Как различаются криптокошельки в плане безопасности

Как показывает практика, мобильные криптокошельки взламывают чаще всего. Разработчики оснащают их функционалом разной степени удобства, но уровень криптографической защиты большинства кошельков, в том числе из Google Play, очень низкий.

Объясняется это и малым количеством в криптоиндустрии профессионалов, которые могут создать хорошо защищенное приложение, и возможностями самих приложений: в топ выходят быстрые и легкие, а должный уровень криптографической защиты их утяжелит, замедлит, сделает менее удобными для пользователя. По разным данным, 70-90% мобильных криптокошельков имеют существенные уязвимости. А уязвимости средней степени опасности — более 90%.

Онлайн-кошельки предполагают больше возможностей для криптографической защиты, однако далеко не все владельцы соответствующих ресурсов эти возможности используют, поэтому степень фактической защищенности варьируется от ресурса к ресурсу.

«Бумажные» криптокошельки отличаются от прочих онлайн-кошельков тем, что пользователю не нужно регистрироваться: адрес и приватный ключ генерируются на сайте случайным образом. И адрес, и ключ представлены и в буквенно-цифровой форме, и в форме QR-кода. Пользователей заверяют, что приватный ключ хранится только у владельца, но на практике никаких подтверждений тому нет. Не говоря уже о том, что сканирование QR-кода планшетом или смартфоном тоже создает определенные уязвимости, поскольку ключ оказывается на устройствах без защиты.

Десктопные криптокошельки делятся на два вида: «толстые» и «тонкие». Первый предполагает скачивание программы-кошелька и блокчейна на компьютер, второй — только программы-кошелька, а информация о транзакциях хранится на другом сервере, куда программа и обращается.

«Толстые» считаются более надежными, поскольку другой сервер — явление невидимое, неизвестно как защищенное и неизвестно кем обслуживаемое. С другой стороны, владельцы серверов имеют возможность хорошо их защитить — лучше, чем рядовые пользователи свои компьютеры. Поэтому чаще взламывают не сервера, а отдельные аккаунты, и тут уже вина пользователя и разработчика может быть одинаковой.

К примеру, разработчик оставил уязвимость (небольшую, иначе хакеры взламывали бы всех подряд, а не единичных пользователей), но доступ к ней хакеру предоставил сам пользователь. То ли он скачал ПО с вирусами, то ли серфил по интернету без антивируса и брендмауэра, то ли отключил какую-либо защиту, чтобы «работало быстрее», то ли иным способом легкомысленно отнесся к вопросу безопасности.

Если поступать таким образом, уровень защищенности десктопных кошельков будет один. И совсем другой уровень будет, если пользователь предпримет меры предосторожности:

• поставит программу на отдельный ноутбук или хотя бы на отдельную виртуальную машину;
• будет ставить только надежное ПО;
• на новые сайты будет заходить из-под другой ОС (лучше на базе Unix);
• будет следить за отсутствием в системе посторонних программ;
• будет использовать отдельную электронную почту на сервере, который сложнее взломать, и отдельный, никому не известный номер телефона.

Взломать кошелек такого пользователя намного сложнее, хотя сам сервис может быть одним и тем же.

Впрочем, ряд «тонких» кошельков, как и некоторые онлайн-ресурсы, предлагает защиту от легкомыслия пользователей в виде технологии HD wallet. Она предполагает создание seed-фразы, основанной на 12 случайных словах, которую кошельки «видят» как код. На основе этого кода можно создавать любое количество адресов со своими ключами без риска потерять данные. Если ключи забыты, пользователю достаточно этой фразы, чтобы получить доступ к своим данным.

Лидерами по безопасности считаются аппаратные криптокошельки. Но ими относительно мало кто пользуется — не в последнюю очередь из-за того, что они стоят около 100-200$, когда все остальные — бесплатны.