Почему нужно использовать аппаратные кошельки?

Есть несколько видов крипто-кошельков:
- онлайн-кошельки
- программные кошельки
- аппаратные кошельки

Онлайн-кошельки мы пропустим, у них безопасность ваших средств напрямую зависит от безопасности и добросовестности сервиса, которому принадлежит онлайн-кошелек. Перейдём сразу к программным кошелькам.

К программным кошелькам относятся MetaMask, TrustWallet, Electrum и т.д.При использовании такого типа кошельков есть некоторые риски. В программных кошельках, для совершения транзакций, вам потребуется ввести свою seed-фразу или сгенерировать новую. Ваша seed-фраза сохранится на вашем устройстве, кошелек будет использовать её для совершения транзакций.

От сюда и появляется риск удалённого взлома вашего кошелька. Если на устройстве, где установлен программный кошелек, окажется вредоносное ПО, то злоумышленник может получить доступ к вашей seed-фразе. Подцепить вирусное ПО можно устанавливая пиратские программы или приложения из ненадежных источников. Были случи, когда вредоносный код попадал даже в приложения из надежных источников (Microsoft Store, App Store и т.д.).

Даже если вы используете только лицензионное ПО и не скачиваете ничего лишнего на свой компьютер, вы всё равно не можете быть уверены в том, что у вас нет вредоносного кода на устройстве. Вредоносный код могут встроить даже в лицензионное ПО, это могут сделать даже не сами разработчики этого ПО. Сервера разработчиков могут взломать злоумышленники и выпустить обновление программы с вредоносным кодом.

Некоторые не доверяют аппаратным кошелькам или отказываются от них из-за меньшего удобства. Сейчас мы обсудим все риски аппаратных кошельков и стоит ли их использовать.

Аппаратные кошельки стараются максимально защитить ваши цифровые активы от кражи. Вы генерируете seed-фразу при первой активации аппаратного кошелька, затем она сохраняется внутри устройства и больше никогда его не покидает, даже во время проведения транзакций и подключения к другим устройствам. Сам аппаратный кошелек обычно защищается пин-кодом, который вы сами для него и придумаете.

Кто-то считает, что в аппаратные кошельки вшивают бэкдор ещё на производстве. Это может быть поводом для опасения, но по той же причине можно опасаться и за вредоносный софт на вашем ПК или смартфоне, ведь его тоже могут встроить на производстве.

Большинство кошельков имеют полный Open Source, что увеличивает доверие к продукту. При желании вы можете сами собрать такое устройство, опираясь на открытый код и инструкции разработчиков. Для этого потребуются некоторые специальные навыки, но можно нанять специалиста, который соберет аппаратный кошелек за вас.

Аппаратные кошельки постоянно подвергаются независимым проверкам и их всегда пытаются взломать, а если обнаруживаются дыры в безопасности, то производители кошельков сразу же их исправляют.Например, Kraken Security Labs пытались взломать Ledger, но у них ничего не вышло. А вот на старых устройствах Trezor они смогли вытащить seed-фразу. Сейчас у Trezor продаются уже новые устройства, в которых нет той уязвимости.

Стоит заметить, что попытка взлома кошелька возможна только при условии, когда злоумышленник физически владеет вашим аппаратным кошельком. Удаленно взломать такое устройство не представляется возможным.

Аппаратные кошельки остаются более безопасным вариантом хранения цифровых активов.

В программных кошельках гораздо больше элементов доверия. Доверять приходится множеству компаний – от самого производителя того же телефона, до разработчика любого из приложений на этот телефон.

В аппаратном же кошельке присутствует только один элемент доверия — доверие к производителю. И даже его можно избежать, если самому собрать устройство с Open Source.

Да, программный кошелек сильно упрощает операции с криптовалютой, в отличии от аппаратных кошельков. Поэтому, можно рассматривать аппаратный кошелек как некое надёжное хранилище, к которому вы обращаетесь не так часто. В аппаратном кошельке вы храните основное своё состояние.А программный кошелек рассматривайте как что-то вроде наличных средств, которые находятся всегда в вашем кармане. Там вы храните меньшие суммы, которые не так страшно потерять, но зато сохраняете удобство и мобильность.

Я сам использую устройство от компании Ledger. Их кошелек не имеет Open Source. Это связано с тем, что Ledger использует в своём устройстве защитный чип другого производителя, который требует соблюдение NDA. Но это не делает Ledger менее безопасным. Более того, устройства Ledger получили Сертификат безопасности первого уровня (CPSN) от Национального агентства кибербезопасности Франции (ANSSI).

Если для вас критично наличие Open Source, то есть множество других аппаратных кошельков. Например, Trezor.

Не стоит забывать, что программные и аппаратные кошельки отвечают лишь за удобное и безопасное проведение операций с криптовалютой. Вы всё ещё сами отвечаете за сохранность своей seed-фразы, которую нужно записать и надёжно спрятать от посторонних глаз.

Если вы потеряли или сломали ваш кошелек, и при этом не сохранили копию вашей seed-фразы, то вы навсегда потеряете доступ к вашим активам. Позже я опубликую информацию о том, как можно безопасно и надёжно хранить свою seed-фразу.

Не используйте одну и туже seed-фразу на программном и аппаратном кошельке одновременно! Иначе теряется весь смысл аппаратного кошелька.

Присоединяйся к обсуждению в нашем Telegram-канале, там мы помогаем новичкам, рассказываем про перспективные проекты и ведем блог о инвестициях в криптовалюты.