Платежный шлюз Onchainpay

Разбираем OnChainPay изнутри

Когда бизнес ищет инструмент для приёма криптовалюты, первый вопрос звучит просто: «Кому я доверяю деньги клиентов?» С OnChainPay этот вопрос повисает в воздухе дольше, чем хотелось бы. Сервис позиционирует себя как прозрачный платёжный шлюз с «реальными блокчейн-адресами» — но за маркетинговой упаковкой скрывается куда более сложная картина. Разберём её по слоям.

Что такое OnChainPay: шлюз, кошелёк или что-то третье?

OnChainPay — это не кошелёк в привычном смысле. Частному пользователю здесь делать нечего. Это B2B-платёжный шлюз и инструмент криптоэквайринга, заточенный под конкретные ниши: онлайн-казино, iGaming-платформы, сервисы по подписке и прочий так называемый high-risk бизнес — тот самый, от которого традиционные банки и платёжные системы шарахаются.

Архитектурно сервис работает через API-интеграцию: мерчант подключает шлюз к своей платформе, получает автоматически генерируемые криптоадреса для каждого платежа, принимает средства и выводит их — либо в крипте, либо через фиатный шлюз (SEPA/SWIFT). Дополнительно заявлена поддержка рекуррентных платежей через смарт-контракты — редкая для крипто-шлюзов функция, которую компания активно продвигает.

Тип решения — гибридный. Входящие платежи обрабатываются через адреса, которые генерирует и контролирует сама платформа. Рекуррентные подписки реализованы через Web3-кошелёк пользователя и смарт-контракты — здесь уже ближе к некастодиальной модели. Но об этом подробнее в разделе про безопасность.

Кто стоит за продуктом: литовская компания с большими амбициями

Юридически сервис принадлежит Broex UAB — литовской компании, зарегистрированной 28 января 2022 года в Вильнюсе (код 305996131, адрес: Eišiškių Sodų 18-oji g. 11). Единственный известный публично связанный с проектом человек — Joseph Al-Amir, упоминающийся в LinkedIn как сооснователь.

Компания заявляет о полном соответствии регуляторным требованиям ЕС и литовскому законодательству, а также о наличии VASP-регистрации (оператор обмена виртуальных валют и депозитарных кошельков) в FNTT — Службе расследования финансовых преступлений Литвы. Однако публично верифицировать эту регистрацию через открытые реестры на момент анализа не удалось. Это само по себе — уже повод для вопросов.

Финансовая картина выглядит неожиданно скромно для компании, заявляющей об обработке «более $1 млрд»: по данным Rekvizitai.lt, оборот Broex UAB в 2025 году составил около 4 500 € при убытке порядка 14 000 €. Уставный капитал — 125 000 €. Инвесторы не раскрыты. Команда публично не представлена.

Прослеживается связь с экосистемой NuxGame — iGaming-платформой, что косвенно подтверждает фокус на гемблинг-индустрию. Broex параллельно позиционируется как криптобиржа/брокер, а OnChainPay — фактически их B2B-подразделение.

Противоречие между заявленными масштабами и реальными финансовыми показателями компании — один из самых заметных красных флагов в этом обзоре.

Как работает шлюз: механика под капотом

Генерация адресов и движение средств

Когда мерчант создаёт платёжный ордер, платформа автоматически генерирует уникальный криптоадрес для этой транзакции. Маркетинг называет это «реальными блокчейн-адресами» в противовес «синтетическим записям» конкурентов. Технически это правда — адреса действительно существуют в блокчейне.

Но вот ключевой момент, который маркетинговые материалы намеренно затушёвывают: приватные ключи от этих адресов генерирует и хранит сама платформа. Мерчант не получает seed-фразу. Он не контролирует ключи. Согласно пользовательскому соглашению, адреса «полностью принадлежат клиенту» — но это юридическая формулировка, а не техническая реальность. Фактически это кастодиальная модель с красивой некастодиальной риторикой.

Вывод средств происходит из централизованного баланса платформы. Платформа управляет advance balance — предоплаченным резервом, из которого списываются комиссии и сетевые сборы.

Рекуррентные платежи

Здесь история другая. Для подписок OnChainPay использует смарт-контракты и Web3-кошелёк конечного пользователя — то есть пользователь сам подписывает разрешение на списание. Это ближе к настоящей некастодиальной логике. Однако аудит этих смарт-контрактов в открытом доступе отсутствует — проверить корректность кода невозможно.

Зависимость от сторонней инфраструктуры

Пользовательское соглашение прямо упоминает возможные простои из-за сторонних провайдеров — KYT-сервисов, обменников, бридж-провайдеров. При падении любого из них бизнес мерчанта останавливается. Какие именно партнёры задействованы — не раскрывается.

Поддерживаемые криптовалюты и сети

Сервис поддерживает основные сети и активы:

• Bitcoin (BTC)

• Ethereum (ETH) и токены ERC-20

• TRON (TRX) и токены TRC-20 — включая USDT, что критично для iGaming

• BNB Smart Chain (BSC)

• Solana (SOL)

• Litecoin (LTC)

• Bitcoin Cash (BCH)

• Dash (DASH)

• Стейблкоины: USDT, USDC в нескольких сетях

NFT, стейкинг, DeFi-протоколы — не поддерживаются. Это платёжный инструмент, а не мультифункциональный кошелёк. Для своей ниши набор сетей достаточный — TRON/USDT здесь особенно важен, поскольку именно эта связка доминирует в расчётах iGaming-платформ.

Список сетей и токенов может меняться — актуальную информацию стоит уточнять на официальном сайте.

Основные функции: что умеет платформа

Приём платежей

Ключевая функция. Мерчант через API получает уникальный адрес для каждого платежа, средства поступают автоматически. Заявлен 99,9% success rate — цифра не подтверждена независимыми источниками.

Выплаты (Payouts)

Автоматические массовые выплаты через API. Заявлено отсутствие дневных лимитов на вывод — важное преимущество для высокооборотных платформ.

Рекуррентные платежи

Подписочная модель через смарт-контракты. Пользователь один раз подписывает разрешение — дальнейшие списания происходят автоматически. Редкая функция для крипто-шлюзов.

Обмен и конвертация

Встроенный cross-chain swap и конвертация крипто-фиат. Провайдеры обменов не раскрыты. Комиссии включают как сервисный сбор платформы, так и комиссию стороннего провайдера — итоговый спред непрозрачен.

Фиатный вывод

Через партнёров Broex — SEPA/SWIFT. Какие именно банки-корреспонденты участвуют в цепочке, не раскрывается. Это потенциальная точка отказа: банки всё активнее блокируют переводы от крипто-компаний.

API и интеграция

Открытый PHP API-клиент на GitHub — единственный публично доступный код. Документация для разработчиков заявлена, но полный доступ — только после регистрации и прохождения верификации.

Чего нет

Мобильного приложения, браузерного расширения, десктопного клиента, поддержки аппаратных кошельков (Ledger, Trezor), NFT, стейкинга, адресной книги для конечных пользователей.

Безопасность и хранение ключей: самый тревожный раздел

Честный разговор о безопасности OnChainPay — это разговор об отсутствии доказательств, а не об их наличии.

Кастодиальность: маркетинг против реальности

Платформа активно использует язык Web3 и «децентрализации». На деле — полный кастодиальный контроль над адресами входящих платежей. Приватные ключи у пользователя отсутствуют. Seed-фраза не выдаётся. Средства на балансе платформы — это не ваши средства в блокчейн-смысле, это обязательство компании перед вами.

Аудиты

Публичных аудитов безопасности — ни инфраструктуры, ни смарт-контрактов — не существует. Ни одного отчёта от Tier-1 компаний вроде CertiK, Hacken, Trail of Bits или OpenZeppelin в открытом доступе нет. Для платёжного шлюза, заявляющего об обработке миллиарда долларов, это серьёзный пробел.

Bug bounty

Официальной программы на Immunefi, HackerOne или Bugcrowd не обнаружено. Нет и собственного disclosure portal.

Open source

Закрытый исходный код. Единственное исключение — PHP-клиент для API на GitHub с минимальной активностью. Ни архитектура хранения ключей, ни логика управления балансами, ни смарт-контракты для подписок публично не верифицированы.

Заявленные меры защиты

По данным сайта и ToS: 2FA, IP-whitelisting для API, лимиты на вывод, KYT-мониторинг транзакций в реальном времени. Используется ли HSM (Hardware Security Module), MPC (Multi-Party Computation) или multisig для хранения ключей — не раскрывается.

Инциденты

Крупных публичных взломов или утечек данных, связанных именно с OnChainPay, на момент анализа не зафиксировано. Но низкая публичная видимость сервиса означает и низкую наблюдаемость — отсутствие известных инцидентов не равно их отсутствию.

Комиссии и стоимость использования: непрозрачная зона

Публичного прайс-листа нет. Это само по себе — красный флаг.

Что известно из ToS и косвенных источников:

• Модель: процент от оборота (предположительно 0,5–1%) плюс сетевые комиссии

• Сетевые сборы списываются из advance balance мерчанта

• При обменах и конвертации добавляется комиссия стороннего провайдера — итоговый спред непрозрачен

• Фиатный вывод через SEPA/SWIFT — дополнительные расходы, размер не раскрыт

• Подписки через смарт-контракты — отдельная тарификация

Детальные сетки комиссий доступны только после регистрации и прохождения верификации аккаунта. Это стандартная практика для B2B-шлюзов, но в сочетании с отсутствием базовых ориентиров на сайте — создаёт дополнительную неопределённость при оценке реальной стоимости сервиса.

Заявление «lowest transaction fees» на сайте — маркетинговое утверждение без подтверждения.

Удобство интерфейса и пользовательский опыт

Для разработчиков

API-документация заявлена как удобная и полная. PHP-клиент на GitHub — единственный публично проверяемый артефакт. Насколько документация действительно удобна — оценить без прохождения регистрации невозможно.

Для бизнеса

Веб-интерфейс личного кабинета, история транзакций, управление выплатами. Мобильного приложения нет — работа только через браузер или API.

Техподдержка

Форматы поддержки публично не описаны. Отзывов о качестве поддержки в открытых источниках практически нет.

Отзывы пользователей

На Trustpilot профиль отсутствует или пустой. В App Store и Google Play — нет приложений. На Reddit и X — единичные упоминания, не связанные с реальным пользовательским опытом. Жалобы на родственный бренд Broex касаются задержек верификации и блокировок по AML-запросам.

Фактически независимая репутация сервиса — нулевая. При заявленном объёме в $1 млрд+ это выглядит крайне странно.

Плюсы и минусы: честный счёт

Сильные стороны

• Рекуррентные платежи через смарт-контракты — редкая и востребованная функция для подписочных сервисов

• Фокус на high-risk — готовность работать с iGaming и другими нишами, от которых отказываются крупные шлюзы

• Фиатный вывод через SEPA/SWIFT — важно для мерчантов, которым нужен выход в традиционные финансы

• Отсутствие дневных лимитов на вывод — заявленное преимущество для высокооборотных платформ

• EU-юрисдикция — хотя бы формальный регуляторный контур

Слабые стороны

• Кастодиальный контроль над ключами при некастодиальном маркетинге

• Нет публичных аудитов безопасности — ни инфраструктуры, ни смарт-контрактов

• Непрозрачные комиссии — реальную стоимость узнаёшь только после регистрации

• Крошечная компания с убытками при громких заявлениях о масштабе

• Нулевая независимая репутация — ни отзывов, ни медийного следа

• Неверифицированная лицензия — заявления о VASP-регистрации публично не подтверждены

• Полная зависимость от сторонних провайдеров KYT, обменников и банков

Компромиссы

Сервис предлагает скорость входа и специализацию на нише в обмен на прозрачность и проверяемость. Для небольшого iGaming-стартапа, которому нужно быстро запустить крипто-приём, это может быть приемлемо. Для компании с серьёзным комплаенс-отделом — нет.

Сравнение с конкурентами

BitPay

Работает с 2011 года, американская юрисдикция, публичные аудиты, тысячи верифицированных отзывов. Ориентирован на легальный ретейл и luxury-сегмент. Прозрачная тарификация. Проигрывает OnChainPay в готовности работать с high-risk нишами. Выигрывает по всем параметрам прозрачности и репутации.

CoinsPaid

Эстонская юрисдикция, специализация на iGaming — прямой конкурент. Публичные аудиты есть. Известен инцидентом 2023 года (взлом через социальную инженерию, потери $37 млн) — но компания раскрыла инцидент публично и продолжила работу. Это парадоксально, но прозрачность в кризисе говорит о зрелости больше, чем тишина. Выигрывает у OnChainPay по репутации и проверяемости.

NOWPayments

Популярный шлюз с прозрачными комиссиями, большим числом поддерживаемых монет, публичными отзывами. Менее специализирован на iGaming. Выигрывает по открытости и пользовательскому опыту.

Coinbase Commerce

Американская юрисдикция, институциональная надёжность, строгий KYC. Не работает с high-risk. Выигрывает по безопасности и репутации, проигрывает по доступности для специфических ниш.

Итог сравнения

OnChainPay занимает нишу, где конкуренция невысока — high-risk + рекуррентные крипто-платежи. Но по стандартам прозрачности, репутации и проверяемости уступает всем перечисленным конкурентам.

Кому подойдёт этот шлюз

Потенциально подходит:

• iGaming-платформам и онлайн-казино, которым нужен быстрый крипто-эквайринг

• Подписочным сервисам, заинтересованным в рекуррентных крипто-платежах

• Бизнесу, которому отказали традиционные платёжные системы

• Командам, готовым к полному KYB и принимающим кастодиальные риски

Категорически не подходит:

• Частным пользователям — это не кошелёк для хранения

• Компаниям с жёсткими требованиями к комплаенсу и аудиту

• Бизнесу, которому важна самостоятельность в управлении ключами

• Пользователям из санкционно-чувствительных юрисдикций

• Тем, кто хранит крупные суммы — custodial риск неприемлем

• Privacy-ориентированным пользователям

Основные риски и на что обратить внимание

Регуляторные

Литва последовательно ужесточает требования к VASP. Если Broex UAB не имеет надлежащей лицензии или потеряет её — сервис может прекратить работу в любой момент. Средства мерчантов окажутся в подвешенном состоянии.

Кастодиальные

Банкротство или «экзит» Broex UAB означает потерю доступа к средствам на балансе. Нет подтверждений наличия страхового фонда, сегрегации активов или cold storage.

AML-блокировки

Транзакции, прошедшие через миксеры или «грязные» биржи, могут вызвать автоматическую заморозку. Политика разморозки не раскрыта.

Санкционные

Сервис соблюдает санкционные списки ЕС. Аккаунты из запрещённых юрисдикций (США, Россия, Китай и другие) блокируются. Внезапная заморозка без предупреждения — реальный сценарий.

Технические

Полная зависимость от сторонних провайдеров: при падении KYT-сервиса, обменника или банка-корреспондента платёжная цепочка рвётся. Нет публичного status page.

Инсайдерские

Кастодиальная модель означает, что сотрудники сервиса технически имеют доступ к средствам. Без аудитов и прозрачной архитектуры оценить этот риск невозможно.

Фишинг и социальная инженерия

Низкая публичная узнаваемость бренда — парадоксально — снижает риск целевого фишинга. Но отсутствие anti-phishing кодов и прозрачной политики безопасности оставляет пользователей без инструментов защиты.

Итог: взвешенный вердикт

OnChainPay — это специализированный инструмент для узкой ниши, построенный компанией с минимальной публичной историей и максимальными амбициями. Сервис решает реальную проблему: high-risk бизнесу действительно нужны крипто-шлюзы, и рекуррентные платежи через смарт-контракты — это честное технологическое преимущество.

Но между тем, что компания заявляет, и тем, что можно проверить независимо, — пропасть. Нет аудитов. Нет прозрачных комиссий. Нет верифицированной лицензии. Нет независимых отзывов. Нет публичной команды. Финансовые показатели компании разительно расходятся с заявленными объёмами обработки.

Оценка: 4 из 10.

Не потому что доказан скам — доказательств этого нет. А потому что для финансового сервиса, которому вы передаёте контроль над средствами клиентов, такой уровень непрозрачности — это уже сам по себе риск.

Рекомендация: если рассматриваете OnChainPay для бизнеса — начните с малых тестовых объёмов, параллельно проведите юридическую проверку лицензии Broex UAB в литовских реестрах, запросите у компании отчёты об аудите и архитектуру хранения ключей. Отсутствие ответов на эти вопросы само по себе будет ответом.

Для серьёзных объёмов и долгосрочного планирования — CoinsPaid или BitPay предлагают сопоставимую функциональность при значительно более высоком уровне проверяемости.