Крипто обменник SAIKYO

[Saikyo]

Обмен USDT и BTC за рубли — быстро, безопасно, круглосуточно


Способы оплаты


Принимаем оплату по QR-коду через СБП. Платёж проходит как покупка — без пометки «перевод», без лишних вопросов от банка и без риска блокировки карты.


Автоматические выплаты


Криптовалюта отправляется автоматически сразу после подтверждения оплаты. Никаких ожиданий ручной обработки — система работает без участия оператора.


Поддержка 24/7


Сервис доступен круглосуточно, без выходных. На базовые вопросы по обмену, курсу и статусу заявки отвечает ассистент на основе ИИ — мгновенно, в любое время суток. Для сложных вопросов подключается живой оператор.


Наличные в Казани


Работаем с наличными для клиентов в Казани. Приём и выдача в офисе — по предварительной договорённости.


Лимиты

• QR СБП (физические лица): от 5 000 до 250 000 рублей
• Наличные, Казань: от 500 000 рублей
• Межбанковский перевод (ООО / ИП): от 3 000 000 рублей

Для бизнеса


Юридические лица и ИП работают по межбанку с полным пакетом документов: договор, счёт, акт. Индивидуальные условия по курсу и лимитам.

 

[Saikyo]

Как мы строили инфраструктуру крипто-обменника с нуля: архитектурные решения и грабли

Когда запускали SAIKYO, перед нами стоял выбор - взять готовый движок обменника или писать с нуля. Выбрали второй путь. Ниже - честный разбор архитектурных решений, с чем столкнулись и как решили.

Стек и почему именно он

Node.js / Express на бэкенде - выбор очевиден для I/O-heavy сервиса где основная нагрузка это сетевые запросы к блокчейн-нодам, платежным API и AML-провайдерам. PostgreSQL 16 как основное хранилище - надежно, транзакционно, хорошо держит нагрузку. PgBouncer для пулинга соединений - без него при пиковой нагрузке PostgreSQL начинает захлебываться новыми коннектами. Redis для кеша и очередей.

Фронтенд - намеренно без фреймворков, чистый HTML5 и Vanilla JS. Причина простая: никаких лишних зависимостей, никаких CVE в npm-пакетах которые ты не контролируешь, LCP меньше 800мс без оптимизаций.

Главная архитектурная проблема - статусы транзакций

Самое сложное в обменнике - это не курсы и не интеграции, а состояния заявок. Транзакция проходит через десяток состояний: создана, ожидает оплаты, оплата получена, AML-проверка, отправка крипты, подтверждение в блокчейне, завершена. Плюс ветки на каждом этапе - таймаут, ошибка, заморозка на AML.

Если это делать через простые флаги в базе - получаешь залипшие заявки, гонки состояний и транзакции которые навсегда застряли в промежуточном статусе.

Решение - жесткий конечный автомат (FSM). Каждый переход между состояниями атомарный, невалидные переходы запрещены на уровне кода. Заявка не может перепрыгнуть из "ожидает оплаты" в "завершена" минуя промежуточные проверки. Это полностью убрало класс багов с залипшими транзакциями.

Двухконтурное проксирование

Проблема специфическая для РФ - Cloudflare регулярно попадает под блокировки РКН. Если весь трафик идет через CF, российские пользователи периодически получают недоступный сайт.

Решение - два независимых контура.

Контур РФ: выделенный реверс-прокси сервер на российском хостинге. Nginx смотрит на GeoIP, российские IP идут напрямую через него на закрытый origin. Результат - LCP меньше 800мс, аптайм не зависит от РКН.

Глобальный контур: весь остальной трафик через Cloudflare с максимальной защитой - WAF, DDoS-protection, edge-кеширование. Тот же Nginx по GeoIP делает редирект зарубежных IP на global.saikyo.exchange.

Origin намертво закрыт - снаружи не торчит ни одного открытого порта кроме внутренней локалки. Прямой доступ к origin физически невозможен.

Безопасность - что внедрили

JWT с коротким TTL и env-only секретом без fallback. Если JWT_SECRET не задан в окружении - сервис не стартует. Никаких дефолтных секретов в коде.

Генерация всех случайных значений через crypto.randomBytes - не Math.random() который предсказуем.

Rate limiting на всех чувствительных endpoints через Nginx: вход, регистрация, восстановление пароля, отправка кодов. Плюс CrowdSec + Fail2ban на уровне системы.

2FA через TOTP (RFC 6238) с rate limit на emergency reset - 3 попытки в час на IP.

Security headers на всех API endpoints: HSTS, X-Frame-Options, CSP, Referrer-Policy.

Аудит-лог всех действий пользователей в базе с retention 3 года.

AML-интеграция

Каждая входящая транзакция перед зачислением проходит скоринг через Chainalysis и Crystal Blockchain. Шкала риска 0-100, пороги настроены под наш риск-аппетит. При превышении порога - автоматическая приостановка и уход в ручную проверку.

Важный момент который часто упускают: проверяется не только прямой адрес отправителя, но и транзитные адреса на 1-2 уровня глубины. Монеты которые прошли через миксер два хопа назад тоже детектируются.

 

[Sheriff]

Добрый день. Ссылки односторонние ресурсы запрещены. Ваше сообщение было отредактировано.

 

[Saikyo]

Для повышения прозрачности публикуем рекомендательное письмо, выданное компанией TECTRIX SERVICE DMCC в адрес нашего платёжного провайдера - ОсОО «Коин Маркет».

Немного о компании, выдавшей письмо.
TECTRIX SERVICE DMCC (ОАЭ) - технологическая компания, работающая в сфере программного обеспечения, цифровых платежей и финансовых технологий. Компания известна как оператор и разработчик платформы VouWallet, предоставляющей пользователям инструменты для электронных платежей, переводов и работы с цифровыми сервисами.
В опубликованном письме руководство TECTRIX SERVICE DMCC характеризует ОсОО «Коин Маркет» как партнёра, с которым осуществлялось взаимодействие в сфере услуг, связанных с виртуальными активами и обменными операциями.

Понимаем, что данный документ не является независимой экспертизой и не может рассматриваться как подтверждение надёжности нашего обменного сервиса. Тем не менее считаем правильным публиковать материалы, позволяющие пользователям лучше понимать структуру используемой инфраструктуры и отношения между её участниками.
Документ прилагаем.