Криптокошельки
Какие бывают, уровни защиты и правила безопасности
Крипту, ожидаемо, хранят на криптокошельках (или на биржах, но сегодня не об этом).
На самом деле не совсем так. Криптовалюты по факту “находятся” в блокчейне проекта, чьи монеты/токены ты приобрел. А в кошельках только данные доступа к твоим активам. Но принято говорить "хранят".
Типы криптокошельков:
- виртуальные — десктопные, мобильные и веб-кошельки
- физические — аппаратные, бумажные
По сути любой кошелек — программа, интегрированная в приложение, биржу или физический носитель.
Также кошельки делят на “горячие” и “холодные”. Холодные к интернету не подключены. Т.е. владелец может это сделать, но соединение не нужно для работы кошелька. А горячие — например, мобильные и веб-версии все время подключены к сети.
Кошельки бывают моно- и мультивалютные. Например, только для битка или эфира. А есть поддерживающие тысячи криптовалют одновременно.
Адреса, явки, пароли
У любого кошелька — неважно виртуального или аппаратного, есть ключи: публичный и приватный, а также секретная (seed) фраза.
Публичный ключ — адрес кошелька, ты его указываешь для перевода или вывода средств. Состоит из случайного набора букв, цифр и символов. Адрес доступен всем в блокчейне. Т.е, если ты знаешь чей-то кошелек, можно посмотреть все транзакции.
Для каждого блокчейна свой эксплорер. Кошельки, работающие на блокчейне эфира смотрят на Etherscan. У Binance Smart Chain — Bscscan, у трона — Tronscan. А Blockchair поддерживает просмотр десятка блокчейнов и их адресов.
Вот, к примеру, Виталик Бутерин вытаскивает пул ликвидности SHIB. Полностью эта захватывающая история, кстати, здесь там много транзакций и все их видно.
Закрытый (приватный) ключ — тоже случайным образом сгенерированный набор символов. Но это твой пароль, он не доступен в блокчейне и не надо его никому показывать.
В одном кошельке может быть несколько адресов, у каждого генерируется публичный и приватный ключ. По аналогии с банком: аккаунт один, а счетов внутри несколько.
Например, когда регистрируешься в веб-кошельке MetaMask один адрес создается по умолчанию. Но можно добавить еще вручную. И заблокировать один из адресов, если он скомпрометирован.
Секретная фраза (seed-фраза) генерируется из случайных слов (от 12 до 24). Это — твой доступ к управлению всеми адресами (кошельку).
Фраза дается лишь раз, если ты ее не записал или потерял, прощайте все активы. Доступ восстановить невозможно.
Виртуальные криптокошельки
Десктопные (локальные) устанавливаются на комп. Есть тяжелые и легкие версии. Тяжелые при первом входе скачивают и хранят весь блокчейн актива (порядка 200 ГБ места на диске). При следующих входах добавляются лишь новые блоки.
Легкие версии хранят только данные о твоих транзакциях и постоянно подключаются к сети для перепроверки.
Мобильные кошельки, ожидаемо, существуют в виде приложений для IOS и Android. Считаются надежнее, чем полностью виртуальные версии, но более уязвимы, чем десктоп. Недостаток в том, что приватный ключ и/или seed хранится в твоем смартфоне. Если ты потерял телефон, нашедший его может получить доступ к активам.
Но для быстрых операций они, конечно, удобнее физических или декстопных.
Пример: Trust Wallet
Веб-кошельки — качать ничего не нужно, взаимодействуешь через интернет (или ставишь расширение в браузер). Хранить объемы крипты и сбережения на онлайн-кошельках не стоит. Считается, что это наиболее уязвимый для взлома вариант.
Такие кошельки легко подключаются к криптобиржам, не хранят твои личные данные (правда, браузер хранит, но об этом в следующий раз).
1inch, кстати, не только кошелек, но и агрегатор децентрализованных криптобирж и обменников — ищет путь, где тебе будет выгоднее поменять твои токены.
🔗 Чем отличаются CEX и DEX биржи
Физические криптокошельки
Про бумажные даже рассказывать не будем — прошлый век.
Самые популярные физические (аппаратные) кошельки — Ledger и Trezor. Визуально напоминают флешки. Существуют разные модели, вдаваться в детали сейчас не будем — на сайтах магазинов, где они продаются, все расписано.
На сегодняшний день аппаратные кошельки — самый надежный способ хранения средств.
Смысл в том, что они не подключены к интернету (холодные), а значит не уязвимы для хакерских атак. Дополнительная защита устройства обеспечивается PIN-кодом, а в некоторых моделях еще и отпечатком пальца. Т.е. если ты потерял кошелек, нашедший не получит доступ к твоим средствам — без PIN-кода это просто кусок железа.
Есть кошельки, где все операции делаются только на дисплее самого устройства, либо управляющиеся специальным ПО с компа или смартфона.
ПО работает безопасно. Например, при вводе данных (seed или PIN-кода) они не отображаются на экране, только на дисплее кошелька. На случай, если кто-то взломал комп и считывает инфу с экрана.
Самое прекрасное, что при утрате физического кошелька, активы ты не теряешь. Доступ восстанавливается с помощью все той же seed-фразы — ее можно ввести в любой удобный тебе кошелек (аппаратный или программный — без разницы).
Но вот если потерял seed-фразу, тогда, да, беда. История знает немало печальных случаев.
Общие правила безопасности
- Не теряй ключи и seed-фразу! Запомнить бессмысленный набор символов и слов невозможно, сохранить придется. Но не на компе или телефоне — одна хакерская атака и мошенники получают доступ к твоим средствам.
- Как ни странно, блокнот — самый надежный способ хранить ключи в 21 веке. Запиши и спрячь дома. Если бывают посторонние, в банковской ячейке. А лучше зафиксировать seed на нескольких носителях: бумаге, флешке, на жестком диске и попрятать по разным местам. Ledger, например, продает неубиваемую капсулу — хоть в огороде закопай.
- Не пользуйся кошельком (ни физическим, ни веб) с чужих или публичных устройств.
- Сделай отдельный email для действий с криптовалютой. Этот адрес должен знать только ты, не используй ни для чего другого, поставь двухфакторную аутентификацию. Заводи gmail и забудь про mail и yandex — gmail более взломостойкий.
- Сдаешь девайс в ремонт? Выйди из всех аккаунтов, вынь sim-карту и жесткий диск с компа. В идеале самому уметь чинить устройства, использующиеся для операций с криптовалютами.
- Не рассказывай направо и налево, как много бабла ты поднял на крипте. Среди слушателей могут оказаться ребята, чье внимание к твоим средствам совсем не нужно. И хакеры они, или нет — не важно — старый добрый грабеж с насилием или шантажом никто не отменял.
Вывод
Сбережения храни на холодном аппаратном (физическом) кошельке, на худой конец на десктопе. Мобильными и веб-версиями пользуйся для оперативного взаимодействия — быстрого ввода и вывода средств и торговли на биржах.
И не теряй приватные ключи и тем более seed-фразы, ради всего святого 😂