Как правильно хранить криптовалюту в 2021 году. Обзор кошельков
Многие часто говорят, что криптовалюты «хранятся» в кошельках, однако технически это неверно. Средства хранятся в блокчейне: распределенной, децентрализованной учетной книге, которая является базисом экосистемы криптовалют. Кошельки же, в свою очередь, содержат важные данные, которые позволяют пользователю получить доступ к этим средствам, непосредственно внутри блокчейна и, при правильном управлении, обеспечивают их безопасное хранение. Сегодня мы расскажем об устройстве кошельков, их классификации, и приведем список наиболее удобных для конечного пользователя, с точки зрения сравнения их функций.
Как устроены криптовалютные кошельки?
Для работы с криптовалютами обычно требуется специальное программное обеспечение — это программа-кошелек, интегрированная либо в программную, либо в биржевую, либо аппаратную среду. Она позволяет пользователю работать с блокчейном и создавать транзакции или получать переводы на свой адрес
Каждый кошелек, вне зависимости от среды функционирования, содержит приватный и публичный ключи.
Публичный ключ — это цифровая строка, которую может увидеть каждый. Она состоит из набора букв и символов и используется при отправке средств на кошелек.
Закрытый ключ — это своего рода ключ безопасности, состоящий из серии случайных чисел, сгенерированных криптографически, которые невозможно взломать. По сути, это шестнадцатеричное число, состоящее из 256 бит или 32 байта, которое создано для подписи переводов.
Подписанная транзакция отправляется в сеть и после одобрения добирается до получателя.
Безопасно ли использование криптовалютных кошельков?
В криптовалютных системах безопасность и целостность вашего счета гарантируется сетью агентов (передача сегментированных файлов или передача файлов из нескольких источников), которые проверяются майнерами. Они и защищают сеть, поддерживая высокую скорость алгоритмов обработки.
Взлом существующей безопасности в криптовалюте математически возможен, но стоимость ее достижения является неприемлемо высокой. Например, злоумышленнику, пытающемуся обмануть блокчейн BTC, и провести «двойную трату», потребуется вычислительная мощность, которая превышает мощность всех майнеров в системе. Но даже тогда у него не будет всех возможностей управления. Хакеру нужно перейти порог мощности в 51%, чтобы хотя бы приблизиться к этой цели.
Какой есть выбор
Не-кастодиальный кошелек — это вид децентрализованного кошелька, в котором клиенту принадлежат его личные ключи. Пользователь получает файл с личными ключами и должен написать мнемоническую фразу, с помощью которой он может восстановить доступ к своим средствам. Наличие личных ключей означает, что пользователь имеет полный контроль над средствами. Однако, следует иметь в виду, что полный контроль над деньгами также означает, что лишь потребитель несет полную ответственность за свои средства.
Напротив, кастодиальный кошелек — это вид цифрового кошелька, в котором личные ключи и резервное копирование всех данных, то есть, защита, средств, находится на стороне разработчика.
С точки зрения пользователя, безусловно, не-кастодиальный кошелек является наиболее приемлемым вариантом, ведь в таком случае, злоумышленники не смогут похитить активы, однако, если уповать на человеческий фактор, и допускать вероятность совершения ошибок, то хранение средств в кастодиальных кошельках (не во всех случаях), дает надежду на восстановление утерянных средств.
Кошельки, на которых хранится валюта, можно классифицировать:
- Кастодиальный кошелек
Биржи. В большинстве своем, ключи на биржах, генерируются и остаются на серверах разработчика, не достигая устройств пользователей.
Программные кошельки. также есть и определенные программные кошельки, такие как FreeWallet, которые хранят данные на своих серверах. Однако таких сервисов не так много.
- Не-кастодиальный кошелек
Программные кошельки. Программные кошельки могут быть мобильными или компьютеризированными, которые загружаются непосредственно на ваше устройство.
Веб-кошельки. Такие кошельки наиболее популярны у начинающих пользователей и людей, которые много торгуют. Веб-кошельки обычно предлагаются на сайтах крупных крипто-валютных бирж. Они могут хранить любую купленную валюту, помогают быстро продавать ее или передавать другим пользователям. Популярность такого типа кошельков обусловлена возможностью быстро и просто продавать различные монеты и совершать переводы прямо на сайте, что очень удобно для начинающих пользователей. Веб-кошельки также хороши тем, что к ним можно получить доступ через браузер из любой точки мира. Это позволяет всегда управлять средствами, если нужно что-то оплатить или сделать перевод. Основной проблемой таких кошельков является наличие потенциальных рисков хакерских атак, поэтому хранение в них крупных денежных средств весьма опасно. Несмотря на то, что соответствующие сайты делают все возможное для обеспечения безопасности предлагаемых кошельков, они не могут контролировать чужие компьютеры и находить на них вирусы и шпионские программы, с помощью которых хакеры и крадут деньги со счетов.
Мобильные кошельки. Мобильные кошельки обычно используются как для хранения небольших сумм, так и для весьма внушительных. Все больше и больше магазинов по всему миру начинают принимать платежи в Bitcoin или Ethereum, поэтому удобно хранить некоторые из этих токенов в мобильном кошельке на тот случай, если пользователю нужно за что-то заплатить.
Бумажные кошельки. Бумажный кошелек считается самым безопасным механизмом хранения криптовалют. Для их использования пользователь печатает ключи на бумаге и интегрирует их в онлайн-кошелек.
Итак, где же все-таки хранить криптовалюту?
Хранение криптовалютных активов — наиболее важная часть работы для любого инвестора. Так что к выбору хранилища следует подойти очень ответственно. В качестве наиболее популярных вариантов, есть три подкатегории: программные, биржевые и аппаратные. Сегодня, мы проведем цельное сравнение функционала, и разберемся, какие из них будут наиболее подходящими под специфические задачи каждого рода пользователей.
Обзор программных кошельков
Программный кошелек — один из самых распространенных методов хранения, которые подразумевает под собой мультиплатформенность, быстрый доступ к своим средствам, и относительную безопасность. Следует понимать, что каждый программный кошелек, так или иначе, привязан к своему физическому носителю, и его утрата, в большинстве случаев, приведет к безвозвратной потере средств.
Blockchain Wallet
Blockchain Wallet — это, безусловно, самый популярный цифровой кошелек, который позволяет пользователям хранить свои криптовалюты и управлять ими в полной мере. Кошелек Blockchain поддерживается компанией Blockchain, занимающейся разработкой программного обеспечения, основанной Питером Смитом и Николасом Кэри. Кошелек на блокчейне позволяет осуществлять переводы в криптовалюте и конвертировать их в валюту.
Плюсы:
- Поддержка мобильного приложения, с хорошо проработанным UI/IX;
- Поддержка веб-интерфейса;
- Поддержка ведущих криптовалют;
- Открытый исходный код в свободном доступе.
Минусы
- В случае, если у злоумышленников вышло получить доступ к почте пользователя, они с легкостью смогут обналичить все средства хранящиеся на кошельке;
- Отсутствие десктоп-версии кошелька;
- Хранение ключей на стороне разработчика.
Вывод. Blockchain Wallet является самым популярным местом для хранения средств, однако, уровень безопасности оставляет желать лучшего. Blockchain позволяет пользователям хранить средства в относительной безопасности, и максимально нацелены на удобство. Этот вариант можно рассмотреть, если пользователь не собирается хранить больших сумм, и является новичком в крипто-пространстве, для которого важна простота функционала.
Coinbase Wallet
Coinbase Wallet — это приложение, которое позволяет пользователям хранить свою собственную криптовалюту и взаимодействовать с блокчейном посредством децентрализованного приложения. Этот кошелек сочетает в себе универсальность, предлагаемую его предшественником Toshi Wallet, и поддержку, предлагаемую компанией Coinbase. В этом кошельке пользователь может не только хранить ETH и токены, стандарта ERC, основанные на сети Ethereum, но также и взаимодействовать с BTC, BCH и LTC.
Плюсы:
- Поддержка мобильного приложения, с превосходным UI/IX;
- Поддержка веб-интерфейса;
- Поддержка ведущих криптовалют;
Минусы:
- Хранение ключей на стороне разработчика.
- Отсутствие десктоп-версии кошелька;
- Отсутствие открытого исходного кода в свободном доступе.
Вывод. Кошелек Coinbase представляет собой отличную альтернативу хранению своих средств. Во-первых, он генерирует сид для обеспечения безопасности, во-вторых, позволяет защитить приложение от использования считывателя отпечатков пальцев. В общем, это очень простое и удобное в использовании приложение, но с множеством инструментов. Кроме того, этот кошелек поддерживается Coinbase. С другой стороны, он может доставлять определенные неудобства. При открытии некоторых децентрализованных приложений, браузер может зависнуть, что не всегда позволит произвести сделку в считанные секунды, как того будут требовать заданные пользователям стандарты качества.
Trust Wallet
Trust Wallet — это приложение для мобильных устройств, которое позволяет отправлять, получать и хранить токены криптовалюты в блокчейне Ethereum. Портфолио с открытым исходным кодом, разработанное с упором на простоту, призвано предоставить платформу, которую легко настроить и использовать. Trust Wallet позволяет пользователям хранить свои закрытые ключи на своих устройствах и предоставляет функцию резервного копирования для простого восстановления.
Плюсы:
- Позволяет хранить любой ERC-токен;
- Приватные ключи хранятся на устройстве пользователя;
- Возможность работы с децентрализованными приложениями (dApp);
Минусы:
- Отсутствие поддержки многих токенов;
- Не обеспечивает двухфакторную аутентификацию;
- Не пользователя-ориентированный дизайн интерфейса.
Вывод.Trust Wallet включает в себя встроенный браузер Web3, который позволяет легко исследовать децентрализованные интернет-приложения. Это приложение соответствует стандартам качества и безопасности и оптимизированы для работы на высоком уровне. Trust Wallet отлично подойдет для тех пользователей, которые не слишком придирчивы к функционалу, и не имеют надобности держать большой портфель различных токенов не ERC-стандарта.
Guarda
Guarda — эстонский проект, который является гибридом всех типов кошельков. В нем есть возможность функционально использовать все виды крипто-валютных решений в одном месте, использовать из браузера или загрузить настольное приложение. Guarda поддерживает более 45 монет и совместим со всеми современными стандартами токена.
Плюсы:
- Поддержка мобильного приложения
- Поддержка веб-интерфейса
- Поддержка десктоп-версии
- Приватные ключи хранятся на устройстве пользователя;
- Открытый исходный код
- Поддержка Web3
- Поддержка колоссального количества токенов
Минусы:
- Отсутствие двухфакторной аутентификации
- Отсутствие поддержки Wallet Connect
Вывод. Guarda Wallet, представляет собой проект, созданный командой высококвалифицированных специалистов. Уровень конфиденциальности и имплементации новшеств находится на высоком уровне. Суммируя все эти факторы, можно сказать, что Guarda — это надежный кошелек для хранения криптовалюты. Однако, среди отрицательных моментов, которые можно отметить — это отсутствие поддержки Wallet Connect, что не позволяет работать с большинством DeFi протоколов и отсутствие двухфакторной аутентификации.
Atomic Wallet
Atomic Wallet — уникальный криптовалютный кошелек, который позволяет управлять более чем 300 различными крипто активами, в дополнение к возможности добавления пользовательских токенов ERC20. Еще одна характеристика, которой может похвастаться этот кошелек, заключается в том, что в нем есть возможность проводить атомарные свопы, которые основаны на реализации обменов без посредников с использованием технологии смарт-контрактов
Плюсы:
- Поддержка мобильного приложения
- Поддержка десктоп-версии
- Мультивалютность
- Мульти-подпись
- Открытый исходный код
- Приватные ключи хранятся на устройстве пользователя;
Минусы:
- Отсутствие поддержки веб-интерфейса
Вывод. Atomic Wallet теоретически полностью безопасен для хранения средств. Кошелек с открытым исходным кодом, что значительно снижает вероятность возникновения ошибок или внедрения скрытых уязвимостей в программу. Более того, важные данные, такие как пароли, зашифрованы и хранятся только локально на устройстве конечного пользователя.
Обзор биржевых кошельков
Бытует мнение, что хранение средств на биржевых счетах — затея обреченная на заведомый провал. Однако, миллионы инвесторов и трейдеров по всему миру, выбирают именно биржи, ведь только кастодиальные кошельки подразумевает последующий возврат средств, в случае утери физического носителя.
Currency.com
Currency.com — это онлайн-платформа для торговли токенизированными активами, предназначенная для совершения быстрых и простых сделок с криптовалютами. Платформа Currency.com способствует не только торговле токенами, но также и другими видами финансовых активов. За последнее время, Currency изрядно улучшили свой функционал, и теперь, биржу, по праву можно назвать не просто отличным местом для проведения сделок, но и наиболее безопасным местом для хранения своих криптовалют.
Плюсы:
- Официальное регулирование: биржа всецело направлена на взаимодействием с пользователем, и хранит его средства в соответствии с законодательством Республики Беларусь. Это снижает не биржевые риски
- Простое пополнение и вывод средств: хранящяяся на currency.com криптовалюта, всегда может быть легко выведена, ровно также, как и легко пополнить кошелек.
- Полноценная русская локализация: весь биржевой функционал полностью на русском языке
- Для жителей России и стран СНГ всегда можно воспользоваться выводом средств на счета Сбербанка
- Свыше 1000 ликвидных активов, которые позволяют хранить не только криптовалюту, но и любого рода другие финансовые инструменты в полной сохранности и в соответствии с мировыми законодательными актами.
- Currency.com всегда может выдать пользователю необходимую отчетность, которая позволит подтвердить легальное происхождение средств.
Вывод. Currency.com — один из лучших вариантов для хранений криптовалюты для инвесторов, которые находятся на территории стран СНГ. Низкие комиссионные издержки, быстрый вывод криптовалют на любые платежные системы, делают currency явным лидером на рынке хранения. Безопасность конечного пользователя является приоритетной целью криптобиржи Currency, для чего при ее разработке были задействованы передовые технологии. Например, все необходимые данные хранятся на серверах обработки данных Equinix, у которой обслуживаются такие гиганты как NASDAQ и Dow Jones, Франкфуртская и Лондонская биржа.
Binance
Binance, в настоящее время, является одной из крупнейших криптовалютных бирже в мире, и является наиболее популярной среди трейдеров. Платформа имеет огромное количество функционала, и позволяет хранить средства в безопасности, постоянно совершенствуя свои протоколы.
Плюсы:
- Большой список поддерживаемых токенов
- При обмене криптовалюты на криптовалюту, комиссии Binance являются самыми низкими в отрасли.
- Binance очень серьезно относится к безопасности, и при регистрации, пользователей просят настроить двухфакторную аутентификацию (2FA), что еще раз подтверждает приверженность биржи безопасному хранению.
- Поскольку Binance стал одной из самых популярных бирж для покупки, торговли и продажи криптовалют, на ее платформах постоянно происходит множество операций. Это важный фактор, который позволяет быстро совершать операции с активами, и в случае необходимости, перемещать средства таким образом, чтобы извлекать максимальную прибыль из хранения.
Минусы:
Неизвестно, в какой стране зарегистрирована биржа.
Вывод. Binance предлагает огромное количество внутренних цифровых кошельков для более чем 80 криптовалют, среди которых самые популярные, включая BTC, ETH, USDT, EOS и BNB и множество других; Кроме того, для тех, кто все же считает использование биржевого кошелька ненадежным, был придуман вариант «доверенного» кошелька под названием Binance Trust Wallet, который позволяет хранить в нем Ethereum и более 40 токенов из среды децентрализованных приложений; Trust Wallet, интегрированный непосредственно с блокчейном, представляет собой кошелек, который позволяет полностью контролировать активы, не покидая среду Binance.
Coinbase PRO
Coinbase Pro, ранее известная как GDAX, представляет собой платформу для обмена и торговли криптовалютами. Эта биржа выделяется среди прочего низкими комиссиями и мощными мерами безопасности (ее ни разу не взламывали). Кроме того, платформа хранит 98% средств пользователей в автономном режиме, используя холодное хранилище.
Плюсы:
- В настоящее время это самый простой, безопасный и дешевый способ обмена из-за низких комиссионных издержек.
- Высокая безопасность платформы за счет хранения 98% средств в автономном режиме и частого технического и финансового аудита.
- Очень хороший пользовательский интерфейс и интуитивно понятная навигация.
- Широкий выбор вариантов фидуциарного депозита и снятия средств.
- Застрахованные вклады.
Минусы:
- Приватные ключи хранятся на серверах Coinbase, что не страхует пользователей от получения злоумышленниками доступа к их средствам;
- Большие объемы запрашиваемых личных данных: KYC и AML безукоризненно соблюдаются на бирже, что не позволит полноценно взаимодействовать с площадкой без внесения в базу своих личных данных.
Вывод. Учитывая все свои особенности, Coinbase Pro, несомненно, является одной из лучших бирж на рынке, если пользователя не смущает объем запрашиваемых личных данных.
Huobi
Huobi — это достаточно безопасная, заслуживающая доверия платформа, которой удалось сохранить положительную репутацию, свободную от проблем, связанных с мошенничеством или существенными сбоями. Хотя сегодня из-за активных ограничений на криптовалюты в Китае, его юрисдикция перенесена в другие страны, Huobi продолжает увеличивать объем операций и обеспечивать пользователям безопасное хранение средств.
Плюсы:
- Высокая ликвидность;
- Имеет интерфейс, совместимый с мобильными устройствами.
Минусы:
- Операционные сборы достаточно высоки;
- Предоставляет несколько способов пополнения счета.
Вывод. Биржа Huobi вложила значительные средства в безопасность и прошла множество сторонних тестов. Они предлагают двухфакторную аутентификацию, уведомления по SMS и электронной почте, а также PGP шифрование. Более 98% клиентских активов хранится в холодном кошельке с несколькими подписями, что обеспечивают высокий уровень безопасности для хранящихся на ней средств. К слову, один раз биржа подверглась взлому, однако, у злоумышленников не вышло похитить средства пользователей.
Обзор аппаратных кошельков
Аппаратные кошельки — это физические, электронные устройства, такие как USB флэш-накопители, которые могут генерировать секретные ключи и цифровые подписи сделок в автономном режиме. Они могут гарантировать полную анонимность. Они намного дороже, чем другие варианты, но их легко настроить, создать резервную копию и использовать в обиходе. Их безопасность неоспорима, и является эталоном в сфере хранения криптовалют.
Ledger Blue
Ledger Blue — это аппаратный кошелек премиум-класса, выпущенный в ноябре 2016 года, который призван сделать хранение криптовалюты наиболее безопасным и простым.
Ранее описываемый, как самое современное, аппаратное, обеспечение безопасности для криптовалют на рынке, Ledger Blue отличается безопасностью непревзойденного уровня, большим светодиодным дисплеем и прочной конструкцией, рассчитанной на регулярное использование.
Плюсы:
- Высокий уровень безопасности криптоактивов;
- Совместим с широким спектром устройств;
- Удобный интерфейс;
- Отличный сенсорный экран прост в использовании и повышает безопасность;
- Поддержка нескольких валют.
Минусы
- Внушительная стоимость;
- Не такой портативный, как другие аппаратные кошельки на рынке.
Вывод. Ledger Blue — это самое современное оборудование для обеспечения безопасности на рынке. Он может выполнять несколько приложений и сочетает в себе криптографические возможности корпоративного уровня с легким портативным устройством. Изготовлено и разработано во Франции, оно соответствует самым высоким стандартам. Он построен вокруг безопасного элемента с сенсорным экраном и возможностью подключения по USB и Bluetooth.
Ledger Nano S
Это устройство позволяет как хранить виртуальную валюту, так и совершать платежи. Некоторыми из его основных характеристик являются простота использования, скорость выполнения переводов, платежей и высокий уровень безопасности.
Плюсы:
- Благодаря безопасности, обеспечиваемой 24 случайно сгенерированными словами, ваши криптоактивы всегда можно восстановить.
- Благодаря четкому OLED-дисплею вы всегда сможете проверять ваши активы в режиме реального времени.
Минусы:
- Поскольку в кошельке нет аккумулятора, его необходимо подключить к компьютеру.
- На данный момент приложение Ledger работает только с браузером Chrome.
Вывод. Аппаратный кошелек, такой как Ledger Nano S, полностью обеспечивает безопасное хранение данных, однако, тут следует учитывать человеческий фактор, и не терять доступа к физическому носителю, чтобы не лишиться средств.
Trezor
Trezor — это физическое устройство, не подключенное к Интернету. В них хранятся закрытые ключи, необходимые для выполнения транзакций с криптовалютами. Его очень легко использовать как для новых пользователей, так и для людей, уже имеющих опыт транзакций и операций с платежами в криптовалютах.
Плюсы:
- Полностью мобильный в использовании (через Android, при наличии кабеля OTG)
- Простой в использовании функционал
- Может использоваться как мощный менеджер паролей
- Поддерживает двухфакторную аутентификацию
Минусы:
Вывод. Trezor — одна из самых надежных компаний в мире, когда речь идет о аппаратных кошельках. Их самый популярный продукт — Trezor Model One, который представляет собой доступный аппаратный кошелек с современными системами безопасности.
Больше новостей о криптовалютах вы найдете в нашем телеграм-канале РБК-Крипто.
Программные кошельки для Bitcoin и безопасность
Поговорим немного про кошельки в криптовалютах. Под “криптовалютой”, я, в первую очередь, буду иметь ввиду Bitcoin. В других криптовалютах дело обстоит похожим образом и если вас интересуют детали, то можете покопаться самостоятельно.
Несмотря на продолжающийся хайп вокруг криптовалют и блокчейн как технологии, на мой взгляд, очень мало кто говорит про безопасность этих решений. Все концентрируются на различных плюсах, которые дает технология блокчейн, обсуждают майнинг и скачки курсов криптовалют, в то время как именно безопасность является критически важной, особенно когда речь идет о деньгах или о распределенных реестрах собственности. Вся информация для статьи взята из открытых источников, таких как https://bitcoin.org, https://en.bitcoin.it/wiki, https://bitcointalk.org, https://github.com и других.
Ниже будет неглубокий обзор кошельков криптовалют и их безопасности. Чем больше я погружался в эту тему при написании статьи, тем больше удивлялся тому, что в мире происходит так мало взломов и увода средств у пользователей того же Bitcoin. Но обо всем по порядку.
Что такое кошелек в криптовалютах
Разберемся немного с терминологией. Под кошельками в криптовалютах понимают одновременно:
- набор ключей для доступа к деньгам;
- программы, которые управляют этими ключами и позволяют вам проводить транзакции в сети криптовалюты.
Будем говорить про кошелек именно как про средство управления, хранения и проведения транзакций. Без кошелька вы не можете получить, сохранить или потратить ваши биткоины или средства в другой криптовалюте. Кошелек — ваш персональный интерфейс к сети криптовалюты, похожий на банковский аккаунт для фиатной валюты.
На самом деле безопасность хранения ваших средств в криптовалюте очень сильно зависит от того кошелька, который вы используете. А безопасность самого кошелька во многом основана на безопасности операций с закрытыми ключами.
Все кошельки подразделяются на “горячие” и “холодные”. «Горячим» называют криптовалютный кошелек, средства с которого можно потратить в любое время. «Холодный» кошелек действует совершенно противоположным образом. Он не предназначен для регулярного отправления криптовалюты, но тем не менее, средства на него можно получить в любое время. Самым простым “холодным” кошельком является лист бумаги, на котором записан закрытый ключ от вашего кошелька.
“Горячий” кошелек Bitcoin — это приложение, веб-сайт или устройство, которое управляет вашими закрытыми ключами. Самые популярные — это, конечно, приложения, как мобильные, так и десктопные, а также веб-сайты. Давайте чуть подробнее остановимся на каждом из этих видов и посмотрим, какие угрозы таит использование того или другого кошелька.
Так как кошельков существует очень много, я решил изучать только те, которые представлены на сайте https://bitcoin.org/. В качестве программных кошельков для персонального компьютера там представлены:
Требования к кошелькам
Первое на что обратим внимание — это на рекомендации самого сайта bitcoin.org относительно безопасности использования того или иного кошелька. При скачивании вам покажут 6 требований и информацию о том, какие требования каждым из этих кошельков соблюдаются, а какие нет. Большая часть этих требований прямо или косвенно связана с информационной безопасностью, а значит и с безопасностью ваших средств.
Вот эти требования, а также уровни соответствия этим требованиям.
Контроль за вашими деньгами
- Полный контроль. Никто не сможет заморозить ваш счет или потерять ваши деньги. Однако вы должны помнить о том, что ответственность за безопасность и резервное копирование вашего закрытого ключа полностью лежит на вас.
- Совместный контроль. Кошелек требует, чтобы каждая транзакция была авторизована как вами, так и третьей стороной. Обычно, вы можете восстановить полный контроль над вашими средствами, используя первоначальную резервную копию или предварительно подписанную транзакцию, отправленную по электронной почте.
- Хостинг-контроль. Кошелек дает вам доступ к вашим средствам. Однако он хранит зашифрованную копию вашего закрытого ключа. А значит ваши средства могут быть похищены, если вы не будете использовать надежный пароль или если сервис будет скомпрометирован.
- Деньги под контролем третьей стороны. Это означает, что вы должны доверять этому сервису, и надеяться, что он не потеряет ваши средства в результате инцидента на своей стороне. На данный момент, большинство онлайн-кошельков не страхуют депозиты подобно банку, и многие сервисы в прошлом имели проблемы с безопасностью.
Так вот, не знаю, как вам, а мне совсем не нравится последние два уровня контроля. История про надежный пароль звучит вообще очень плохо. И дело тут даже не в том, что у пользователей большие проблемы с созданием, вводом и запоминанием по-настоящему надёжных паролей, а в том, что key-логгеры никуда не делись.
А уж если быть совсем реалистами, то вряд ли эти предупреждения кто-то читает. А если и читает, то далеко не каждый понимает, насколько здесь много проблем с безопасностью.
Проверка транзакций
- Полная. Кошелек является полноценном узлом (full node), который проверяет действительность и проводит операции в сети. При проверке платежей доверие к третьему лицу не требуется. Полноценные узлы обеспечивают наивысший уровень безопасности и важны для защиты сети. Однако им требуется больше дискового пространства (свыше 145 ГБ), пропускной способности и больше времени для первоначальной синхронизации.
- Упрощенная или децентрализованная. Кошелек использует случайный сервер из списка серверов. Это значит, что вы должны доверять этим серверам при проверке платежей. Это не так безопасно, как использование кошелька, который является полноценным узлом.
- Централизованная. Кошелек по умолчанию полагается на централизованный сервер. А значит, Вы должны на 100% доверять этой третьей стороне в вопросах сокрытия или подделки платежей.
Альтернативные решения имеют явные проблемы с безопасностью. Список серверов, в случае децентрализованной проверки, надо хорошо защищать. А то как бы очередной вирус не оставил в этом списке только один зараженный сервер.
А уж про стопроцентное доверие третьей стороне даже говорить не хочется.
Кстати, сторонники криптовалют любят в этом случае обращать внимание на то, что банковская система устроена похожим образом. Это конечно так. Вот только банки регулируются многочисленными стандартами, а уж если возникла новая проблема/уязвимость, то ваши средства защитит страховка. Поэтому криптовалютным сервисам еще есть куда расти.
Прозрачность
- Полная прозрачность. Исходные коды кошелька открыты, а процедура сборки зафиксирована. Любой разработчик в мире может провести аудит кода и убедиться, что исполняемый код не скрывает никаких секретов.
- Базовая прозрачность. Разработчики опубликовали исходные коды кошелька. Любой разработчик в мире может провести аудит кода. Однако, вы должны доверять разработчикам, когда устанавливаете или обновляете ПО вашего кошелька.
- Удаленное приложение. Кошелек загружается с удаленного сервиса. Значит, когда вы используете кошелек, вы должны доверять разработчикам в вопросах кражи или потери ваших средств в результате инцидента. Использование расширения для браузера или мобильного приложения может снизить эти риски.
Больше всего мне нравится фраза “Любой разработчик в мире может провести аудит кода”. Ага, как же. Во-первых, разработчик должен неплохо знать конкретный язык программирования, на котором написан конкретный кошелек. А это сразу отсекает большой кусок от “любой разработчик в мире”.
Во-вторых, далеко не любой разработчик является одновременно специалистом по информационной безопасности или имеет опыт написания безопасного кода. Приведу банальный пример:
Откройте статьи от разработчиков PVS-studio и вспомните о том, какие ошибки порой совершают разработчики. Причем даже те разработчики, которые хорошо разбираются в вопросах безопасности (например, Скучная статья про проверку OpenSSL).
Поэтому полноценный аудит всего кода кошелька может сделать весьма ограниченное количество разработчиков. Большая часть которых и так имеет кучу интересных задач, помимо этого аудита. Даже если кто-то из них и заинтересуется этой задачей, то выполнена она будет только для определенного коммита в git. А значит, оценить безопасность кода в конкретный момент времени весьма непросто.
Что подразумевают ребята с сайта Bitcoin под фиксированной процедурой сборки точно понять не удалось. Со сборкой есть свои проблемы. Например, как понять, что полученная вами сборка или обновление собраны именно из правильных исходных кодов. Давайте будем реалистами – собирать кошелек из исходных кодов будут единицы. Лучшее, что вы можете сделать, это проверить хэш от свежескачанного инсталлятора с хэшем, который указан на официальном сайте. И надеется, что сайт не был скомпрометирован и там лежит именно корректный хэш, а также доверять разработчикам и сборщикам кошелька, а также администраторам сайта.
Чтобы уж совсем добить вопрос про исходные коды, я решил сам заглянуть в исходники Bitcoin Core, который по всем показателям, которые уже были описаны и тем, которые описаны дальше, занимает лидирующие позиции. Примеры кода и выводы, которые я сделал, бегло просмотрев исходники, смотрите ниже.
Бонус про прозрачность
Есть еще один интересный аспект, который я обнаружил совершенно случайно. Допустим, вы решили использовать кошелек Bitcoin Armory, который скромно позиционирует себя как BEST BITCOIN WALLET. В описании вы найдете – “Armory is the most secure and full featured solution available for users and institutions to generate and store Bitcoin private keys”. Забив в Google название кошелька, вы обнаружите, что у кошелька есть 2 сайта. Первый https://www.bitcoinarmory.com — коммерческий с красивыми словами, в топе выдачи. Второй https://btcarmory.com — более технический, на него вас приведет ссылка с https://bitcoin.org/.
Так вот, на техническом сайте, на главной странице в новостях, вы найдете предупреждение:
Коммерческий сайт такие глупости не пишет =) Вам же не надо переживать по таким глупым поводам.
Безопасность среды
- Двухфакторная аутентификация. Кошелек можно загружать в небезопасной среде. Однако, сервис требует двухфакторной аутентификации. Значит, для кражи ваших средств необходим доступ к нескольким устройствам или аккаунтам.
- Безопасная среда. Кошелек работает на мобильном устройстве, где приложения, как правило, изолированы. Это обеспечивает хорошую защиту от вредоносных программ, хотя мобильные устройства имеют больше шансов потеряться или быть украденными. Шифрование мобильного устройства и резервное копирование кошелька может уменьшить этот риск.
- Уязвимая среда. Кошелек может быть загружен на компьютеры, которые потенциально уязвимы для вредоносных программ. Если вы увеличите безопасность вашего компьютера, используя сложный пароль, переведете большую часть своих средств в оффлайновое хранилище или активируете двухфакторную авторизацию, то ваши биткоины будет сложнее украсть.
Давайте тут тоже остановимся чуть подробнее.
Использование надежной двухфакторной аутентификации действительно может помочь решить многие проблемы с информационной безопасностью.
Ключевое слово тут “надежной”. А еще и правильно реализованной. А с этим не всегда все хорошо получается. Например, blockchain.info предложит вам старые добрые SMS в качестве второго фактора. Никому же не интересны те же рекомендации NIST в Special Publication 800-63B:
- [Out of band verification] using SMS is deprecated, and will no longer be allowed in future releases of this guidance.
На безопасности компьютеров и мобильных устройств останавливаться подробно не будем. Достаточно почитать любой из отчетов Лаборатории Касперского или других серьезных игроков на рынке безопасности, чтобы самостоятельно сделать выводы.
Следующие два пункта не связаны напрямую с безопасностью хранения ваших средств. Поэтому подробно останавливаться на них я не буду, но приведу их тут для полноты картины.
Конфиденциальность
- Улучшенная. Кошелек затрудняет слежку за вашими балансами и платежами при помощи ротации используемых адресов. Вам следует использовать новый биткойн-адрес каждый раз, когда вы запрашиваете оплату. Кошелек при получении или отправке платежей не передает информацию о них другим узлам сети. Кошелек позволяет вам настроить и использовать Tor в качестве прокси для того, чтобы не позволить злоумышленникам или интернет-провайдерам связать ваши платежи с вашим IP-адресом.
- Базовая. Кошелек затрудняет слежку за вашими балансами и платежами при помощи ротации используемых адресов. Вам следует использовать новый биткойн-адрес каждый раз, когда вы запрашиваете оплату. Кошелек использует центральные серверы, которые способны связать вместе ваши платежи и запомнить ваш IP-адрес. Кошелек позволяет вам настроить и использовать Tor в качестве прокси для того, чтобы не позволить злоумышленникам или интернет-провайдерам связать ваши платежи с вашим IP-адресом.
- Слабая. Кошелек позволяет кому угодно следить за вашим балансом и платежами, потому что повторно использует те же адреса. Раскрывает ограниченную информацию другим участникам. Другие узлы сети могут запомнить ваш IP-адрес и впоследствии связать все платежи, которые вы получали или отправляли. Tor не поддерживается.
Комиссия
- Полный контроль над комиссией. Кошелек позволит вам изменить комиссию после отправки средств с использование RBF или CPFP. Этот кошелек также дает рекомендации по комиссии в зависимости от текущего состояния сети для проведения транзакции вовремя и без переплат.
- Динамические комиссии. Кошелек дает рекомендации по комиссии в зависимости от текущего состояния сети, которые вы можете переопределить. Это значит, что кошелек поможет вам в выборе подходящей комиссии для проведения транзакции вовремя без переплаты, но в то же время дает полный контроль для установки комиссии, если вы захотите.
- Статические комиссии. Кошелек не дает никаких предложений по комиссии, учитывая текущее состояние сети. Это означает, что ваши транзакции могут занимать большее количество времени, если выбрана слишком низкая комиссия, либо вы можете заплатить слишком высокую комиссию.
Подведем итоги
Все предъявляемые требования звучат очень разумно. Более того, этот список можно было бы еще расширить, чтобы повысить уровень безопасности.
Внимательно изучив все эти требования, вы хотите найти такой кошелек, который удовлетворял бы им по максимум. И вот тут наступает самое интересное. На https://bitcoin.org нет ни одного кошелька, который удовлетворял бы всем требованиям.
В лучшем случае, вы можете выбрать Bitcoin Core или Bitcoin Knots, для которых будет такая картина:
Или будете использовать Electrum, для которого такая картина:
Использование зеленого создает ложное впечатление полного удовлетворения требованиям. Полное соответствие —жирный зеленый цвет. Такое оформление было явно выбрано умышленно, а значит, создатели портала решили слегка поманипулировать обычным пользователем. Не хорошо это.
На этом можно было бы уже и закончить. Думаю, все уже представили насколько безопасно хранятся закрытые ключи в кошельках криптовалют. Но мы же на Хабре.
Работа с закрытыми ключами на примере Bitcoin Core
Пойдем чуть дальше и посмотрим, как происходит хранение и работа с закрытыми ключами на примере программных клиентов. Как мы уже выяснили, вредоносное ПО может получить доступ к закрытым ключам вашего кошелька. Вопрос в том, насколько легко или тяжело это сделать на самом деле.
Первым делом посмотрим, как это делает Bitcoin Core. Этот процесс неплохо описан в wiki самого Bitcoin. Как вы видели на скрине выше, этот клиент отмечен как один из самых продвинутых и удовлетворяющих большинству требований.
Закрытые ключи вашего кошелька хранятся вместе с другой информацией, в файле wallet.dat в формате “bitkeys”. Этот файл может быть зашифрован, а может и не быть =) По умолчанию, конечно, ничего не шифруется. Вы же грамотный пользователь и сами найдете нужную кнопку. Шифруется только информация о закрытых ключах с помощью алгоритма AES-256-CBC. При этом в качестве ключа шифрования используется так называемый мастер ключ – случайное число. При это сам мастер ключ шифруется на ключе, полученном из кодовой фразы с помощью SHA-512 и функции OpenSSL — EVP_BytesToKey. Количество раундов шифрования определяется скоростью компьютера, на которой происходит первоначальное шифрование.
После того ваш кошелек используется клиентом в обычном режиме. Это состояние называется “locked”. Если в какой-то момент, вам необходимо получить доступ к закрытым ключам кошелька, то вам необходимо ввести кодовую фразу в GUI клиента или воспользоваться командой walletpassphrase в RPC. В этом случае произойдет расшифрование закрытых ключей, и кошелек перейдет в состояние “unlocked”. В первом случае он будет находится в этом состоянии ровно столько, сколько необходимо для осуществления той или иной операции. Во втором случае, время через которое кошелек вернется в состояние locked определяется вторым параметром в RPC запросе!
Код выглядит так:
Это выглядит очень мило. Обычный пользователь кошелька вряд ли запустит у себя сервер, если только не промахнется файлом. А вот злоумышленник…
С GUI и хранением той же passphrase в памяти тоже все не очень просто. Ребята реализовали специальный класс для хранения подобных данных – SecureString. Реализовали в общем-то неплохо, грабли с использованием memset успешно обошли. Но вот держат его в памяти дольше, чем следовало бы.
Например, так делает наш GUI (слегка подправил для наглядности, любопытным смотреть askpassphrasedialog.cpp:154):
В начале сделаем accept(), а только потом наш oldpass выйдет из области видимости и произойдет очистка. Понятно, что более безопасный код получится не такой красивый, как менее безопасный. Но мы же тут вроде с деньгами работаем?
На мой взгляд, это отлично подтверждает мое опасение на тему открытости исходников кошелька. Открытость исходных кодов не равно безопасность.
Постараюсь предвидеть первые комментарии и сразу ответить на них:
- Да, вы можете составить некоторый набор правил пользования криптокошельком, которые позволят значительно повысить уровень безопасности ваших средств. Удобство использования при этом конечно сильно пострадает.
- Да, есть клиенты, которые значительно безопаснее остальных. Проблема в том, что остальные также существуют и рекомендуются официальным сайтом.
Я ничего не имею против криптовалют или технологии блокчейн. Наоборот, я всеми руками ЗА (это мое личное мнение, которое не в коей мере не является официальной позицией компании, в блоге которой размещена статья). Но раз уж мы начинаем работать с новой технологией, то надо делать это технически грамотно и не забывать об информационной безопасности.
Инструкция: как создать кошелек для криптовалют
Кошелек для криптовалют – аналог обычного электронного кошелька, но он предназначен для хранения цифровых денег (Bitcoin, Ethereum и др.). На счету отображается текущий баланс средств, за счет чего удобно отправлять, получать и обменивать конкретную сумму в любое время. Владелец при регистрации получает приватный ключ, который открывает доступ к кошельку с любой точки планеты. Секретный код, подтверждающий право контролировать кошелек и тратить с него монеты, хранится на компьютере или удаленном сервере.
Виды кошельков
Существует множество разновидностей кошельков для хранения криптовалют. Они классифицируются в зависимости от места размещения и отличаются по функциональности. Рассмотрим самые распространенные виды.
Десктопные или локальные кошельки для компьютера
Устанавливаются на рабочий стол ПК, предоставляя владельцу полный контроль над сбережениями. Популярные десктопные приложения:
- ArcBit;
- Electrum Bither;
- Copay;
- Armory;
- mSIGNA;
- Bitcoin Knots;
- Multibit;
- BitGo;
- Bitcoin Core;
- GreenAddress.
Делятся на «легкие» (BitGo, Multibit) и «полные» (Armory, Bitcoin Core). Полные характеризуются повышенной надежностью, но требуют скачивания всей цепочки блоков блокчейна (около 10 Гб), регулярного обновления и синхронизации. Легкие более просты в эксплуатации, но получают необходимую информацию со сторонних ресурсов, что сопровождается передачей данных третьей стороне и снижает уровень безопасности кошельков.
Версии для мобильного
Удобные кошельки, которые запускаются в виде приложения на смартфоне. Это могут быть версии для мобильных платформ:
- IOS – Copay, GreenAddress, Airbitz, Bitcoin Wallet, Bither, Coin.Space, ArcBit, BTC.com Bitcoin Wallet;
- Android – Coin.Space, Copay, Simple Bitcoin Wallet, Bitcoin Wallet, Airbitz Bitcoin Wallet, ArcBit, BTC.com Bitcoin Wallet, Bither, breadwallet, Electrum, GreenAddress, GreenBits, Mycelium;
- Windows Phone – Copay, Coin.Space;
- BlackBerry – Bitcoin Wallet.
Приватные ключи для биткоин-адресов хранят в зашифрованном виде на телефоне, что позволят быстро произвести оплату с него. Главный недостаток в том, что они не способны загрузить весь блок цепи из-за недостатка памяти.
«Горячие» или онлайн-кошельки
Удобны для новичков, поскольку доступны с любых устройств, подключенных к сети. К веб-кошелькам относятся:
- BTC.com;
- Coinapult;
- Blockchain Coinbase;
- BitGo;
- Xapo;
- Strongcoin;
- Coin;
- Space;
- Circle;
- GreenAddress.
Приватные ключи генерируют при подключении и хранят в интернете, используя определенный сервер, хранилище сайта, облачное хранилище или отдельную ячейку с мультиподписью. Некоторые копируют адреса, ссылаясь на кошельки для компьютера или мобильного, что позволяет использовать счет сразу на нескольких устройствах.
Главный недостаток: сторонний ресурс, на котором хранятся ключи, может получить доступ к кошельку. Безопасность валюты будет под угрозой и в случае сбоя в работе сайта-клиента или кибератаки.
Аппаратные устройства
Самыми надежными и безопасными считаются кошельки типа:
- Ledger Nano;
- DigitalBitbox;
- Trezor;
- KeepKey.
Подходят для долгосрочного хранения большого количества активов.
Аппаратный кошелек – это физическое электронное устройство в виде флешки. Обеспечивает «холодное» хранение криптовалют в изолированной защищенной среде (сейфе). Чтобы получить доступ к средствам, необходимо подключить его к ПК, планшету или смартфону. Приватный ключ, который используется для подписи транзакций, встроен в кошелек, поэтому взломать его через сеть невозможно. В случае потери или повреждения аппаратного кошелька, владелец сможет восстановить доступ к своей валюте, используя PIN-код. Главный недостаток – высокая стоимость устройства.
Какой кошелек выбрать для хранения биткоин и других криптомонет?
Каждый тип кошелька обладает своими преимуществами и недостатками. Одни ориентированы на безопасность, другие – на удобство или приватность. Сделать правильный выбор поможет цель, которую вы преследуете. Для инвестиций и накоплений подойдет аппаратный кошелек, для покупок – мобильная версия, а для ежедневных транзакций удобнее использовать онлайн-кошелек. Вы можете изучить стоимость всех криптовалют, например, стоимость риппл к рублю на сегодня , эфириума, или другой валюты и выбрать, какую вы хотите приобрести и где будете хранить.
Каким должен быть «правильный» кошелек для криптовалют
Чтобы пользоваться кошельком было максимально удобно и безопасно, следует обратить внимание на 3 основных критерия, прежде, чем его зарегистрировать.
- Мультивалютный счет. Дает возможность управлять различными криптовалютами с одного кошелька.
- Быстрая конвертация. Обмен поддерживаемых монет должен осуществляться мгновенно, по выгодному курсу (к рублю или к доллару) и без комиссий, цены на криптовалюты можно отслеживать на нашем сайте.
- Безопасность. Высокие стандарты безопасности обеспечивает зашифрованное SSL соединение по HTTPS протоколу, доверенный IP адрес и многоуровневая авторизация.
Существуют кошельки, совмещающие все перечисленные параметры.
Как создать кошелек для криптовалюты
Процедура регистрации зависит от выбранного вида кошелька. Оформление онлайн-кошелька будет значительно отличатся от создания версии для ПК. После того, как сделан выбор, необходимо просто следовать рекомендациям ресурса, который предоставляет подходящий вариант.
Для регистрации локального кошелька потребуется скачать специальное приложение, программу или заархивированный файл с системными данными на свой ПК. Затем следовать инструкциям по установке и активации кошелька (обычно достаточно проставлять галочки в нужных пунктах и нажимать кнопку «Далее»). После установки программного обеспечения и перезагрузки ПК можно запустить кошелек. У многих таких версий есть аналоги для мобильного.
Процедура регистрации «холодного» кошелька более сложная, детально описана в видео:
Регистрация онлайн-кошелька довольно простая и осуществляется поэтапно:
- Шаг №1. Зайти на выбранный сайт и открыть вкладку «Кошелек». Потом нажать кнопку «Регистрация».
- Шаг №2. В открывшемся окне указать персональные данные – адрес электронной почты и пароль.
- Шаг №3. Подтвердить регистрацию или учетную запись через e-mail (по ссылке) или через SMS (по коду).
- Шаг №4. Снова зайти на сайт и выполнить вход в кошелек.
- Шаг №5. В меню или личном кабинете произвести настройки в соответствии с индивидуальными требованиями.
- Шаг №6. Найти раздел «Центр Безопасности» или его аналог и активировать многоуровневую идентификацию для входа, подтвердить доверенный IP-адрес либо произвести другие действия, чтобы защитить кошелек от несанкционированного доступа.
- Шаг №7. При необходимости создать биткоин-кошелек. Как правило, открывается форма с полями, которые нужно заполнить (иногда надо ввести капчу – буквы и цифры с картинки).
После этого откроется «мнемонический» ключ для восстановления доступа, который необходимо скопировать или переписать, и сохранить в надежном месте.
Как пользоваться онлайн-кошельком
Пополнить баланс счета можно через личный кабинет. Например, при нажатии кнопки «пополнить биткоин-кошелек» или «получить» средства открывается окно с номером вашего кошелька. Этот адрес можно скопировать и использовать в качестве данных для перечисления средств или сообщить код человеку, который собирается переслать вам деньги.
Для отправки средств достаточно ввести номер кошелька, на который выполняется оплата, указать сумму и назначение перевода.
Где можно зарегистрировать криптовалютный кошелек
Перед тем, как завести биткоин-кошелек, важно выбрать надежный сайт или биржу с хорошей репутацией. Некоторые предлагают несколько типов кошельков и предоставляют сопутствующую информацию для ознакомления с возможностями каждого из них.
Перечислим ТОП-5 популярных сайтов, предлагающих кошельки для криптовалют и предоставим видео для простой регистрации на каждом из них:
- bitcoin.org – инструкция по созданию биткоин кошелька;
- exodus.io – видео: кошелек exodus;
- electrum.org – видео-инструкция по созданию кошелька electrum;
- exmo.me – видео-инструкция по созданию кошелька.
- coinbase.com – видео-инструкция по созданию кошелька ВТС.
Помните о рисках, касающихся онлайн-кошельков, и по возможности не увлекайтесь работой с ними, а заведите аппаратное устройство. Окончательный выбор зависит только от вас – руководствоваться нужно собственными потребностями и назначением кошелька.
Меры предосторожности
Кошелек для криптовалют можно расценивать, как обычный бумажник с деньгами, но он отличается расширенными возможностями, что повышает уровень риска. Предотвратить потерю собственных накоплений помогут простые правила.
- Хранить большие суммы в течение длительного срока допустимо только на кошельках, предоставляющих полный контроль над приватным ключом, а соответственно и над цифровыми активами. Это поможет защитить средства от мошенничества и кибератак.
- Придумать уникальный и достаточно сложный пароль. Главное – записать его (чтобы не забыть) и никому не сообщать. В противном случае есть риск потерять доступ к кошельку и средствам, которые на нем хранятся.
- Выполнить шифрование информации и сделать резервную копию приватных ключей. В случае переустановки ПК или возникновения форс-мажорных ситуаций это поможет быстро восстановить доступ к кошельку.
- Хранить секретные ключи на оффлайновом устройстве, которое недоступно для взлома через интернет.
- Использовать надежное антивирусное программное обеспечение и регулярно его обновлять. Это предотвратит утечку персональных данных, которые хакеры могут использовать для взлома паролей.
- Зарегистрировать несколько счетов (кошельков) различного типа, что позволит диверсифицировать средства и подобрать наиболее подходящий вариант.
Если пользоваться кошельком разумно и не пренебрегать мерами предосторожности, риск потери средств будет сведен к минимуму.
Обнаружили ошибку? Выделите ее и нажмите Ctrl + Enter.
33
2
3
3
4
Источник https://www.rbc.ru/crypto/news/601518f29a79471424899d99
Источник https://habr.com/ru/company/aktiv-company/blog/341338/
Источник https://bankiros.ru/news/instrukcia-kak-sozdat-koselek-dla-kriptovalut-649