Кошельки

Обзор аппаратного крипто-кошелька Ledger Nano X. Стоит ли доверять данному способу хранения криптовалют?

Где хранится криптовалюты и какую функцию выполняют крипто-кошельки?

Очень много людей не до конца понимают как реализовано владение биткоинами и считают, что биткоины хранятся в кошельках. Владение и управление биткоинами организовано через приватные и публичные ключи. Чтобы отправить транзакцию с определённого биткоин-адреса, нужно подписать её соответствующим приватным ключом.

Без подписи от приватного ключа транзакцию с определенного биткоин-адреса отправить невозможно. Приватные ключи и биткоин-адреса в свою очередь создаются из мнемонической фразы, если говорить о детерминированных кошельках. А также могут быть созданы индивидуально с помощью различных инструментов.

Криптовалютные кошельки (аппаратные, десктопные, мобильные), все они хранят именно приватные и публичные ключи. Биткоинов в кошельках нет, и никогда не было

Основные функции биткоин-кошельков:

  • менеджмент приватных ключей;
  • формирования транзакций;
  • подписание транзакций;
  • отправка транзакций.

Биткоины существуют исключительно как записи в блокчейне. Эти записи отражают передвижение биткоинов между различными адресами. Сами биткоины всегда находятся именно в блокчейне в виде транзакций, а не в кошельках. Исходя из всего вышесказанного безопасность биткоинов напрямую зависит об безопасности среды, в которой находятся ваши приватные ключи.

Безопасно ли хранить криптовалюту в горячих кошельках?

Если говорить о горячих кошельках (мобильных или десктопных), то приватные ключи постоянно находятся в потенциально уязвимой среде, которая подвержена разным атакам со стороны злоумышленников.

Есть куча вредоносного ПО, которое направлено именно на кражу приватных ключей с устройств пользователей. Учитывая то, что расположение файла wallet.dat у большинства биткоин-кошельков никак не скрывается, то вирусы моментально находят этот файл и отправляет его злоумышленнику. Далее злоумышленнику нужно только расшифровать этот файл, который чаще всего зашифрован слабеньким паролем из пяти-шести символов.

Именно поэтому были созданы аппаратные кошельки — специальные устройства, которые обеспечивают максимально безопасный менеджмент приватных ключей.

Основные преимущества аппаратных кошельков

  • Приватные ключи находятся в изолированной среде и никогда не соприкасаются с интернетом. Подписание транзакции происходит на устройстве. А потом готовая подписанная транзакция отправляется в сеть.
  • Неуязвимы к вредоносному программному обеспечению, находящемуся на компьютере или мобильном телефоне. Даже если вы подключаете аппаратный кошелёк к заражённому устройству, то ваши приватные ключи всё равно находятся в безопасности.
  • Подтверждение, подписание и отправки транзакций происходят именно на устройстве с помощью физического нажатия кнопок. Без физического нажатия подписать и отправить транзакцию невозможно.
  • В большинстве своём являются мультивалютными. Что в свою очередь очень удобны для тех людей, которые диверсифицируют свои сбережения по разным активам.
  • Имеют дополнительный уровень защиты в виде PIN кода. При вводе неверного PIN кода определённое количество раз, вся информация с устройства удаляется. Что делает практически невозможным получение ключей злоумышленником.
  • В случае с Ledger wallet приватные ключи пользователя находятся в специальном микроконтролере (Secure Element). Такие чипы используются в SIM картах, банковских картах, смартфонах, поддерживающий бесконтактную оплату Samsung или Apple Pay. Без физического доступа к этому чипу, извлечь оттуда информацию невозможно.

Что входит в комплектацию кошелька Ledger Nano X?

В комплект поставки входит:

  • Устройство Ledger Nano X.
  • Три бумажки для записи мнемонической фразы.
  • Руководство пользователя.
  • Пара стикеров.
  • Провод для зарядки и брелок-шнурок, который можно прикрепить к устройству.

Установка и настройка Ledger Nano X

Не буду подробно рассказывать о процессе настройки этого кошелька. По сути процесс настройки кошелька достаточно простой:

  1. Установка PIN кода на устройстве.
  2. Запись мнемонической фразы на бумажный носитель.
  3. Подключение кошелька либо к компьютеру, либо к телефону через
    Bluetooth.

Особенности Ledger Nano X

Взаимодействие с аппаратным кошельком осуществляется через приложение Ledger Live, которое ставится как на смартфон, так и на компьютер.

Кошелёк поддерживает более 1000 различных монет и токенов. Ledger Nano X имеет больше памяти, чем его предшественник Ledger Nano S. Что позволяет пользователю одновременно установить до 100 приложений для управления ключами. Также Ledger Nano X имеет встроенный аккумулятор. Что вкупе с Bluetooth соединением позволяет использовать этот кошелёк на ходу. И брать его с собой в какие-то поездки или путешествия.

Отдельно хотим обратить ваше внимание на мнемоническую фразу, которая будет вам выдана в процессе создания кошелька. Мнемоническая фраза представляет собой приватный ключ в удобном для представлении формате. Из приватного мастер ключа создаются дочерние ключи. А из дочерних ключей деривируются пару приватных и публичных ключей, с помощью которых и осуществляется управление биткоин-адресами, формирование и подписание транзакций. Мнемоническая фраза это всё, что вам нужно, чтобы восстановить доступ к своим средствам.

Что делать в случае утери аппаратного кошелька?

И сразу отвечу на часто задаваемый вопрос «Что если я потеряю или сломаю аппаратный кошелёк?»

Если вы потеряли свой аппаратный кошелёк, то спокойно можете воспользоваться практически любым другим криптовалютным кошельком. Импортировать туда свою мнемоническую фразу и восстановить доступ ко всем своим средствам.

Ещё раз повторяю. Что любые крипто-кошельки, это всего лишь интерфейс для менеджмента приватных ключей, которые деривируются из мнемонической фразы. Поэтому пока у вас есть мнемоническая фраза, вы можете получить доступ к своим средствам в практически любом биткоин-кошельке. Если вы хранили не только биткоин, а ещё альткоины, то импортируйте вашу мнемонику в мультивалютный кошелёк. И также получайте доступ к своим средствам.

Естественно, не забывайте и про Derivation Path, чтобы генерация прошла по нужному вам пути. Очевидно, что если вы именно потеряли свой аппаратный кошелёк, то после восстановления доступа к своим средствам, надо создать новую мнемоническую фразу. И перевести все средства на новый детерминированный кошелёк.

Безопасность кошелька Ledger Nano X

Ledger Nano X построен на базе двух чипов: STM32 и ST33. STM32 отвечает за взаимодействие между аппаратным кошельком и телефоном или компьютером. Взаимодействие может осуществляться либо через Bluetooth, либо через USB кабель. По сути чип STM32 является прокладкой между чипом ST33 и интерфейсом на вашем телефоне или компьютере.

Чип ST33 отвечает за хранение приватных ключей, формирование и подписание транзакций. В общем все криптографические операции выполняются внутри этого чипа. Также он принимает команды от пользователя через нажатие кнопок.

ОСТОРОЖНО! У Ledger есть один огромный минус! Как бы бредово это не звучало НО, база данных пользователей (телефоны e-mail) хранится на серверах компании в незашифрованном виде. Как следствие хакеры периодически получают доступ к данным. Далее по накатанной: рассылают фишинговые письма, например с требованием обновить live-приложение, после чего кошелек клиента оказывается пустым (если конечно там, что-то было).

БУДЬТЕ ВНИМАТЕЛЬНЫ Если пользуетесь данным кошельком, внимательно проверяйте любые входящие письма, даже не подозрительные. Актуальную версию Ledger Live качайте только с официального сайта https://www.ledger.com/ledger-live

Как происходит формирование и отправка транзакции?

Пользователь создаёт транзакцию на своём телефоне или компьютере через приложение. Далее не подписанная транзакция отправляется через Bluetooth или провод на чип STM32, который затем сразу передаёт её на ST33. Далее ST33 предлагает пользователю проверить транзакцию на дисплее устройства. И если всё корректно, то пользователь подтверждает и подписывает транзакцию нажатием двух кнопок на устройстве. Далее подтвержденная транзакция передаётся через STM32 на телефон или компьютер и отправляется в сеть биткоина.

Важно понимать, что через Bluetooth или провод передаются только публичная информация, компрометация которой никак не может привести к потере ваших средств. Даже если одновременно будут скомпрометированы телефон или компьютер, Bluetooth соединение и чип STM32, ваши средства всё равно будут находиться в безопасности. Потому что ST33 вынуждает пользователя проверить данные транзакции на дисплее и физически подтвердить её подпись. Транзакция не получит подпись без нажатия кнопок на устройстве. Именно за счёт такой модели безопасности Ledger Nano X абсолютно не уязвим к внешним атакам. Что обеспечивает ультимативную безопасность средств пользователя.

Нюансы, которые нужно учитывать при покупке аппаратного кошелька

  1. Покупать аппаратные кошельки только с официальных веб-сайтов компаний или официальных ритейлеров, список которых можно также найти на официальном сайте производителя. Покупая аппаратный кошелёк со сторонних ресурсов или с рук, вы рискуете приобрести устройство, которое было модифицировано. Производители некоторых аппаратных устройств борется с этим через наклеивание специальных стикеров на упаковку, но эти стикеры легко подделать или переклеить. Компания Ledger решила эту проблему иначе. Никаких стикеров они на упаковку и устройство не наклеивают. При подключении устройства к веб-интерфейсу автоматически проверяется его подлинность.
  2. Вы должны понимать, что нет никаких гарантий того, что в аппаратных кошельках нет бэгдоров, внедрённых их создателями. Безусловно, шанс этого невероятно маленький и, скорее всего, бэгдоров нет. Но если говорить о максимальном уровне безопасности, то это надо учитывать и расценивать как потенциальный риск.
  3. Не стоит воспринимать аппаратные кошельки как неприступную крепость. Да, они действительно безупречно защищены от внешних атак, и обеспечивают высочайший уровень безопасности по сравнению со всеми остальными кошельками. Пока у злоумышленника нет физического доступа к вашему устройству, то ваши средства в безопасности.

Но, если злоумышленник получил прямой доступ к такому устройству, то у него появляется несколько вариантов для его эксплойта. Например, на YouTube есть интересное видео под названием wallet.fail, где специалисты по безопасности в прямом эфире взламывают Ledger Nano X и получают его SEED фразу.

Все эти уязвимости появляются при физическом доступе к устройству. И команда Ledger wallet постоянно исправляет уязвимости, и улучшаю модель безопасности своих кошельков.
Однако, если вы используете BIP39 пароль, то даже при физическом доступе к устройству злоумышленник не сможет получить средства.

Важно понимать, что 100% безопасности не бывает нигде. Любая система имеет уязвимости. Аппаратный кошелёк предоставляет наивысший уровень безопасности среди всех остальных криптовалютных кошельков

Стоит ли покупать аппаратный кошелёк для хранения криптовалют?

Если вы планируете хранить криптовалюту на длинной дистанции и хотите минимизировать риски, то, безусловно, стоит. Ledger Nano X сейчас можно купить почти за 120 евро на официальном сайте. Доставку в Россию составляет одну-две недели, в зависимости от вашего города. Если вы владеете весьма внушительными объёмами криптовалюты, то потратить эту небольшую сумму на их безопасность определённо стоит.

Также стоит обратить внимание и на другие аппаратные кошельки, которые есть на рынке. Возможно, если вы планируете хранить только биткоин, то вам подойдёт Ledger Nano S. Потому что нет смысла платить за лишнюю память и Bluetooth соединение в старшей версии.

Многим Ledger Nano S нравится в плане интерфейса и комфорта его использования. Всё сделано действительно на высшем уровне. А наличие Bluetooth и встроенного аккумулятора позволяет использовать его намного мобильнее, чем остальные аппаратные кошельки. И всё это при высочайшем уровне безопасности.

Показать больше

Vitaly Molevich

Автор блога. Финансовый консультант. С 2017 года являюсь частным инвестором, сфера интересов - криптовалюты и другие высокодоходные проекты
Подписаться на комментарии
Уведомлять о
1 Comment
Новые
Старые По рейтингу
Inline Feedbacks
View all comments
Back to top button
Авторизация
*
*

Регистрация
*
*
*
*

Восстановление пароля