Есть несколько видов крипто-кошельков:
- онлайн-кошельки
- программные кошельки
- аппаратные кошельки
Онлайн-кошельки мы пропустим, у них безопасность ваших средств напрямую зависит от безопасности и добросовестности сервиса, которому принадлежит онлайн-кошелек. Перейдём сразу к программным кошелькам.
Программные кошельки
К программным кошелькам относятся MetaMask, TrustWallet, Electrum и т.д.При использовании такого типа кошельков есть некоторые риски. В программных кошельках, для совершения транзакций, вам потребуется ввести свою seed-фразу или сгенерировать новую. Ваша seed-фраза сохранится на вашем устройстве, кошелек будет использовать её для совершения транзакций.
От сюда и появляется риск удалённого взлома вашего кошелька. Если на устройстве, где установлен программный кошелек, окажется вредоносное ПО, то злоумышленник может получить доступ к вашей seed-фразе. Подцепить вирусное ПО можно устанавливая пиратские программы или приложения из ненадежных источников. Были случи, когда вредоносный код попадал даже в приложения из надежных источников (Microsoft Store, App Store и т.д.).
Даже если вы используете только лицензионное ПО и не скачиваете ничего лишнего на свой компьютер, вы всё равно не можете быть уверены в том, что у вас нет вредоносного кода на устройстве. Вредоносный код могут встроить даже в лицензионное ПО, это могут сделать даже не сами разработчики этого ПО. Сервера разработчиков могут взломать злоумышленники и выпустить обновление программы с вредоносным кодом.
Аппаратные кошельки
Некоторые не доверяют аппаратным кошелькам или отказываются от них из-за меньшего удобства. Сейчас мы обсудим все риски аппаратных кошельков и стоит ли их использовать.
Аппаратные кошельки стараются максимально защитить ваши цифровые активы от кражи. Вы генерируете seed-фразу при первой активации аппаратного кошелька, затем она сохраняется внутри устройства и больше никогда его не покидает, даже во время проведения транзакций и подключения к другим устройствам. Сам аппаратный кошелек обычно защищается пин-кодом, который вы сами для него и придумаете.
Кто-то считает, что в аппаратные кошельки вшивают бэкдор ещё на производстве. Это может быть поводом для опасения, но по той же причине можно опасаться и за вредоносный софт на вашем ПК или смартфоне, ведь его тоже могут встроить на производстве.
Большинство кошельков имеют полный Open Source, что увеличивает доверие к продукту. При желании вы можете сами собрать такое устройство, опираясь на открытый код и инструкции разработчиков. Для этого потребуются некоторые специальные навыки, но можно нанять специалиста, который соберет аппаратный кошелек за вас.
Аппаратные кошельки постоянно подвергаются независимым проверкам и их всегда пытаются взломать, а если обнаруживаются дыры в безопасности, то производители кошельков сразу же их исправляют.Например, Kraken Security Labs пытались взломать Ledger, но у них ничего не вышло. А вот на старых устройствах Trezor они смогли вытащить seed-фразу. Сейчас у Trezor продаются уже новые устройства, в которых нет той уязвимости.
Стоит заметить, что попытка взлома кошелька возможна только при условии, когда злоумышленник физически владеет вашим аппаратным кошельком. Удаленно взломать такое устройство не представляется возможным.
Вывод
Аппаратные кошельки остаются более безопасным вариантом хранения цифровых активов.
В программных кошельках гораздо больше элементов доверия. Доверять приходится множеству компаний – от самого производителя того же телефона, до разработчика любого из приложений на этот телефон.
В аппаратном же кошельке присутствует только один элемент доверия — доверие к производителю. И даже его можно избежать, если самому собрать устройство с Open Source.
Да, программный кошелек сильно упрощает операции с криптовалютой, в отличии от аппаратных кошельков. Поэтому, можно рассматривать аппаратный кошелек как некое надёжное хранилище, к которому вы обращаетесь не так часто. В аппаратном кошельке вы храните основное своё состояние.А программный кошелек рассматривайте как что-то вроде наличных средств, которые находятся всегда в вашем кармане. Там вы храните меньшие суммы, которые не так страшно потерять, но зато сохраняете удобство и мобильность.
Я сам использую устройство от компании Ledger. Их кошелек не имеет Open Source. Это связано с тем, что Ledger использует в своём устройстве защитный чип другого производителя, который требует соблюдение NDA. Но это не делает Ledger менее безопасным. Более того, устройства Ledger получили Сертификат безопасности первого уровня (CPSN) от Национального агентства кибербезопасности Франции (ANSSI).
Если для вас критично наличие Open Source, то есть множество других аппаратных кошельков. Например, Trezor.
Немного о seed-фразе
Не стоит забывать, что программные и аппаратные кошельки отвечают лишь за удобное и безопасное проведение операций с криптовалютой. Вы всё ещё сами отвечаете за сохранность своей seed-фразы, которую нужно записать и надёжно спрятать от посторонних глаз.
Если вы потеряли или сломали ваш кошелек, и при этом не сохранили копию вашей seed-фразы, то вы навсегда потеряете доступ к вашим активам. Позже я опубликую информацию о том, как можно безопасно и надёжно хранить свою seed-фразу.
Не используйте одну и туже seed-фразу на программном и аппаратном кошельке одновременно! Иначе теряется весь смысл аппаратного кошелька.
Присоединяйся к обсуждению в нашем Telegram-канале, там мы помогаем новичкам, рассказываем про перспективные проекты и ведем блог о инвестициях в криптовалюты.
В статье забыл о бумажных. И не рассказал про восстановление доступа к средствам в случае утери аппаратного кошелька.
Бумажные кошельки — это скорее способ хранения, здесь же рассматриваю способы проведения транзакций, поэтому не стал добавлять их в статью. Ведь для совершения транзакций с бумажного кошелька вам всё равно придется использовать программный кошелек, куда будут импортироваться приватные ключи с бумажного кошелька, а тут уже снова риски кражи приватных ключей вирусами на устройстве.
Расскажите если сломать аппаратный ключ как восстановить баланс?
Вопрос не по адресу. У обычных аппаратных ты владелец мнемонической фразы. Но вот например Tangem к таким не относится) Если все копии утрачены то увы..
Все транзакции через QR...зарядка через розетку...
Какие тода варианты?
Есть кошельки и работающие только по QR. Например, SafePal.
Они не подключаются к устройствам напрямую, но тут появляются некоторые не удобства. К примеру, вы не сможете им пользоваться с ПК, если у вас нет веб-камеры.
Однако, не стоит беспокоится подключая аппаратный кошелек по проводу к ПК. Вредоносный софт не сможет никак похитить seed-фразу даже при таком подключении.
Зачем софту похищать сид фразу?
Он просто подменит вам картинку на экране, будеш думать отправляю туда а отправишь не туда.
Не важно зачем и что конкретно будет делать софт. Я говорю о уязвимостях в программных кошельках, которые решает аппаратный кошелек. И подмену адреса он так же решает т.к. подменить картинку на аппаратном кошельке будет невозможно. Нужно только не забывать сравнивать адрес на устройстве.
Смотря с чем сравнивать. Думаете хацкеры глупые? Они вполне могут и текст в открытом браузере подменить. И будите думать отправляю на биржу а отправите хацкерам.
Вы говорите о проблемах не связанных с аппаратными кошельками, это уже следует обсуждать под другой статьей. Если у вас на ПК каждый адрес подменяется, то тут вообще не имеет значения каким кошельком вы пользуетесь, а программный кошелек будет в ещё больше зоне риска.
Очевидно, не стоит отправлять сразу все средства на адрес в котором вы не уверены. Лично я несколько раз проверю адрес с разных устройствах, прежде чем совершать такую операцию. И буду отправлять сумму частями, чтобы убедиться, что адрес верный и его баланс пополняется. Я всегда примерно помню основные свои адреса кошельков и сразу замечу подмену.
Информационную безопасность никто не отменял и кошельки на это никак не повлияют. Как я уже говорил, это зависит от самого человека.
Ломают обычно пк. К которому вы подключаете кошелек. Так вирусы меняют адресс скопированный юзером. Многие доверяя своему кошельку отправляю не проверив строку адрес. Даже можно подменить то что видет юзер. В итоге подтвердит отправку с вирусного пк, и уйдет все что есть на кошельке. У аппаратных кошельков очень скудный функционал.
Адрес получателя так же высвечивается и на аппаратном кошельке, там его подменить нельзя (по-крайней мере на Ledger это так). Сравниваем адрес получателя на аппаратном кошельке, и если всё нормально — отправляем.
Обмануть можно любого, тут уже зависит от самого человека. Если человек безрассудный, то он и сам добровольно отправит средства на мошеннический адрес.
Кошель Safepal не подключается ни к компу, ни к инету...
А если не подключается кошель к ПК...от слова совсем???
https://wallet.fail/
а tangem wallet бы порекомендовали для долгосрочного хранения небольших сумм?
Ну для небольших сумм можно, почему нет.
Я особо не разбирался в этом кошельке, но мне не совсем понятна их схема работы.
То есть там все приватные ключи хранятся на самой карте, а вы эти ключи даже не увидите, и копии ключей делаются, по сути, созданием копий карт? Получается, если в один момент я потеряю все карты, то навсегда потеряю доступ к кошельку?
Если так, то это не кажется мне безопасным. Помимо аппаратного кошелька, я предпочитаю хранить свой приватный ключ в зашифрованном виде и на других устройствах, чтобы я мог в любой момент получить к нему доступ.
Пока не ввёл, украсть невозможно. Аппаратный в этом плане хуже.это если долгосрок.