. ЗАКЛЮЧЕНИЕ AUDIT

Архитектура «Ноева Ковчега» (NK-ARCH-001/2026) — профессиональный SAD уровня регулируемого CASP. Defense-in-depth логика правильная, выбор Polygon PoS защищаем, юр-маппинг на HO-159-N + Регл. 7/01–7/05 полный. Это не «whitepaper-вaporware» — за документом видна команда, которая знает индустрию.

Однако production-readiness отсутствует. Между SAD и mainnet-deployable системой — 10–12 месяцев работы 8–10 FTE engineers с бюджетом $2.5–3M на год 1. До этого CASP-лицензию по Регл. 7/01 ЦБ РА не выдаст: «техническая возможность исполнения обязательств» — это код в production, не PDF.

Технологический риск проекта — middle-low при условии адекватного финансирования. Все архитектурные выборы консервативны (никакой экзотики), индустриальный стек, проверенные вендоры. Главные риски — это execution risk (наем команды) и regulatory engagement (ЦБ РА должна одобрить read-only ноду до mainnet), не architectural risk.

Рекомендация для Series A pitch: не презентовать архитектуру как «готовую» — она готова на уровне design, но не реализации. Презентовать как «architecturally validated, execution-funded» — этот honesty работает лучше, чем overselling, в discussions с ЕБРР, IFC, MiCA-aware family offices.

SUMMARY ДЛЯ АСЛАНА (под 250 слов)

Аслан, технический аудит «Ноева Ковчега» по 8 разделам.

Что хорошо. Документ NK-ARCH-001/2026 — профессиональный SAD уровня регулируемого CASP. Выбор Polygon PoS защищаем (низкий gas, audit-ecosystem, MiCA-готовность). Защита многоуровневая, юр-маппинг полный, DLT-agnostic boundary на правильном уровне. Working PWA сделан грамотно (vanilla JS, WCAG AA, RU/EN/HY). OpenAPI spec корректный (mTLS для регулятора, JWT для users). Архитектура готова к tech-due-diligence от ЕБРР/IFC.

Что критично доделать (три gap’а). Первое — Solidity codebase отсутствует. Это блокер CASP-лицензии по Регл. 7/01 ЦБ РА. Нужно 6 мес разработки + 2 независимых аудита ($300k Trail of Bits + OpenZeppelin). Второе — HSM не закуплен, key ceremony не проведена. Без этого custody €100M не запустить. Третье — NAV oracle на уровне концепции «Chainlink или собственный». Это самое уязвимое звено архитектуры — нужно 3+ независимых оценщика РА + median aggregator + on-chain signature verification + time-weighted average.

Три первых шага до Series A (90 дней). Нанять CTO + Lead Solidity + Lead SRE (3 FTE, $90–120k/квартал). Запустить smart contract development на Polygon Amoy testnet с OpenZeppelin Contracts v5.x. Заключить pre-audit consulting Trail of Bits ($40k, 6 нед) до dear-money аудита — снимет 60–70% findings.

Бюджет Year-1 tech. $2.56M: команда 10 FTE ($950k), 2 audita ($300k), formal verification ($150k), HSM ($60k), KYC stack ($120k), insurance Lloyd’s ($200k), остальное — инфра + bounty + ISO 27001 + contingency.

Time-to-mainnet: 10–12 месяцев при адекватном финансировании. Production-readiness сейчас 2/10. После roadmap — 8/10.

Архитектурный риск low. Execution risk — это найм и финансирование. Технически проект жизнеспособен.

Audit performed by: Yuki Tanaka, MSc Computer Science (MIT) CTO, TokenForge · ex-Polygon Labs Principal Architect · ex-Coinbase Crypto Custody Lead

Дата: 11 мая 2026 г. Документ: NK-AUDIT-005/2026

© Документ подготовлен в формате независимого технического аудита для целей внутренней оценки проекта Платформа «Ноев Ковчег» (правообладатель — Кагиров Абдул-Хаким Ахмадович, 2026). Все referenced продукты и компании — собственность их правообладателей.