Bitcoin Forum

Для создания обзора по теме кошельков для крипты нужно подобрать ряд кошельков.
Критерии для отбора: безопасные, анонимные, удобные. Безопасность также интересует с позиции текущей геополитической обстановки-возможность блокировки пользователей из определенных стран.
То есть, три отдельные группы, в каждой свои кошельки. В каждой группе +/- три кошелька. Холодные кошельки не рассматриваю. Только программные/браузерные, приложения на телефон, кошельки-боты в телеграм.
Я попробовал составить общий список существующих кошельков. В списке уже 69 кошельков. Все их перепроверить и проанализировать, поюзать на практике не получается.
Всем, кто хочет помочь - просьба указывать конкретные кошельки с личными впечатлениями + куда бы вы кошелек отнесли исходя из своего опыта использования: к безопасному, анонимному или удобному. Или сразу в несколько групп.
За общие пожелания, типа бери некастодиальный, бери приложение на телефон без указания конкретного кошелька и причины такого выбора - спасибо, но они не информативны. Интересно ваше мнение по конкретным кошелькам.
Надеюсь на силу сообщества. Заранее всем благодарен за конструктивную помощь.

Купи леджер нано Х и получишь программный и браузерный и через приложении на телефоне кошелек с максимальной защитой и доступностью большинства монет и токенов.

В интернете огромное количество обзоров на самые разные кошельки. Необходимый уровень безопасности и анонимности каждый определяет для себя сам. Если человек не соблюдает меры предосторожности, то даже самый анонимный кошелек может раскрыть его владельца, пожалуй кроме кошельков приватных монет.

Мне вполне подходят эти кошельки:

- Lager Nano S
- Samourai Wallet (мобильный, BTC)
- MEW (ETH)
- Phantom, Solflare (SOL)
- Terra Station Wallet (Terra)
- polkadot{.js} (DOT)
- Yoroi (ADA)

Спасибо. Согласен, обзоров много, но часть-рекламные, часть-списаны с других обзоров, и так по кругу. Хочется понимать реальную ситуацию. Чем больше пользователей поделится своими практическими знаниями, тем полнее будет картина. Да и другим будет полезна практическая информация.

Тогда обязательно следует упомянуть Metamask, как самый ненадежный с точки зрения возможности блокировки пользователей из стран под санкциями. Метамаск по умолчанию работает через Infura, это некий централизованный поставщик услуг, который является чем-то вроде API для блокчейна эфира и некоторых других. Эта Infura работает под законодательством США со всеми вытекающими, то есть это касается и доступа из "неблагополучных" стран. Никакой тут децентрализации и прочего, вас могут вычислить по IP и заблокировать доступ к самому кошельку (не средствам). Если не нравится, то можно подключится к какому-нибудь другому провайдеоу или к свой собственной ноде, но запустить ноду эфира для рядовых граждан не представляется возможным.

Почитать больше можно тут:

https://metamask.zendesk.com/hc/en-us/articles/360059386712-Why-Infura-cannot-serve-certain-areas
https://metamask.zendesk.com/hc/en-us/articles/4417315392795
https://infura.io/

Много всяких разных кошельков, которые претендуют на звание самого безопасного. Тут нет единственного верного решения. Я вот в свое время приобретал себе свой первый Леджер с планами по "холодному хранению" монет, а потом понял что он гораздо удобнее в повседневном использовании. Вы бы лучше сами почитали обзоры из уже предложенных хотя бы в этой теме, выбрали бы несколько, а дальше уже бы интересовались конкретно их возможностями.
И самый лучший совет который можно дать: не храните все свои монеты на одном кошельке, даже если он вам кажется самым надежным и безопасным.

ZenGo — для меня одна из главных интриг в мире криптокошельков, потому что они предлагают безопасность без ключей. То есть никаких ключей, сид-фраз и прочего. Доступ можно получить по биометрии (вроде они что-то говорили про скан лица, но, возможно, старый добрый отпечаток пальца тоже есть).
В принципе, по удобству тоже может подойти — разнообразие криптовалют мало, всего 13 где-то, но самые известные есть. Плюс, всякие чарты, информация по ценам тоже там доступна.

Может кто пользовал аппаратный SafePal S1? Есть мнения по нему?

Здесь на форуме выходил обзор на него, в этой же теме есть ссылки на другие обзоры кошелька: Safepal hardware wallet review and opinions  (https://bitcointalk.org/index.php?topic=5257785.0)

Из плюсов этого кошелька можно назвать его довольно низкую цену, большой цветной дисплей, защищенный элемент, камера для коммуникации с другими устройствами, поддержка множества токенов. Это "air-gapped" кошелек, то есть он полностью изолирован от других устройств и не подключается к ним напрямую. Такие кошельки считаются более безопасными, потому что здесь минимизировано число возможных векторов атаки.

Из минусов можно назвать то, что защищенный элемент имеет закрытый исходный код, то есть нужно доверие к производителю. Также для обновления прошивки нужно подключаться через USB, то есть кошелек не всегда изолирован и может быть атакован хакерами. Ну и разумеется дешевая цена предполагает, что в кошельке используются очень дешевые материалы, так что для эстетов он не подойдет.

По мне, так банальный горячий кошелек. Именно, что горячий, потому что да, он в виде приложения, которое нужно скачать.
Ну, окей, не подходит, так не подходит. Хотя отпечаток пальца мне кажется надеждным «замком». А если есть вероятность, что мошенники создадут фишинговые сайт, где всё свое биометрическое добро останется, то такое же можно провернуть и со страничкой для ключей и сид фраз...ну, это в моём представлении.

Про абонентскую плату не знаю, потому что сама этим кошельком не пользовалась, только слышала. Но если это правда, то было бы интересно почитать источники.

Trust wallet может подойдти под разные задачи, функций достаточно, тут кстати есть все видео по использованию https://www.youtube.com/watch?v=-P_Re-4RxAg&list=PLz6PL6lblU5QOy81v5-ZgNpXQWvYXCLpc

Под разные подойдет хорошо а вот для долгосрочного хранения биткоинов не очень, для этого лучше подумать об аппаратном кошельке, чтобы быть уверенным в том что ключи всегда хранятья на вашем устройстве. А траст можно использовать для какого то временного хранения небольших сумм в альтах, или даже обмена.

Trust Wallet это кошелек с закрытым исходеым кодом, то есть всегда есть вероятность незаметной утечки ключей, если разработчики вдруг решат, что им надоело быть честными. Да и в криптовалютном комьюнити к таким кошелькам относятся с большим недоверием. Но если вы больше 500$ эквивалента в криптовалюте там хранить не планируете, то он вполне может подойти новичку. Еще стоит учесть один момент. Trust Wallet хоть и поддерживает BIP39 и множество альткоинов, но может так оказаться, что вам срочно потребуется восстановить монеты в другом кошельке и вы этого сделать не сможете, потому что именно для вашего альткоина будет использоватся непонятный derivation path. Это распространенная проблема с закрытыми кошельками: они скрывают информацию под предлогом сохранения безопасности.

Вы имеете ввиду какие то экзотические альткоины, или это возможно для всех токенов?

А можно подробнее в кошельках с открытым исходным кодом утечка ключей невозможна, потому что будут видны все движения и будет понятно кто это сделал, или там такой возможности нету в принципе?

Кошельки с открытым кодом, имеют те же преимущества, что и все остальные проекты с открытым кодом. Код программного продукта полностью открыт и опубликован. Соответственно любой программист может его проверить на предмет корректности и отсутствия программных закладок.

Именно в этом преимущество кошелька с открытым кодом.

А утечка ключей конечно возможна, от всех атак не застрахуешься.

Я думаю, что надёжны кошельки, которые созданы для криптовалюты Монеро. Почему я так думаю? Люди входящие в это сообщество по определению параноики, продукт с открытым кодом, и кроме того Монеро - это не такая популярная валюта, чтобы хакеры тратили большие ресурсы на то чтобы её украсть. Есть же более лёгкая добыча. Cake Wallet, думаю, достаточно надёжный кошелёк (по моей оценке).

Настолько параноики, что недавно кошелек комьюнити Monero взломали неизвестные  ;D
Пруф: Краудфандинговый кошелек Monero взломали на $444 000 (https://incrypted.com/kraudfandingovyj-koshelek-monero-vzlomali-na-444-000/). С Monero вообще много приколов было, когда они отказывались (ccылаясь на отказ от ответственности( возмещать потери из-за своих косяков )

Это возможно сделать для всех токенов, потому что путь создания ключей (derivation path) зависит от кошелька и может выбираться разработчиками абсолютно случайно. Большинство кошельков используют стандартные пути деривации и не скрывают это от пользователей, но есть и и исключения. Если совпадают оба условия - пути деривации нестандатные и они скрываются - то это верный знак избегать такого кошелька.

Там будет видно, что в кошелек не встроили бэкдора в последнем обновлении. Но в случае с закрытым ПО, разработчики могут выпустить версию с возможностью кражи ключей (например, генерация случайных чисел на самом деле будет псевдослучайной), подождать некоторое время пока часть пользователей перестанет обновлять кошелек и проявлять активность. А затем они могут воспользоваться этим бэкдором и будут уводить деньги с кошельков без лишнего шума.

Нужно разобраться с определениями.

Бэкдор может быть умышленно встроенным, а может существовать в кошельке "веками" из-за отсутствия целостности кода и включения в него библиотек от сторонних разработчиков.  В последнем случае неважно какой код у кошелька  - открытый или закрытый.

Приведу пример с Electrum. Кошелёк с открытым кодом но вплоть до версии 4.3.4 ((январь 26, 2023), которая заменила QR библиотеку, имел уязвимость, открывающую  дверь хакерам.

Это продемонстрировал  Eric Michaud в своей   презентации  (https://www.youtube.com/watch?v=yMz_Gfxkkks&t=1083s)на SEC-T 2022. (смотри с 18:00).

Поэтому всё относительно и открытый код не панацея, лучше конечно, чем закрытый, но не панацея.

Это история со взломом кошелька очень, на мой взгляд, непонятная... Возможно там была крыса, то есть человек или люди, которые были ответственны за сбор денег, их попросту украли (скрысили). Может там был какой-то спор между членами сообщества, и кто-то решил что ему должны. И решил взять самостоятельно, никого не спрашивая. В общем, история мутная очень.

А так, мой опыт взаимодействия с продуктами экосистемы Monero, всё-таки позволяет говорить, что разработчики этой системы параноики.

В том же мобильном кошельке monerujo, постоянно выскакивали следующие фразы - "Оглянитесь, если вы уверены что у вас за спиной никто не стоит, и на ваш монитор не направлен на видеокамера можете ввести свой пароль / ключ / seed." Вот что-то подобное там было постоянно. Seed из огромного количества слов, и другие признаки паранойи. Видно, что люди заморачиваются.

Но взломать, можно всё что угодно. А человек всё равно самое слабое звено в системе, даже если с точки зрения технологии там параноики всё сконструировали.

Для простоты модно использовать следующее разделение: бэкдор - это умышленное внесение изменений, которое позволяет третьим лицам обходить логику работы программы. А уязвимость - это просто естестственное состояние кодовой базы, при котором определенные баги в логике существуют и могут активно использоваться или не использоваться третьими лицами. Бэкдоры обычно встраивают, а уязвимости появляются сами, по мере совершения коммитов в кодовую базу. По этой классификации легко определить преимущества открытого ПО перед закрытым, потому что встраиваемые бэкдоры становятся практически невозможным событием, если информация о всех изменениях доступна публично. А вот от уязвимостей это не спасает, но в этом плане открытое ПО все равно лучше, так как большее количество людей смотрят и работают с кодом.

Такое определение на мой взгляд носит  амбивалентный характер, потому что " умышленное внесение изменений" может возникнуть из-за пероначально существующей уязвимости кода, обнаруженной хакерами и используемой ими для создания эксплойтов.

Поэтому я бы не  стал делать здесь каких-либо различий.  

Бэкдоры могут существовать как в закрытом, так и в открытом коде.

Не все уязвимости можно использовать в качестве бэкдора для доступа к внутренним процессам приложения, но умышленное негативное внесение изменений почти всегда осуществляется для создания таких бэкдоров. Уязвимости, которые используются в качестве бэкдоров, могут появляться только естественным путем в процессе разработки, потому что никто не говорит "разрабы встроили уязвимости в свою программу". Так вот, с позиции разрабов кошелька может быть два следуюших варианта: разрабы недостаточно тестировали свое приложение, использовали небезопасные библиотеки или что-то еще и сделали свой кошелек уязвимым для хакера, или разрабы банально встроили бэкдор в свою систему, чтобы в какой-то момент увести средства пользователей. В первом случае бэкдор создается хакерами, во втором самими разработчиками.

Появился официальный твит от разработчиков Trust wallet, который предупреждает об обнаружении zero-day-уязвимости пользователей iOS, которая позволяет инфильтрировать устройства  без всякого клика.

Напрямую не говорится, что под угрозой сам Trust wallet, но по-видимому это так, потому что утверждается, что приоритетными могут быть "High-value " цели, а какие цели по мнению разработчиков кошелька могут приорететными. По-моему ответ очевиден.


Думаю, что нужно напрячься пользователям и других кошельков, установленных на iOS

Что такое атака нулевого дня? Я погугли но не совсем понимаю. Говориться что это вроде тип атаки когда взлом произошел но еще не задействован против системы.

Это атака, которая использует уязвимость нулевого дня ,т.е. уязвимость их програмного продукта до селе  неизвестную его разработчикам. После того, как уязвимость обнаружена, они пыхтят вовсю, чтобы выпустить соответствующий патч, позволяющий закрыть обнаруженную дыру, а до патча разработчики предупреждают пользователей об опасностях, связанных с этой уязвимостью.