$3 млрд криптоактивов воруют ежегодно. 12 декабря 2025 года SEC выпустила свежий гайд по хранению крипты + обзор Telegram wallet
12 декабря 2025 года Комиссия по ценным бумагам и биржам США (SEC) выпустила информационный бюллетень для розничных инвесторов о базовых принципах хранения криптоактивов. На фоне масштабных взломов, общие потери от которых только в 2024 году превысили $3 млрд, это попытка научить пользователей цифровой гигиене. Интересно, что некоторые советы регулирующего органа расходятся с мнением экспертов индустрии. Разбираемся, что важно знать инвестору в 2025 году.
Я люблю читать про бизнес, финансы и инвестиции и общаться с единомышленниками. В моём Telegram-канале «Утро Экспата» я делюсь своими мыслями и идеями, личным опытом продаж, маркетинга и бизнеса в разных странах и лайфхаками для жизни за границей. Подписывайтесь → t.me/expat_morning Давайте расширять свой круг общения!
2024 год стал одним из самых убыточных в истории криптоиндустрии:
- Общие потери от хакерских атак: $3,01 млрд (+15% к 2023 году)
- Потери централизованных бирж выросли вдвое — с $339 млн до $694 млн
- Возвращено пострадавшим только $488,5 млн (16% от украденного)
- Крупнейшие взломы: DMM Bitcoin ($305 млн), PlayDapp ($290 млн), WazirX ($235 млн)
Февраль 2025 года: взлом биржи Bybit стал крупнейшей цифровой кражей в истории — $1,46 миллиарда похищено за одну атаку.
На фоне этих цифр SEC решила выпустить официальное руководство по хранению криптоактивов.
Что такое custody на самом деле
Под термином «хранение криптоактивов» или custody понимается способ доступа к вашим активам и их хранения. Ключевой момент, который многие не понимают: криптокошельки не хранят криптовалюту в привычном смысле. Они хранят приватные ключи — своеобразные пароли для авторизации транзакций. Сами активы существуют в блокчейне.
При создании кошелька генерируются два ключа:
- Приватный (закрытый) ключ (Private Key). Случайный цифро-буквенный код, позволяющий подписывать транзакции. Если вы потеряете приватный ключ, вы НАВСЕГДА потеряете доступ к криптоактивам
- Публичный ключ (Public Key). Используется для верификации транзакций и служит «адресом» вашего кошелька, на который можно получить валюту (работает как email-адрес).
Что такое Seed Phrase и почему это важнее, чем приватный ключ
Для удобства и безопасности приватные ключи часто создаются на основе сид-фразы (seed phrase), также называемой фразой восстановления. Это случайная последовательность из 12, 18 или 24 слов, которая выступает мастер-ключом для восстановления всего кошелька и всех его адресов. В отличие от приватного ключа, который контролирует один счет, сид-фраза дает доступ ко всем счетам в кошельке. Ее нужно хранить исключительно в безопасном месте в офлайн-режиме и никому не передавать.
Горячее против холодного: устаревшая дихотомия?
Традиционно все кошельки делятся на два типа: горячие (hot wallet) и холодные (cold wallet). Основное отличие — в подключении к интернету.
- Горячий кошелек — это программное приложение, постоянно подключенное к сети. Его главное преимущество — удобство для частых операций, например, для трейдинга. Однако это делает его уязвимым для кибератак.
- Холодный кошелек — физическое устройство (чаще всего в виде USB-гаджета), не имеющее постоянного подключения к интернету. Приватные ключи хранятся в защищенном чипе устройства. Это считается золотым стандартом для долгосрочного хранения больших сумм, так как ключи физически недоступны для удаленного взлома. Главный недостаток — менее удобный процесс совершения транзакций и риск физической утери устройства.
Реальный пример взлома кошельков:
21 августа 2024 года — хакеры взломали официальный Instagram-аккаунт McDonald's и украли у подписчиков $700,000 в криптовалюте через фишинговые ссылки на поддельные проекты.
Январь 2022 года — взлом Crypto.com. Хакеры получили неавторизованный доступ к горячим кошелькам биржи и украли 4,836.26 ETH плюс 443.93 BTC (всего около $33,8 млн).
Февраль 2025 года — взлом Bybit показал, что даже холодные мультиподписные кошельки могут быть взломаны. Хакеры скомпрометировали компьютер одного из подписантов и подменили интерфейс транзакции. Результат: $1,46 миллиарда украдено.
Несмотря на популярность, классическое деление на «холодное = безопасно» и «горячее = рискованно» уже не отражает всей картины. Эксперты индустрии, включая компанию Cobo в своем обзоре 2025 года, отмечают, что безопасность определяется не типом кошелька, а его архитектурой, системой контроля доступа и операционными процедурами. Например, неправильно настроенный холодный кошелек с одним подписантом может быть уязвимее, чем горячий кошелек с защитой на основе многосторонних вычислений (MPC).
Основные различия: горячие и холодные кошельки
В таблице ниже наглядно представлены ключевые различия, которые помогут выбрать подходящий тип кошелька.
Самостоятельное или стороннее хранение?
SEC советует каждому инвестору решить для себя главный вопрос: хранить ключи самостоятельно (self-custody) или доверить их третьей стороне (third-party custody).
Самостоятельное хранение: вы — свой собственный банк
В этом случае вы полностью контролируете приватные ключи. Никто не может заблокировать ваш доступ или распорядиться вашими средствами. Вы несете 100% ответственность за безопасность: если ключи или сид-фраза утеряны, активы утрачены навсегда. Такой подход требует технической грамотности и готовности разбираться в устройстве кошельков.
Хранение у третьей стороны: доверие и удобство
Здесь ключи управляются сторонней организацией — биржей, обменником или специализированным провайдером. Для пользователя это удобнее, есть техподдержка. Однако критический риск заключается в том, что вы не владеете своими ключами. Если кастодиан взломают или он обанкротится, вы можете потерять свои средства.
SEC рекомендует при выборе кастодиана задавать 10 ключевых вопросов, среди которых:
- Регулируется ли компания, и есть ли у нее лицензии?
- Как и где хранятся активы (соотношение горячих и холодных кошельков)?
- Использует ли компания активы клиентов в своих целях (репо)?
- Страхует ли она средства клиентов, и на каких условиях?
Важно отметить, что в индустрии активно развиваются институциональные решения для хранения, сочетающие в себе защиту холодного хранения и гибкость горячего. Например, технология Multi-Party Computation (MPC) позволяет распределять приватный ключ между несколькими участниками так, что ни одна сторона не владеет им полностью, что повышает безопасность операций.
Советы по безопасности: практические шаги
Сводка рекомендаций от SEC и экспертов выглядит так:
- Никогда и никому не сообщайте приватные ключи или сид-фразу. Настоящая техподдержка никогда их не запрашивает.
- Используйте сильные пароли и двухфакторную аутентификацию (2FA). Предпочтительнее использовать аутентификаторы (Google Authenticator, Authy), а не SMS.
- Храните сид-фразу исключительно в офлайн-режиме. Бумажные копии в надежном месте безопаснее облачных заметок или фотографий на смартфоне.
- Не афишируйте размер своих криптохолдингов.
- Будьте бдительны к фишинговым атакам.
- Рассмотрите гибридный подход: небольшие суммы для активного использования — в надежном горячем кошельке, основная часть средств — в холодном хранилище.
Стоит ли хранить криптовалюту на российских биржах?
Российское регулирование криптовалют находится в стадии формирования. Закон «О цифровых финансовых активах» разрешает криптовалюту, но не рассматривает ее как законное платежное средство, а Госдума продолжает обсуждать новые ограничительные инициативы. При этом объем торгов на российских биржах составляет менее 2% от общемирового, что делает их малопривлекательными для профессиональных маркет-мейкеров, а крупные зарубежные биржи (Binance, Coinbase) прекратили обслуживание российских пользователей.
Некоторые площадки второго эшелона (Bybit, Gate.io, KuCoin) сохраняют ограниченный доступ для российских пользователей, но с условиями:
- Требуют продвинутой верификации
- Ограничивают определенные функции (P2P, фиатные переводы)
- Оставляют право в любой момент заблокировать аккаунт
В общем, риски очевидны — тут каждый решает для себя самостоятельно.
Telegram Wallet: революция или риск?
Еще один инструмент для российских пользователей — Telegram Wallet, встроенный криптокошелек внутри мессенджера Telegram, созданный на базе блокчейна TON (The Open Network). По сути, это не самостоятельное приложение, а функция внутри чата, доступная через боковое меню или мини-приложение (бот @wallet).
Telegram wallet запустился в 2023, в США - в июле 2025. Более 100 миллионов пользователей активировали кошельки в 2024 году (10% от 1 млрд пользователей Telegram). Поддерживаемые активы: Toncoin (TON), Bitcoin, Ethereum, Solana, USDT и другие. Кстати, переводы между пользователями Telegram — без комиссий (достаточно знать username). Есть оплата через Apple Pay, Google Pay, банковские карты и вывод в фиат (если ваш банк нормально к этому относится) и даже стейкинг TON.
Это кастодиальный кошелек, где вы не контролируете приватные ключи. 2FA идет через доступ к своему телеграм аккаунту, также нет сид фразы. Страховки нет и можно все потерять при взломе аккаунта. Система привязки к аккаунту называется Split-key backup система — одна часть привязана к Telegram-аккаунту, другая к email.
В общем, за крпитой будущее, но важно понимать риски ее хранения следить за новостями. Надеюсь, обзор был полезным.
Больше разборов по инвестициям и жизни экспатов — в Telegram-канале "Утро экспата". Разбираем брокеров, налоги, стратегии релокации и строим инвестиционные портфели, смотрим интересные фильмы.