Tonkeeper – нет свободе и безопасности пользователей

Дисклеймер! Данная статья является субъективным мнением автора. У нас нет цели оскорбить разработчиков Tonkeeper и/или TON Foundation или мотивировать пользователей перестать использовать приложение Tonkeeper! Вы вправе принимать решение сами, и использовать данную статью как один из источников информации, не более.

Всем привет! У каждого пользователя, который как-то сталкивается с проектом The Open Network (TON) возникает вопрос о выборе кошелька для монеты TON.

Все официальные источники рекомендуют выбирать кошелек из раздела на официальном сайте: https://ton.org/wallets. В первую очередь любой пользователь сразу понимает, что на официальном сайте проекта скорее всего размещены только надёжные и проверенные кошельки, а сами пользователи могут не беспокоиться о собственной безопасности, потому что все уже решили за них.

Сразу на странице можно заметить надпись "This software is available under GPL v3 license Source code"

Данный текст говорит нам о том, что программное обеспечение на странице свободно, то есть распространяется под свободной лицензией GPL v3, а исходный код открыт и доступен каждому на условиях лицензии.

Обращаем внимание на кошелёк Tonkeeper, указанный на этой странице. Точнее есть несколько версий: Tonkeeper for Android, Tonkeeper for iOS.

По нашим наблюдениям этот кошелек пользуется максимальной популярностью среди пользователей TON, он имеет поддержку стандарта wallet-v4 и активно продвигается в официальных telegram каналах TON.

Исходя из информации на сайте tonkeeper.com распространяется кошелек под проприетарной лицензий, исходный код закрыт. Только разработчики могут знать, как на самом деле обрабатываются и хранятся приватные ключи, а сторонние разработчики не могут провести детальный аудит безопасности.

Большинство этичных крипто кошельков распространяются под свободной лицензией, примеры тому множество проектов для других блокчейнов.

На официальном сайте ton.org присутствуют кошельки с открытым исходном кодом, но они практически не поддерживаются и имеют минимальный функционал и собственные проблемы.

Кошелёк Tonkeeper уверяет нас, что для восстановления доступа к кошельку нам необходимо сохранить набор из 24 слов, так называемый mnemonic phrase. Только основная проблема заключается в том, если говорить простыми словами, транзакции перед отправкой в blockchain TON подписываются не 24 словами, а приватным ключом сгенерированным на основе данного набора. Обычно кошельки оставляют, как минимум, описание алгоритма по которому они генерируют приватные ключи или дают пользователю в приложении сохранить приватный ключ – ни то, ни другое, как вы могли догадаться не доступно в Tonkeeper.

Мы попробовали сгенерировать приватные ключи на основе фразы из приложения Tonkeeper, но не смогли, так как при генерации приватных ключей есть переменные, такие как seed, количество раундов в алгоритме и другие.

Вывод можно сделать такой, если Tonkeeper в один момент закроется(что не исключено, и никто от этого не застрахован) вы останетесь один на один со своей mnemonic phrase и скорее всего не сможете самостоятельно восстановить доступ к кошельку.