Поделиться
В этом эпизоде рассматриваем несколько разновидностей кошельков, говорим о ресурсах, где можно безопасно скачать кошельки, о значении сид-фразы и способах её безопасного хранения. Даём определения кастодиальным и некастодиальным кошелькам. Объясняем, как скачать и пополнить кошелёк Bitcash.
Вступление
Сергей: Всем привет. Мы продолжаем наши криптовстречи. В студии по-прежнему Дмитрий, Илья и крипточайник Сергей. Поехали! В прошлый раз остановились на кошельках.
Что такое «горячий» кошелёк
Дмитрий: Есть несколько разновидностей кошельков, в том числе «горячие», «холодные», а также кастодиальные и некастодиальные. Давай поговорим об отличиях кошельков, чтобы ты мог принять решение, какой кошелёк для тебя будет более удобен в использовании. «Горячий» кошелёк — это, по сути, программное обеспечение. Например, приложение на мобильном устройстве…
Сергей: Стоп. В прошлый раз остановились на том, что у меня есть два доллара, которые я хочу куда-то вложить или на которые я хочу что-то купить. Значит, мне нужно скачать и установить какую-то программу. Эта программа и будет являться кошельком?
Дмитрий: Да, в данном случае это будет «горячий» кошелёк.
Сергей: Где я могу скачать этот кошелёк?
Илья: Для мобильных устройств существует App Store или Google Play, в зависимости от операционной системы. Можно также и на компьютер такую программу установить.
Сергей: Ну, то есть, это такое же приложение, как…
Илья: Да, как, например, какое-нибудь приложение «Карты», «Навигатор», банковское приложение, а есть «Кошелёк».
Сергей: Допустим, я скачал это приложение, открыл. Что я увижу? Почему кошелёк называется «горячим»?
Дмитрий: «Горячий» кошелёк используется исключительно на мобильном устройстве, и доступ к этому кошельку имеет тот человек, который пользуется этим мобильным устройством. В этом есть свои уязвимости. Если потерять устройство, то можно утратить доступ к кошельку.
Сергей: А если скачать этот кошелёк на другое устройство?
Дмитрий: Можно восстановить доступ, при условии, что ты не забыл сид-фразу.
Что такое сид-фраза
Дмитрий: У каждого кошелька есть свои степени защиты. И поскольку речь зашла про сид-фразу, то начну с неё. Сид-фраза — это уникальная комбинация рандомных слов, которая является точкой входа в конкретный кошелёк. Приложение предоставляет сид-фразу только один раз. Комбинация может включать от двенадцати до двадцати четырёх слов.
Сергей: Это только слова или символы?
Дмитрий: Сид-фраза может состоять и из набора символов. И необходимо обязательно записать их где-то в надёжном месте и спрятать от посторонних глаз. Потому что если ты забудешь эти фразы и в последующем утратишь доступ к мобильному устройству, то восстановить доступ к кошельку будет невозможно.
Сергей: Это та самая история, когда человек забыл сид-фразу и теперь живёт на помойке, пытается найти свой жёсткий диск?
Дмитрий: Если мы говорим об одной и той же истории, то там человек утратил «холодный» кошелёк, на котором было десять тысяч биткоинов. Не факт, что он ещё помнит сид-фразу, но он всё-таки продолжает искать.
Илья: Он даже предлагал выкупить эту помойку.
Сергей: То есть вы мне, с моими двумя долларами, предрекаете в будущем такую же участь?
Дмитрий: Ну, почему бы и нет! Или у тебя есть занятия поинтереснее, чем лазить по свалкам?
Илья: Если мы говорим про «горячий» кошелёк, то на другом новом устройстве с помощью сид-фразы кошелёк можно восстановить. Это ещё не проблема. Напомним, что точка принятия решений и вопросы безопасности — это всё на нашей стороне. Поэтому лучше относиться к этому ответственно.
Сергей: Не придумали ли ещё какие-то сейфовые истории с хранением этих сид-фраз?
Дмитрий: Для «горячего» кошелька самое надёжное — на листик записал, спрятал под подушку или туда, где деньги лежат. Но есть ещё и «холодный» кошелёк, тот самый жёсткий диск, который важно не потерять.
Как запомнить сид-фразу
Сергей: А я слышал историю, что некто положил листок с сид-фразой под подушку то ли жене, то ли детям и уехал в командировку. А вернувшись, понял, что листика нет, или они переехали и выкинули эту бумажку. И он долгое время анализировал и вспоминал, проходил тесты, чтобы вспомнить сид-фразу. Правда ли то, что в кошельках есть тесты, где тебя помогают запомнить, заучить эту фразу?
Дмитрий: После открытия кошелька предоставляется фраза. После того, как программа предлагает тебе её сохранить, есть некий тест, который предлагает: «Напишите слово номер три, слово номер шесть, слово номер один». Таким образом программа проверяет, действительно ли ты сохранил фразу, действительно ли ты её запомнил. Если ты скипнул эту процедуру, пропустил фразу, а тест пройти не можешь, то фактически у тебя нет доступа к этому кошельку.
Илья: Эта история очень похожа на то, в чём мы уже живём. У каждого из нас есть много разных программ, систем, где мы регистрируемся. У каждого есть почта и, возможно, даже не одна. Пароль для почты мы можем написать любой, даже какой-то очень простой. А можем, напротив, подойти к этому делу ответственно и создать сложный пароль, который будет обеспечивать высокий уровень защиты. В кошельке мы всё-таки деньги храним, поэтому мы не должны относиться к сид-фразе легкомысленно; нельзя просто машинально её скопировать или сделать скриншот и побежать дальше.
Ещё о безопасном хранении сид-фразы
Сергей: А были такие случаи, когда люди записывали её в виде скриншота, продавали мобильный телефон и оказывались без штанов?
Илья: Конечно. Такое случается: предоставил доступ к левому приложению, к своим фотографиям, и какой-то недобросовестный человек взломал приложение, посмотрел — и всё, убежали средства.
Сергей: Почему эта сид-фраза состоит из двадцати четырёх или двенадцати слов или символов?
Дмитрий: Тут зависит от приложения. От двенадцати до двадцати четырёх.
Сергей: Почему не больше?
Дмитрий: Этого вполне достаточно, чтобы сохранить безопасность и в случае, если кто-то захочет её подобрать, то вариативность фразы будет настолько велика, что ни один квантовый компьютер не справится, чтобы это сделать.
Что такое «холодный» кошелёк
Сергей: Разобрались. «Горячий» кошелёк — это приложение, которое я скачал, и запомнил так называемую сид-фразу. Что такое «холодный» кошелёк?
Дмитрий: Это то же самое приложение, только установленное на флешку, на жёсткий диск, на всё, что угодно. Есть компании, которые выпускают специальные флешки для хранения крипты. Там может использоваться та же технология сохранения приватного или публичного ключа. Причём, что касается публичного ключа, важно пояснить, что публичный ключ — это как адрес «горячего» или «холодного» кошелька, который все видят. А приватный ключ — это как, условно говоря, CVV-код, зная который я могу распоряжаться средствами на этом кошельке.
Сергей: Публичный ключ создаю я сам или тоже создаёт система?
Илья: Ключ создаётся алгоритмом. Я не могу взять и придумать ключ самому себе. И отчасти это хорошо, потому что тогда бы люди предсказуемо создавали фразы, которые довольно легко подобрать.
Дмитрий: Смысл использования алгоритмов для создания ключей в том, чтобы убрать ассоциативность, чтобы нельзя было его просчитать…
Илья: Да, повысить степень рандомности, чтобы очень тяжело было ключ подобрать.
Сергей: Опасность «холодного» кошелька в том, как предполагаю, что его можно потерять. Как ключи от дома, как карту. Жёсткий диск может выйти из строя. А «горячий» кошелёк — это всё-таки приложение, которое можно восстановить и скачать на другое устройство, если у тебя сохранилась сид-фраза. Так?
Дмитрий: Условно, да.
Плюсы и минусы «холодного» кошелька
Сергей: В чём плюсы «холодного» кошелька?
Дмитрий: В том, что к нему нет удалённого доступа. Он работает только тогда, когда подключён к какому-либо устройству. Это кардинальное отличие от «горячего». «Горячий» можно открыть как приложение, и ты им начинаешь пользоваться. А «холодный» — это когда ты вставил как флешку в компьютер и только тогда он у тебя начинает использоваться.
Сергей: Могу предположить, что подключать его в игровом клубе небезопасно.
Дмитрий: Мы не рекомендуем подключать «холодный» кошелёк к неизвестному устройству, потому что мы не знаем, какие программы до нас на это устройство установили.
Сергей: То есть устройство, в которое я засовываю флешку, должно быть проверенным?
Дмитрий: Конечно. Также желательно избегать публичного Wi-Fi. Если ты уверен в безопасности подключения к интернету в конкретном месте, то можно смело вставлять «холодный» кошелёк в свой компьютер или мобильное устройство.
Сергей: А связь через этот холодный кошелёк происходит тоже через какое-то приложение или через сайт какой-то биржи?
Дмитрий: Каждый кошелёк разработан какой-то компанией. Компания разрабатывает программное обеспечение, приложение, запустив которое, ты получаешь доступ к кошельку. Но при условии, что он уже вставлен в устройство.
Илья: Это работает примерно как дверь и ключи от двери. Есть дверь, она сделана, разработана, но чтобы её открыть, «запустить», нужно ключ вставить и повернуть.
Сергей: Есть ли преимущества у «холодного» кошелька? Зачем он вообще нужен, если существует «горячий» в виде приложения, и я легко могу в него зайти…
Дмитрий: Скажем так, основным фактором, почему я бы предпочёл «холодный» кошелёк «горячему», это его безопасность и использование. Даже если я его потеряю, никто не сможет залезть туда и что-либо сделать с моей криптовалютой. Ну, и я тоже в том числе.
Илья: Но только ты его потеряешь…
Дмитрий: Использовать его можно везде, где угодно, везде, где есть доступ к интернету в любой точке мира.
Сергей: Это как тот самый Николаевский червонец, который у тебя в кармане, и если ты его потеряешь, то восстановить его будет невозможно.
Илья: Это другой уровень безопасности. Если у нас всё хранится онлайн, то мы предполагаем, что может так случиться, что мне на устройство попадёт вирус, который считает мою сид-фразу. Есть вредоносное ПО, которые моментально скачиваются по ссылке, и они могут получать доступ к буферу обмена и считывать в том числе и сид-фразы. А когда у меня в руках «холодный» кошелёк, то в данном случае я в безопасности. Потому что, если мой компьютер взламывают, то кошелёк остаётся у меня в руках, и я могу с другого компьютера в это ПО зайти, воткнуть и работать.
Что такое кастодиальные и некастодиальные кошельки
Дмитрий: Есть и другие виды кошельков — кастодиальные и некастодиальные. Кастодиальный кошелёк — это когда ты заходишь на биржу, проходишь процедуру верификации, и твоему аккаунту присваивается кастодиальный кошелёк, набор символов, которые используются тобой как кошелёк. И когда ты на бирже совершаешь покупку, тебе на этот кошелёк зачисляется криптовалюта.
Сергей: А некастодиальный?
Дмитрий: Некастодиальный кошелёк — это приложение, с помощью которого можно хранить и покупать криптовалюту. Он устанавливается на устройство, и при регистрации ты проходишь KYC, как на бирже, и тебе в том числе присваивается номер этого кошелька.
Сергей: Я неспроста задал вопрос — можно ли свой «холодный» или «горячий» кошелёк хранить в амбарном сейфе — можно ли и как это называется?
Илья: Именно поэтому есть разные типы кошельков — кастодиальные и некастодиальные. Тут вопрос степени свободы и насколько мы хотим доверять каким-то системам. Кастодиальные кошельки частично хранят приватный ключ. Как бы разделяют его пополам и отдают часть вам, а часть оставляют себе.
Сергей: Кто именно хранит?
Илья: Биржа, например. Возьмём какую-нибудь крупную биржу, Байбит или Бинанс. Биржа персонально для вас создаёт этот кастодиальный кошелёк, когда вы регистрируетесь в системе. И если вдруг по какой-то причине вы свою часть сид-фразы потеряли, то ещё есть варианты и можно восстановить. Если мы говорим про некастодиальный кошелёк, когда мы абсолютно никому не доверяем и хотим, чтобы контроль полностью был у нас, то в данном случае, если мы теряем сид-фразу — а для кастодиальных кошельков она не разделена на части — то восстановить её уже не получится. Поэтому тут вопрос — насколько я готов доверять кому-то и в какой степени я хочу контролировать. Это философия.
Дмитрий: Вопрос — «насколько ты параноик». Давай так.
Илья: Да. Доверяем ли мы большому брату или нет?
Сергей: Выключит ли свет и будет ли троян?
Дмитрий: …И не подсматривают ли за нами наши мобильные устройства? Выбор всегда за тобой.
Личный кошелёк: баланс доверия и безопасности
Илья: Добавление в предыдущую тему. Есть такая история. Думаю, все слышали про Байбит. Недавно была новость, что у них украли, по-моему, почти полтора ярда средств в эфире. И всё это — деньги пользователей. Конечно, было кастодиальное хранение, и вопрос безопасности здесь встаёт на первое место: доверять ли мне кому-то, кто может случайно потерять мои деньги?
Сергей: И вернут ли они мне их?
Илья: Да, конечно. То же самое — история с FTX. Они контролировали деньги пользователей и могли их перенаправлять. Как это делается — юридически или неюридически — это детали, сложная история. Но факт — мои деньги кто-то увёл. И это неприятно. Поэтому я лично люблю некастодиальные кошельки: я себе доверяю и не планирую никому отдавать свои сид-фразы. Но если я хочу торговать, то, как правило, биржа именно через эту модель работает, где я должен заводить свои средства на кастодиальный кошелёк.
Сергей: Есть ли смысл держать часть средств на кастодиальных и часть — на некастодиальных кошельках?
Дмитрий: Безусловно, такая диверсификация активов полезна. Лучше хранить частично там и где-то ещё, чтобы в случае утраты к какому-то одному ресурсу не потерять всё. Даже советовали бы так делать.
Илья: Есть разные пути, как можно защититься. Есть «двухфакторка», она же двухфакторная аутентификация. Это некий дополнительный пароль, который мне приходит на устройство, подтверждая факт владения или факт входа. То есть, когда я захожу, у меня устройство запрашивает: «Подтверди, что это ты реально владеешь этим устройством, а не кто-то удалённо пытается его взломать».
Сергей: Или у тебя кто-то это устройство отнял…
Илья: Конечно. Если отняли, существуют другие способы защиты. Например, биометрия. Вор должен быть как минимум похож на меня. Также есть дополнительные пароли, которые требуется вводить. В общем, изощряться можно очень разными путями. Тут снова вопрос: «насколько я параноик». И опять же: никто не отменял «холодного» кошелька, где основные средства можно хранить. Есть статистика наших исследований по владельцам кошельков: чем больше средств у человека, тем больший процент людей реально хранящих средства на «холодных» кошельках. И в обратную сторону: чем меньше средств у человека, тем больше он пользуется слабо защищёнными кошельками.
Сергей: Биометрия и двухфакторная может быть и у кастодиальных, и у некастодиальных кошельков?
Илья: Технически можно сделать. И некоторые так и делают. Это больше вопрос самого программного обеспечения, приложения.
Дмитрий: Да, это вопрос каждого отдельного кошелька.
Илья: Кошельки от серьёзных производителей всегда так делают. И если этого уровня защиты нет — а мы знаем, что сейчас это самый нормальный способ защититься — то есть ощущение, что продукт не доработали.
Где взять криптокошелёк и как не потерять сид-фразу
Дмитрий: Важно отметить, что «горячие» кошельки необходимо скачивать только с проверенных ресурсов. Поскольку есть фишинг и прочее, когда можно попасть на мошеннический сайт, искусно подделывающийся под проверенный ресурс, и скачать с него заведомо опасное ПО, ввести на нём какие-то свои данные, сид-фразу и в итоге попрощаться со своими финансами. Да, фишинг более актуален для тех, кто уже зарегистрирован на каких-то ресурсах, на биржах и тому подобном. В этом случае жертва заходит на мошеннический сайт, вводит данные действующего аккаунта, и после этого хакеры воруют денежки.
Сергей: Давайте ещё раз проговорим. Потерял телефон либо удалил из приложения? Что делать?
Илья: Во-первых, покупаем новое устройство и скачиваем кошелёк при условии, что есть сид-фраза. Тогда доступ к кошельку будет восстановлен. Если ты удалил кошелёк, и при этом сид-фраза у тебя на руках, то просто заново качаешь приложение, подтверждаешь его сид-фразой, и доступ к кошельку восстановлен. Если же так случилось, что сид-фраза утрачена, а доступ к кошельку имеется, рекомендуется моментально скачать новый кошелёк и перевести денежные средства туда, чтобы в дальнейшем, если вдруг не помнишь или не можешь вспомнить эту сид-фразу, сохранить свои деньги на новом устройстве.
Сергей: С новой сид-фразой.
Дмитрий: Да.
Илья: Ну, это как история с карточками. Если вдруг я потерял карточку, я могу перекинуть деньги на новую карточку, а то и заблокировать. При условии, что я имею доступ к своему аккаунту. Если же не имею доступа, то всё — до свидания. В данном случае у нас есть сид-фраза, так что, если вдруг потеряли, удалили приложение, то можно…
Сергей: Сид-фраза — это как кодовое слово в банке.
Дмитрий: Да. Только этих кодовых слов 12 штук минимум. На самом деле, это очень серьёзный вопрос, нужно действительно сохранить сид-фразу в надёжном месте.
Сергей: Допустим, украли фразу. Что делать?
Илья: Как минимум, нужно скорее выводить все деньги с этого кошелька на новый. Создать новый, быстренько туда перевести деньги. Тогда всё в безопасности. Если же нет, то — печалька. К сожалению, люди ловятся на простых вещах. Как бы мы ни пытались защититься, сам человек — это очень ленивое, невнимательное и уязвимое существо. Даже безотносительно к криптовалютам. Лет 15 назад взломали Sony. А Sony, как мы знаем, — это производитель камер. Взломали каким образом — у сотрудника компании брали интервью, и у него за спиной, на рабочем месте, прямо на карточке, на стикере был пароль. И это довольно частая история. Периодически происходят взломы. Не потому, что недостаточно систем безопасности, а просто человек невнимателен.
Дмитрий: Зато вор был очень внимательный…
Илья: Буквально там недавно, по-моему, Владимир Владимирович Путин говорил в интервью, что у нас, условно, в госаппарате работает несколько тысяч человек, создают законы, а взломать и обойти законы пытаются десятки тысяч. Ну, как бы, извините, здесь примерно та же история.
Как пополнить доступный и удобный кошелёк Bitcash
Сергей: Допустим, я разбогател настолько, что у меня есть не только два доллара, но и появился телефон. Как мне на него скачать? Где? Что?
Дмитрий: Всё очень просто. Нужно зайти в Google Play либо в App Store и скачать кошелёк. Например, Bitcash. Это некастодиальный кошелёк. И там пройти процедуру верификации и регистрации.
Сергей: Сколько она занимает времени?
Дмитрий: Достаточно быстро проходит, в течение минут десяти. Вопрос, как отработает система процедуры верификации паспортных данных.
Илья: Поскольку мы работаем в полностью правовом поле, то мы должны собирать эти данные. Мы как банк. И вся процедура хранения средств, персональных данных — полностью всё защищено. Всё упирается в то, насколько быстро мы обрабатываем эти данные. У нас всё срабатывает довольно быстро.
Дмитрий: Именно в этом приложении ручная проверка будет гораздо быстрее, чем проверка программой введённых тобой данных.
Сергей: Решился, скачал, есть кошелёк. Как мне на него и через что завести какие-то средства? Через банковскую карту?
Дмитрий: Для этого существует такая замечательная организация, которая называется WHITEBIRD.
Сергей: Мне принести чемодан с деньгами в WHITEBIRD, чтобы вы мне положили на «горячий» кошелёк?
Дмитрий: Нет, мы с наличкой не работаем.
Сергей: Или перевести с карты на карту банковским переводом? Как это происходит?
Дмитрий: При регистрации в приложении Bitcash наша партнёрская компания создаёт аккаунт автоматически и на WHITEBIRD. Поэтому, зайдя на сайт whitebird.io, у тебя уже будет аккаунт. На сайте ты можешь выбрать криптофиатную пару. Допустим, можно купить за тысячу российских рублей какое-то количество USDT, получаемых тобой на кошелёк. И дальше тебя попросят ввести адрес, куда тебе нужно USDT получить. А это уже можно узнать в самом приложении Bitcash. Либо второй вариант — проделать эту операцию из приложения Bitcash. Там тоже есть функционал, который позволяет, находясь внутри приложения, приобрести криптовалюту именно с нашего ресурса.
Илья: Но это уже отдельная песня, поэтому лучше мы про это расскажем на следующем уроке. Приходите, ждём.
Сергей: До новых встреч.