Вход для студентов
Главная » Криптокошелек

Криптокошелек не хранит ваши деньги. Как на самом деле работает безопасность в крипте

Криптокошелек не хранит ваши деньги. Как на самом деле работает безопасность в крипте Криптокошелек
Автор На чтение 15 мин Просмотров 22 Опубликовано

Большинство людей, которые теряют деньги в крипте, винят в этом кого угодно, только не себя.

Кто-то обвиняет взломанный протокол, куда сам же занес деньги, кто-то — нежданные новости, которые уронили рынок и ликвидировали его позицию.

А есть отдельная категория — люди, уверенные, что их внезапно исчезнувшие из Metamask или Trust Wallet биткоины «украл» сам кошелек.

На самом деле кошелек тут ни при чем. Он вообще не может украсть у вас деньги чисто технически. Он ими не владеет и не имеет доступа к ним.

И пока человек не понимает, как на самом деле устроены кошельки, блокчейн и в целом безопасность в крипте, он рискует своими средствами каждый день — даже если уверен, что все делает правильно.

Поэтому давай разберемся, что такое криптокошелек, где на самом деле лежат твои монеты, и почему безопасность всегда зависит только от тебя.

Содержание
  1. Как устроены криптокошельки
  2. Что такое сид-фраза
  3. Приватный ключ: что это и почему он решает все
  4. Публичный ключ и адрес в криптовалютном кошельке
  5. Как блокчейн хранит ваши средства и формирует баланс
  6. Типы кошельков и способы хранения
  7. Кастодиальные vs некастодиальные кошельки
  8. Холодные и горячие кошельки
  9. Аппаратные криптокошельки
  10. Основные риски и как от них защититься
  11. Разрешения (approvals) в кошельках и DeFi
  12. Опасность approve
  13. Как отличить безопасный approve от опасного
  14. Как очищать старые approvals
  15. Чек-лист по безопасности кошелька
  16. Сид-фраза всегда должна оставаться офлайн
  17. Не хранить крупные суммы на биржах и кастодиальных кошельках
  18. Использовать только надежные инструменты и протоколы
  19. Давать разрешение (approve) только проверенным контрактам
  20. Перед тем как двигаться дальше

Как устроены криптокошельки

Криптовалютный кошелек — это лишь интерфейс. Он не хранит ваши монеты, и не «держит» ваши деньги. Его задача — работать с сид-фразой и приватными ключами.

Сид-фраза генерирует приватные ключи. А приватный ключ — это единственное, что дает вам право распоряжаться монетами в блокчейне.

Но давайте по порядку. 

Что такое сид-фраза

Сид-фраза — это та самая последовательность из 12 или 24 слов, которая генерируется при создании нового кошелька.

Из нее приложение потом создает ваши приватные ключи и адреса.

То есть сид-фраза — это корень всей структуры, который дает доступ ко всем вашим активам.

По этой фразе можно восстановить все ваши адреса и приватные ключи на любом устройстве.

✔ Если у вас есть сид-фраза → вы можете восстановить кошелек

✔ Если вы теряете сид-фразу → вы теряете доступ к своим средствам

✔ Если ее узнает кто-то другой → он получит полный доступ к вашим монетам

Новички часто думают, что сид-фраза “привязана” к конкретному приложению — например, что фраза, созданная в Trust Wallet, будет работать только в Trust Wallet.

На самом деле это не так. Сид-фраза не принадлежит кошельку. Она принадлежит вам.

Любой современный кошелек, работающий по стандарту BIP39 (99% кошельков на рынке), сможет полностью восстановить ваш доступ — независимо от того, где сид-фраза была создана.

BIP39 — это стандарт, который определяет, как формируется сид-фраза и как из нее вычисляются приватные ключи.

Благодаря нему разные кошельки понимают одну и ту же сид-фразу одинаково, потому что используют один и тот же алгоритм ее интерпретации.

Именно поэтому сид-фраза, созданная в Trust Wallet, может быть восстановлена в Metamask, Rabby или любом другом кошельке, который поддерживает этот стандарт.

Приватный ключ: что это и почему он решает все

Приватный ключ — это уникальная криптографическая последовательность, которую сид-фраза создает для каждого вашего адреса.

При этом под одной сид-фразой может быть сгенерировано неограниченное количество адресов.

Приватный ключ используется для подписи транзакций: по сути, он подтверждает блокчейну, что именно вы владеете средствами на данном адресе.

Каждый раз когда вы отправляете транзакцию — например, переводите 20 USDT другу — кошелек использует приватный ключ, чтобы подписать эту операцию.

Подпись говорит сети, что именно владелец этого адреса решил отправить монеты.

Если бы подписи не было, тогда сеть просто бы не смогла понять, кто пытается выполнить операцию — и имеет ли этот человек вообще право распоряжаться средствами.

Блокчейн не “доверяет” приложениям и интерфейсам.

Он доверяет только криптографической подписи, созданной приватным ключом.

Когда вы подписываете транзакцию:

1. Кошелек берет приватный ключ,

2. Создает цифровую подпись,

3. Отправляет в сеть только подпись и данные транзакции,

4. А блокчейн с помощью публичного ключа проверяет, что подпись настоящая.

И если подпись корректна — сеть выполняет операцию. Если подпись некорректна — блокчейн просто отклоняет транзакцию, как будто ее не существовало.

Средства находятся в блокчейне, а доступ к ним определяет только приватный ключ. Не ваш браузер, не приложение и не то, где вы установили кошелек.

При этом приватный ключ никогда не передается в сеть — наружу уходит только созданная им цифровая подпись. Это фундамент криптографической безопасности.

Публичный ключ и адрес в криптовалютном кошельке

Чтобы картина была полной, важно понимать, что приватный ключ — это только начало цепочки.

Из приватного ключа с помощью криптографических алгоритмов генерируется публичный ключ, а уже из публичного ключа — адрес, который вы используете для получения монет.

Цепочка: приватный ключ публичный ключ адрес

Адрес — это то, что можно спокойно показывать кому угодно. Он нужен только для того, чтобы другие могли отправлять вам монеты.

При этом зная публичный ключ или адрес невозможно узнать приватный ключ.

Поэтому:

— приватный ключ дает вам контроль над средствами

— публичный ключ дает возможность сети проверять подпись

— адрес позволяет другим отправлять вам монеты

Как блокчейн хранит ваши средства и формирует баланс

Мы уже разобрались, что монеты находятся не в приложении, а в блокчейне.

Теперь важно понять, как именно блокчейн учитывает, сколько средств принадлежит вашему адресу.

Ваш баланс — это не сумма, лежащая в кошельке, а итоговое состояние сети, которое складывается из всех транзакций, связанных с вашим адресом.

Каждый раз, когда вы получаете, отправляете монеты или взаимодействуете со смарт-контрактами, в блокчейне создаются новые записи, которые меняют состояние адресов.

Каждый полный узел сети хранит всю историю этих записей и может в любой момент вычислить ваш текущий баланс.

Кошелек делает то же самое: он обращается к блокчейну, считывает состояние вашего адреса и показывает итоговое число на экране.

То есть баланс существует в сети, а не в устройстве.

Именно поэтому ошибочно утверждение о том, что какие-то кошельки безопаснее других.

Вы можете хранить свои средства хоть на Метамаске, хоть на холодном, аппаратном кошельке (например, Trezor или Ledger), но если вы безответственно обращаетесь с сид-фразой — вы все равно рано или поздно потеряете свои деньги.

Но давайте по порядку. Какие вообще бывают кошельки и зачем тогда их так много, если все они «одинаковые»?

Типы кошельков и способы хранения

Кошельки бывают:

1. Кастодиальные

2. Некастодиальные

3. Холодные

4. Горячие

5. Аппаратные

И на самом деле они совсем не одинаковые. Просто к любому из них применяются одни и те же базовые принципы безопасности.

Кастодиальные vs некастодиальные кошельки

И наверное, впервые, можно с уверенностью сказать, что один вид лучше другого. Дело в том, что кастодиальные кошельки НЕ принадлежат вам.

Пример кастодиального кошелька — это баланс вашего аккаунта на централизованной бирже: Bybit, OKX, Binance и других CEX.

Они не дают вам сид-фразу, и ваши активы по факту принадлежат не вам, а бирже. Именно она держит ваши приватные ключи за вас. Что убивает весь смысл криптовалюты в целом.

Главное преимущество крипты в том, что ваши средства принадлежат вам и только вам — вы единственный ответственный за их сохранность и можете распоряжаться ими как пожелаете.

При этом, пока вы храните свои активы на бирже, вы буквально доверяете ей на честном слове, что она не заберет ваши средства себе.

С другой стороны, то что биржа может делать с вашими активами что хочет — НЕ означает, что она будет это делать.

Большинство крупных бирж дорожит своей репутацией, и при этом зарабатывает огромные деньги на предоставлении своих сервисов людям. Им просто незачем обманывать своих пользователей… как минимум пока.

Однако такое уже случалось. 

В 2022 году одна из крупнейших бирж — FTX — обрушилась буквально за несколько дней. Позже выяснилось, что руководство использовало клиентские средства для рискованных операций через связанную компанию.

Проще говоря: деньги пользователей с кастодиальных кошельков тратились так, будто это личный капитал биржи.

Это то же самое, как если бы банк взял депозиты клиентов и пошел играть в казино.

Когда началась паника и люди попытались вывести средства, оказалось, что выводить уже нечего. Ликвидности не было — и миллиарды долларов исчезли.

История FTX — самый показательный пример того, что случается, когда вы доверяете свои активы посреднику, который контролирует ваши приватные ключи, а не вы.

В целом кастодиальные решения не стоит считать криптовалютными кошельками в прямом смысле. Это именно биржа, которая дает вам простоту, удобство и обещание, что не станет трогать ваши активы.

Также важно не путать аккаунты на бирже с отдельными продуктами формата “Wallet”, которые некоторые из них выпускают дополнительно.

Такие кошельки (например, Coinbase Wallet, OKX Wallet, Bybit Wallet) — некастодиальные, потому что именно вы получаете сид-фразу и контролируете приватные ключи.

Это отдельные некастодиальные решения, которые существуют сами по себе и никак не связаны с вашим биржевым аккаунтом.

Как легко отличить кастодиальный кошелек от некастодиального?

— Если вам не дают сид-фразу — кастодиальный кошелек

— Если от вас требуется придумать логин, пароль и подтвердить почту — кастодиальный кошелек

— Если есть функция восстановления пароля — это кастодиальный кошелек

Холодные и горячие кошельки

Помимо различия во владении приватными ключами есть еще один важный момент — в какой среде эти ключи вообще находятся. От этого и появляется простое деление кошельков на горячие и холодные.

Холодный — это любой кошелек, приватные ключи которого НЕ касаются интернета:

— нет подключения к сети

— нет экспозиции к вирусам

— нет взаимодействия с онлайн-средой

Холодным кошельком могут быть: бумажный кошелек, оффлайн-компьютер или аппаратный кошелек, о котором я расскажу чуть позже.

Горячий же кошелек — это кошелек, приватные ключи которого находятся на устройстве с доступом к интернету.

Вот и все. Это главный и единственный критерий.

Примеры горячих кошельков: Metamask, Trust Wallet, Exodus, любые кошельки-расширения в браузере или даже те самые кастодиальные кошельки — тоже горячие кошельки.

Горячий = удобный, но потенциально более уязвимый, так как находится в опасной среде.

Однако горячие кошельки — это единственный удобный способ пользоваться криптовалютой каждый день.

Подписывать транзакции, заходить в DeFi-приложения, пользоваться децентрализованными биржами (DEX), подключать кошелек к сайтам — все это невозможно сделать через холодный кошелек напрямую.

Именно поэтому в идеале используют оба:

горячий — для повседневных операций с небольшими суммами или при работе в DeFi

холодный — для долгосрочного хранения основного капитала вдали от опасной среды

Аппаратные криптокошельки

Аппаратный кошелек — это разновидность холодного кошелька. Чаще всего это специализированное устройство по типу: Ledger, Trezor или Keystone.

Такой кошелек:

1. Генерирует сид-фразу внутри себя

2. Хранит приватные ключи внутри себя

3. Подписывает транзакции локально (без выхода в интернет)

4. Полностью изолирует приватный ключ от устройства с интернетом

При работе с аппаратными кошельками важно соблюдать базовые правила безопасности. Иначе все преимущества холодного хранения исчезают.

Главное правило простое: сид-фраза никогда не должна касаться интернета.

Никаких вводов на сайтах или других горячих кошельках, никаких фото в галерее «чтобы не забыть» и никаких заметок в телефоне.

Как только вы вводите сид-фразу от своего аппаратного кошелька в онлайн-среде — вы фактически превращаете холодный кошелек в горячий и теряете его ключевое преимущество.

Аппаратный кошелек защищает вас лишь до тех пор, пока сид-фраза существует только офлайн.

Основные риски и как от них защититься

Мы уже разобрали фундамент: сид-фраза, приватные ключи, виды кошельков и то, как блокчейн на самом деле хранит ваши средства.

Теперь разберемся, как сделать их хранение максимально безопасным.

Важно понимать, что по факту вы можете потерять деньги всего двумя способами:

1. Либо вы отдаете кому-то доступ к своим приватным ключам (потерянная сид-фраза, ввод на фишинговом сайте, вредоносное расширение и т.д.)

2. Либо вы сами разрешаете кому-то управлять вашими токенами через подписанные разрешения (approvals)

И если с первым типом ошибок мы уже разобрались, то второй — ловушка, в которую попадают даже опытные пользователи.

Разрешения (approvals) в кошельках и DeFi

Когда вы подключаете свой кошелек к DeFi-приложению, например, для того чтобы обменять токены или внести ликвидность в какой-то протокол, смарт-контракту нужно дать разрешение на работу с вашими активами.

Это называется approve. Без этого разрешения у вас ничего не получится.

Большинство людей думает, что approve — это «подтверждение транзакции». Но на самом деле это не так.

Процесс подписания approve на Uniswap через Rabby Wallet

Approve дает смарт-контракту разрешение списывать ваши токены. Не переводить — а именно право переводить.

Важно понимать: approve всегда выдается на конкретный токен и конкретный контракт, а не «на весь кошелек сразу».

Например, вы сделали approve на USDC на какой-то децентрализованной бирже (DEX), для того чтобы внести ликвидность или обменять их на другой актив.

DEX может списать ваши USDСC без вашего предупреждения, если его контракт окажется вредоносным (поддельный сайт или малотрастовый ноунейм протокол).

DeFi-приложение не хранит ваши токены у себя, поэтому перед тем как выполнить swap, ему нужно разрешение: «этот контракт может списать X токенов от моего имени».

То есть сам по себе approve — это базовый механизм.

Но давайте разберемся, где тут возникает опасность.

Опасность approve

Проблема не в approve, а в том кому вы его даете.

Представьте, что вы вызвали сантехника починить трубу в ванной. Для того, чтобы мастер сделал свою работу — его нужно пустить домой. Это нормально.

Approve — это и есть «пустить домой».

А теперь представь, что ты случайно пустил домой не мастера, а вора переодевшегося в форму сантехника. Ты сам открыл дверь, сам впустил — дальше он делает, что хочет.

На самом деле сценарии кражи почти всегда выглядят одинаково. А это значит, что защититься от них достаточно просто.

Как это обычно выглядит:

1. Пользователь попадает на поддельный сайт (например, unisvap.org)

2. Сайт просит approve под предлогом «подключить кошелек» или «выполнить swap»

3. Пользователь машинально подписывает, несмотря на адрес контракта

4. Контракт получает право списывать все его токены

5. Через несколько минут человек остается ни с чем

Как отличить безопасный approve от опасного

Помимо банальной осторожности и использования только проверенных инструментов только по официальным ссылкам — есть несколько правил, которые помогут отличить безопасный approve от опасного.

Во-первых, адрес контракта должен быть настоящим. Если ты совершаешь обмен на Uniswap, то approve должен идти на адрес Uniswap Router, а не на рандомный контракт с нулями.

Ты можешь это легко проверить:

— Metamask — кнопка «View on Etherscan»

— Более современные кошельки, по типу Rabby, предупреждают автоматически: «Suspicious contract»

Во-вторых, approve должен быть логичным для твоего действия.

— Меняешь USDC — жди approve именно на USDC, а не на ETH или USDT

— Или если ты просто только зашел на сайт, а у тебя уже просят approve на токены — это скам.

Ну и в-третьих, никогда не подписывай unlimited approve, за пределами сверхтрастовых инструментов и протоколов. 

Это буквально разрешение списать ВСЕ твои токены. На Uniswap или AAVE — это ок, но если ты вносишь средства в какой-то свежий ноунейм протокол — это уже игра с огнем.

Как очищать старые approvals

Но даже если вы делаете все правильно, старые approvals лучше очищать.

Вот безопасные и проверенные инструменты:

1. https://revoke.cash 

2. https://debank.com/profile (вкладка Approvals)

3. https://etherscan.io/tokenapprovalchecker 

Это занимает несколько секунд, но может сэкономить вам целое состояние, потерянное из-за старых разрешений.

Чек-лист по безопасности кошелька

Теперь, когда у вас сложилась полноценная картина того, как работают кошельки, где реально лежат ваши монеты и какие ошибки стоят людям денег, остается самое важное — превратить знания в простые действия.

Короткий чек-лист ниже — это минимальный набор правил, который защитит твои активы в повседневной работе с криптой.

Сид-фраза всегда должна оставаться офлайн

Это главное правило всей криптобезопасности.

1. Не фотографировать ее

2. Не хранить в заметках в телефоне

3. Не скидывать в облако

4. Не вводить на сайтах

5. Не импортировать в сомнительные приложения

Сид-фраза = весь ваш капитал.

Не хранить крупные суммы на биржах и кастодиальных кошельках

Любой кастодиальный кошелек = не ваш кошелек.

Для хранения крупного капитала вдали от опасной среды — холодный кошелек.

Для работы в DeFi и активности — надежный, некастодиальный горячий кошелек: 

Exodus — удобный мультикошелек с широким набором сетей

MetaMask — базовый стандарт для DeFi

Trust Wallet — простой мобильный кошелек для новичков

Rabby Wallet — современная альтернатива MetaMask

Frame — продвинутый кошелек для активных DeFi-пользователей

Phantom — лучший вариант для экосистемы Solana

Использовать только надежные инструменты и протоколы

А также всегда проверять адреса сайтов и контрактов.

80% всех взломов происходит не из-за хакеров, а из-за невнимательности и глупости пользователей, потерявших деньги на фишинговых, поддельных или малотрастовых протоколах.

Чтобы закрыть 98% ваших потребностей в крипте вам хватит этого набора проверенных инструментов:

DEX:

1. Uniswap

2. Aerodrome

3. Pancakeswap

Lending markets:

1. AAVE

2. Compound Finance

3. Fluid

Bridges:

1. Orbiter Finance

2. Jumper

Tools:

1. Merkl Money

2. Stargate Finance

Давать разрешение (approve) только проверенным контрактам

Approve — это не «разрешение на обмен», это право списывать токены.

Помните 3 вещи:

1. Approve должен быть на тот токен, с которым вы работаете

2. Контракт должен быть официальным

3. Unlimited approve давать только крупным проверенным протоколам

А также периодически очищайте старые approvals с помощью таких сервисов, как revoke.cash или Debaank.

Перед тем как двигаться дальше

Теперь у тебя есть цельная картина: где на самом деле «лежат» твои монеты, какую роль играют сид-фраза и приватные ключи, какие бывают кошельки, и почему в большинстве случаев люди теряют деньги не из-за «плохого кошелька», а из-за собственных ошибок.

Далее логичный шаг — научиться не только не терять деньги в крипте, но и начать их зарабатывать.

Благо сфера децентрализованных финансов (DeFi) открывает практически неограниченные возможности для преумножения твоего капитала на большой дистанции.

Подробнее про заработок в криптовалюте в отдельной статье про DeFi — там подробно разобраны основные инструменты, модели доходности и реальные примеры стратегий.

approve в DeFi аппаратный кошелек безопасность в крипте блокчейн горячий кошелек защита криптоактивов как хранить крипту безопасно кастодиальные кошельки криптокошелек некастодиальные кошельки потеря криптовалюты приватный ключ сид-фраза управление рисками крипто холодный кошелек
Оцените статью
Добавить комментарий