CMWiki
June 9, 2021

Криптокошельки

Какие бывают, уровни защиты и правила безопасности

Крипту, ожидаемо, хранят на криптокошельках (или на биржах, но сегодня не об этом).


На самом деле не совсем так. Криптовалюты по факту “находятся” в блокчейне проекта, чьи монеты/токены ты приобрел. А в кошельках только данные доступа к твоим активам. Но принято говорить "хранят".

Типы криптокошельков:

  • виртуальные — десктопные, мобильные и веб-кошельки
  • физические — аппаратные, бумажные

По сути любой кошелек — программа, интегрированная в приложение, биржу или физический носитель.

Также кошельки делят на “горячие” и “холодные”. Холодные к интернету не подключены. Т.е. владелец может это сделать, но соединение не нужно для работы кошелька. А горячие — например, мобильные и веб-версии все время подключены к сети.

Кошельки бывают моно- и мультивалютные. Например, только для битка или эфира. А есть поддерживающие тысячи криптовалют одновременно.

Адреса, явки, пароли

У любого кошелька — неважно виртуального или аппаратного, есть ключи: публичный и приватный, а также секретная (seed) фраза.

Публичный ключ — адрес кошелька, ты его указываешь для перевода или вывода средств. Состоит из случайного набора букв, цифр и символов. Адрес доступен всем в блокчейне. Т.е, если ты знаешь чей-то кошелек, можно посмотреть все транзакции.

Для каждого блокчейна свой эксплорер. Кошельки, работающие на блокчейне эфира смотрят на Etherscan. У Binance Smart Chain — Bscscan, у трона — Tronscan. А Blockchair поддерживает просмотр десятка блокчейнов и их адресов.

Вот, к примеру, Виталик Бутерин вытаскивает пул ликвидности SHIB. Полностью эта захватывающая история, кстати, здесь там много транзакций и все их видно.

Закрытый (приватный) ключ — тоже случайным образом сгенерированный набор символов. Но это твой пароль, он не доступен в блокчейне и не надо его никому показывать.

В одном кошельке может быть несколько адресов, у каждого генерируется публичный и приватный ключ. По аналогии с банком: аккаунт один, а счетов внутри несколько.

Например, когда регистрируешься в веб-кошельке MetaMask один адрес создается по умолчанию. Но можно добавить еще вручную. И заблокировать один из адресов, если он скомпрометирован.

Секретная фраза (seed-фраза) генерируется из случайных слов (от 12 до 24). Это — твой доступ к управлению всеми адресами (кошельку).

Фраза дается лишь раз, если ты ее не записал или потерял, прощайте все активы. Доступ восстановить невозможно.

Виртуальные криптокошельки

Десктопные (локальные) устанавливаются на комп. Есть тяжелые и легкие версии. Тяжелые при первом входе скачивают и хранят весь блокчейн актива (порядка 200 ГБ места на диске). При следующих входах добавляются лишь новые блоки.

Легкие версии хранят только данные о твоих транзакциях и постоянно подключаются к сети для перепроверки.

Примеры: Electrum, Armory

Мобильные кошельки, ожидаемо, существуют в виде приложений для IOS и Android. Считаются надежнее, чем полностью виртуальные версии, но более уязвимы, чем десктоп. Недостаток в том, что приватный ключ и/или seed хранится в твоем смартфоне. Если ты потерял телефон, нашедший его может получить доступ к активам.

Но для быстрых операций они, конечно, удобнее физических или декстопных.

Пример: Trust Wallet

Веб-кошельки — качать ничего не нужно, взаимодействуешь через интернет (или ставишь расширение в браузер). Хранить объемы крипты и сбережения на онлайн-кошельках не стоит. Считается, что это наиболее уязвимый для взлома вариант.

Примеры: MetaMask, 1inch

Такие кошельки легко подключаются к криптобиржам, не хранят твои личные данные (правда, браузер хранит, но об этом в следующий раз).

1inch, кстати, не только кошелек, но и агрегатор децентрализованных криптобирж и обменников — ищет путь, где тебе будет выгоднее поменять твои токены.

🔗 Чем отличаются CEX и DEX биржи

Физические криптокошельки

Про бумажные даже рассказывать не будем — прошлый век.

Самые популярные физические (аппаратные) кошельки — Ledger и Trezor. Визуально напоминают флешки. Существуют разные модели, вдаваться в детали сейчас не будем — на сайтах магазинов, где они продаются, все расписано.

На сегодняшний день аппаратные кошельки — самый надежный способ хранения средств.

Смысл в том, что они не подключены к интернету (холодные), а значит не уязвимы для хакерских атак. Дополнительная защита устройства обеспечивается PIN-кодом, а в некоторых моделях еще и отпечатком пальца. Т.е. если ты потерял кошелек, нашедший не получит доступ к твоим средствам — без PIN-кода это просто кусок железа.

Есть кошельки, где все операции делаются только на дисплее самого устройства, либо управляющиеся специальным ПО с компа или смартфона.

ПО работает безопасно. Например, при вводе данных (seed или PIN-кода) они не отображаются на экране, только на дисплее кошелька. На случай, если кто-то взломал комп и считывает инфу с экрана.

Самое прекрасное, что при утрате физического кошелька, активы ты не теряешь. Доступ восстанавливается с помощью все той же seed-фразы — ее можно ввести в любой удобный тебе кошелек (аппаратный или программный — без разницы).

Но вот если потерял seed-фразу, тогда, да, беда. История знает немало печальных случаев.

Общие правила безопасности

  • Не теряй ключи и seed-фразу! Запомнить бессмысленный набор символов и слов невозможно, сохранить придется. Но не на компе или телефоне — одна хакерская атака и мошенники получают доступ к твоим средствам.
  • Как ни странно, блокнот — самый надежный способ хранить ключи в 21 веке. Запиши и спрячь дома. Если бывают посторонние, в банковской ячейке. А лучше зафиксировать seed на нескольких носителях: бумаге, флешке, на жестком диске и попрятать по разным местам. Ledger, например, продает неубиваемую капсулу — хоть в огороде закопай.
  • Не пользуйся кошельком (ни физическим, ни веб) с чужих или публичных устройств.
  • Сделай отдельный email для действий с криптовалютой. Этот адрес должен знать только ты, не используй ни для чего другого, поставь двухфакторную аутентификацию. Заводи gmail и забудь про mail и yandex — gmail более взломостойкий.
  • Сдаешь девайс в ремонт? Выйди из всех аккаунтов, вынь sim-карту и жесткий диск с компа. В идеале самому уметь чинить устройства, использующиеся для операций с криптовалютами.
  • Не рассказывай направо и налево, как много бабла ты поднял на крипте. Среди слушателей могут оказаться ребята, чье внимание к твоим средствам совсем не нужно. И хакеры они, или нет — не важно — старый добрый грабеж с насилием или шантажом никто не отменял.

Вывод

Сбережения храни на холодном аппаратном (физическом) кошельке, на худой конец на десктопе. Мобильными и веб-версиями пользуйся для оперативного взаимодействия — быстрого ввода и вывода средств и торговли на биржах.

И не теряй приватные ключи и тем более seed-фразы, ради всего святого 😂