Как устроены криптокошельки?

Криптокошелек на бирже WhiteBIT

Купить криптовалюту мало, важно научиться ее правильно хранить, чтобы она не попала в руки к хакерам или мошенникам. Безопасное хранение криптовалюты – ключевой аспект для защиты ваших цифровых активов.

Одним из главных и наиболее эффективных способов защитить свои активы является распределение по разным кошелькам – диверсификация. Благодаря распределению активов по разным кошелькам, вы сможете максимально себя обезопасить. Такой подход сравним с открытием нескольких банковских карт в разных учреждениях: в случае, если что-то случится с одним счетом (его заблокировали, вы потеряли карту или кто-то ее украл), вы понимаете, что не останетесь без средств, так как в вашем распоряжении несколько карт.

Когда кто-то мошенническим способом добирается до кошельков, на которых лежат активы, у пользователя, по понятным причинам, появляется желание спасти хоть что-то. Распределение активов по разным адресам поможет пользователю, даже в случае хакерских атак, спасти часть своих средств и не остаться на заборе совсем. Считается, что наиболее безопасными являются холодные кошельки – о них мы поговорим подробнее в следующих разделах, однако даже если у вас есть холодный кошелек, все равно рекомендуется держать на нем не все свои средства и активы.

Любой криптокошелёк представляет из себя программное обеспечение, которое взаимодействует с различными блокчейнами (Bitcoin, Ethereum и другими). Это взаимодействие позволяет пользователю одним кликом создать себе публичный адрес в блокчейне (это можно назвать чем-то вроде учётной записи) и совершать транзакции. Криптокошелёк выступает буфером между пользователем и блокчейном.

Для правильного понимания работы криптокошельков, разделим понятия.

Есть криптокошельки, о которых мы говорили выше. Они позволяют взаимодействовать с блокчейном и своими активами в нём.

Есть криптокошелёк, который является частью самого блокчейна (ваша учётная запись).

У многих существует большое заблуждение о том, что кошелек установленный на телефон или компьютер хранит ваши криптоактивы. Это не так. Криптокошелек не хранит в себе крипту, она хранится в блокчейне, а кошелек – это лишь инструмент для проведения транзакций и просмотра операций внутри блокчейна. Его можно сравнить с браузером: страница с текстом «висит» где-то в интернете как набор строк кода, браузер лишь переводит ее в удобный вид. 

Установленный кошелек хранит данные позволяющие через блокчейн получить доступ к “истинному” криптокошельку (вашей учётной записи) и проводить различные транзакции.

Надежность “истинного” криптокошелька блокчейна, основана на криптографии. Принцип, на котором построено большинство таких кошельков, использует три вещи: закрытый (приватный) ключ, открытый (публичный) ключ и публичный адрес.

Каждый раз, когда вы отправляете криптовалюту со своего кошелька, он должен использовать закрытый (приватный) ключ, чтобы “подписать” или подтвердить транзакцию. Эта подпись похожа на ваш отпечаток пальца, уникальный для каждого человека и его закрытого ключа. Это позволяет доказать, что транзакция исходит от законного владельца кошелька и не была подделана.

При создании нового кошелька автоматически генерируется новый адрес в блокчейне. Под каждый адрес есть свой «ключ» — набор из 12 латинских слов для шифровки доступа, который называется «Сид-Фраза». Имея на руках сид-фразу вы можете «зайти» в свой адрес на блокчейне через криптокошелек из любой точки планеты. Сид-фраза может состоять и из 24 слов, и даже больше, но 12 слов – это стандарт.

У каждого кошелька есть два ключа:

• Приватный — сид-фраза, которой подписываются транзакции. Выдается при создании нового кошелька с просьбой «запишите на бумагу». Зная приватный ключ можно получить доступ ко всем активам на кошельке. Каждый уважающий себя скамер считает своей обязанностью выудить у тебя сид-фразу. Если вас просят «предоставить сид-фразу/приватный ключ» — это скам в 10 случаях из 10, особенно, когда предлагают сделать это для «разблокировки транзакции».
• Публичный — это ваш адрес в блокчейне, но записанный в 16-ричной системе счисления. У каждого блокчейна он работает по-своему. На публичный ключ — он же адрес в блокчейне — вы можете принимать крипту. Чтобы «открыть» кошелёк вы используете публичный и приватный ключи.

Приватный ключ это «пароль», публичный — «имя пользователя».

При каждом переводе криптовалюты используется закрытый (приватный) ключ, чтобы подписать или подтвердить транзакцию. Подпись, как отпечаток пальца – уникальна для каждого человека и его закрытого ключа. Наличие подписи доказывает, что транзакцию запустил законный владелец кошелька.

Теперь обратим внимание на представленную схему: приватный ключ конвертируется в публичный, затем пропускается через криптографию и на выходе получаем адрес в блокчейне. Процесс необратимый — из адреса приватный ключ не узнать.

Закрытый (приватный) ключ используется для создания открытого (публичного) ключа в процессе шифрования. Особенность метода шифрования не позволяет совершить обратный переход. То есть вы можете получить открытый ключ из закрытого, но из открытого не получится расшифровать закрытый.

Такой подход позволяет делиться открытым ключом, не беспокоясь о том, что кто-то сможет получить закрытый ключ и украсть криптоактивы.

При создании любого криптокошелька, ваш путь начинается именно с создания приватного ключа. 

Очень часто, для простоты запоминания приватного ключа (а он довольно сложный), используется мнемоническая фраза (seed-фраза). Приватный ключ преобразуется в 12-24 латинских слов.

Открытый (публичный) ключ подвергается математической функции, которая “сжимает” его в публичный адрес.

Из одного закрытого (приватного) ключа можно сгенерировать множество открытых ключей, каждый из которых будет иметь собственный публичный адрес.

Публичный адрес является идентификатором пользователя в сети блокчейна. Это классический адрес, который вы используете для того, чтобы переслать кому-то криптовалюту, либо чтобы ее перевели вам.

Чтобы взломать криптокошелёк нужен публичный и приватный ключ. Пока у мошенников нет приватного ключа — они ничего не могут сделать, даже если очень захотят. Поэтому, скамеры действуют тоньше: например, предлагают подписать странный смарт-контракт, который добавляет еще одного хозяина к твоему кошельку. Это называется «сиг-скам атака»: когда в список «доверенных» подписывающих транзакцию от твоего имени добавляют еще один адрес.

Кастодиальные (биржевые) - кошельки создаваемые централизованными биржами. По своей сути, это виртуальный кошелек, который создаётся биржей для совершения транзакций. Средства хранятся на центральном кошельке биржи, поэтому вы не являетесь истинным владельцем актива. Пока актив на бирже - он не является вашим, так как вы не владеете приватным ключем. О нем мы говорили ранее.

Плюсы: они бесплатны, очень просты в использовании. Вы регистрируетесь и может полноценно использовать кошелек. Вам не нужно хранить приватный ключ, так как за вас это делает биржа. Для восстановления доступа вам нужно написать в поддержку и сбросить данные, которые вы использовали при прохождении KYC-процедуры.

Минусы: вы не контролируете ваши средства, если по какой-то причине биржа решит заблокировать ваши средства, доступа вы к ним больше не получите. Деанонимизация личности, на сегодняшний день почти на всех приемлемых для работы бирж необходимо пройти процедуру KYC - подтверждение личности. Риск взлом главного кошелька биржи.

Горячие (программные) - программное обеспечение, которое позволяет управлять вашими криптоактивами. Больше всего такие кошельки подходят для людей, регулярно использующих криптовалюты (переводы, спекуляции). Программные кошельки делятся на десктоп-кошельки (Exodus), веб-кошельки (Metamask) и мобильные кошельки (Trust Wallet).

Такие кошельки называются горячими, потому что подключаются к интернету. Транзакции такого кошелька авторизуются сразу на устройстве. Взлом происходит при соединении с интернетом. Мнемоническая фраза/приватный ключ кошелька также находятся под угрозой.

Плюсы: бесплатны, довольно просты в использовании, но не так как кастодиальные решения. Вы полностью контролируете ваши средства, так как приватный ключ находится при вас. Достаточно анонимны, вам не нужно проходить KYC, однако по ходу развития крипторынка такие приложения все больше собирают различные персональные данные: ip адреса, геоположение, тип устройства и так далее.

Минусы: уязвимы к взлому, так как используются на обычных персональных компьютерах, в дополнение люди не особо заботятся о безопасности своего персонального компьютера. Необходимо бережно хранить приватный ключ и seed-фразу, так как утеря может повлечь за собой потерю доступа к кошельку, либо воровству активов.

Аппаратные (холодные) - представляют из себя электронные устройства, которые состоят из процессора, тачпада и дисплея. Эти устройства генерируют публичные и приватные ключи и хранят их. Чтобы обработать транзакцию на таком устройстве необходимо подключить его к компьютеру при помощи USB или Bluetooth (Trezor, Ledger, SafePal).

Холодный кошелек не осуществляет соединения с интернетом. Риск занести вирус, который утащит ваши ключи восстановления сводится к минимуму. Ваши ключи хранятся в максимально безопасной среде - только на этом устройстве.

Главное различие горячего кошелька от холодного в том, что в горячем все действия происходят на нем, а холодный кошелек только лишь подписывает ваши транзакции и передает их в сеть благодаря связке с устройством которое подключено к сети.

Этим они и примечательны, хоть вы и видите баланс вашего кошелька в своем приложении на телефоне, но совершить транзакцию без аппаратного кошелька вы никак не сможете, поэтому не стоит бояться за то, что вы потеряете телефон, кто-то найдет его первее вас и украдет крипту, либо же какой-то вирус стащит ключи.

Плюсы: это самый безопасный способ хранения криптовалют. Приватный ключи под полным контролем. Как и с горячими кошельками, они анонимные, вам не нужно проходить KYC.
Минусы: они платные. Стоимость популярных продуктов стартует от 50$, также нужно учитывать стоимость и срок доставки по почте. Большинство кошельков поддерживают только одну сеть - ERC20. В данный момент, в зависимости от нагрузки, комиссия за транзакцию может быть довольно кусачей, это нужно учитывать. Новичкам бывает сложно разобраться с интерфейсом холодных кошельков. Так как это физическое устройство, его можно потерять, разбить и так далее. Придется заказывать новый.

Горячие кошельки криптовалюты – это тип кошелька, который подключен к интернету. Это означает, что вы можете получить доступ к своим средствам и совершать транзакции в любое время и в любом месте.

Горячие кошельки удобны для повседневных транзакций, таких как покупка товаров или услуг, обмена криптовалюты. Горячий кошелек можно сравнить с вашим бумажником, который вы всегда носите с собой. Из-за того, что такие кошельки всегда подключены к интернету, вы имеете мгновенный доступ к вашим счетам.

К горячим кошелькам относятся: веб-кошельки, мобильные кошельки и биржевые счета.

Веб-кошельки – это облачные платформы, доступ к которым можно получить с помощью веб-браузера. Как пример, можно взять сайт ShapeShift, или расширение для браузера MetaMask.

Платформа ShapeShift

Они удобны и всегда находятся под рукой, но постоянное соединение с интернетом может сделать их уязвимыми для хакеров, особенно если ваш ключ хранится только на сайте. Об этом подробнее поговорим в следующем разделе.

Мобильные кошельки представляют собой приложения, созданные для управления вашими криптоактивами. Они являются очень удобными, поскольку у вас к ним всегда есть доступ, да и вообще зайти в приложение на телефоне явно удобнее, чем доставать каждый раз ноутбук и открывать браузерное расширение. Интересным примером мобильного кошелька может быть украинский проект Trustee Plus.

Криптокошелек Trustee Plus

Биржевые кошельки также являются горячими: это кошельки, которые даются пользователю при использовании криптобиржи. Они напрямую связаны и принадлежат вашему аккаунту. Несмотря на удобство для торговли, они не предоставляют вам приватные ключи, так как все ваши средства постоянно хранятся на платформе и ПРИНАДЛЕЖАТ бирже.

Преимущества горячих кошельков:

• Постоянная доступность: крипта всегда «под рукой». Вы имеете постоянный доступ к своим активам, и в случае чего можете выполнить любое действие с ними за считанные секунды.
• Скорость оформления транзакции. Чтобы переслать крипту на другой адрес нужно нажать всего лишь пару кнопок, и это не займет больше минуты вашего времени.
• Поддерживают столько же крипты, сколько и биржи, а иногда даже больше. Кошельки вышли в паритет с биржами по количеству поддерживаемых активов. Это означает, что у вас всегда будет возможность взаимодействовать с практически любым активом – и делать это на высокой скорости.
• Удобство для трейдера. Если вы являетесь трейдером и постоянно следите за рынками, то, конечно, горячие, а особенно биржевые счета, будут приоритетом для вас. Только если у вас есть средства на ваших биржевых или других горячих кошельках, вы сможете открыть сделку.
• Цена. Конечно, к преимуществам горячих кошельков следует отнести их цену. Какую такую цену спросите вы – вот именно! Они абсолютно бесплатные, чего не скажешь про холодные кошельки.

Недостатки горячих кошельков:

• Взломоопасны. По умолчанию, горячие кошельки не безопасны, особенно если ваше подключение не защищено или вы работаете через публичный Wi-Fi. Они подвержены риску взлома и кибератакам. Хакеры постоянно ищут уязвимости в онлайн-кошельках, и успешное вторжение может привести к потере активов. Такие кошельки всегда оставаются онлайн, из-за чего они подвергаются риску хакерских атак.
• Горячие биржевые кошельки не ваши. Вам не отдадут сид-фразу от такого кошелька, надежность – относительна. Это означает, что вы не можете получить доступ к своим средствам, если компания, предоставляющая горячий кошелек, обанкротится или будет взломана. Как было, например, с биржей FTX после ее краха: сайт биржи просто “лег” и люди не могли ничего сделать со своими средствами.

MetaMask

MetaMask – один из самых известных и популярных горячих кошельков, которым пользуется более 30 миллионов людей по всему миру. Выпускается в форме мобильного приложения для iOS и Android, имеет свое браузерное расширение под Firefox, Google Chrome и Opera.

Поддерживает подключение холодных кошельков от Ledger, Trezor и Lattice.

Metamask также предоставляет возможность приобретения криптовалюты непосредственно в приложении. Кроме того, кошелек включает в себя встроенный браузер, позволяя пользователю взаимодействовать с различными блокчейн-приложениями. Кстати, по статистике, более 70% юзеров Metamask используют приложение именно для работы с DeFi-проектами – то есть не для хранения криптовалюты, а для ежедневной работы с ней.

Преимущества Metamask:

• Поддержка всех EVM-сетей
• Встроенный браузер со своим магазином дополнений
• Простота, удобство и бесплатность
• Возможность покупки и обмена криптовалют внутри кошелька
• Поддержка NFT, Wrapped-токенов и всех «дополнительных» стандартов 
• Мобильная и ПК-версия

Недостатки Metamask:

• Все EVM-сети нужно подключать вручную и через дополнения, что может быть сложновато для новичков

Metamask считается стандартом горячего кошелька — у него мало недостатков, долгая история разработки и хорошая поддержка со стороны команды.

TrustWallet — главный конкурент Metamask. Еще один удобный горячий кошелек, который во многом может оказаться еще более простым в использовании для новичков. Это мультивалютный кошелек, который позволяет вам хранить и обменивать различные криптовалюты, включая Bitcoin, Ethereum, XRP и сотни других. Ничем не уступает Metamask.

До недавних пор TrustWallet существовал исключительно в виде приложения на смартфон, но не так давно появилось браузерное расширение, которое может скачать абсолютно каждый.

Преимущества TrustWallet:

• Trust Wallet поддерживает более 500 криптовалют и токенов
• Через Trust Wallet можно запускать dApps, которые работают на различных блокчейнах
• Удобное и нативное добавление криптовалют
• Встроенный браузер, поддержка NFT, мобильная и ПК-версия
• Вход через Face ID, Touch ID и валидация логина через 2FA

Недостатки TrustWallet:

• Выше риск потери активов при взломе устройства
• Поддержка ограниченного количества криптовалют

Эти два кошелька являются наиболее популярными среди горячих. Конечно, кроме них есть еще варианты, но эти точно можно отнести к наиболее надежным и удобным для использования.

Холодные кошельки (или "хардварные кошельки") представляют собой физические устройства, специально разработанные для безопасного хранения криптовалюты.

Эти кошельки обеспечивают высокий уровень безопасности, поскольку они работают в офлайн-режиме, не подключаясь к интернету, когда не требуется выполнение транзакций. Холодные кошельки подходят для хранения крупных сумм криптовалюты, которые вы хотите сохранить в безопасности. Они также подходят для хранения криптовалюты, которую вы не планируете использовать в повседневной жизни. Эти кошельки наиболее эффективны при долгосрочных инвестиции и хранении значительных сумм.

Преимущества холодных кошельков:

• Высокий уровень защиты от взлома: суть таких кошельков заключается в том, что они хранят криптовалюту вне сети и интернета. Поскольку они не подключены к сети, хакеры не имеют доступа к вашим средствам. Такие холодные криптокошельки представляют собой наиболее безопасный и надежный вариант для долгосрочного хранения активов.
• Автономность: крипта останется в безопасности, даже если производитель кошелька исчезнет с рынка. Работоспособность холодного кошелька не зависит от внешних обстоятельств. Ваши средства останутся неприкосновенными даже в случае закрытия компании.
• Полный контроль: когда вы используете холодный кошелек, вы физически контролируете свои приватные ключи. Это означает, что если вы не потеряете кошелек или его не украдут у вас, никто не сможет достать оттуда средства, кроме вас.

Минусы холодных кошельков:

• Каждый перевод требует подключения кошелька: в отличие от горячих кошельков, холодные требуют подключения к сети только для проведения транзакций. Это может быть неудобным для тех, кто предпочитает мгновенный доступ к своим средствам. Их оффлайн-режим требует дополнительного времени на подключение к компьютеру. Для тех, кто активно торгует или часто перемещает свои криптовалютные активы, использование холодного кошелька может быть менее удобным.
• Доступ к вашим средствам при потере кошелька: сид-фраза хранится внутри чипа на кошельке и ее оттуда можно достать при взломе.

Цена вопроса: холодные кошельки стоят денег, что добавляет дополнительные издержки для пользователей. Эта дополнительная финансовая нагрузка может не быть привлекательной для всех пользователей, учитывая наличие бесплатных альтернатив. Средняя цена на криптокошелек составляет 100$.

Ledger – французская компания с фокусом на разработку аппаратных кошельков для хранения криптовалют. Компания была основана в 2014 году группой экспертов в области криптобезопасности — Эриком Ларшевеком и Томасом Франсе вместе с основателями BTChip и ChronoCoin.

Ledger производит два основных продукта:

• Ledger Nano X – аппаратный кошелек с поддержкой 1500+ криптовалют и токенов. Он имеет сенсорный экран и поддерживает Bluetooth, что позволяет подключаться к компьютеру или мобильному устройству без необходимости использования кабеля.
• Ledger Nano S – более простой аппаратный кошелек, который поддерживает более 1000+ криптовалют и токенов. Подключается через USB-порт и не поддерживает Bluetooth.

• Кошельки Ledger считаются одними из самых безопасных в мире благодаря применению двух ключевых технологий: чип Secure Element, который хранит ваши приватные ключи в автономном режиме.
• Программное обеспечение Ledger Live, которое позволяет вам управлять своими криптовалютами и совершать транзакции.

Дополнительные меры защиты:

• Установка PIN-кода и двухфакторной аутентификации по номеру телефона, с вводом кода в приложении.

Для использования Ledger Nano необходимо установить официальное приложение для смартфона. Ledger является одним из лидеров рынка аппаратных кошельков для хранения криптовалют, которому доверяют более 3 млн. пользователей.

Один из главных конкурентов Ledger являются холодные кошельки от чешской-компании Trezor. Компания Trezor специализируется на разработке аппаратных кошельков для хранения криптовалют. Компания была основана в 2013 году.

У Trezor два основных продукта:

• Trezor Model T – аппаратный кошелек, с поддержкой 1800+ криптовалют и токенов. Оснащен сенсорным экраном и поддерживает USB-C.
• Trezor Model One – упрощенный аппаратный кошелек, с поддержкой 1000+ криптовалют и токенов. Работает через USB-порт, не поддерживает сенсорный экран.

Как и Ledger, кошельки Trezor используют чип Secure Element, который хранит приватные ключи в автономном режиме. Кошелек работает под управленим Trezor Suite, которое позволяет отправлять и принимать крипту.

Кошелёк Trezor подключается по USB-кабелю. Передача по кабелю шифруются при помощи встроенного генератора случайных чисел. 

Trezor поддерживает самые популярные токены и блокчейн-сети. У всех моделей кошелька есть небольшой дисплей, на котором удобно проверять  статус кошелька, вводить секретную фразу и подтверждать транзакции.

У Trezor есть 2 особенности: создание резервных копий и удаленное стирание. Если кто-то украдет ваш кошелек – вы можете обнулить его со смартфона.

Seed-фраза представляет собой последовательность слов, обычно состоящую из 12, 18 или 24 слов, которая используется для создания и восстановления криптовалютных кошельков. При создании нового криптовалютного кошелька вам предложат записать и сохранить seed-фразу.

Эта фраза является ключом к восстановлению вашего кошелька в случае утери доступа или забытого пароля. Если вы потеряете свою seed-фразу, вы потеряете доступ к своим средствам. Именно поэтому так важно обеспечить безопасное хранение seed-фразы, так как любой, кто знает вашу Seed-фразу, может восстановить ваш кошелек и получить доступ к вашим активам. Вы также должны записать свою seed-фразу на бумаге и хранить ее в надежном месте. Часто при покупке холодного кошелька, в наборе с ним идет специальный листок для записи Seed-фразы.

Стандарты создания seed-фраз могут различаться в зависимости от кошелька или криптовалютной платформы. Поэтому важно внимательно читать инструкции и следовать рекомендациям конкретного кошелька или платформы для правильного создания и сохранения seed-фразы.

Не так давно произошел инцидент, в ходе которого было украдено 60 000$ у бразильского блогера Айвана Бьянко – он ведет YouTube-канал о блокчейн-играх Fraternidade Crypto. Во время очередного стрима он случайно засветил свои seed-фразы от кошельков. В течении нескольких минут все средства с его кошельков были выведены на другие адреса.

В 2020 году произошел интересный случай, не связанный с кражей, но тесно связанный с получением доступа к чужому кошельку с использованием неполной seed-фразы. Криптоэнтузиаст Алистер Милн предложил своим подписчикам в Twitter поучаствовать в конкурсе: человек, которому удастся взломать его собственную seed-фразу от кошелька, может забрать себе активы, которые там лежат (на кошельке хранился 1 BTC). Он планировал раз в какое-то время публиковать подсказки, начиная с первых слов. Когда он опубликовал первые 7 слов кошелек взломали, а Биткоины вывели.

Программист по имени Джон Кантрелл создал программу и методом подбора угадал seed-фразу Алистера Милна. На перебор перебор всех комбинаций после публикации седьмого слова ушло всего 30 часов.

Выбор места хранения криптовалюты является важным аспектом для любого криптана. Существуют два основных типа криптокошельков: холодные и горячие, каждый из которых имеет свои преимущества и особенности, подходящие для различных целей.

Холодные кошельки – это устройства, похожие на флешки, не подключенные к интернету, что делает их более безопасными от хакерских атак и онлайн-угроз. Эти кошельки идеально подходят для среднесрочных и долгосрочных инвестиций в криптовалюту, так как обеспечивают высокий уровень безопасности для хранения значительных сумм.

Горячие кошельки, напротив, постоянно подключены к интернету и предоставляют более удобный доступ к активам для проведения транзакций. Они идеально подходят для активного трейдинга и быстрых операций с криптовалютой, поскольку позволяют быстро реагировать на изменения рынка. Однако из-за постоянного подключения к интернету они более уязвимы для кибератак.

Наилучшим вариантом для работы с криптоактивами является использование комбинации этих двух типов кошельков. Холодные кошельки – для хранения крупных сумм и долгосрочных инвестиций, а горячие кошельки – для частых торговых операций и быстрого доступа к средствам. Выбор между холодными и горячими кошельками зависит от индивидуальных целей и стратегии управления активами, однако всегда важно помнить о том, что складывать все яйца в одну корзину не комильфо.