Что я должен использовать для хранения моей криптовалюты? | Руководство по кошелькам WEB3

Содержание

• Введение
• Предисловие
• Рекомендации по настройке кошелька:
• Полные новички: Централизованные биржи
• Начинающие / Небольшие суммы / Краткосрочное хранение: Браузер, Десктопные, Аппаратные кошельки
• Средний уровень / Средние суммы / Среднесрочное хранение: Аппаратные кошельки
• Продвинутые пользователи / Протоколы / Долгосрочное хранение: Мультиподпись, Социальное восстановление
• Очень продвинутые пользователи: Самошифрование
• Хорошие привычки управления приватными ключами
  

Введение

Краткое содержание: Выбор кошелька зависит от того, на каком этапе вашего путешествия по Web3 вы находитесь и сколько криптовалюты вам нужно хранить.

Итак, эта статья НЕ будет про:

Топ-5 криптокошельков для использования в веб3! (Номер 4 вас удивит)

Нет.

Ничего подобного.

Эта статья про "Эй, давайте применим практический подход к тому, какой кошелек следует использовать в серьезных проектах.". Это не будет исчерпывающим обзором, так как обучение OpSec и векторам угроз потребовало бы примерно 60-ти часового курса. К тому же, мы лично не проводили обзоры безопасности кошельков, которые упоминаем, и мы просим пользователей, заботящихся о безопасности, обращаться к информации о безопасности, предоставляемой каждым вариантом. Однако, мы рассмотрели обзоры безопасности кошельков и информацию.

Это руководство без ерунды, без "нажмите здесь, чтобы купить этот кошелек", только факты.

Для кого это руководство?

Это руководство предназначено для начинающих/средних разработчиков смарт-контрактов и протоколов. Для людей, которые говорят:

"Эй, я довольно серьезно отношусь к этому Web3, так что теперь я начинаю нервничать по поводу того, где хранить свои деньги".

TL;DR: Рекомендации по кошельку в зависимости от суммы денег и опыта

• Полный новичок: Кастодиальный кошелек / Биржа
• Начинающий/Маленькие деньги: Браузер
• Средний/Средне-маленькие деньги: Аппаратный кошелек
• Средний/Большие деньги: Кошелек с мультиподписью/Социальное восстановление И аппаратный кошелек
• Продвинутый/Большие деньги: Кошелек с мультиподписью/Социальное восстановление или создайте свое решение

Быстрые ссылки:

• Сайт сравнения кошельков
• Сравните десктопных и браузерных кошельков
  

Предисловие

Настройка вашего кошелька никогда не будет идеальной.

У каждого свое представление о том, что такое хорошая настройка кошелька.

Ваша задача — продолжать учиться, продолжать расти и понимать преимущества использования одного подхода перед другим. В сфере технологий в большинстве случаев не существует «объективно лучшего» способа сделать что-то. Для кошельков это то же самое.

А теперь наш гайд.

Рекомендации по настройке кошелька

Полный новичок: Кастодиальный кошелек/Централизованная биржа

ЦЕНТРАЛИЗОВАННАЯ ПЛАТФОРМА, КАК ТЫ МОГЛА??

Я знаю, что наши рекомендации по использованию централизованных платформ — настоящее богохульство. Но выслушайте меня. Ваши друзья спросят вас, какой кошелек использовать, и ваши рекомендации, скорее всего, не будут совпадать с тем, что вы используете.

Подумайте о самом глупом человеке из вашего круга друзей/семьи, которого вы знаете.

Подумайте о человеке, которому вам пришлось 100 раз объяснять, что такое «смарт-контракт», и спросите себя — «Доверю ли я этому человеку управлять его личными ключами?»

Если ответ «нет», им следует использовать централизованную биржу до тех пор, пока они не достигнут более высокого уровня опыта. Примечание: В Cyfrin мы не считаем кого-либо «тупым», а просто «необразованным», но мы использовали слово «тупой» для драматического эффекта.

Плюсы:

• Легко использовать
• Они могут защитить вас, если вы еще не очень хорошо разбираетесь в криптовалюте

Минусы:

• Биржа может вас скамануть (Не ваши ключи, не ваша крипта)
• Биржа может обанкротиться
• Биржа может заморозить ваш аккаунт
• Биржа владеет вашими деньгами
• Не работает с приложениями web3

Возможные рекомендации:

• Coinbase
• Kraken

Начинающие / Небольшие суммы / Краткосрочное хранение: Браузер, Десктопные или Аппаратные кошельки

Сначала несколько определений:

Начинающий: человек, который обладает некоторыми знаниями в области Web3, но все еще находится в процессе освоения и не описывает себя как 'уверенного' в манипулировании на Etherscan.

• Небольшие суммы: Это сумма денег, потеря которой не означала бы для вас конец света. Это индивидуально для каждого. Для Джеффа Безоса это может быть около 1 миллиона долларов. Для студента из США, взявшего кредит на обучение, это может быть 50 долларов. Для родителя с двумя детьми, но хорошей зарплатой, это может быть 1 000 долларов. Это сумма денег, которую вы не хотите потерять, но если бы так случилось, вы бы не были разорены.
• Краткосрочное хранение: Деньги, которые вы планируете удерживать недолго. Например, наличные в обычном кошельке.
• Горячий кошелек: Кошелек, подключенный к интернету.
• Холодный кошелек: Кошелек, не подключенный к интернету.

Во-первых, давайте сосредоточимся на горячих кошельках, поскольку они, возможно, менее безопасны.

Горячие кошельки

После биржи/кастодиального кошелька следующим шагом будет 'повышение уровня' до более сложного кошелька, такого как браузерный, десктопный **или аппаратный кошелек. Если вы протокол/проект/организация, ваши средства не должны полностью находиться в руках только одного из них.

Эти кошельки отлично подходят для начала работы в Web3 и хранения реальных средств под собственным контролем. Браузерные кошельки отлично подходят для быстрого взаимодействия с приложениями, и большинство сайтов лучше всего работают с браузерными кошельками.

Однако мы не рекомендуем использовать их для хранения больших сумм или управления приложениями. Наличие единой точки отказа в любой системе представляет собой риск безопасности, и если ваш горячий кошелек взломан или ваш компьютер скомпрометирован, вы в беде! Желательно иметь как можно меньше мест, где злоумышленник может вас атаковать, и если доступ к вашему кошельку обеспечивается только паролем на вашем ноутбуке, лучше не берите его с собой на мероприятия!

Кроме того, доверять финансовый резерв одному пользователю — всегда плохая идея, поэтому мы хотим использовать кошелек, в котором затруднено перемещение крупных сумм. Но для небольших сумм и повседневного использования это отлично.

Если вам ОБЯЗАТЕЛЬНО нужно иметь много денег в горячем кошельке, лучше распределите средства по нескольким кошелькам с разными секретными фразами, чтобы, в случае взлома одного из них, не потерять все.

На что обратить внимание

При выборе хорошего браузерного/десктопного/аппаратного кошелька стоит обратить внимание на:

• Обзоры/оценки по безопасности инструмента
• Открыт ли исходный код инструмента (открытый исходный код == хорошо)

Плюсы:

• Ваши ключи, ваша крипта
• Простота использования с приложениями Web3
• Отлично подходит для хранения 'небольших' сумм денег, подобно настоящему кошельку

Минусы:

• Вы единственная точка проверки безопасности
• Если вы допустите ошибку, вы можете быстро потерпеть неудачу
• Горячие кошельки подразумевают подключение к интернету, поэтому, если кто-то взломает ваш компьютер, вы рискуете потерять средства!
• Атаки на цепочку поставок: вы скачиваете вредоносное ПО/кошелек
• Некоторые кошельки отслеживают ваши данные, и вам может потребоваться настроить их для большей конфиденциальности

Возможные рекомендации (Горячий кошелек)

• Metamask
• Rabby
• Frame
• Rainbow
• MyEtherWallet
  

Рекомендации по улучшению безопасности вашего горячего кошелька

Это инструменты, которые сделают использование вашего кошелька более безопасным:

• Web3 Antivirus
• fire.xyz

Средний уровень / Средние суммы / Среднесрочное хранение: Аппаратный кошелек

Сначала краткое определение: под Средние суммы мы подразумеваем сумму денег, потеря которой была бы неприятной. Но это не все ваши деньги. Это означает, что большие деньги (в следующем разделе) составляют больший процент ваших средств.

В идеале, если вы параноидальны по поводу своих денег (и вы должны быть), то следующим вариантом будет хранение средств в аппаратном кошельке.

После браузерного/десктопного кошелька можно перейти к аппаратному кошельку. Идеально, если устройство изолировано от сети, то есть не имеет подключения к Интернету.

Это уровень выше по сравнению с браузерным кошельком, так как становится сложнее даже вам самим получить доступ к криптовалюте. Однако, если кто-то получит доступ к вашему устройству, он может взломать его и получить ваш ключ. В случае кражи вашего устройства рассматривайте его как скомпрометированное. См. дополнительную информацию о скомпрометированных ключах внизу.

Тем не менее, у них есть много общих проблем с браузерными кошельками. Вы являетесь централизованной точкой, и если вы ошибетесь, вы можете потерять все.

Так же, как и в горячем кошельке, если вам ОБЯЗАТЕЛЬНО нужно иметь много денег в аппаратном кошельке, лучше распределить средства по нескольким кошелькам с разными секретными фразами, чтобы в случае взлома одного из них не потерять все. Или использовать методологию, описанную в следующем разделе.

Плюсы:

• Все преимущества браузерного кошелька
• Отсутствие подключения к интернету
• Подходит для небольших и средних сумм денег

Минусы:

• Уязвимость к атакам, когда кто-то физически нападает на вас и крадет ваше устройство
• Те же недостатки, что и у браузерного кошелька
• Атаки на цепочку поставок: Кто-то может заменить заказанный вами кошелек на вредоносный, или вы можете скачать вредоносное ПО, или кто-то может узнать вашу секретную фразу заранее
  

Возможные рекомендации (Холодный кошелек)

• Trezor

Продвинутые пользователи / Большие суммы / Долгосрочное хранение: Мультиподпись, Социальное восстановление

Кошельки с мультиподписью

Кошельки с мультиподписью, как Safe, наш лучший выбор для продвинутых разработчиков и протоколов для хранения своих средств.

Они работают так, что вы разворачиваете смарт-контракт, который требует X из Y подписантов для отправки любой транзакции. При желании, Aragon имеет функцию мультиподписи специально для DAO.

Например, в случае 3 из 5 мультиподписей:

• Metamask кошелек A одобряет отправку 5 ETH
• Trezor кошелек B одобряет отправку 5 ETH
• Frame кошелек C одобряет отправку 5 ETH → достигнуто 3 из 5, ETH отправлены.

Это отличный вариант даже для отдельных разработчиков и неразработчиков, которые хотят безопасно, долгосрочно хранить свои средства, проходя через различные проверки безопасности. Вы можете использовать комбинацию вариантов из вышеуказанных в качестве подписантов.

Социальное восстановление

Социальное восстановление — еще один отличный вариант для более продвинутых пользователей. Это любимый вариант Виталика.

Принцип работы:

1. Существует единный 'ключ подписи', который можно использовать для одобрения транзакций.
2. Есть набор из минимум 3 (или гораздо больше) 'стражей', из которых большинство может сотрудничать для изменения ключа подписи учетной записи.

Из блога Виталика:

Во всех обычных обстоятельствах пользователь может просто использовать свой кошелек социального восстановления, как обычный кошелек, подписывая сообщения своим ключом подписи, чтобы каждая подписанная транзакция могла быть отправлена одним кликом подтверждения, как в 'традиционном' кошельке, например, Metamask.

Если пользователь потеряет свой ключ подписи, именно тогда сработает функция социального восстановления.

Пользователи также могут использовать резервное копирование Шамира, аналогичное социальному восстановлению. Вы передаете 'доли' своего ключа доверенным пользователям, где вы можете восстановить свой ключ, когда доли объединены.

Доля восстановления обычно представляет собой последовательность из 20 или 33 английских слов, несущих часть криптографического секрета. Trezor T - это аппаратный кошелек, который изначально обладает этой функцией.

Плюсы:

• Множество подписантов, что означает несколько шагов для выполнения действий
• Если ключ скомпрометирован, вам не нужно перемещать средства, просто замените скомпрометированный ключ

Минусы:

• Слабая поддержка от приложений Web3
• Адрес различается в разных сетях

Возможные рекомендации (Мультиподпись):

• Safe

Возможные рекомендации (Социальное восстановление):

• Safe
• Argent

Очень продвинутые пользователи: Самошифрование

У каждой из вышеуказанных опций есть свои проблемы. Так или иначе, нет идеального решения. Поэтому некоторые люди решают приложить дополнительные усилия из-за отсутствия доверия (оправданного) к каждому из вышеперечисленных минусов.

Так что есть несколько вариантов, которые выбирают другие:

• Мозговой кошелек: Пользователь использует только свой собственный приватный ключ, который он запомнил.
• Бумажный кошелек: Пользователь использует только свой приватный ключ, который он записал на бумаге и хранит в безопасном месте.
• Инструменты самошифрования: Пользователь создал свои собственные инструменты шифрования и/или менеджеры паролей, которые он использует при отправке транзакций.

Я когда-то встречал человека, у которого была такая система:

• У него были сотни кошельков с небольшими суммами, резервные копии каждого из которых хранились в разных местах, и около 10 «основных» с большей частью денег.
• Никогда не использовал аппаратные или браузерные кошельки, не доверял им, и создавал секретные фразы с помощью инструментов, которые сам разрабатывал.
• Шифровал каждый ключ и хранил зашифрованные ключи в секретной базе данных на нескольких выбранных жестких дисках, хранящихся в тайных местах с доверенными лицами (как в случае с социальным восстановлением, люди, которым были отправлены устройства, не имели представления о том, как их расшифровать).
• Каждые 6 месяцев он перемещал все деньги по разным и новым кошелькам.

Так что вы тоже можете делать что-то подобное, когда становитесь богатыми или у вас много денег, которые нужно защитить.

Плюсы:

• Вам не нужно доверять ничему, кроме себя самого

Минусы:

• Это занимает много времени и требует высокой степени опыта

Управление ключами | Хорошие привычки управления приватными ключами

Следует ли мне рассказывать людям, сколько у меня денег?

- Нет.

Шаг 1 для любого злоумышленника - выбрать цель. Чем меньше вы бросаете тень, тем лучше. Чем меньше информации может получить злоумышленник о вас, тем лучше.

Следует ли мне получать аппаратный кошелек на хакатоне/мероприятии?

- Нет.

Вот несколько советов по безопасной работе с аппаратными кошельками:

a) Всегда покупайте напрямую у производителя/компании или у официальных дилеров. Но убедитесь, что официальный дилер действительно официальный.

b) Не используйте аппаратный кошелек, полученный на хакатоне/мероприятии.

Могу ли я использовать один и тот же приватный ключ в течение многих лет?

Можете, но лучше периодически менять свои ключи/кошельки. Заменяйте их на разные. Вот почему кошелек с мультиподписью, такой как Safe, великолепен: вы можете сохранить тот же адрес/кошелек, но изменить подписантов.

Идеально, каждые 6 месяцев или около того (в зависимости от вашей гигиены безопасности) вы должны проводить проверку безопасности своих ключей.

• Где все мои ключи?
• Где все мои деньги?
• Если мой дом сгорит (включая мой телефон/компьютер), смогу ли я восстановить свою криптовалюту?

Упражнение: Достаньте свой календарь и установите регулярное напоминание, где вы каждые 6 месяцев проводите проверку ваших ключей.

Где я могу создать резервную копию своей секретной фразы/приватного ключа?

Вы можете/должны сделать резервную копию в тайном месте, которое знаете только вы. Что-то вроде следующего:

• Разместить на металлических плитах и спрятать
• Запомнить
• Записать на бумаге в тайном месте
• Зашифровать в менеджере паролей (НЕ давайте менеджеру паролей знать приватный ключ/секретную фразу)
• Положить в сейф

Есть много мест для надежного хранения вашего приватного ключа/секретной фразы, что хорошо. Мы хотим, чтобы эта информация была труднодоступной. Здесь вы можете/должны проявить немного творчества.

Что я НЕ должен делать со своим приватным ключом/секретной фразой?

• Фотографировать
• Загружать в облако
• Отправлять по тексту
• Отправлять по электронной почте
• Давать вашему двоюродному брату Ваньке, который известен своей болтливостью
  

Важно ли, какая у меня операционная система?

Да. Не используйте ПК/Windows для хранения/работы с крупными суммами криптовалюты. Windows является целью большинства вредоносных программ на планете.

И САМОЕ ВАЖНОЕ

Если хотя бы на 1 секунду ваш ключ:

• Потерян
• Показан на экране
• Потенциально доступен кому-то еще

Считайте его скомпрометированным и начните перемещать ваши деньги в новый кошелек.

Оригинал статьи можно прочитать по ссылке — What should I use to store my Cryptocurrency? | Web3 Wallet Guide

Перевел @dyorist для Skeptic's Notes