Разбор одного из самых популярных криптокошельков
Trust Wallet — это децентрализованное мобильное приложение, позволяющее получать, отправлять, стейкать, хранить и обменивать популярные криптовалюты. Кошелёк является мультивалютным.
На сегодняшний день Trust Wallet поддерживает 53 блокчейна и более 100.000 токенов выпущенных на них.
Работу над TW начали в 2017 году, в июле 2018 года их проект купил Binance. С тех пор Trust Wallet является официальным кошельком биржи Binance.
Не будем говорить о том как скачать, зарегестрироваться и тд. Там всё просто
Безопасность. Вообще сейчас Trust считается весьма надёжным кошельком своего типа, почему:
✅ Закрытые ключи пользователя хранятся на собственном устройстве.
✅ Кошелек анонимный, предоставлять личные данные не нужно.
✅ Seed фраза находится только у вас, ни кто её не может запросить, не под каким предлогам.
Но если вы спросите возможно ли взломать TW? ответ - ДА
Официально кошелёк не взламывался, но я расскажу как минимум о 4 популярных способах (по сути это капля в море, но вы должны знать):
1 Фишинг, классика (обман с целью получения необходимой личной информации. Создают сайты клоны, представляются поддержкой и тд.) по определению это не взлом! Вы сами отдаёте инфу…
2 Подключения к сомнительным обменникам, dex, и тд. Как минимум нужно регулярно проверять активные подключения (меню WalletConnect)
3 Банальная утрата фразы или устройства
4 Пылевая атака, или Dusting attack. Сложный механизм, если кратко, небольшое кол-во каких-то монет «пыль» приходит к вам на кошелёк (вы можете их даже не заметить), но как только «пыль» участвует в следующей сделке, все транзакции становятся прозрачными, адреса связываются и владельцев счетов можно вычислить. После этого можно проводить фишинговые атаки или шантаж. (Об этом могу рассказать подробнее, если вам интересно)
И это малая часть, защититься на 100% не получится. Традиционно такие кошельки уступают по надёжности холодным.
Но в теории можно создать резервный TW и лишить его вообще связи с окружающим миром.
Автор: Crypto Invest BY KA , Вадим Канаш
Почему все так уверены, что генерируемая seed-фраза не может быть отправлена себе на сервер создателями приложения TrustWallet?
Я думаю, это уже проследили бы давно и был бы большой скандал. Все-таки не ноунейм компания
Если вы создаете кошелек в оффлайне, как фраза передастся куда-то?
Положить в кэш и отправить позже, можно отдельными байтами в разное время, чтобы не палиться
Берете смартфон.
Выключаете интернет.
Создаете кошелек.
Записываете Сид.
Удаляете кошелек.
Сбрасываете смартфон до заводских.
В каком месте данные передадутся на серверы?
Главное, чтобы в этом сценарии кошелек созданный остался 😁