Крипто обменник SAIKYO

[Saikyo]

Обмен USDT и BTC за рубли — быстро, безопасно, круглосуточно


Способы оплаты


Принимаем оплату по QR-коду через СБП. Платёж проходит как покупка — без пометки «перевод», без лишних вопросов от банка и без риска блокировки карты.


Автоматические выплаты


Криптовалюта отправляется автоматически сразу после подтверждения оплаты. Никаких ожиданий ручной обработки — система работает без участия оператора.


Поддержка 24/7


Сервис доступен круглосуточно, без выходных. На базовые вопросы по обмену, курсу и статусу заявки отвечает ассистент на основе ИИ — мгновенно, в любое время суток. Для сложных вопросов подключается живой оператор.


Наличные в Казани


Работаем с наличными для клиентов в Казани. Приём и выдача в офисе — по предварительной договорённости.


Лимиты

• QR СБП (физические лица): от 5 000 до 250 000 рублей
• Наличные, Казань: от 500 000 рублей
• Межбанковский перевод (ООО / ИП): от 3 000 000 рублей

Для бизнеса


Юридические лица и ИП работают по межбанку с полным пакетом документов: договор, счёт, акт. Индивидуальные условия по курсу и лимитам.

 

[Saikyo]

Как мы строили инфраструктуру крипто-обменника с нуля: архитектурные решения и грабли

Когда запускали SAIKYO, перед нами стоял выбор - взять готовый движок обменника или писать с нуля. Выбрали второй путь. Ниже - честный разбор архитектурных решений, с чем столкнулись и как решили.

Стек и почему именно он

Node.js / Express на бэкенде - выбор очевиден для I/O-heavy сервиса где основная нагрузка это сетевые запросы к блокчейн-нодам, платежным API и AML-провайдерам. PostgreSQL 16 как основное хранилище - надежно, транзакционно, хорошо держит нагрузку. PgBouncer для пулинга соединений - без него при пиковой нагрузке PostgreSQL начинает захлебываться новыми коннектами. Redis для кеша и очередей.

Фронтенд - намеренно без фреймворков, чистый HTML5 и Vanilla JS. Причина простая: никаких лишних зависимостей, никаких CVE в npm-пакетах которые ты не контролируешь, LCP меньше 800мс без оптимизаций.

Главная архитектурная проблема - статусы транзакций

Самое сложное в обменнике - это не курсы и не интеграции, а состояния заявок. Транзакция проходит через десяток состояний: создана, ожидает оплаты, оплата получена, AML-проверка, отправка крипты, подтверждение в блокчейне, завершена. Плюс ветки на каждом этапе - таймаут, ошибка, заморозка на AML.

Если это делать через простые флаги в базе - получаешь залипшие заявки, гонки состояний и транзакции которые навсегда застряли в промежуточном статусе.

Решение - жесткий конечный автомат (FSM). Каждый переход между состояниями атомарный, невалидные переходы запрещены на уровне кода. Заявка не может перепрыгнуть из "ожидает оплаты" в "завершена" минуя промежуточные проверки. Это полностью убрало класс багов с залипшими транзакциями.

Двухконтурное проксирование

Проблема специфическая для РФ - Cloudflare регулярно попадает под блокировки РКН. Если весь трафик идет через CF, российские пользователи периодически получают недоступный сайт.

Решение - два независимых контура.

Контур РФ: выделенный реверс-прокси сервер на российском хостинге. Nginx смотрит на GeoIP, российские IP идут напрямую через него на закрытый origin. Результат - LCP меньше 800мс, аптайм не зависит от РКН.

Глобальный контур: весь остальной трафик через Cloudflare с максимальной защитой - WAF, DDoS-protection, edge-кеширование. Тот же Nginx по GeoIP делает редирект зарубежных IP на global.saikyo.exchange.

Origin намертво закрыт - снаружи не торчит ни одного открытого порта кроме внутренней локалки. Прямой доступ к origin физически невозможен.

Безопасность - что внедрили

JWT с коротким TTL и env-only секретом без fallback. Если JWT_SECRET не задан в окружении - сервис не стартует. Никаких дефолтных секретов в коде.

Генерация всех случайных значений через crypto.randomBytes - не Math.random() который предсказуем.

Rate limiting на всех чувствительных endpoints через Nginx: вход, регистрация, восстановление пароля, отправка кодов. Плюс CrowdSec + Fail2ban на уровне системы.

2FA через TOTP (RFC 6238) с rate limit на emergency reset - 3 попытки в час на IP.

Security headers на всех API endpoints: HSTS, X-Frame-Options, CSP, Referrer-Policy.

Аудит-лог всех действий пользователей в базе с retention 3 года.

AML-интеграция

Каждая входящая транзакция перед зачислением проходит скоринг через Chainalysis и Crystal Blockchain. Шкала риска 0-100, пороги настроены под наш риск-аппетит. При превышении порога - автоматическая приостановка и уход в ручную проверку.

Важный момент который часто упускают: проверяется не только прямой адрес отправителя, но и транзитные адреса на 1-2 уровня глубины. Монеты которые прошли через миксер два хопа назад тоже детектируются.

 

[Sheriff]

Добрый день. Ссылки односторонние ресурсы запрещены. Ваше сообщение было отредактировано.

 

[Saikyo]

Для повышения прозрачности публикуем рекомендательное письмо, выданное компанией TECTRIX SERVICE DMCC в адрес нашего платёжного провайдера - ОсОО «Коин Маркет».

Немного о компании, выдавшей письмо.
TECTRIX SERVICE DMCC (ОАЭ) - технологическая компания, работающая в сфере программного обеспечения, цифровых платежей и финансовых технологий. Компания известна как оператор и разработчик платформы VouWallet, предоставляющей пользователям инструменты для электронных платежей, переводов и работы с цифровыми сервисами.
В опубликованном письме руководство TECTRIX SERVICE DMCC характеризует ОсОО «Коин Маркет» как партнёра, с которым осуществлялось взаимодействие в сфере услуг, связанных с виртуальными активами и обменными операциями.

Понимаем, что данный документ не является независимой экспертизой и не может рассматриваться как подтверждение надёжности нашего обменного сервиса. Тем не менее считаем правильным публиковать материалы, позволяющие пользователям лучше понимать структуру используемой инфраструктуры и отношения между её участниками.
Документ прилагаем.

 

[Saikyo]

Обновление AML-чекера
Доработали эвристики по фидбеку из первых тестов:
TRX/TRON - раньше проверка контрагентов по blacklist не работала для TRC20-адресов (пустой граф связей).Теперь парсим все TRC20-трансферы: извлекаем отправителей/получателей, считаем объёмы, определяем дату последней активности. Dormant wake-up и peeling chain теперь работают и для TRON.
ETH - добавили подсчёт реальных объёмов (totalReceived/totalSent) из истории транзакций. Раньше peeling chain и zero-balance хевристики не срабатывали на ETH из-за нулевых данных.
Counterparty OFAC - новая проверка: если ваши контрагенты (адреса, с которыми вы взаимодействовали) есть в санкционном списке OFAC - это отдельный штраф к score. Раньше OFAC проверялся только для самого адреса.
Напоминаем: это бета, если нашли адрес с некорректной оценкой - пишите


Tornado Cash (ETH, OFAC):
0x8589427373D6D84E98730D7795D8f6f8731FDA16




Garantex (TRX, OFAC):
TKHuVq1oKVruCGLvqVexFs6dawKv6fQgFs




Garantex (ETH, OFAC):
0x6cC5F688a315f3dC28A7781717a9A798a59fDA7c



Hydra Market (BTC):
bc1q9h6yfdfsl4z6gj7yvfxfm7e5p5d2j5ksz4ks5w

 

[Saikyo]

Запускаем SAIKYO Charity - прозрачная благотворительность на блокчейне
Мы строим обменник не только ради денег. Часть усилий направляем туда, где они нужны больше всего - в помощь приютам для бездомных животных.
Запустили отдельный раздел на сайте: !!!УДАЛЕНО!!!
Как это работает
Мы принимаем пожертвования в USDT TRC20 на публичный кошелёк. Каждый перевод фиксируется в блокчейне - любой может проверить через Tronscan. Никаких "поверьте на слово". Вся бухгалтерия открыта: сколько собрали, сколько транзакций, сколько передали приюту в рублях.
На странице в реальном времени:

• Общая сумма сборов (USDT)
• Количество пожертвований
• Сколько рублей передано приюту
• Прогресс-бар текущей цели
• Полная история передач с датами, курсом конвертации и суммой в рублях
• Фотоотчёты после каждой передачи

Текущая цель: корм на месяц - 15 000 ₽
Первая цель простая и конкретная - обеспечить приют кормом на месяц. Прогресс виден на странице. Когда цель закрыта - ставим следующую, публикуем фотоотчёт и акт передачи.
Почему именно животные
Приюты для бездомных животных - одна из самых недофинансированных сфер благотворительности. Крупные фонды собирают на медицину, образование, экологию. А приюты выживают на энтузиазме волонтёров и случайных переводах. При этом расходы конкретные и проверяемые: корм, лекарства, стерилизация, содержание. Каждый рубль можно отследить.
Почему крипта
Фиатная благотворительность - это отчёты в PDF, которые никто не проверяет. Крипта решает проблему доверия на уровне протокола. Кошелёк публичный, транзакции неизменяемы, баланс виден любому. Мы не просим верить - мы даём проверить.
Зачем обменнику благотворительность
Честно: мы не пытаемся купить репутацию за чужие деньги. Сбор идёт на отдельный кошелёк, не связанный с операционной деятельностью. Мы просто считаем, что если у тебя есть платформа и аудитория - глупо это не использовать для чего-то полезного.
Крипто-комьюнити традиционно щедрое - вспомните сборы после землетрясений, пожары, гуманитарные кризисы. Мы просто даём инструмент, а блокчейн обеспечивает прозрачность.
Кошелёк для пожертвований (USDT TRC20):
!!!УДАЛЕНО!!!
Страница проекта: !!!УДАЛЕНО!!!
Сайт: !!!УДАЛЕНО!!!
Тгк: !!!УДАЛЕНО!!!

 

[Sheriff]

Добрый день. В очередной раз предупреждаем, что ссылки односторонние ресурсы запрещены. Ваше сообщение было отредактировано.