© Кагиров Абдул-Хаким Ахмадович, 2026. Все права защищены. Watermark · © Kagirov A-Kh. A. · 2026 · ALL RIGHTS RESERVED · Universal Copyright Convention, Geneva 1952
ТЕХНИЧЕСКАЯ АРХИТЕКТУРА
Платформа «Ноев Ковчег» · Software Architecture Document (SAD)
Документ № NK-ARCH-001/2026 Дата: 1 мая 2026 г. Тип документа: Software Architecture Document (SAD), уровень C4 + детализация подсистем Применимое право: Закон РА HO-159-N + Регламенты ЦБ РА 7/01–7/05; Закон РА «О защите персональных данных»; стандарты ISO/IEC 27001, IFRS
Автор и правообладатель: Кагиров Абдул-Хаким Ахмадович (Аслан Каа) www.aslankaa.com · aslankaa@yandex.ru / aslankaa@yandex.ru · +7 (969) 795-55-55 / +7 (925) 203-77-77 Telegram @aslan_kaa · Instagram @aslan_kaa · VK id453725994 · Facebook aslan.kaa · X @aslanofff
EXECUTIVE SUMMARY
Техническая архитектура Платформы «Ноев Ковчег» построена по принципу defense-in-depth с гибридной облачной топологией (primary EU-Frankfurt + secondary Yerevan + edge в диаспоральных хабах), permissioned DLT с регуляторной нодой Центрального банка РА, multi-signature кастоди на HSM уровня FIPS 140-2 Level 3, и полным мэппингом всех архитектурных решений на статьи Закона HO-159-N и Регламентов ЦБ РА.
Ключевые архитектурные решения:
- DLT-слой: Polygon PoS (EVM-совместимый, низкие gas costs, зрелое сообщество, регуляторные ноды поддерживаются);
- Гибридное облако: primary AWS Frankfurt + secondary Hetzner Yerevan + Cloudflare edge;
- Кастоди: Multi-sig 3-of-5 (CEO + CTO + CFO + CCO + Independent Trustee) с HSM AWS CloudHSM или Thales Luna;
- Mobile-first: PWA для Фазы 1, опциональные нативные приложения для Фазы 2;
- Регуляторный доступ: ЦБ РА получает read-only ноду с полным доступом к составу пула в режиме реального времени;
- Безопасность: ISO/IEC 27001 + GDPR + Закон РА «О защите персональных данных» + минимум 2 независимых аудита смарт-контрактов;
- Observability: Prometheus + Grafana + Loki + Tempo с SLO 99.9% read / 99.5% write availability.
1. C4-ДИАГРАММЫ АРХИТЕКТУРЫ
1.1 Уровень 1 — System Context
┌───────────────────────┐
│ ПЛАТФОРМА │
│ «НОЕВ КОВЧЕГ» │
│ (CASP-оператор + │
│ эмитент токенов) │
└─────────┬─────────────┘
│
┌───────┬───────┬──────────────┼──────────────┬───────┬───────┐
▼ ▼ ▼ ▼ ▼ ▼ ▼
┌──────┐ ┌──────┐ ┌──────────┐ ┌──────────┐ ┌────────┐ ┌──────┐ ┌──────────┐
│Собст-│ │Инвес-│ │Государ- │ │ЦБ РА │ │Страхо- │ │Оце- │ │Распреде- │
│венник│ │тор │ │ство РА │ │(надзор + │ │вщик │ │нщик │ │лённый │
│ (физ │ │ (3 │ │(Минфин, │ │ regula- │ │(армян- │ │(ли- │ │реестр │
│ /юр) │ │ типа)│ │ Казна- │ │ tory │ │ ский) │ │цен- │ │(Polygon) │
│ │ │ │ │ чейство) │ │ node) │ │ │ │ зир.│ │ │
└──────┘ └──────┘ └──────────┘ └──────────┘ └────────┘ └──────┘ └──────────┘
│ │ │ │ │ │ │
│ KYC, │ Покупка │ Получает │Подаёт │Страхует │Оценива- │ On-chain
│ депо- │ траншей, │ деньги, │whitepaper,│активы и │ет ак- │ состояние
│ зит │ покупка │ финанси- │отчёты по │CFA, вы- │тивы пе- │ пула,
│ актива│ ART │ рует │соответ- │плачивает│ред │ токенов,
│ │ │ нац.про- │ствию │при стра-│включе- │ транзакций
│ │ │ екты │HO-159-N │ховых │нием в │
│ │ │ │ │случаях │пул │1.2 Уровень 2 — Container Diagram
┌────────────────────────────────────┐
│ ПЛАТФОРМА «НОЕВ КОВЧЕГ» │
│ (внутри границы) │
└────────────────────────────────────┘
User-facing Application Data &
Containers Services Storage
───────────── ──────────── ────────────
┌─────────────┐ ┌─────────────┐ ┌──────────────┐
│ Web App │ ◄──HTTPS────►│ API Gateway │ ◄──gRPC─────►│ PostgreSQL │
│ (PWA, RU/ │ │ (Kong / │ │ (registry, │
│ EN/HY) │ │ Tyk) │ │ metadata) │
└─────────────┘ └─────┬───────┘ └──────────────┘
│
┌─────────────┐ │ ┌──────────────┐
│ Mobile App │ ├─►Identity Service◄──►│ KYC Vault │
│ (PWA + Phase│ │ (Auth0/Keycloak + │ (encrypted │
│ 2 native) │ │ Armenian nID) │ isolated) │
└─────────────┘ │ └──────────────┘
│
┌─────────────┐ │ ┌──────────────┐
│ Admin Panel │ ├─►Pool Service ►│ Asset Registry│
│ (CASP оп- │ │ (CRUD пула, │ (PostgreSQL │
│ ераторов) │ │ переоценки) │ + IPFS docs)│
└─────────────┘ │ └──────────────┘
│
┌─────────────┐ │ ┌──────────────┐
│ Investor │ ├─►Order Service ►│ Tx Ledger │
│ Dashboard │ │ (issuance, tra- │ (ClickHouse │
│ │ │ ding, redemption) │ for analyt.)│
└─────────────┘ │ └──────────────┘
│
┌─────────────┐ │ ┌──────────────┐
│ Regulator │ ├─►Smart Contract ►│ DLT Layer │
│ Portal │ ◄══════════════════│ Bridge │ (Polygon PoS │
│ (CB RA) │ Read-only │ (gas mgmt, oracle │ + private │
│ │ node access │ adapter) │ RPC) │
└─────────────┘ │ └──────────────┘
│
├─►Insurance Bridge ─►External APIs
│ (CCI, VPI, FM) (Insurer)
│
├─►Payment Service ─►External APIs
│ (AMD/EUR/USD, (Bank-partner)
│ crypto on-ramp)
│
├─►Notification Svc ─►External
│ (email, Telegram, (SendGrid,
│ SMS, push) Twilio, FCM)
│
└─►Audit Log Service ──►Immutable
(all actions) (S3 + IPFS hash)1.3 Уровень 3 — Component Diagrams (3 ключевые подсистемы)
1.3.1 Smart Contract Bridge (компоненты)
Smart Contract Bridge
├── Transaction Builder
│ ├── CFA1 mint/burn requests
│ ├── Senior tranche operations
│ └── Junior ART operations
├── Gas Manager
│ ├── Gas price oracle
│ ├── EIP-1559 optimization
│ └── Reserve gas wallets
├── Oracle Adapter
│ ├── Pool NAV oracle (off-chain → on-chain)
│ ├── Asset valuation oracle
│ └── Insurance status oracle
├── Multi-sig Coordinator
│ ├── Signature aggregator
│ ├── Approval workflow (3-of-5)
│ └── Time-locked operations
└── Event Listener
├── On-chain event subscription
├── Event normalization
└── Downstream notifications1.3.2 Pool Service (компоненты)
Pool Service
├── Asset Onboarding
│ ├── Document verification (Кадастр РА API)
│ ├── Encumbrance registration
│ └── Title insurance integration
├── Valuation Engine
│ ├── Quarterly valuation orchestrator
│ ├── Appraiser selection (rotation)
│ ├── Multi-source price aggregation
│ └── IFRS 13 compliance check
├── NAV Calculator
│ ├── Pool NAV computation (real-time)
│ ├── Per-token NAV (Junior ART)
│ └── Historical NAV series
├── Owner Coupon Manager
│ ├── Monthly coupon scheduler
│ ├── Drachma payment integration
│ └── Tax compensation calculator
├── Pool Health Monitor
│ ├── Concentration limits checker
│ ├── Geographic diversification
│ └── Anomaly detection
└── Insurance Coordinator
├── CCI status tracking
├── VPI activation logic
└── Claim coordination1.3.3 Payment Service (компоненты)
Payment Service
├── Fiat On-Ramp / Off-Ramp
│ ├── Bank-partner integration (RA bank)
│ ├── SWIFT settlements
│ ├── AMD/EUR/USD FX execution
│ └── PSD2-style strong customer auth
├── Crypto Settlement
│ ├── USDC, USDT, BTC, ETH acceptance
│ ├── Conversion via licensed counterparty
│ └── On-chain finality verification
├── Coupon Distribution
│ ├── Senior tranche quarterly coupons (escrow → holders)
│ ├── Owner monthly coupons (Платформа → собственник AMD)
│ └── End-of-cycle bonus distribution
├── Redemption Processor
│ ├── Senior tranche maturity buyback
│ ├── Junior ART NAV-based redemption
│ └── Quarterly limit enforcement (25%)
└── Reconciliation Engine
├── Daily reconciliation (banks ↔ ledger)
├── On-chain ↔ off-chain sync
└── Discrepancy alerting1.4 Уровень 4 — Code-level mapping для критичных частей
Реализация конкретных функций на уровне кода будет описана в технических спецификациях отдельных компонентов на стадии разработки. На уровне SAD достаточно описать критические code-paths, требующие особого внимания при реализации:
| Code-path | Критичность | Особенности |
|---|---|---|
PoolService.calculateNAV() |
Критическая | Должна выполняться идемпотентно; результат идёт в smart contract; гарантирует consistency между on-chain и off-chain |
PaymentService.executeOwnerCoupon() |
Высокая | Must succeed atomically с записью в Tx Ledger; retries with idempotency key |
SmartContractBridge.aggregateMultiSig() |
Критическая | 3-of-5 threshold; rejection при невалидной подписи; time-lock 24 часа для крупных операций |
KYC.verifyArmenianResidence() |
Высокая | Интеграция с Кадастром РА и nID; результат недоступен извне Identity Service |
RegulatorPortal.streamPoolEvents() |
Высокая | Read-only; latency < 100ms; невозможно изменить состояние |
OracleAdapter.commitNAV() |
Критическая | Защита от manipulation; multi-source verification; ZK-proof опционально для будущих версий |
2. ВЫБОР DLT-СЛОЯ
2.1 Сравнительная матрица
| Критерий | Hyperledger Fabric | Polygon PoS | Ethereum L1 | Polkadot | Stellar | Solana | Custom permissioned |
|---|---|---|---|---|---|---|---|
| Permissioned (закрытый доступ) | через L2/sidechain | Substrate | через assets | ||||
| EVM-совместимость | через Frontier | по выбору | |||||
| Gas costs | очень низкие | низкие | высокие | средние | очень низкие | низкие | по выбору |
| Finality | мгновенная | ~30 сек | ~15 мин | ~6 сек | ~5 сек | ~1 сек | по выбору |
| Зрелость инструментов | средняя | высокая | очень высокая | средняя | высокая | средняя | низкая |
| Audit ecosystem | ограниченный | широкий | очень широкий | средний | средний | средний | низкий |
| Регуляторная совместимость EU/MiCA | |||||||
| Поддержка регуляторных нод | через middleware | public | |||||
| Стоимость инфраструктуры | средняя | низкая | высокая | средняя | низкая | средняя | очень высокая |
2.2 Рекомендация
Polygon PoS выбран как основная DLT-платформа Фазы 1 на основании следующих факторов:
- EVM-совместимость даёт доступ к крупнейшей экосистеме wallet, custody, audit инструментов;
- Низкие gas costs позволяют делать частые операции (купоны, переоценки) экономически целесообразными;
- Активное сообщество разработки и аудита смарт-контрактов — снижение технических рисков;
- Совместимость с регуляторными нодами через middleware (Tenderly, Blockscout, internal indexer);
- MiCA-готовность — Polygon Labs ведёт активный диалог с ESMA и MiCA-регуляторами ЕС;
- Bridge к Ethereum L1 — возможность миграции в будущем без потери ликвидности.
2.3 Альтернатива и план миграции
В случае возникновения регуляторных проблем с Polygon PoS, план миграции: - Альтернатива 1: Polygon zkEVM (полная Ethereum-совместимость с zk-доказательствами); - Альтернатива 2: Hyperledger Besu в private deployment (полностью permissioned EVM-сеть для критичных операций); - Альтернатива 3: Avalanche Subnet (custom permissioned с EVM).
Архитектура сделана DLT-agnostic на уровне Smart Contract Bridge — миграция возможна без переписывания application layer.
2.4 Регуляторная нода ЦБ РА
ЦБ РА получает специализированную ноду с: - Read-only доступом ко всем транзакциям, состоянию пула, NAV; - API для запросов — состав пула в любой момент времени, история переоценок, AML-флаги; - Push-уведомлениями о существенных событиях (новый выпуск, выкуп, изменение NAV >10%); - Технической поддержкой 24/7 со стороны Платформы.
Архитектура ноды:
[ЦБ РА datacenter] → VPN → [Polygon RPC node, hosted by Платформа]
│
↓
[Reader-only API:
- GraphQL queries
- Webhook subscriptions
- CSV/JSON exports]3. СПЕЦИФИКАЦИЯ СМАРТ-КОНТРАКТОВ
3.1 CFA1Token
Назначение: Soulbound utility-токен, представляющий долю собственника недвижимости в пуле.
Тип: ERC-5192 (Minimal Soulbound NFT,
EIP-final) на базе ERC-721-стиля идентификатора. Стандарт
ERC-5192 закрепляет non-transferable семантику через флаг
locked(tokenId) и встроен в аудиторские чеклисты
OpenZeppelin Contracts v5.x. Соулбундность через revert в
_beforeTokenTransfer явно не используется — стандартный
путь упрощает Trail of Bits / OpenZeppelin audit.
Связь с собственником: актив привязан к собственнику криптографически (CFA1 = адрес собственника + cadastreReference + assetValueAMD) и не может торговаться даже через прокси / wrapping — обёрточные ERC-20 поверх CFA1 не выпускаются регуляторной политикой Платформы.
Состояние: -
mapping(uint256 => address) ownerOf — собственник CFA1 -
mapping(uint256 => uint256) assetValueAMD — оценочная
стоимость актива в драмах -
mapping(uint256 => uint256) pledgeStartTimestamp —
момент пледжирования -
mapping(uint256 => uint256) pledgeEndTimestamp — момент
возврата (плановый) -
mapping(uint256 => bytes32) cadastreReference — ссылка
на запись в Кадастре РА -
mapping(uint256 => uint256) lastCouponPaid — последний
выплаченный купон - mapping(uint256 => bool) isInsured —
наличие страховки
Функции (только администратор Pool Escrow): -
mint(address owner, uint256 valueAMD, bytes32 cadastreRef, uint256 cycleDuration)
— создаёт CFA1 - burn(uint256 tokenId) — уничтожает CFA1
при возврате актива и снятии обременения -
recordCouponPayment(uint256 tokenId, uint256 amount) —
фиксирует выплату купона
Ограничения: - transferFrom() —
DISABLED (soulbound) - safeTransferFrom() — DISABLED -
Только Pool Escrow contract может вызывать mint/burn
Upgradability: UUPS proxy (Universal Upgradeable Proxy Standard) с time-lock 7 дней + multi-sig 3-of-5.
3.2 SeniorTrancheBond
Назначение: Старший долговой токен (security wrapper) с купонными выплатами и графиком погашения.
Тип: ERC-3643 (T-REX) — security token standard со встроенным compliance-уровнем (whitelist, transfer restrictions, freeze, identity binding через OnchainID). Решение в пользу T-REX (а не ERC-1400) обосновано: 1. T-REX — production-проверенный стандарт (Tokeny Solutions), MiCA-aligned, используемый в EU regulated tokenization. 2. ERC-1400 остаётся draft, не утверждённым Ethereum Foundation; аудиторы менее уверены в нём. 3. T-REX встраивает OnchainID — это снимает identity/KYC binding на уровне токена и упрощает Travel Rule maintenance.
Состояние: -
mapping(address => uint256) balanceOf — балансы
держателей - mapping(address => bool) whitelisted —
список allowed инвесторов (KYC-passed) -
uint256 totalSupply — выпущенное количество (70 000) -
uint256 nominalValueEUR — номинал (€1 000) -
uint256 couponBPS — купон в базисных пунктах (550 = 5.5%) -
uint256 issueDate — дата выпуска -
uint256 maturityDate — дата погашения (issueDate + 7 лет) -
uint256[] couponPaymentDates — даты квартальных купонов (28
дат) - mapping(address => uint256) lastClaimedCoupon —
индекс последнего полученного купона
Функции: -
issueToWhitelistedHolder(address holder, uint256 amount) —
выпуск whitelisted инвестору -
transfer(address to, uint256 amount) — только между
whitelisted адресами - claimCoupon(uint256 paymentIndex) —
клейм купона держателем - claimMaturity() — клейм тела
долга после maturity -
executeBudgetGuarantee(bytes calldata proof) — активация
бюджетной гарантии Минфина РА (только трасти)
Compliance hooks: - beforeTransfer() —
проверка whitelist, отсутствие санкций - afterTransfer() —
emit event для регуляторной ноды
Upgradability: UUPS proxy с time-lock 14 дней (более длительный из-за security-критичности).
3.3 JuniorTrancheART
Назначение: Младший asset-referenced token, привязанный к NAV пула.
Тип: ERC-20 fixed-supply (300 000, immutable
post-issuance) + external NAVOracle contract.
Rebase-подход явно отвергнут. Причины: - rebase меняет supply каждого
холдера и создаёт UX-катастрофу с custody-провайдерами, налоговыми
отчётами (ФНС РФ, EU-юрисдикции диаспоры), DeFi-интеграциями. - В
production-практике 2026 ни один regulated ART/stablecoin-оператор не
использует rebase (Maple Finance, Centrifuge, Ondo — все price-oracle).
- Audit trail и manipulation risk легче контролируются на уровне
внешнего NAVOracle (см. §3.7) без вмешательства в supply.
Состояние: -
mapping(address => uint256) balanceOf -
uint256 totalSupply (300 000 на старте) -
uint256 nominalValueEUR (€100 первоначально) -
address oracleAdapter — адрес OracleAdapter contract -
uint256 lastNAVUpdate — timestamp последнего обновления NAV
- uint256 currentNAVPerToken — текущий NAV per token -
uint256 redemptionLimitQuarterlyBPS — квартальный лимит
выкупа (2500 = 25%) -
mapping(uint256 => uint256) quarterlyRedemptions — учёт
выкупов по кварталам
Функции: -
issueAtNAV(address holder, uint256 amount) — выпуск на
основе текущего NAV - redeem(uint256 amount) — выкуп
держателем по NAV (с лагом 30 дней, лимит проверяется) -
forceRedeem(uint256 amount) — выкуп эмитентом (с
уведомлением 90 дней) - updateNAV(uint256 newNAVPerToken) —
обновление NAV (только Oracle Adapter) - getCurrentNAV() —
публичный getter
Защита от manipulation: - NAV обновляется не чаще 1 раза в день; - Изменение NAV >10% за один update требует подтверждения 3 независимых оракулов; - Time-weighted average используется для крупных выкупов (>€100 000).
Upgradability: UUPS proxy с time-lock 14 дней.
3.4 PoolEscrow
Назначение: Кастоди пула CFA1 с multi-sig 3-of-5.
Тип: Multi-signature wallet с ролевой моделью.
Состав подписантов (2 internal + 3 external): 1. CEO Платформы (internal) — операционный signer. 2. CTO Платформы (internal) — технический signer. 3. Партнёр армянской юрфирмы (external) — независимый legal trustee, регулируемая адвокатская фирма из топ-5 РА. 4. EU-based custody trustee (external) — институциональный escrow agent в EU-юрисдикции (Люксембург / Лихтенштейн). 5. ЦБ РА nominee — отдельный read-only ключ, не входит в signing-threshold (иначе создаётся conflict с надзорной функцией; ЦБ остаётся supervisor, не co-issuer).
Геогр. распределение: 2 ключа Yerevan + 1 EU + 1 RA-юрфирма (отдельный офис) + 1 read-only. Это снимает риск state-pressure-concentration и совпадает с industry standard (Coinbase Custody, BitGo).
Состояние: - address[5] signers — 5
обязательных подписантов (4 signing + 1 read-only nominee) -
uint256 threshold — 3 (3-of-5 среди signing keys) -
mapping(bytes32 => uint8) approvals — счётчик подписей
по operationHash - mapping(uint256 => address) cfaInPool
— CFA1, находящиеся в пуле - address insuranceBridge -
address poolService — application layer, может предлагать
операции (но не исполнять)
Функции: -
proposeOperation(bytes32 opHash, OperationType opType, bytes calldata data)
— предложение операции - approveOperation(bytes32 opHash) —
одобрение signer’ом - executeOperation(bytes32 opHash) —
исполнение при достижении threshold -
addCFA1(uint256 tokenId) — включение CFA1 в пул (требует
multi-sig) - removeCFA1(uint256 tokenId) — извлечение CFA1
при возврате (требует multi-sig) -
triggerInsurance(InsuranceType type, uint256 amount) —
обращение к страховщику
Time-lock: 24 часа для крупных операций (стоимость >€1M); мгновенное исполнение для рутинных.
3.5 InsuranceBridge
Назначение: Мост между смарт-контрактами и страховщиками (CCI, VPI, Force-Majeure).
Тип: Адаптер с off-chain интеграцией.
Функции: -
submitClaim(InsuranceType type, uint256 amount, bytes calldata evidence)
— подача страхового требования -
recordPayout(bytes32 claimId, uint256 amount, bytes calldata signature)
— фиксация выплаты страховщиком -
checkCoverageActive(uint256 tokenId) — проверка активного
покрытия
Особенности: Off-chain верификация события силами страховщика; on-chain запись финального результата для прозрачности.
3.6 GovernanceContract
Назначение: Голосование держателей по существенным решениям.
Тип: OpenZeppelin Governor + Bravo расширения.
Функции: -
propose(targets[], values[], calldatas[], description) —
создание proposal - castVote(proposalId, support) —
голосование - execute(proposalId, ...) — исполнение
прошедшего proposal
Voting power: - Senior tranche holders: 1 token = 1 vote (по вопросам, относящимся к Senior); - Junior tranche holders: 1 token = 1 vote (по вопросам, относящимся к Junior); - Cross-tranche вопросы: weighted (€-equivalent).
Quorum: 30% от общего количества выпущенных токенов соответствующей категории.
3.7 OracleAdapter (NAV Oracle, P3 patent)
Назначение: Получение независимых оценок NAV и иных off-chain данных. Это самое чувствительное звено архитектуры — single point of failure для manipulation, поэтому стек формализован.
Тип: Hybrid pipeline на базе Chainlink Functions (aggregator) + EIP-712 signed attestations.
Источники данных (минимум 3 лицензированных оценщика РА): 1. Ameriabank Property Valuation Department — банковский оценщик с регулируемой методологией. 2. Оценщик, аффилированный с государственным Кадастром РА — доступ к первичным cadastre data. 3. Independent member of RA Self-Regulated Organization of Appraisers — независимая ротация (не та же фирма >2 кварталов подряд).
При spread > 5% между оценщиками — auto-request 4-го мнения; при spread > 10% — manual review через multi-sig 3-of-5.
Off-chain attestation flow:
Licensed appraiser → формирует {timestamp, navPerToken, evidence_hash, cadastreRefs[]}
└─ EIP-712 typed-data signature
└─ Upload report + supporting docs → IPFS (CID stored)
└─ Sign hash via reputation contract (стейк AMD под slashing
за false attestations верифицируется через регулятор)On-chain aggregation:
Chainlink Functions (off-chain compute):
└─ Median of 3 attestations + outlier rejection
└─ commitNAV(median, attestations[]) в NAVOracle contract
└─ **Time-lock 48 hours** для всех NAV updates
(любой holder может оспорить через GovernanceContract)
└─ После 48h: JuniorTrancheART.updateNAV(median)
└─ Time-weighted average over 7-day window
для крупных redemptions (>€100k)Функции контракта: - requestNAVUpdate()
— инициирует quarterly cycle -
submitAttestation(bytes32 requestId, uint256 nav, bytes32 ipfsCID, bytes signature)
— приём EIP-712 от оценщика - aggregateAndCommit() — median
+ outlier rejection + commit с 48h time-lock -
disputeNAV(uint256 commitId, bytes evidence) — диспут в
течение 48h окна - executeCommittedNAV(uint256 commitId) —
финальный commit в JuniorTrancheART после lock
Защита: - Минимум 3 независимых оценщика РА (rotation policy). - Median-based агрегация (защита от outliers). - EIP-712 криптоподписи верифицируются on-chain. - IPFS-evidence для каждой attestation (cryptographic audit trail). - Reputation contract со slashing (AMD-стейк оценщика). - 48-hour time-lock на любое NAV update (dispute window). - Multi-sig 3-of-5 override для emergency NAV с публичным justification.
Audit trail для регулятора: ЦБ РА получает доступ ко
всем updateNAV events on-chain + IPFS-attestations +
reputation state. Каждое обновление сопровождается публичным
cryptographic proof (EIP-712 signatures от 3 оценщиков + median
computation log).
Fallback при oracle downtime: - Last known NAV держится 7 дней. - После 7 дней — auto-pause redemptions (защита от stale-price arbitrage). - Multi-sig 3-of-5 может force-commit emergency NAV.
3.8 Аудит смарт-контрактов
Все смарт-контракты подлежат двум независимым аудитам в параллель + pre-audit consulting + bug bounty:
| Аудитор | Роль | Стоимость | Срок |
|---|---|---|---|
| Trail of Bits | Pre-audit consulting + Audit 1 (security-first, MIT/CMU PhDs) | $40k + $150k | 6 нед + 6–8 нед |
| OpenZeppelin | Audit 2 (standards + upgradeability, parallel) | $150k | 4–6 нед |
| Certora | Formal verification для NAVOracle +
PoolEscrow (K Framework) |
$150k | 8–12 нед |
| Immunefi | Bug bounty pool (production-grade RWA) | $100k starter pool | continuous |
Tech-budget Year-1 (полная сумма, не только аудит): $2.56M — см. §3.9.
3.9 Year-1 Tech Budget (детализация)
| Категория | Сумма Y1 ($) | Назначение |
|---|---|---|
| Smart-contract development + spec | 210 000 | 7 контрактов на Solidity, OpenZeppelin v5.x base, testnet deploy |
| Trail of Bits — audit (incl. pre-audit consulting) | 150 000 | Security-first аудит, snapshots после major changes |
| OpenZeppelin — parallel audit | 150 000 | Standards + upgradeability review |
| Bug bounty (Immunefi) | 100 000 | Стартовый pool; масштабирование до $250k к концу года |
| KYC + Travel Rule stack | 120 000 | Sumsub + Onfido + Chainalysis KYT + Notabene contracts |
| Custody (Fireblocks subscription + HSM hardware) | 180 000 | Fireblocks $25–50k/мес, AWS CloudHSM, Yubico HSM2 backup |
| Lloyd’s of London insurance | 200 000 | $25M crime/custody coverage premium |
| Mainnet deployment + integrations | 280 000 | Polygon mainnet gas/deploy, Регуляторная нода ЦБ РА, Polygon ID v2 |
| Production hardening | 200 000 | Pen-test (×2), SOC2/ISO 27001 pre-cert, observability stack |
| Mobile (PWA + React Native phase 2) | 250 000 | Phase-1 PWA полировка + Phase-2 RN MVP build |
| Team build-up — 10 FTE × Yerevan blended $95k avg | 950 000 | CTO, Lead Solidity, Senior Solidity, SRE, 2×Backend, Frontend, RN, Security, QA |
| Контингентный резерв 10% | 260 000 | Покрытие audit re-runs, vendor cost overruns |
| TOTAL Year-1 Tech Budget | $2 560 000 |
Year-2 steady-state tech OpEx (после Series A): $1.8–2.2M/год — расширение команды до 15 FTE, recurring audits, insurance renewal, cloud scale, bug-bounty pool growth.
4. ИНФРАСТРУКТУРА И ОБЛАКО
4.1 Гибридная архитектура
[Cloudflare Edge — global CDN + DDoS]
│
┌──────────────┴──────────────┐
│ │
▼ ▼
┌────────────────────────┐ ┌────────────────────────┐
│ PRIMARY │ │ SECONDARY │
│ AWS Frankfurt (eu- │ │ Hetzner Yerevan │
│ central-1) │◄══►│ (или Cloud4Y Yerevan) │
│ │ DR │ │
│ - Application layer │ ↔ │ - DR replica │
│ - Web/Mobile API │ │ - Узел регулятора │
│ - Business logic │ │ - Данные резидентов РА│
│ - Smart contract │ │ │
│ bridge │ │ │
│ - DLT RPC nodes │ │ │
│ - Database primary │ │ │
└────────────────────────┘ └────────────────────────┘
│ │
└──────────┬──────────────────┘
│
▼
┌──────────────────────┐
│ EDGE PRESENCE │
│ Cloudflare Workers: │
│ - Moscow (RU diaspora)│
│ - Los Angeles │
│ - Paris │
│ - Beirut │
│ - Berlin │
└──────────────────────┘4.2 Логика data residency
| Тип данных | Где хранится |
|---|---|
| KYC данные резидентов РА | ТОЛЬКО в Yerevan (требование Закона РА «О защите ПД») |
| KYC данные нерезидентов РА | Frankfurt (с возможностью миграции) |
| Application metadata | Frankfurt (primary), Yerevan (read replica) |
| Транзакции (on-chain) | Polygon network (decentralized) |
| Транзакции (off-chain index) | Frankfurt (analytics) |
| Документы пула (PDFs, photos) | IPFS (immutable) + S3 Yerevan для оперативных копий |
| Audit logs | S3 Frankfurt + IPFS hash для immutability |
4.3 BCP / DR (Business Continuity / Disaster Recovery)
| Параметр | Значение |
|---|---|
| RPO (Recovery Point Objective) | 15 минут |
| RTO (Recovery Time Objective) | 1 час для критичных операций |
| Failover testing | Ежеквартально |
| Backup retention | 7 лет (соответствие Закону РА о бухучёте) |
| Geographically distributed backups | AWS S3 cross-region (eu-central-1 → eu-west-1) + offline tape backup в Ереване |
4.4 Stack технологий
| Слой | Технология |
|---|---|
| Cloud (primary) | AWS (eu-central-1) |
| Cloud (secondary) | Hetzner / Cloud4Y (Yerevan) |
| CDN / Edge | Cloudflare |
| Оркестрация | Kubernetes (EKS на AWS, K3s на Hetzner) |
| Контейнеризация | Docker |
| IaC | Terraform + Helm |
| Application backend | Node.js (TypeScript) + Go (для критичных частей) |
| API Gateway | Kong или Tyk |
| База данных | PostgreSQL 16 (primary) + ClickHouse (analytics) |
| KYC vault | Hashicorp Vault + dedicated PostgreSQL с шифрованием на уровне столбцов |
| Object storage | AWS S3 (eu-central-1) + IPFS Cluster |
| DLT node | Polygon PoS RPC (self-hosted + Infura/Alchemy fallback) |
| Cache | Redis Cluster |
| Message queue | Apache Kafka или RabbitMQ |
| Frontend (web) | React + Next.js (SSR) |
| Mobile (Phase 1) | PWA (React) |
| Mobile (Phase 2) | React Native |
| HSM (Phase 1, до €100M TVL) | AWS CloudHSM (FIPS 140-2 Level 3) primary + Yubico HSM2 backup |
| HSM (Phase 2, >€100M или 24+ мес) | Thales Luna Network HSM в Yerevan (FIPS 140-3 Level 3, sovereignty) |
| Custody (Senior/Junior tranches) | Fireblocks MPC (primary) + Copper.co (EU/UK institutional sub-custody) |
| Custody (CFA1, soulbound) | Self-built multi-sig 3-of-5 + HSM |
| Custody insurance | Lloyd’s of London via Marsh, $25M crime/custody coverage Phase 1 |
| NAV Oracle aggregator | Chainlink Functions (median of 3+ licensed RA appraisers) + EIP-712 attestations + IPFS evidence |
| SSI / DID | Polygon ID v2 (reusable ZK credentials, диаспора) |
| Travel Rule (FATF Rec. 16) | Notabene primary, TRP fallback |
| KYC | Sumsub primary + Onfido fallback (US/UK) |
5. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
5.1 Compliance мэппинг
| Стандарт / закон | Применение |
|---|---|
| Закон РА «О защите персональных данных» (2015) | KYC данные резидентов РА; data residency |
| GDPR (Регламент ЕС 2016/679) | Данные диаспоральных инвесторов из ЕС; права субъектов данных |
| ISO/IEC 27001:2022 | Сертификация ISMS (Information Security Management System) |
| ISO/IEC 27017 | Cloud security controls |
| ISO/IEC 27018 | Защита PII в облаке |
| ФСТЭК-эквивалент РА (Государственная служба специальной связи и защиты информации РА) | Защита критической инфраструктуры |
| FATF Recommendation 16 (Travel Rule) | KYC при cross-border транзакциях |
| OWASP Top 10 + ASVS Level 2 | Web application security |
| NIST Cybersecurity Framework | Управление киберрисками |
| PCI DSS (если применимо) | Card payments в случае добавления |
5.2 Многоуровневая защита
Слой 1: Edge (Cloudflare WAF, DDoS protection, bot mitigation)
↓
Слой 2: API Gateway (rate limiting, input validation, auth)
↓
Слой 3: Application (RBAC, OAuth 2.0, JWT, signed requests)
↓
Слой 4: Service mesh (mTLS между микросервисами)
↓
Слой 5: Data layer (encryption at rest, столбцовое шифрование PII)
↓
Слой 6: Network (private subnets, security groups, NACLs)
↓
Слой 7: Audit (immutable logs, SIEM мониторинг)5.3 Управление приватными ключами
HSM-стек, фазированный подход:
| Фаза | TVL window | Primary HSM | Backup / cold | Обоснование |
|---|---|---|---|---|
| Phase 1 (M0–M24) | до €25M → €100M | AWS CloudHSM (FIPS 140-2 Level 3, managed) | Yubico HSM2 (5 units, FIPS 140-2 Level 3, USB form-factor) для Shamir-share cold storage | Managed time-to-market, нет CapEx; Yubico — экономный DR |
| Phase 2 (24+ мес) | €100M+ | Thales Luna Network HSM в дата-центре Yerevan | AWS CloudHSM (fallback) + Yubico HSM2 (cold) | Sovereignty: ключи резидентов РА на территории РА согласно Закону «О защите ПД»; FIPS 140-3 Level 3 banking-grade |
Hot / Warm / Cold ratio (по industry standard Coinbase Custody / BitGo): - Cold (HSM-protected, multi-sig 3-of-5, offline, geographically distributed) — 90% TVL, time-lock 24h. - Warm (HSM-protected, multi-sig 3-of-5, online) — 8% TVL, quarterly coupons, redemptions. - Hot (Fireblocks MPC, automated) — 2% TVL, ≤€500k per tx limit, daily operations.
Multi-sig: 3-of-5 (2 internal + 3 external — см. §3.4).
Key Ceremony: при первичном создании ключей — формальная процедура с участием независимых наблюдателей, видеозаписью, актом подписания, аудитируемым кворумом.
DR-копии ключей: Shamir’s Secret Sharing (3-of-5) с офлайн-хранением в географически распределённых сейфах (Yerevan + EU + RA-юрфирма).
Rotation policy: квартальная ротация операционных ключей; критичные multi-sig — по необходимости с формальной процедурой.
5.3a Custody-архитектура (гибридная модель)
CASP-лицензия по Регл. 7/01 ЦБ РА требует «техническую возможность исполнения обязательств». Полностью аутсорсить custody нельзя, полностью building-it-yourself слишком долго. Принят гибрид:
| Класс активов | Custody-модель | Обоснование |
|---|---|---|
| CFA1 (utility, soulbound) | Self-built — multi-sig 3-of-5 + AWS CloudHSM (Phase 2: Thales Luna Yerevan) | Физическая связь с РА недвижимостью, не выводится из РА, национальный контроль обязателен |
| Senior tranche (T-REX) | Fireblocks (MPC + policy engine) — institutional-grade | Liquidity и UX для диаспоральных инвесторов; снимает HSM ceremony cost, ускоряет time-to-market на 4–6 мес |
| Junior tranche (ART) | Fireblocks primary, Copper.co для EU/UK-регулируемых institutional sub-custody | EU/UK trustee-grade, $500M Lloyd’s coverage via CCS |
| Hot operating wallets | Fireblocks MPC, daily ops, ≤€500k per tx | Automated, policy-driven |
MPC vs naive multi-sig: Phase 2 (после Audit 2) — миграция с naive multi-sig на TSS (Threshold Signature Scheme) через Fireblocks MPC: threshold не публикуется on-chain (privacy), поддержка BLS-aggregation, контракт видит одну подпись (backward-compatible).
Custody insurance — Lloyd’s of London: - Coverage: $25M crime + custody через Marsh Crypto (Phase 1). - Premium estimate: ~$200k/год (0.5–1.2% от $25M coverage, tier по Phase 1 TVL). - Phase 2 при TVL >$50M: расширение до $100M Lloyd’s coverage = $500k–$1.2M/год premium. - Reinsurance layer для coverage >$100M в Phase 3.
5.4 Penetration testing и Bug Bounty
- Penetration testing: дважды в год (smart contracts отдельно от инфраструктуры);
- Bug Bounty: программа на HackerOne с reward’ами от $500 (низкая) до $50 000 (критическая);
- Continuous security scanning: Snyk, Dependabot для зависимостей; SonarQube для code quality.
5.5 KYC / AML
Stack — конкретный выбор vendor по слоям:
| Слой | Primary | Fallback / Дополнение | Функция |
|---|---|---|---|
| Identity capture | Sumsub | Onfido (для US/UK граждан диаспоры — Sumsub слабее в US; и для diaspora users без RA ID) | Document OCR, face match, liveness |
| AML monitoring (off-chain customer) | Sumsub (включён в KYC plan) | — | Continuous monitoring |
| Sanctions / PEP screening | Refinitiv World-Check | Acuminor | OFAC, UN, EU sanctions + PEP lists |
| Transaction monitoring (on-chain AML) | Chainalysis KYT | Elliptic Navigator | Wallet-level AML scoring |
| Travel Rule (FATF Rec. 16) | Notabene | TRP (Travel Rule Protocol) | Cross-CASP traveling rule |
| Self-Sovereign Identity (Phase 2) | Polygon ID v2 | — | Reusable ZK credentials для диаспоры (one KYC → many CASP) |
| Armenian nID | Custom build via egov.am API | — | Резиденты РА — primary identity |
| Регуляторная отчётность | Внутренняя интеграция с FinMon РА | — | AML reporting per Закон РА «О ПОД/ФТ» |
SSI / DID — Polygon ID v2 (P4 patent realization):
ZK-proof архитектура: пользователь проходит KYC один раз с CASP-партнёром (например, Sumsub-issuing), получает credential, и предъявляет zero-knowledge proof Платформе «Ноев Ковчег» без раскрытия PII. Polygon ID v2 интегрирован с Sumsub и Quadrata. Это реализация P4 patent (KYC + DTA mapping) — не концепция, а deployable код.
GDPR + immutable blockchain (Right to be Forgotten, GDPR Art. 17):
- On-chain: только hash KYC credentials (no PII).
- Off-chain: Hashicorp Vault + isolated PostgreSQL в Yerevan (резиденты РА) или Frankfurt (нерезиденты), encryption AES-256-GCM per-column.
- Right to erasure: удаление off-chain записи + revocation of credential через Polygon ID (credential становится invalid). On-chain hash остаётся (immutable), но без off-chain записи он бесполезен — это GDPR-compliant и AML-compliant одновременно.
- Retention: 7 лет после прекращения отношений (AML РА + EU AMLD). После — full purge.
6. DEVOPS / SRE
6.1 CI/CD pipeline
Developer commit → Git (GitLab self-hosted)
↓
Pre-commit hooks
(linting, formatting,
unit tests, security scan)
↓
CI Pipeline (GitLab CI):
- build
- tests (unit, integration, e2e)
- smart contract tests
- security scans (SAST, DAST, deps)
- container build + scan
- infra plan (terraform plan)
↓
Code review (2 approvers required
для main branch)
↓
CD Pipeline:
- staging deploy (auto)
- integration tests на staging
- manual approval для production
- canary deploy (10% → 50% → 100%)
- smoke tests
- rollback on alert6.2 Observability
| Компонент | Технология |
|---|---|
| Metrics | Prometheus + Grafana |
| Logs | Loki (структурированные JSON-логи) |
| Traces | Tempo + OpenTelemetry |
| Synthetic monitoring | Grafana Synthetic Monitoring |
| Real User Monitoring (RUM) | Sentry |
| On-call | PagerDuty |
| Incident management | Incident.io или OpsGenie |
| Status page | Statuspage.io |
6.3 SLO targets
| Сервис | SLI | SLO |
|---|---|---|
| Web App availability | uptime | 99.9% (≤43 мин downtime/мес) |
| API Gateway latency | p99 | < 500 ms |
| Wallet operations | success rate | 99.95% |
| Read API (regulator portal) | latency p99 | < 100 ms |
| Smart contract Bridge ops | finality | < 60 sec p95 |
| Pool NAV update | freshness | < 24 hours |
| Customer support response | first response | < 1 hour business hours; < 4 hours off-hours |
6.4 Incident Response Playbook (outline)
- Detection — automated alerting via Prometheus + custom monitors
- Triage — on-call engineer assesses severity (P1/P2/P3)
- Mitigation — immediate actions to restore service
- Communication — internal Slack/Telegram channel + customer-facing status page
- Resolution — root cause analysis, fix
- Post-mortem — blameless post-mortem within 48 hours of resolution
- Action items — tracked in issue tracker, reviewed weekly
Severity matrix: - P1: Полная недоступность Web/Mobile App ИЛИ компрометация безопасности ИЛИ потеря клиентских средств. Ответ < 15 мин. Все hands on deck. - P2: Деградация UX или частичная недоступность. Ответ < 1 час. - P3: Минимальное влияние; устраняется в течение рабочего дня.
7. MOBILE-АРХИТЕКТУРА
7.1 Phase 1: PWA
Преимущества PWA для Фазы 1: - Не требует прохождения review в App Store / Google Play (быстрый запуск); - Работает на iOS, Android, desktop через любой современный браузер; - Автоматическое обновление без необходимости user action; - Кросс-платформенный единый код.
Технологии: - React + Next.js; - Workbox для offline support; - Web Push для уведомлений; - IndexedDB для local cache; - WebAuthn для биометрической авторизации (Face ID, Touch ID, Windows Hello, армянский nID если поддерживается); - Web Crypto API для подписей.
Ограничения PWA: - На iOS — ограничения Web Push (требует iOS 16.4+); - Меньшая интеграция с системой (нет native share sheet, ограниченный доступ к камере); - Branding в menu bar / dock — менее заметный, чем нативное приложение.
7.2 Phase 2: Нативные приложения
Стратегия: - React Native — основная кодовая база (overlap с PWA для логики); - Native bridges для: биометрии, push-уведомлений, deeplinks, share sheet, secure enclave; - Распространение через App Store и Google Play.
Целевые версии: - iOS 14.0+ - Android 8.0+ (API 26+)
7.3 Offline KYC capture
Для пилотного периода (диаспора часто без стабильного интернета): - Возможность offline-сбора документов (фото паспорта, селфи); - Queue для синхронизации при появлении интернета; - Локальное шифрование данных в IndexedDB / Keychain.
8. АРХИТЕКТУРА ДАННЫХ
8.1 Логические домены
| Домен | Хранилище | Доступ |
|---|---|---|
| Identity & KYC | Hashicorp Vault + isolated PostgreSQL | Только Identity Service |
| Pool Registry | PostgreSQL | Pool Service, Smart Contract Bridge |
| Asset Documents | IPFS (immutable) + S3 (cache) | Asset Onboarding, Audit Log |
| Transactions | ClickHouse (analytics) + on-chain | Все сервисы (read), Tx Builder (write) |
| Pricing & NAV | Time-series DB (TimescaleDB) | Pool Service, Oracle Adapter |
| Audit Log | S3 + IPFS hash | Все сервисы (write-only) + audit team |
| User Sessions | Redis Cluster | API Gateway, Identity Service |
8.2 Шифрование
| Тип данных | Шифрование |
|---|---|
| KYC PII (паспортные данные, фото) | AES-256-GCM на уровне столбца, ключи в HSM |
| Финансовые транзакции | TLS 1.3 в транзите, AES-256 at rest |
| Документы в IPFS | AES-256 при загрузке, расшифровка только authorized |
| Backup’ы | AES-256 + GPG signing |
| In-memory чувствительные данные | Memory wiping после use |
8.3 Privacy-preserving аналитика
Для соблюдения GDPR и Закона РА «О защите ПД»: - Аналитика использует pseudonymized данные (replace user ID with hashes); - Data minimization — собирается только строго необходимое; - Retention policy — KYC данные удаляются через 7 лет после прекращения отношений (требование AML); - Right to erasure (GDPR Art. 17) — учтено для нерезидентов; для резидентов РА — в рамках Закона о ПД.
9. ЮР-МАППИНГ АРХИТЕКТУРНЫХ РЕШЕНИЙ
9.1 Соответствие архитектуры законодательству РА
| Архитектурное решение | Норма HO-159-N / Регламент / иной закон |
|---|---|
| Лицензирование CASP по 4 категориям | Ст. 16 п. 1, 3, 5–6 HO-159-N; Регл. 7/01 |
| Минимальный капитал 320 млн AMD | Регл. 7/02 |
| Регистрация руководителей в ЦБ РА | Регл. 7/05 |
| Whitepaper для каждого выпуска токенов | Регл. 7/04 |
| Multi-sig 3-of-5 для кастоди | Best practice + Регл. 7/02 (минимальные требования к капиталу как индикатор операционной зрелости) |
| Регуляторная нода для ЦБ РА | Дух надзорных полномочий ст. 6, 27, 30 HO-159-N |
| Раскрытие NAV пула ежеквартально | Ст. 21 HO-159-N (требования к ART-эмитенту) |
| KYC по AML | Закон РА «О ПОД/ФТ»; FATF Rec. 16 |
| Обременение в Кадастре РА | ГК РА ст. 244–249; Закон РА «О гос. кадастре» ст. 27 |
| Data residency (KYC резидентов в РА) | Закон РА «О защите ПД» (2015) |
| Шифрование персональных данных | Закон РА «О защите ПД»; GDPR (для диаспоры из ЕС) |
| Audit log immutability | Закон РА «О бухучёте»; добросовестная практика |
| Аудит смарт-контрактов | Best practice; добросовестная практика для CASP |
9.2 Соответствие международным стандартам
| Стандарт | Покрытие |
|---|---|
| ISO/IEC 27001:2022 | Полное (планируется сертификация в первый год после запуска) |
| GDPR (для ЕС) | Полное |
| MiCA (ЕС) | Адаптация архитектуры под совместимость с ESMA-стандартами |
| FATF Travel Rule | Полное |
| OWASP ASVS Level 2 | Полное |
| NIST CSF | Покрытие основных функций |
10. ДОРОЖНАЯ КАРТА ВНЕДРЕНИЯ (M0–M12 ДО MAINNET GA)
| Месяц | Milestone | Owner | Бюджет ($) |
|---|---|---|---|
| M0 (май 2026) | Утверждение архитектуры; учреждение СП; CEO + CFO onboarded | CEO | — |
| M1 (июн 2026) | Hire CTO + Lead Solidity. Open GitHub repo. Setup CI/CD skeleton | CEO + CTO | 80k team |
| M2 (июл 2026) | Hire SRE + Backend. Terraform IaC. AWS Frankfurt + Hetzner Yerevan setup | CTO + SRE | 100k team + 20k infra |
| M3 (авг 2026) | CFA1Token (ERC-5192) + PoolEscrow на Polygon Amoy testnet. PWA wallet integration (WalletConnect v2) | Lead Solidity | 130k team |
| M4 (сен 2026) | SeniorTrancheBond (ERC-3643) + JuniorTrancheART + NAVOracle на testnet. Sumsub + Notabene contracts | Lead Solidity + Backend | 130k + 40k KYC |
| M5 (окт 2026) | Pre-audit consulting Trail of Bits ($40k, 6 нед). Регуляторная нода — testnet deploy. Polygon ID v2 integration | CTO + Trail of Bits | 130k + 40k pre-audit |
| M6 (ноя 2026) | Full audit Trail of Bits + OpenZeppelin (parallel). Pen-test #1 infrastructure. ISO 27001 pre-cert audit | External | 130k + 300k audits + 30k pentest |
| M7 (дек 2026) | Address audit findings. Formal verification NAVOracle + PoolEscrow (Certora). React Native MVP build | CTO + Certora | 130k + 150k Certora |
| M8 (янв 2027) | Re-audit findings closure. HSM ceremony в Yerevan (AWS CloudHSM + Yubico cold). Multi-sig signer onboarding (RA-юрфирма + EU trustee) | CTO + Independent Trustees | 130k + 60k HSM |
| M9 (фев 2027) | Mainnet deploy контрактов (read-only, no minting). Lloyd’s insurance binding ($25M). Immunefi bug bounty launch ($100k pool) | CTO + Insurance broker | 130k + 200k insurance + 100k bounty |
| M10 (мар 2027) | First CFA1 mint (pilot 5 активов). Soft-launch регуляторная нода в production. Pen-test #2 | CTO + ЦБ РА liaison | 130k team + 30k pentest |
| M11 (апр 2027) | Senior tranche IPO simulation на testnet. M2 mobile app (Owner Cabinet) beta. Fireblocks MPC onboarding | Backend + Mobile | 130k team |
| M12 (май 2027) | Mainnet GA: First Senior tranche issuance. Series A pitch к ЕБРР / IFC / диаспоральным family offices | CEO + CFO | 130k team |
Кумулятивный Year-1 tech budget: $2.56M (см. §3.9). Time-to-mainnet GA — 12 месяцев с момента закрытия seed funding.
10А. TECHNICAL RISK MATRIX
15 ключевых технических рисков с оценкой Severity (1–5) × Probability (1–5) и митигацией. Score = S × P. Приоритет внимания — Top-3.
| # | Risk | Severity | Probability | Score | Mitigation |
|---|---|---|---|---|---|
| 1 | Smart contract critical vulnerability post-mainnet | 5 | 3 | 15 | 2 independent audits (Trail of Bits + OpenZeppelin) + Certora formal verification + Immunefi bug bounty + 14-day time-lock upgrades |
| 2 | NAV oracle manipulation | 5 | 3 | 15 | 3+ независимых RA-оценщика, median + outlier rejection, slashing reputation, EIP-712 + IPFS evidence, 48h time-lock, time-weighted average для >€100k |
| 3 | Insurance bridge inconsistency (off-chain ≠ on-chain) | 4 | 3 | 12 | EIP-712 signed attestations от страховщика; time-lock 7 days dispute window; multi-sig 3-of-5 override |
| 4 | DDoS на API Gateway | 3 | 3 | 9 | Cloudflare Enterprise WAF + rate limiting + geo-blocking suspicious traffic |
| 5 | Mobile app reverse-engineering / token theft | 3 | 3 | 9 | Firebase App Check + biometric (WebAuthn / Secure Enclave) + WalletConnect v2 (keys не в app) |
| 6 | Multi-sig key compromise (1 ключ) | 4 | 2 | 8 | 3-of-5 threshold tolerates 2 потери; HSM + geographic distribution + quarterly key rotation; 2 internal + 3 external signers |
| 7 | Регуляторная нода ЦБ РА — outage | 4 | 2 | 8 | Active-active deployment Frankfurt + Yerevan; mTLS auth; SLA 99.95%; WebSocket at-least-once delivery |
| 8 | GDPR violation (right to erasure не работает) | 4 | 2 | 8 | Off-chain PII (Hashicorp Vault) + on-chain hash architecture; revocation via Polygon ID v2 |
| 9 | Insider attack (engineer pushes malicious code) | 4 | 2 | 8 | 2-approver code review (signed commits); SIEM monitoring (Datadog/Sentry); GitHub Enterprise audit log |
| 10 | iOS Web Push limitation (диаспора без iOS 16.4+) | 2 | 4 | 8 | Email + Telegram + SMS fallback каналы; APNS через React Native Phase 2 |
| 11 | KYC vendor failure (Sumsub downtime) | 3 | 2 | 6 | Onfido fallback (US/UK) + queue + retry; SLA $1M/год |
| 12 | Custody insurance gap (>$25M Phase 1) | 3 | 2 | 6 | Tiered Lloyd’s + reinsurance layer для >$100M coverage в Phase 2 |
| 13 | Data residency violation (KYC резидентов РА вне РА) | 5 | 1 | 5 | Hard-coded routing rules + audit; Hetzner Yerevan для PII резидентов; Thales Luna Yerevan Phase 2 |
| 14 | Upgradability lock-out (UUPS misconfiguration) | 5 | 1 | 5 | UUPS + Transparent Proxy parallel; Certora formal verification of upgrade paths; immutable after €500M TVL или 36 мес |
| 15 | Polygon PoS chain reorganization / halt | 4 | 1 | 4 | Multi-sig pause функция; bridge-ready migration plan на Avalanche Subnet / Polygon zkEVM; off-chain ledger как source of truth |
Top-3 риска (Score = 15+): 1. Smart contract vulnerability — митигируется dual-audit + formal verification + bug bounty. 2. NAV oracle manipulation — митигируется 3+ оценщика + median + slashing + 48h time-lock. 3. Insurance bridge inconsistency — митигируется EIP-712 + 7-day dispute window.
Общий технологический риск — middle-low при условии адекватного финансирования ($2.56M Y1). Архитектурный риск — low. Главный остающийся риск — execution risk (найм команды) и regulatory engagement (одобрение read-only ноды ЦБ РА до mainnet).
11. ЗАКЛЮЧЕНИЕ
Техническая архитектура Платформы «Ноев Ковчег» построена на:
- Зрелых индустриальных компонентах — никакой экзотики, только проверенные решения;
- Defense-in-depth — многоуровневая защита от технических, операционных и регуляторных рисков;
- Регуляторной готовности — каждое решение мэппится на соответствующую норму HO-159-N или Регламента ЦБ РА;
- Прозрачности — для регулятора (через ноду) и для держателей токенов (через публичный распределённый реестр);
- Масштабируемости — Фаза 1 архитектура поддерживает рост до Фазы 2 без принципиальных переделок;
- DLT-agnosticism — возможность миграции на иную DLT-платформу без переписывания application layer.
Архитектура готова к независимому тех-due-diligence со стороны Минфина РА, Центрального банка РА, ЕБРР, Всемирного банка, IFC и иных институциональных инвесторов.
Подпись: _______________________ Кагиров А.-Х. А. (Аслан Каа), правообладатель и инициатор Дата: «» ______ 2026 г.
© Кагиров Абдул-Хаким Ахмадович, 2026. Документ NK-ARCH-001/2026. Все права защищены в соответствии с Всемирной конвенцией об авторском праве (Женева, 1952) и Бернской конвенцией (1886). Воспроизведение и распространение запрещены без письменного согласия правообладателя.