Полное руководство по безопасности крипто-кошельков

СОДЕРЖАНИЕ:

• Криптовалюты VS Фиатные Деньги
• Open Source VS Closed Source (исходный код Открытый/Закрытый)
• Горячие кошельки (hot wallets), Холодные кошельки (cold wallets), Железные кошельки (hardware wallets)
• Сиды, пароли, бекап файлы
• Комиссии
• Онлайн кошельки и генераторы приватных ключей

ПЕРВАЯ ЧАСТЬ

„Лучшими людьми в моей жизни всегда оказывались те, про кого при первой встрече думаешь: «Господи, что это за псих?!»“ – Арета Франклин

Криптовалюты VS Фиатные Деньги

Криптовалюты – новый тип активов, который совмещает в себе качества золота, виртуальных денег, бумажных денег и биржевых акций. Криптовалюты, такие как Биткоин и Эфириум, представляют собой развитие идеи о деньгах как удобном заменителе золота.

Где отрицательные стороны бумажной наличности убраны, а положительные оставлены и криптографически защищены. В частности, главной особенностью является то, что у большинства криптовалют денежная масса фиксирована (ограниченная эмиссия).

Децентрализация управления – одно из важных отличий криптовалюты от всех остальных методов расчета. Чтобы изменить правила сети, необходимо найти и подкупить не одну компанию, а сразу всех пользователей (т. н. Операторов полных узлов), что практически невозможно.

Создатели или пользователи не смогут внезапно изменить максимальный объем монет в обращении или «допечатать» себе чуть больше биткоинов, чем положено по изначально оговоренным правилам.
Кроме того:

а) Криптовалюты сложно добывать, что делает их похожими на физическое золото.

б) Криптовалюту невозможно украсть из устройства, если пользователь правильно установил кошелек и создал бекапы.

в) Криптовалютный кошелек сам хранит данные пользователя, без передачи их в сеть.

Транзакции в криптовалютах осуществляются благодаря распределенной команде из узлов, расположенных по всей планете. Узлы управляются анонимными людьми, они автоматически выталкивают из системы любого, кто нарушает правила. Узел в блокчейн сети является виртуальным эквивалентом клирингового дома из традиционных финансов.

Однако транзакции в криптовалютах необратимы. Это значит, что, если вы по ошибке выслали средства не туда, нет никакой организации, к которой вы бы могли обратиться и запросить возврат. Узлы сети биткоина, в отличие от клиринговых домов, не имеют возможности отменять уже включенные в сеть транзакции, так как нет никакого способа для них договориться между собой касательно того или иного случая.

Открытый и Закрытый Исходный Код

Обычно при выборе личного крипто кошелька пользователь ориентируется по статьям в прессе и визуальному оформлению. А самое главное это то, что находится внутри кошелька.

Все приложения в мире делятся на два типа:

a) Open Source ( приложения с открытым исходным кодом).

б) Closed Source (приложения с закрытым исходным кодом).

Финансовые приложения делятся на четыре типа:

а) Приложения для отправки виртуального фиата.

б) Приложения для отправки виртуальных токенов.

в) Приложения для отправки криптовалют.

г) Приложения для трейдинга.

Открытый исходный код таких приложений помогает убедиться в том, что они работают именно так, как было заявлено в публичной оферте и на вебсайте. Если перед нами финансовое приложение с закрытым исходным кодом, есть сомнения в честности намерений его создателей.

В крипто сфере считается, что только открытый исходный код кошелька позволяет убедиться в том, что средства пользователя будут в безопасности. Закрытый исходный код для крипто кошельков является ударом по репутации. Это значит, что разработчики кошелька не уверены в том, закрыли ли они абсолютно все баги в приложении. И они не могут позволить, чтобы смышленый хакер нашел эти уязвимости и воспользовался ими.

Кроме того, кошельки с закрытым исходным кодом никогда не попадут в листинг на Bitcoin.org, в официальный список всех доступных для биткоина кошельков.

Почему? Bitcoin.org ведется «старичками» индустрии, которые считают только Open Source приложения достаточно безопасными для криптовалютного хранения. Они еще помнят те времена, когда «вот вообще все» в крипто отрасли не прогибалось под требования старых «бизнес-моделей» по щелчку пальцев. Поэтому, если кошелек воимя «сохранения бизнес-модели» не желает раскрыть код, его просто не пускают на Bitcoin.org.

Зачастую, разработчики таких кошельков приводят странные оправдания для закрытости кода. Например, что это помогает сохранить «бизнес-модель», или «защитить копирайт на уникальные иконки». Но эти причины не могут быть достаточно вескими для того, чтобы закрыть исходный код крипто-кошелька. Любой программист скажет вам это.

Да и какая бизнес-модель может быть у бесплатного приложения? Воровать средства юзеров? Это первый и самый циничный вариант, который приходит на ум, и скорее всего, он верный. При этом в багах и взломах кошелька-недоделки как правило обвиняются «хакеры», как «опасный» и «непреодолимый» феномен (случай с KeepKey, Coinomi а также целый ряд случаев с Exodus), как будто бы и у других кошельков были с хакерами проблемы сходных масштабов (подсказка: не было).

Вообще, создателей крипто кошельков, которые не умеют беречь средства пользователей, можно легко определять по их пространным, уклончивым ответам на критику пользователей на Reddit и Bitcointalk. К сожалению, их ответы не всегда можно найти на русском языке, однако поиск определенно стоит результатов. В ход идут стандартные приемы: «сделай лучше», «никто не заставляет пользоваться», «это не баг, а фича», «это такая бизнес-модель».

Следует заметить, что в банковской сфере более половины финансовых приложений для смартфонов имеют закрытый исходный код. Это делается потому, что платный код обычно идет в комплекте с поддержкой. Банку нужно иметь человека, которому можно позвонить и решить проблему, в случае ее возникновения. Открытый исходный код подразумевает, что вы сами будете разбираться с последствиями работы системы, а для банка это не вариант. Для корпоративного бизнеса, бесплатный софт может стоить потери сотен тысяч долларов прибыли. Банкам проще заплатить несколько тысяч программисту и знать, что он в ответе за свой код и 24/7 на телефоне.

Так почему же криптовалютные кошельки с закрытым исходным кодом опасны? Такие кошельки распространяются по модели «как есть». Их создатели либо неизвестны, либо снимают с себя любую ответственность за потерю средств. Если разработчики кошелька — неизвестные личности (как в случае с Exodus или Electron Cash), они не имеют перед вами никаких юридических обязательств. А если известные, то засудить их получится только при наличии внушительных финансовых возможностей и юриста международника.

С другой стороны, централизованный издатель софта (Банк или Биржа) автоматически несет ответственность за свой код.

А еще, банковские приложения не хранят такие реквизиты, как приватные ключи пользователя. Они лишь дают вам доступ к средствам, находящимся на счете в другом городе. В противоположность этому, криптовалютный кошелек является одновременно и удаленным сервером, который управляет счетом пользователя, и клиентом для этого сервера. Поэтому, закрытость кода как бы означает, что главе крипто компании есть что скрывать от вас.

Кошелек Exodus дошел до того, что позволял пользователю хранить бекап кошелька в виде интернет-ссылки, отправляемой на электронную почту. Авторы убрали эту «фичу» только в 2019 году, после того, как Reddit и Bitcointalk наполнился сотнями жалоб пользователей на кражи.

Такой «фишки» не было и нет ни в одном крипто-кошельке. Сам факт того, что крипто кошелек можно восстановить по веб-ссылке, означает, что авторы кошелька хранят копии всех бекапов всех пользователей на сторонних серверах. А еще, если вашу почту взломали, ваши монеты будут украдены хакерами или даже владельцами е-мейл провайдера. Как вы докажете, что это они? Криптовалюта — анонимный актив, и после конвертации в Monero ваши деньги становятся не отслеживаемыми.

Авторы кошелька Exodus предлагают сомневающимся в их «честности» просто пользоваться сторонними кошельками. При этом, они отказываются открывать код или давать прямые пояснения касательно случаев взлома Exodus. Заметим, что этот кошелек напоминает «мышеловку»: крутой дизайн, мультивалютный, простой пароль на входе.

Такой кошелек наверняка выберет большинство держателей крупных портфелей, для хранения операционной налички. Он стильный и его не так стыдно показывать друзьям, как например Electrum Wallet. В смысле количества функций Electrum — лучший. Это король среди биткоин кошельков, но есть маркетинговая проблема.

Он далеко не самый красивый, если не признать прямо — ужасный. Криво расположенные, мелкие иконки, отсутствие анимаций и собственной графики, постоянные перестановки в настройках и вкладках кошелька, делают его опцией для профессионалов и экспериментаторов, а не для бизнесменов и трейдеров.

Итак, что же выбрать? Уродливый, но надежный и многофункциональный Electrum, в котором нужно долго разбираться? Или может быть, супер красивый и совсем не надежный, урезанный со всех сторон Exodus, где что угодно делается в два клика и где крутые иконки? Для большинства новичков, соблазнение установить и пользоваться красивым кошельком куда сильнее, нежели желание копаться в сложном и непонятном Electrum.

Лично я храню мелочь на Exodus (для быстрых и мелких расчётов) и чуть более крупные суммы на Electrum (для сайта, оплаты работы программиста и др.).

Однако 99% моих крипто-активов я держу на более защищённых кошельках. Речь о них пойдёт позже.

...to be continued