Technology
May 4

Криптокошельки — как хранить криптовалюту

Пока я собираю инфу для продолжения обзора криптокарт, решил написать пару слов про криптокошельки. В тексте пойдет речь про мой опыт использования холодных, некастодиальных криптокошельков.

Подписывайтесь на мой Телеграм.

Первое, что нужно понимать, работая с DeFi и криптой:

Всё удобное — менее безопасно

Зачем

Холодные криптокошельки сделаны для того, чтобы можно было хранить свою криптовалюту "офлайн". Когда ключи от кошелька существуют только на этом девайсе в виде флешки и доступ к ним ограничивается с использованием нескольких степеней защиты и верификации. Каждый кошель подразумевает физическую защиту с помощью шифрования чипов в самой железяке и софтверный пароль, который иногда комбинируется с другими кодами.

У вас есть флешка, на которую записана сид-фраза. При подключении флешку к компу софт подписывает одну конкретную транзакцию с одного конкретного адреса, в результате сид-фраза не передается, а детали самой транзакции дублируются на экране для сверки.

В зависимости от блокчейна из одной сид-фразы расшифровываются множество кошельков (адресов). Я использовал максимум 200 EVM-based адресов на одном девайсе, но, сдается, мне их там условно-бесконечное количество. В основе всего стандарт BIP39. Транзакции каждого адреса подписываются (разрешаются) отдельным приватным ключом, который тоже получается из сид-фразы. Холодный криптокошелек использует приватную фразу для подписи одной конкретной транзакции и ничего больше. Даже если вы попались на фишинговую страницу, обмануть вас получится только один раз. А скорее всего не получится, потому что, чтобы ни вывел интерфейс фишингового сайта, на экране криптокошелька вы увидите реальные детали транзакции. Хотя никто, конечно же, туда не смотрит 🙃

Фишинговые сайты могут запросить разрешение на осуществление любых действий на любые суммы, но с холодным кошельком это не прокатит. Если вы видите какие-то стремные токены, вечно поступающие на ваш адрес в том же Эфириуме, то это делается либо для того, чтобы зафишить владельца, либо для пиара проекта. Изучая, что это за монету такую насыпали, приходишь на один-единственный сайт, где можно продать эти токены. Под видом "продажи" уводят все с кошелька. Холодный кошель от такого защищает.

Но как и все меры безопасности, все эти манипуляции приводят к неудобствам. Чтобы сделать любой перевод, придется: подключить криптокошелек к компу и ввести код (1); использовать не очень удобные интерфейсы для управления им; нажимать кнопки в тормознутом интерфейсе самого кошелька; внимательно проверять содержимое транзакций перед отправкой на экране кошелька; вводить код для подтверждения транзакции (2). В итоге любая транзакция даже при условии достаточной сноровки занимает несколько минут, учитывая, что девайс еще и блокируется через пару минут бездействия. Стоит ли оно того? Однозначно да, ведь мы рискуем потерять деньги.

Сейчас я использую Ledger и SafePal на постоянной основе, а раньше использовал Trezor. Подробнее о каждом.

Ledger

Цена: от 60 до 150 евро.

Самый популярный криптокошель. У флешек есть несколько версий: Nano S, Nano X и Nano S Plus. Между S и X большая разница в цене, почти в два раза. Версия S Plus — обновленная версия старой S, которая существует еще с 18-го года, а может и дольше. Версия X — новый, более современный девайс с большим объемом памяти.

У Леджера есть свое приложение Ledger Live. Мобильная аппка тоже имеется, но управлять с нее старыми девайсами нельзя — только показывают 🙃

Но девайсами можно пользоваться без приложений — Леджеры поддерживают множество кошельков: MyEtherWallet, MetaMask, Phantom и т.д.

Во всех Леджерах в случае трех подряд неверных попытках ввода кода девайс стирается, что делает его отличным средством защиты. Можно не бояться потери флешки, потому что вряд ли кто-то сможет подобрать минимум шесть знаков кода за три попытки. Препарировать девайс и как-то расшифровать хранилище, по заявлению создателей, тоже невозможно. Девайс сделан качественно и вполне переживет разнообразные падения.

Ledger Nano S

Стандартный холодный криптокошелек с небольшим объемом памяти, что является главным минусом. 256 кб памяти на борту и тормозной интерфейс. Но кошель относительно дешевый — 60 евро. Есть версии в разных цветах, поэтому я до сих пор им пользуюсь. Например, зацените, какой этот желтый секси:

Для него также есть аксессуары в виде сменных поворотных крышек с гравировкой. Удобно, когда у тебя их несколько и нужно их как-то различать. Раньше я клеил на них наклейки 🙃

Чтобы взаимодействовать с каким-либо блокчейном, нужно, чтобы соответствующее приложение было установлено на саму флешку. Если у вас много разных криптовалют и вы постоянно ими пользуетесь, то Nano S будет неудобен из-за малого объема памяти — приложения придется все время удалять/устанавливать перед использованием. Но холодные кошельки не очень предназначены для частых операций, они все же задумывались для простого хранения. Одновременно получается установить BTC, ETH и BSC — и, может, TRX еще влезет. При удалении приложения, кошелек не стирается, крипта не теряется — все привязано к фразе, которая никуда не денется.

Все управление флешки на двух кнопках, питание зависимое — от USB. Сама флешка защищена цифровым кодом, который задается при создании или восстановлении кошелька. Я застал времена, когда дефотлное положение каждой следующей цифры кода начиналось с нуля, а потом прошивку обновили и цифры появляются рандомно. Это сделали для того, чтобы никто не смог подслушать количество нажатий кнопок (а нажимаются они громко), которые вы делаете при вводе кода, и таким образом узнать ваш код. Вот такой уровень паранойи у юзеров холодных криптокошельков.

Nano S служат мне уже больше 3-х лет.

Ledger Nano S Plus

Обновленная версия первого Леджера. Здесь уже USB-C разъем, больше экран (помещается две строчки) и больше память — 1.78МБ. Обойдется в 80 евро.

Можно установить кучу апок и сама прошивка шустрее. По сути в этом и все отличия. Но, поскольку девайс новый, то на него нет ни аксессуаров, ни разных расцветок.

Ledger Nano X

Это самый новый, самый прокачанный и самый дорогой девайс в линейке. Цена — 150 евро.

За эти деньги мы получаем тяжелый и толстый девайс. Размер экрана такой же, как в S Plus. Главные отличия от остальных: наличие Bluetooth, автономная работа от батарейки и куча памяти.

Блютуз тут для того, чтобы совершать транзакции через мобильное приложение Ledger Live на телефоне. К сожалению, я так и не решился протестить эту фичу, да и приложение не поддерживает те фичи, которые мне обычно нужны. Но апка у них развивается, внутри уже куча всяких фич: свапы, стейкинги, DeFi проекты и даже анонс криптокарты.

Кнопки переехали с верхней части корпуса на боковые места рядом с экраном, совместившись с шарниром поворотной крышки. Они стали больше и удобнее, но всё такие же громкие. Аксессуаров пока нет.

Вывод

Леджеры — линейка самых надежных и проверенных временем холодных кошельков. Они больше подходят для хранения криптовалют, а не ежедневного использования. Если нужно купить крипту, засейвить ее и забыть на какое-то время, то это мастхев. Для хранения и работы с криптой вполне хватит возможностей Nano S или Plus. Если вы гик, который любит все прикольные новые девайсы, то надо брать Nano X.

https://shop.ledger.com/pages/hardware-wallets-comparison

P.S. Со временем использования заметил во всех Леджерах неприятный баг или фичу. Используя веб кошельки типа MEW или MyCrypto, если реджектнуть транзакцию, а потом прислать на подпись другую, то на кошелек сначала прилетает старая реджектнутая транза второй раз, и только потом следующая. Из-за этой ошибки я один раз отменил транзу, чтобы отправить меньшую сумму, и в итоге завтыкал и все равно отправил эту же сумму. Будьте внимательны.

Safepal

Цена: 70 долларов

Я узнал о Сейфпале не так давно, особенно о железной его версии. Это прокачанный криптокошель, который существует только в виде мобильного приложения. Хотя это уже супер апп, как это модно сейчас говорить.

Девайс полностью отличается от традиционных криптокошельков. Во-первых, у него прямоугольная форма кредитной карты, только толще. Во-вторых, у него своя камера, с помощью которой и подтверждаются транзакции. Если Леджер подтверждает транзакции софтверным методом через передачу данных кабелем/блютузом, то здесь приложение и сам девайс сканируют нужную инфу с QR кодов: сначала код генерирует апка, потом сам девайс. Нету ни блютуза, ни вайфая, никаких коннектов. Сначала это показалось мне довольно кринжовым, но со временем я понял, что это удобно (видео, где чувак с крашеными ногтями показывает процесс). И в данном случае вполне безопасно. Девайс также защищен рандомно расположенным цифровым кодом. Сам проект в криптосообществе очень ценится и считается надежным.

Сейфпал автономен, но время работы батареи оставляет желать лучшего. Я не так часто его использую, но он благополучно разряжается каждую неделю. Качество камеры не очень: экран неяркий, поэтому распознавание иногда проходит долго, но это скорее исключение. Есть еще один серьезный для меня минус — софт Сейфпала поддерживает доступ только к одному главному адресу кошелька. Также при отправке транзакций нельзя выбрать кастомную комиссию, только стандартные три базовые величины. Ну и сам по себе девайс выглядит хрупко и какие-либо повреждения не переживет.

Самая интересная часть этого проекта — мобильное приложение. В приложении можно создать как софтверный кошелек, где фраза будет храниться в самой апке, так и хардверный, привязав девайс. Кошельков можно создать много разных, если и есть ограничение, то я его не знаю. Об удобстве использования и всяких мелких фичах велкам в разные обзоры, а я скажу ток о самом интересном — маркетплейсе приложений.

Из интерфейса апки доступен адаптированный вебвью всех популярных штук в мире DeFi. Свапы, разные тулзы типа эксплореров транзакций и десятки других приложений. Но самое интересное — это DeFi Binance. Из приложения можно законектить свой кошелек к Бинансу и пользоваться им без создания аккаунта как такового — кошелек в Сейфпале будет сам по себе аккаунтом. В итоге мы имеем децентрализированный Бинанс не отходя от кассы. Я этой штукой пока не пользовался на полную, поэтому про ограничения рассказать не смогу, но фича — топ за свои.

В приле также есть внутренние свапы, которые отлично работают в два клика. И, конечно же, стейкинг. Можно залочить какую-нибудь пару на небольшой срок и получать %. Стейкинг предлагает не Сейфпал, а партнеры, которые интегрировались, всякие ПанкейкСвап и т.п. Но так как это тулза Сейфпала, везде накидывают их токены SFP.

Вывод

Сейфпал — самый продвинутый кошелек на данный момент за счет функциональности своего приложения. Это полностью офлайновый и недорогой девайс. Если нужно не просто безопасно хранить крипту, но еще и пользоваться всеми благами развивающейся криптоиндустрии, то это однозначный мастхев.

Trezor

Цена: 82 и 300 евро.

Этот кошелек тоже родом из далеких лет, когда крипта только вставала с колен. Я застал времена, когда интерфейс его управления был доступен через веб. Сейчас там псевдоприложение, которое по факту является тем же браузером.

Про Трезор много не расскажешь. С точки зрения проведения транзакций это, наверное, самый быстрый и удобный кошелек, но в данном случае в этом нет ничего хорошего. Единственная верификация там — это код на девайсе, вводить который нужно в приложении, и проверка данных на экране. Девайсы не автономен, работает только по проводу. Качество исполнения самой флешки так себе: разъем микро-USB у меня расшатался через пару месяцев, кнопки начали залипать. Но при этом сам интерфейс в прошивке девайса никогда не тормозил и работает шустро.

У Трезора у одного из первых появился нейминг кошельков — можно задавать имена разным адресам, и все это потом синкается в ДропБокс. Это снова удобно. Также фишкой Трезора была возможность установки кастомного имеджа на экран загрузки. Выглядело кринжово на монохромном дисплейчике, но прикольно. В апке еще зачем-то есть менеджер паролей, а сам девайс можно использовать как хардверный ключ-токен стандарта U2F (типа Yubikey и т.п.).

Не так давно они выпустили новый девайс — Model T. У меня его нет и не будет, по причине невменяемой цены в 300 евро. На официальном сайте особо и не освещают, в чем прикол девайса, и за что предлагается отдать эту сумму.

Я перестал пользоваться им давно, еще до "утечки" данных, которую репостил каждый ленивый новостной портал. По факту они просто просрали имейл-базу покупателей, и часть бедолаг благополучно зафишили письмами. В подробности я не углублялся, но сам факт того, что сложностей в последующем обмане юзеров не возникло, наводит на мысли.

Я всегда считал Трезор наименее безопасным девайсом и не доверял ему, хотя с проблемами не сталкивался. Как я изначально и говорил: любое удобство порождает уязвимости.

Вывод

Трезор для меня до сих пор не самый понятный вариант для выбора. Больше всего из-за соотношения цены/качества. Наверное, его выбирают из-за простоты и быстроты использования или за неимением выбора. Если стоит выбор между софтверным кошельком и Трезором, то выбирайте последний, потому что любая защита лучше, чем хранить все яйца в одной корзине.

Остальное

На просторах есть еще американский Kasse wallet. Миниатюрная флешка за $43. Судя по скринам — какое-то говнище с точки зрения UI, поэтому даже не интересно его пробовать.

Из софтверных кошельков отмечу Trust wallet, который многие рекомендуют и хвалят. В нем тоже есть DApps и даже можно покупать крипту с карты. Хороший конкурент Сейфпалу, но я его не использую, поэтому сказать нечего. Вроде он как-то связан с Binance.

В роли главного интерфейса для Леджеров, я чередую MyCrypto, MEW и MetaMask. Но это отдельная тема. Кстати, буду рад, если кто-то посоветует еще аналоги.

Все, что я написал выше — исчерпывающая информация, чтобы принять решение о покупке холодного кошелька. Пишите вопросы, буду обновлять инфу по мере понимания того, что упустил.