Skip to content
Пт, Июл 10 CAP $1.95T
23 Крайний страх Онлайн
Обучение

Что такое криптокошелёк и как обеспечить его безопасность?

Криптокошелёк хранит не монеты, а ключи, которые доказывают, что они принадлежат вам. Разбираемся, что это значит на практике и какие привычки действительно защищают ваши средства.

Эта статья носит исключительно информационный характер и не является финансовой консультацией.
Что такое криптокошелёк и как обеспечить его безопасность?

Ключевые выводы

  • Криптокошелёк хранит приватные ключи, доказывающие право собственности на блокчейн-активы, — а не сами монеты.
  • Горячие кошельки подключены к интернету и удобны в использовании; холодные кошельки хранят ключи офлайн и в целом более устойчивы к удалённым атакам.
  • Кастодиальные кошельки передают контроль над ключами третьей стороне, например бирже, а некастодиальные кошельки возлагают всю ответственность и весь контроль на пользователя.
  • Утерянная или раскрытая seed-фраза, как правило, невосстановима и необратима, поскольку сбросить её не может ни один центральный орган.

Новички в криптовалюте часто представляют кошелёк так же, как обычный физический: контейнер, в котором лежат деньги. Эта модель ошибочна, и именно в разрыве между ней и реальностью происходит большинство потерь у начинающих. Криптокошелёк не хранит монеты. Он хранит ключи — криптографическое доказательство того, что определённые монеты в блокчейне принадлежат вам. Этот материал объясняет, что кошелёк делает на самом деле, какие основные типы кошельков существуют и какие привычки отличают тех, кто сохраняет свои крипто-активы в безопасности, от тех, кто их теряет.

Кошелёк управляет ключами, а не монетами

Каждая единица Bitcoin, Ethereum или любого другого токена существует только как запись в публичном реестре соответствующего блокчейна. Реестр фиксирует, какому адресу принадлежит какой баланс. Кошелёк не перемещает этот баланс на ваше устройство. Вместо этого он генерирует и хранит приватный ключ — длинную строку данных, которая позволяет подписывать транзакции, доказывающие, что вы контролируете определённый адрес. Когда говорят, что кто-то «отправил крипту на кошелёк», на самом деле обновляется запись о владении этим адресом в реестре. Задача кошелька — до и после этой транзакции — просто хранить ключ, который позволяет вам в будущем авторизовать расходование средств.

Это различие важно, потому что оно меняет само понятие «безопасности». Потеря приложения-кошелька не обязательно означает потерю средств, если базовый ключ можно восстановить. И наоборот: работающее приложение-кошелёк не защищает средства, если стоящий за ним ключ скопировал кто-то другой. Безопасность — это контроль над ключом, а не контроль над конкретной программой или устройством.

Горячие и холодные кошельки

Кошельки обычно делят по признаку подключения к интернету.

  • Горячие кошельки. Программы, работающие на подключённом к интернету устройстве — приложение на телефоне, расширение браузера или программа для компьютера. Горячие кошельки удобны для частых транзакций, торговли или взаимодействия с DeFi и смарт-контрактами, но их приватные ключи хранятся на устройстве, которое по определению доступно через сеть.
  • Холодные кошельки. Устройства или схемы, при которых приватный ключ генерируется и хранится офлайн, подключаясь к сети лишь ненадолго — для подписи конкретной транзакции. Аппаратный кошелёк — самый распространённый пример: небольшое физическое устройство, которое никогда не раскрывает ключ подключённому к интернету компьютеру, даже будучи в него воткнутым.

Ни одна из категорий сама по себе не является «безопасной» или «небезопасной». Горячий кошелёк при аккуратном использовании, с небольшими балансами и актуальным ПО, может быть достаточно надёжен для повседневных нужд. Холодный кошелёк при небрежном использовании — например, если seed-фраза сфотографирована и хранится в облаке — всё равно можно скомпрометировать. Это различие описывает подверженность сетевым атакам, а не гарантированный результат.

Кастодиальные и некастодиальные кошельки

Второе, отдельное различие — кто именно держит приватный ключ.

Кастодиальные кошельки

Когда вы держите крипту на счёте биржи, биржа обычно сама генерирует и хранит приватные ключи от вашего имени. Вы взаимодействуете с балансом, отображаемым в интерфейсе, и полагаетесь на безопасность и платёжеспособность платформы, чтобы этот баланс можно было обналичить. Такая схема удобна и часто необходима для активной торговли, но она возвращает форму контрагентского риска, которую сама архитектура крипто обычно устраняет: если кастодиан взломан, стал неплатёжеспособным или ограничивает выводы средств, доступ к деньгам может быть отложен или утрачен независимо от того, как функционирует сам блокчейн.

Некастодиальные кошельки

Некастодиальный кошелёк даёт пользователю единоличный контроль над приватным ключом, и ни один посредник не может заморозить или переместить средства без него. Это ближе к смыслу фразы «не твои ключи — не твои монеты» (not your keys, not your coins). Такая схема устраняет контрагентский риск, но переносит всю ответственность за безопасность ключа на самого человека — обычно нет службы поддержки, способной отменить ошибку или восстановить утраченный ключ.

Seed-фразы и почему их потеря необратима

Большинство современных некастодиальных кошельков не требуют от пользователя напрямую управлять «сырым» приватным ключом. Вместо этого они генерируют seed-фразу — обычно 12 или 24 обычных английских слова, — из которой математически выводятся все ключи и адреса, используемые кошельком. Seed-фраза функционально является мастер-ключом ко всему содержимому кошелька.

У этой архитектуры есть следствие, о которое спотыкаются многие новички: процедуры сброса пароля не существует. У блокчейна нет центрального администратора, который мог бы проверить личность и выдать замену. Если seed-фраза утеряна и другой резервной копии нет, привязанные к ней средства, как правило, невозможно восстановить — независимо от их суммы и от того, насколько сочувствия заслуживают обстоятельства. Если seed-фразу скопировал кто-то другой — через фото, облачную резервную копию или фишинговое сообщение, — этот человек, как правило, может воссоздать кошелёк и вывести средства, зачастую раньше, чем настоящий владелец это заметит. Значимость фразы симметрична: потерять её может быть так же дорого, как и раскрыть.

Практические привычки, снижающие риск

Большинство потерь средств связано не с экзотическими техническими сбоями, а с небольшим набором повторяющихся ошибок.

  • Записывайте seed-фразу на бумаге или металле, а не в цифровом виде. Фраза, набранная в приложении для заметок, черновике письма или облачном документе, доступна любому, кто взломает этот аккаунт или устройство.
  • Используйте аппаратный кошелёк для значимых сумм. Если генерация ключа и подпись транзакций происходят офлайн, это устраняет целый класс удалённых атак, даже если подключённый компьютер впоследствии заражён вредоносным ПО.
  • Никогда не вводите seed-фразу на сайте или в чате поддержки. Ни один легитимный провайдер кошелька, биржа или агент поддержки никогда её не запросит. Любой запрос такого рода — это фишинг, без исключений.
  • Тщательно проверяйте адреса перед отправкой. Вредоносное ПО, подменяющее скопированный адрес кошелька на адрес злоумышленника в буфере обмена, встречается достаточно часто, чтобы проверка первых и последних нескольких символов вставленного адреса или использование QR-кода была разумной привычкой, а не паранойей.
  • Относитесь с подозрением к незапрошенным контактам. Сообщения о розыгрыше призов, срочной проблеме безопасности или тикете поддержки — один из главных способов заставить людей раскрыть ключи или подтвердить вредоносные транзакции.
  • Рассмотрите разделение средств. Хранение небольшого рабочего баланса в горячем кошельке для повседневного использования, при основной части средств в холодном хранении, ограничивает риск в случае компрометации отдельного устройства.

Типичные ошибки новичков

Несколько ошибок непропорционально часто встречаются в историях о потерянных средствах. Хранение seed-фразы в виде скриншота — одна из них, поскольку скриншоты часто автоматически синхронизируются с облачными фотобиблиотеками, которые сами являются мишенью для атак. Использование одного и того же кошелька и для мелких экспериментальных транзакций, и для долгосрочных сбережений — другая ошибка, поскольку это концентрирует риск в одной точке отказа, которая используется достаточно часто, чтобы быть уязвимой для промахов. Подписание блокчейн-транзакций без чтения того, что именно они разрешают, — растущая проблема в DeFi, где вредоносное одобрение смарт-контракта может дать постоянный доступ ко всем средствам кошелька, а не разовый перевод. А поддавание чувству срочности — быстрые действия из-за сообщения об ограниченной по времени возможности или угрозе аккаунту — остаётся одним из самых надёжных способов заставить людей обойти собственную осторожность.

Ни одна из этих ошибок не требует изощрённого взлома для эксплуатации. Они опираются на разрыв между тем, как кошелёк обычно понимают, и тем, как он работает на самом деле: это не сейф, хранящий монеты, а связка ключей, доказывающая право собственности. Устранение этого разрыва в понимании — на практике и есть большая часть того, из чего складывается безопасность кошелька.

Этот материал носит исключительно информационный характер и не является финансовой консультацией.

Answers

Часто задаваемые вопросы

Если я удалю приложение-кошелёк, потеряю ли я свою крипту?

Не обязательно. Пока у вас есть seed-фраза, вы можете восстановить тот же кошелёк — и те же средства — в новом приложении или на новом устройстве, поскольку именно фраза генерирует ключи, а не само приложение.

Полностью ли аппаратный кошелёк защищён от взлома?

Ни одна схема безопасности не защищена полностью. Аппаратный кошелёк значительно снижает подверженность удалённым атакам через интернет, храня ключи офлайн, но всё равно зависит от того, насколько владелец защищает само устройство и резервную копию seed-фразы от кражи, утери или повреждения.

Проверено
Jimmy Aki
Об авторе
Jimmy Aki
Репортёр по блокчейну и цифровым активам · Брадфорд, Великобритания

Освещает инновации в блокчейне, Bitcoin, цифровые активы и новые финансовые технологии в материалах, основанных на исследованиях, — они помогают читателям отличать значимые события отрасли от рыночных спекуляций.

BitcoinБлокчейнWeb3Цифровые активыКибербезопасностьИИФинтех
Смотреть полный профиль и все статьи →

Продолжить изучение