Как завести криптокошелек и платить картой в криптовалюте |
ТОП-23 лучших криптокошелька: какой и как выбрать
Любые операции с криптовалютой невозможны без инструмента для ее хранения — криптокошелька. Это программа, онлайн-сервис или аппаратное устройство, которое обеспечивает доступ к цифровым активам и их безопасность.
Криптохранилища различаются по принципу работы, размещению программного обеспечения, способу хранения приватного ключа. Ключевой момент в классификации — доступ к интернету. Кошельки либо нуждаются в онлайн-подключении постоянно, либо большую часть времени отключены от сети. Этот параметр напрямую влияет на безопасность средств.
В этой статье расскажем, какие кошельки считаются лучшими в своих группах и как правильно выбрать удобный и надежный сервис для хранения криптовалюты.
Топ криптокошельков
Криптовалюта в прямом смысле не хранится в криптокошельке, поскольку представляет собой код в цифровой базе данных. Специальные программы лишь дают право на управление средствами с помощью ключей и возможность взаимодействовать с блокчейном.
У каждого обладателя крипты есть два ключа. Публичный — как номер карты или счета в банке. Он позволяет получать переводы или пополнять свой счет самостоятельно.
Приватный ключ работает как код банковской ячейки. Он обеспечивает полный контроль над активами в блокчейне. Криптовалюта находится у того, кто обладает приватным ключом; поэтому важно не терять к нему доступ.
Если приватный ключ хранится у владельца и на онлайн-платформе или в программе, такой кошелек считается кастодиальным. Для управления им владельцу не надо разбираться в тонкостях блокчейна — транзакциями управляет оператор-кастодиан.
Доступ к некастодиальному хранилищу есть только у его обладателя. Если он потеряет приватный ключ и сид-фразу (контрольный шифр для восстановления доступа), монеты будут навсегда потеряны.
– Лучшие горячие кошельки
Криптобумажники с подключением к интернету — идеальный способ регулярно совершать быстрые транзакции. Это удобно, если потребуется восстановить утерянный приватный ключ. Но одновременно и опасно — злоумышленникам достаточно взломать сервер, чтобы лишить владельцев доступа к своим активам.
Все горячие кошельки относятся к кастодиальным, и вот лучшие из них:
Сервис | Поддерживаемые валюты | Комиссия | Дислокация | Платформа |
Broex | Более 40, в том числе BTC, Fantom, Bitcoin Cash и другие | Пополнение – бесплатное, комисси за вывод зависит от вида криптовалюты | Веб, мобильные устройства | Веб-сайт, Android, iOS |
Matbea | BTC, ETH, Litecoin и еще более 60 альткоинов | От 0 до 8,5% в зависимости от вида операции и платежной системы | Веб, мобильные устройства | Веб-сайт, Android, iOS |
Advcash | BTC,ETH, LTC, BCH | От 0% для P2P до 3,5% при выводе и пополнении фиатной валютой | Веб | Веб-сайт |
LocalCryptos | BTC, ETH,, LTC, DASH | От 0,25% в зависимости от вида валюты и платежной системы | Веб | Веб-сайт |
WallBTC | BTC, ETH, DSH, PZM, XLM, USDT | Зависит от криптовалюты, в среднем от 0,01% | Веб | Веб-сайт |
Blockchain Wallet | BTC, ETH | Зависит от размера транзакции | Веб/мобильные устройства | Windows, MacOS, Linux, Android, iOS |
Trust Wallet | BTC, ETH, BNB и прочие монеты, включая NFT токены | Зависит от криптовалюты | Мобильные устройства | Android, iOS |
MetaMask | ETH, BNB, Polygon и другие сети на блокчейне Эфириума | Зависит от используемой сети, сам кошелек комиссию не взимает | Веб | Браузеры Chrome, Firefox, Edge |
Кстати. Посмотреть другие программы для работы с криптовалютами и почитать отзывы о них можно тут.
Среди особенностей горячих кошельков:
- Высокая скорость транзакций;
- Поддержка разных криптовалют;
- Простота и удобство настройки;
- Пониженный уровень защиты в сравнении с холодными.
Эксперты не рекомендуют хранить на горячих кошельках серьезные суммы и советуют использовать эти инструменты только для текущих транзакций.
Горячие бумажники подразделяются на веб-кошельки, мобильные и десктопные.
1. Веб-хранилища. Взаимодействуют с блокчейном через интерфейс браузера — для них не нужно устанавливать на устройство стороннее ПО. Это удобный вариант для неопытных юзеров, которые не оперируют крупными суммами.
2. Десктопные. Они устанавливаются на ПК и предоставляют пользователю полный контроль над активами и ключами. Файл с приватным ключом хранится на Вашем устройстве, не потеряйте к нему доступ. Позаботьтесь о качественном антивирусе, чтобы на ПК не проникали вредоносные программы.
3. Мобильные. Приложения для смартфонов позволяют выполнять транзакции с помощью QR-кодов — это быстро, удобно и обеспечивает доступ к активам в любой момент из любого места. Однако вопрос с уязвимостью остается актуальным. Кстати, чтобы найти самые выгодные курсы для обмена криптовалюты, пользуйтесь сервисом BestChange
Лучшие биржевые кошельки
Отдельная разновидность горячих кошельков — биржевые. Они создаются непосредственно на биржах криптовалюты после регистрации аккаунта. Для полного доступа ко всем функциям кошелька нужно пройти верификацию и подтвердить личность с помощью паспорта или водительского удостоверения.
Биржа | Поддерживаемые криптовалюты | Комиссия |
KuCoin | BTC, ETH, APE, FTM и еще около 600 альткоинов | Фиксированная 0,10% |
Huobi | ETH, Coingecko, Heco и другие | Зависит от сети |
Coinbase | BTC, ETH, SOL и другие | Не взимает за переводы между кошельками Coinbase, в остальных случаях — комиссия сети |
Binance | BTC, ETH, LTC и десятки других | За ввод — нет, за вывод — зависит от сети |
Bybit | BTC, LTC, DAI и еще более 100 монет | До 0,1% в зависимости от уровня VIP-статуса |
Большинство биржевых кошельков — кастодиальные, поэтому приватные ключи принадлежат не только владельцам, но хранятся также на серверах платформ. Вот в чем еще заключается специфика бирж:
- Простота использования. Обмен и трейдинг проходят непосредственно на сайте и в приложении через адреса в блокчейне, алгоритм действий интуитивно понятен;
- Быстрые транзакции. Функционалом бирж управляет третья сторона, пользователю не нужно проводить операции вручную, что серьезно влияет на скорость проведения операций;
- Низкие комиссии. Сами сервисы обычно не берут комиссий за транзакции или берут меньше процента. Чаще всего плату за переводы взимают только блокчейн-сети;
- Уязвимость к хакерским атакам. После взлома CoinCheck в 2018 году люди лишились 534 млн долларов, после атаки на Poly Network в 2021 году — 610 млн долларов;
- Риск прекращения деятельности платформы. Причинами могут быть решение судебных органов, технические проблемы или недобросовестность владельцев биржи, как это было с Wex.
Последние две особенности вовсе не означают, что пользоваться биржевыми кошельками не стоит. Просто ограничьте количество коинов на них, а потом переведите валюту на более надежный кошелек, когда необходимость в услугах биржи отпадет.
Важно. Напоминаем, что купить или обменять криптовалюту можно криптовалютных биржах или специальных обменниках. Мы рекомендуем 365Cash
– Лучшие холодные кошельки
Холодные хранилища работают в режиме офлайн. В сравнении с горячими они более безопасны и предназначены для длительного и надежного хранения криптовалюты. Рассмотрим подробнее их виды и причины, почему эти кошельки считаются самыми безопасными.
ТОП-5 локальных кошельков
Такие криптохранилища представляют собой приложения и программы для ПК или смартфонов, для работы с которыми не требуется постоянное подключение к интернету. Некоторые эксперты не считают их полностью холодными и помещают в отдельную категорию — «теплые», а к холодными относят только аппаратные устройства по типу USB.
Сервис | Поддерживаемые валюты | Комиссия | Дислокация | Платформа |
Bitcoin Core | BTC | Определяет пользователь | ПК | macOS, Linux, Windows |
MyEtherWallet | ETH и токены на блокчейне Эфириума | Зависит от количества газа, затраченного на транзакцию | Мобильные устройства | Android, iOS |
Coinomi | BTC, ETH, Litecoin, Dash и десятки других | У кошелька нет, но сети выставляют свои проценты за майнинг | ПК, мобильные устройства | macOS, Linux, Windows, Android, iOS |
Jaxx | BTC, ETH, Bitcoin Cash, Litecoin, Dash и другие | Платформа не взимает комиссию, но ее берут сети | Веб, мобильные устройства | Браузер Google Chrome, Android, iOS |
Exodus | Более 100 активов, включая ВТС, ВСН, ETH, XTZ. | Сам кошелек не взимает комиссию, но оплачиваются услуги сети | ПК, мобильные устройства | macOS, Linux, Windows, Android, iOS |
Локальные кошельки бывают толстыми и тонкими:
Толстые копируют весь блокчейн необходимой криптовалюты. Для этого нужен большой объем памяти — к примеру, не менее 350 Гб для Bitcoin Core. Поэтому такие кошельки бывают только десктопными и часто моновалютными;
Тонкие не требуют загрузки блокчейна. Для установки нужно не более 200 Мб, что экономит ресурсы компьютера, но снижает уровень защиты кошельков. К категории тонких также относятся холодные мультивалютные кошельки для смартфонов.
ТОП-5 аппаратных кошельков
Эти холодные кошельки представляют собой физические устройства, на которые установлено программное обеспечение. По внешнему виду напоминают флэшки или небольшие смартфоны.
Аппаратные криптохранилища подключаются к сети только на момент совершения транзакции. Устройство создает приватный ключ посредством генерации случайных чисел и хранит его вне сети. Таким образом, никто не может получить доступ к активам владельца.
Вполне корректным будет сравнение холодного кошелька с сейфом, где хранятся Ваши основные сбережения, а горячего — с бумажником, с которым Вы, например, ходите в магазин. Сопоставима и степень защиты хранилищ — вскрыть сейф гораздо сложнее, чем вытащить бумажник.
Опытные пользователи часто используют одновременно оба вида кошельков, но под разные задачи. Например, для трейдинга и обмена используют горячий кошелек, а для хранения основных активов — один из следующих холодных:
Сервис | Поддерживаемые валюты | Комиссия | Стоимость |
Ledger Nano | ARC, BTC, Dash, Dogecoin, всего более 1 800 альткоинов и токенов | Выбирает пользователь — размер зависит от скорости транзакции и используемой сети | От 8 000 ₽ |
Trezor | BTC, ETH, BNB, USDT и еще более 1 800 коинов и токенов | Устанавливает пользователь | От 11 000 ₽ |
SafePal | BTC, ETH, LTC, Dash, всего 10 тыс. токенов и 19 блокчейнов | Зависит от используемой сети | От 13 000 ₽ |
KeepKey | ВТС, ВСН, ETH и еще около 40 криптовалют | Корректируется пользователем и зависит от сети | От 6 400 ₽ |
CoolWallet | BTC, ETH, Ripple, Stellar, BNB, USDT и другие | Выставляет пользователь, зависит от используемой сети | От 14 000 ₽ |
Среди особенностей этого вида криптохранилищ:
- Максимальная степень защиты от взлома и кражи данных;
- Возможность создания резервной копии;
- Неудобство в ежедневном использовании;
- Невозможность восстановить доступ при потере приватного ключа и сид-фразы.
Аппаратные кошельки — надежный вариант для хранения крупных сумм, но он требует внимательного отношения к кодам доступа. Общая стоимость навсегда застрявших в блокчейне биткоинов оценивается в 150 млрд долларов.
Как избежать подобных потерь? Только одним способом — создайте резервную копию приватного ключа и храните ее в защищенном месте вместе seed-фразой (набором из 12-24 слов, который генерируется при настройке бумажника для восстановления доступа к нему).
Некоторые владельцы аппаратных кошельков записывают данные на бумагу и ламинируют листок, другие гравируют на металле и прячут в сейф. Самое главное правило безопасности — ни в коем случае ни сид-фразу, ни приватный ключ не храните на компьютере, который подключается к интернету.
Интересно. Выжимайте из бизнеса максимум с помощью нашей методички формата “фишечная стратегия”. В ней самый сок из сотен тренингов и книг по маркетингу и продажам. А также концентрат успешных действий. По ссылке – скидка 50% в течение 4 часов, кликайте -> “Реальный маркетинг: 165 фишек + 33 основы“
Как выбрать криптокошелек
Выбор кошелька зависит от задач и целей пользователя. Рассмотрим главные критерии, на которые стоит обратить внимание, чтобы определиться, где хранить криптовалюту.
1. Цель хранения. Если Вы планируете постоянно обменивать криптовалюту или торговать ею на бирже, скачайте горячий кошелек. Он быстро проводит необходимые операции и при этом гарантирует определенный уровень надежности. Для хранения крупных сумм стоит приобрести аппаратный кошелек или воспользоваться надежным локальным бумажником.
2. Криптовалюта. Моновалютные кошельки предназначены для хранения одной криптовалюты — например, биткоина или эфириума. Обычно их выпускают разработчики криптовалют для гарантии максимальной безопасности и удобства работы. Мультивалютные кошельки же позволяют хранить несколько видов монет в любом количестве.
3. Контроль транзакций. При полном контроле за сохранность средств отвечает их владелец, при частичном — третья сторона. При совместном для переводов потребуется подтверждение третьей стороны. Для новичков удобнее кошельки, за которые частично или полностью отвечают сторонние сервисы. Для опытных пользователей ограничений нет.
4. Скорость транзакций. Если Вам требуются кошельки для частых и срочных транзакций, то выбирайте онлайн-хранилища — для них не нужно скачивать ПО на ПК или смартфон. Это биржевые кастодиальные кошельки, которые выполняют транзакции почти мгновенно.
5. Разработчик. Некоторые кошельки разрабатывают сами создатели криптовалют — например, Bitcoin Core или MyEtherWallet. Другие хранилища выпускают бренды с мировой известностью и безупречной репутацией, например, Ledger или Trezor. Безопаснее пользоваться кошельками признанных разработчиков..
6. Сумма хранения. Чем больше сумма, тем более надежным должен быть кошелек. Если Вы храните небольшую сумму для текущих транзакций, используйте горячие биржевые, декстопные или мобильные кошельки. Для хранения крупных сумм нужны аппаратные хранилища, так как злоумышленникам будет труднее их взломать.
7. Верификация. Некоторые компании (Binance, Broex, Matbea) вынуждены проводить верификацию пользователей горячих кошельков, поскольку их обязывают к этому государственные органы. Если Вам важно сохранить анонимность, то выбирайте аппаратные кошельки, которые не используют KYC (идентификацию личности).
Как завести криптокошелек и платить картой в криптовалюте
После 24 февраля интерес к криптовалютам резко вырос. Для того чтобы использовать крипту в качестве средства платежа, в том числе за границей, в условиях санкций, необходим криптокошелек. Как его открыть, перевести средства на криптокарту и ею расплачиваться?
Для начала нужно определиться, какой именно криптокошелек вам необходим. Например, для длительного хранения крупной суммы сбережений рекомендуется использовать некастодиальные криптокошельки. Отличие такого кошелька в том, что полный доступ к нему есть только у его владельца (он знает Private Key, с помощью которого можно получить доступ к кошельку). Как правило, некастодиальные криптокошельки работают без подключения к интернету (их называют холодными кошельками).
Для торговли валютой и хранения небольших сумм можно использовать кастодиальные кошельки, выпуском которых занимаются специальные сервисы. В этом случае фактически доступ к кошельку также есть у владельцев сервиса, поэтому выбирать сервис необходимо с учетом его репутации и отзывов пользователей.
Среди некастодиальных кошельков выделяют бумажный (распечатанные на листе бумаги ключи/QR-коды) и аппаратный (специальное устройство). Кроме того, некастодиальный кошелек можно использовать с помощью приложения. Кастодиальные кошельки можно открыть на биржах, в браузере или также в специальных приложениях. При этом криптокошелек, который вы открыли одним из способов, можно восстановить любым другим способом, если ввести в нем seed-фразу (проверочный список случайных слов).
Как создать аппаратный кошелек
- Купить аппаратный криптокошелек. Среди наиболее популярных брендов — Ledger и Trezor. Дальнейшая инструкция написана на примере устройства Trezor, однако специфика одинакова для всех подобных устройств.
- Скачать и установить с официального сайта приложение для операционной системы на ПК.
- После запуска приложения подключить через кабель устройство к компьютеру, затем в приложении нажать Setup Trezor.
- Приложение потребует обновить прошивку устройства. После этого в приложении нажать Create new wallet и выбрать пункт Standart seed backup.
- Подтвердить операцию на самом устройстве Trezor.
- Затем в приложении нажать Create backup, поставить галочку на каждом пункте инструкции и нажать Begin backup.
- Подтвердить операцию на устройстве еще раз. После этого на его экране появятся 12 слов, их необходимо переписать в том же порядке в безопасное место, поскольку эти слова понадобятся в будущем, например, для восстановления доступа к кошельку.
- После пролистывания всех слов нужно задержать на устройстве кнопку Hold to confirm.
- Затем устройство трижды проверит вас на знание этих 12 слов (например, спросит, каким было второе слово). После проверки нужно нажать на устройстве Confirm.
- В приложении на ПК выбрать Continue to PIN, на следующей странице выбрать Set PIN. После этого на самом устройстве нажать зеленую галочку и установить PIN, затем на устройстве и в приложении нажать Continue.
- В открывшемся меню на компьютере выбрать необходимые криптовалюты для установки на кошелек, после чего нажать Complete setup.
- Указать имя устройства, затем нажать на пункт Access suite и выбрать опцию Standard wallet.
- После этого можно получать доступ к кошельку через приложение или веб-браузер каждый раз при подключении устройства.
Как завести десктопный/мобильный кошелек
- Выбрать наиболее подходящий десктопный или мобильный кошелек и установить его на компьютер/смартфон. В качестве примера возьмем сервис Exodus, однако алгоритм для похожих сервисов примерно одинаковый.
- После загрузки приложения для получения данных криптокошелька необходимо пополнить счет на любую сумму в любой из криптовалют. Например, можно получить перевод от другого пользователя или купить криптовалюту на бирже. Для этого нужно нажать Make your first deposit, потом выбрать в меню нужную валюту, нажать Recieve и использовать указанный там ключ или QR-код для зачисления.
- После зачисления средств нужно перейти во вкладку Backup (отмечена восклицательным знаком).
- Придумать и ввести пароль для доступа к приложению.
- Придумать и ввести 12 слов для восстановления доступа к кошельку в будущем, переписать и сохранить их в безопасном месте.
- Указать электронную почту и завершить создание кошелька.
Как завести бумажный кошелек
- Открыть сайт для генерации бумажного кошелька (например, BitAdress).
- Провести курсором по экрану или ввести случайный набор символов для генерации биткоин-адреса.
- Выбрать пункт Paper wallet, указать необходимое количество кошельков и нажать Generate.
- Распечатать полученные ключи и QR-коды.
- Для пополнения кошелька передать другим пользователям и сервисам свой публичный код (или его QR-код).
- Для проверки баланса кошелька можно использовать специальные сайты, например blockchain.info.
- Для того чтобы вывести средства, необходимо установить один из «горячих» кошельков по инструкции выше и использовать в нем сгенерированный ранее Private Key.
Как купить криптовалюту
Для покупки криптовалюты можно использовать криптовалютные биржи и обменные пункты в интернете, а также peer-to-peer площадки, где пользователи размещают объявления о покупке и продаже валюты, после чего обмениваются ею друг с другом напрямую без посредников. Также купить валюту можно через ботов в Telegram.
В обменных пунктах можно получить криптовалюту в обмен на наличные — в некоторых городах для этого используют курьеров, а, например, в Москве можно прийти в пункт обмена самостоятельно (самые крупные обменники находятся в Москва-Сити в башне «Федерация»).
После начала «военной спецоперации»* России на Украине Mastercard и Visa запретили прием платежей от россиян за рубежом, а некоторые биржи и сервисы ограничили работу с местными пользователями. Из-за этого напрямую купить криптовалюту на бирже с российской банковской карты не получится.
Как купить криптовалюту на бирже
Регистрация на криптовалютных биржах примерно одинакова: помимо регистрации аккаунта, каждый пользователь должен пройти процедуру KYC (Know your client) и верифицировать свою личность, отправив селфи и фотографию документа, удостоверяющего личность. При этом корректность этих данных, как правило, никто не проверяет. Криптовалютные биржи также создают для пользователей кастодиальные криптокошельки, с которых можно переводить криптовалюты на собственные кошельки. В качестве примера рассмотрим покупку криптовалюты на бирже Binance.
- Перейдите на форму регистрации на криптовалютной бирже.
- Укажите страну проживания, затем выберите пункт «Создать личный аккаунт».
- Укажите адрес электронной почты и придумайте пароль от аккаунта, введите код подтверждения, который пришел на почту. Затем укажите и подтвердите с помощью СМС мобильный номер.
- После этого сервис предложить пройти процедуру верификации личности. Нажмите «пройти сейчас», после чего укажите ваше гражданство, фамилию, имя и отчество, дату рождения, а на следующей странице — адрес проживания;
- Выберите документ, который вы хотите загрузить для подтверждения личности: паспорт (российский или заграничный) или водительское удостоверение. В следующем окне прикрепите фото документа.
- Загрузите селфи, на котором хорошо видно ваше лицо.
- С помощью камеры отсканируйте лицо для подтверждения личности. После процедуры верификации вы получите доступ к операциям с криптовалютой.
- На главной странице Binance сверху выберите пункт «Купить криптовалюту» и перейдите на p2p-площадку продажи криптовалюты.
- Выберите подходящее вам предложение по цене и объему криптовалюты, после чего нажмите «Купить».
- В открывшемся поле укажите, сколько криптовалюты вы хотите приобрести у продавца. Также обратите внимание на способы оплаты, который указал продавец. После этого еще раз нажмите «Купить».
- В открывшемся окне появится информация о реквизитах продавца, по которому ему необходимо перевести средства (например, на банковскую карту в определенной валюте). Выберите из предложенных вариантов наиболее предпочтительный для вас способ и нажмите «Оплатить ордер».
- Переведите средства продавцу и нажмите «Подтвердить». После того как продавец подтвердит получение оплаты, вы получите криптовалюту на ваш счет.
Если у вас есть карта зарубежного банка, вы можете приобрести криптовалюту на бирже. Для этого:
- На главной странице Binance во вкладке «Купить криптовалюту» выберите пункт «Кредитная/дебетовая карта».
- Выберите валюту, которую вы хотите приобрести, и валюту, в которой хотите ее оплатить. Нажмите «Добавить новую карту» и введите реквизиты.
- Подтвердите платеж в течение минуты. В противном случае цена и количество получаемой криптовалюты могут поменяться.
Как купить криптовалюту через криптообменники
- Откройте агрегатор криптообменников, например BestChange. В меню слева укажите, какую валюту вам необходимо обменять и какую вы планируете получить, после чего нажмите «Найти лучший курс».
- Среди открывшихся предложений найдите наиболее выгодное, обратите внимание на отзывы к каждому из обменников. Кликните на название обменника, после этого вы перейдете на его сайт.
- В открывшемся окне на сайте обменника введите ваши платежные реквизиты. Необходимые данные зависят от конкретного обменника. Как правило, для операции требуется ввести реквизиты банковской карты и криптокошелька для получения и списания средств, а также количество покупаемой валюты.
- Обменник может потребовать верифицировать банковскую карту для оплаты или указать при переводе средств комментарий, а после совершения операции — загрузить чек об онлайн-переводе.
- После подтверждения реквизитов и завершения транзакции средства поступят на ваш криптокошелек.
Как платить картой в крипте
Из-за «спецоперации» сервисы, которые ранее позволяли выпускать и использовать криптовалютные дебетовые карты в России, прекратили поддержку россиян, их счета сейчас не обслуживаются, доставку новых карт заказать невозможно. Однако использовать иностранные карты для оплаты в России можно.
Можно получить эти карты при наличии резидентства в тех странах, где работают эти сервисы (например, в странах Европы), или пользоваться услугами компаний, которые разрешают выпуск карты в другой стране без резидентства. Вместо регистрационных данных может подойти вид на жительство или рабочая виза, а также другие документы, подтверждающие ваше проживание в этой стране (например, выписка по банковскому счету или договор об оплате жилья). Однако гарантий выпуска такой карты нет.
- Выберите провайдера для выпуска криптокарты (например, ePayments, Wirex или AdvCash). Между ними есть разница в стоимости выпуска, тарифах на использование и размере комиссии за транзакции. В качестве примера используем один из наиболее старых и популярных сервисов AdvCash.
- Включите VPN-адрес той страны, в которой у вас есть резидентство (или проживание в которой вы можете документально подтвердить).
- Зарегистрируйтесь на сайте AdvCash — введите имя и фамилию, электронную почту и пароль от аккаунта.
- После регистрации сервис предложит пройти процедуру верификации личности. Нажмите «Пройти верификацию».
- Укажите свой мобильный номер и введите код подтверждения.
- Во вкладке «Удостоверение личности» нажмите «Продолжить». Сервис сначала отсканирует через камеру ваше лицо. После этого нужно загрузить водительское удостоверение, ID или вид на жительство той страны, где вы пытаетесь открыть криптокарту.
- После завершения верификации выберите пункт «Карты» и подходящую вам карту.
- Прикрепите фотографию паспорта и фото с ним, а также документы на английском языке, подтверждающие ваше проживание в стране (счета за коммунальные платежи или услуги связи, выписку по счету или подтверждение от банка об открытии счета).
- Укажите адрес доставки карты на территории страны, где вы зарегистрировали карту, получите ее по этому адресу. Доставка происходит примерно в течение месяца.
- После того как вы получите карту, ее необходимо активировать. Для этого в личном кабинете в пункте «Карты» выберите выпущенную карту (она будет отмечена желтым цветом) и введите полностью номер дебетовой карты, указанной на самой пластиковой карте. Ее баланс будет привязан к криптовалютным счетам на AdvCash.
- Пополните кошелек AdvCash. Вы не сможете хранить на ней саму криптовалюту, но можете конвертировать ее в стейблкоины (например, USDT). Для этого выберите пункт «Пополнение счета» и укажите сумму и валюту для пополнения. После этого внизу выберите предпочтительный для вас вариант оплаты и нажмите «Пополнить».
- Переведите средства по указанным реквизитам и нажмите «Я оплатил».
* Согласно требованию Роскомнадзора, при подготовке материалов о специальной операции на востоке Украины все российские СМИ обязаны пользоваться информацией только из официальных источников РФ. Мы не можем публиковать материалы, в которых проводимая операция называется «нападением», «вторжением», либо «объявлением войны», если это не прямая цитата (статья 57 ФЗ о СМИ). В случае нарушения требования со СМИ может быть взыскан штраф в размере 5 млн рублей, также может последовать блокировка издания.
Программные кошельки для Bitcoin и безопасность
Поговорим немного про кошельки в криптовалютах. Под “криптовалютой”, я, в первую очередь, буду иметь ввиду Bitcoin. В других криптовалютах дело обстоит похожим образом и если вас интересуют детали, то можете покопаться самостоятельно.
Несмотря на продолжающийся хайп вокруг криптовалют и блокчейн как технологии, на мой взгляд, очень мало кто говорит про безопасность этих решений. Все концентрируются на различных плюсах, которые дает технология блокчейн, обсуждают майнинг и скачки курсов криптовалют, в то время как именно безопасность является критически важной, особенно когда речь идет о деньгах или о распределенных реестрах собственности. Вся информация для статьи взята из открытых источников, таких как https://bitcoin.org, https://en.bitcoin.it/wiki, https://bitcointalk.org, https://github.com и других.
Ниже будет неглубокий обзор кошельков криптовалют и их безопасности. Чем больше я погружался в эту тему при написании статьи, тем больше удивлялся тому, что в мире происходит так мало взломов и увода средств у пользователей того же Bitcoin. Но обо всем по порядку.
Что такое кошелек в криптовалютах
Разберемся немного с терминологией. Под кошельками в криптовалютах понимают одновременно:
- набор ключей для доступа к деньгам;
- программы, которые управляют этими ключами и позволяют вам проводить транзакции в сети криптовалюты.
Будем говорить про кошелек именно как про средство управления, хранения и проведения транзакций. Без кошелька вы не можете получить, сохранить или потратить ваши биткоины или средства в другой криптовалюте. Кошелек — ваш персональный интерфейс к сети криптовалюты, похожий на банковский аккаунт для фиатной валюты.
На самом деле безопасность хранения ваших средств в криптовалюте очень сильно зависит от того кошелька, который вы используете. А безопасность самого кошелька во многом основана на безопасности операций с закрытыми ключами.
Все кошельки подразделяются на “горячие” и “холодные”. «Горячим» называют криптовалютный кошелек, средства с которого можно потратить в любое время. «Холодный» кошелек действует совершенно противоположным образом. Он не предназначен для регулярного отправления криптовалюты, но тем не менее, средства на него можно получить в любое время. Самым простым “холодным” кошельком является лист бумаги, на котором записан закрытый ключ от вашего кошелька.
“Горячий” кошелек Bitcoin — это приложение, веб-сайт или устройство, которое управляет вашими закрытыми ключами. Самые популярные — это, конечно, приложения, как мобильные, так и десктопные, а также веб-сайты. Давайте чуть подробнее остановимся на каждом из этих видов и посмотрим, какие угрозы таит использование того или другого кошелька.
Так как кошельков существует очень много, я решил изучать только те, которые представлены на сайте https://bitcoin.org/. В качестве программных кошельков для персонального компьютера там представлены:
Требования к кошелькам
Первое на что обратим внимание — это на рекомендации самого сайта bitcoin.org относительно безопасности использования того или иного кошелька. При скачивании вам покажут 6 требований и информацию о том, какие требования каждым из этих кошельков соблюдаются, а какие нет. Большая часть этих требований прямо или косвенно связана с информационной безопасностью, а значит и с безопасностью ваших средств.
Вот эти требования, а также уровни соответствия этим требованиям.
Контроль за вашими деньгами
- Полный контроль. Никто не сможет заморозить ваш счет или потерять ваши деньги. Однако вы должны помнить о том, что ответственность за безопасность и резервное копирование вашего закрытого ключа полностью лежит на вас.
- Совместный контроль. Кошелек требует, чтобы каждая транзакция была авторизована как вами, так и третьей стороной. Обычно, вы можете восстановить полный контроль над вашими средствами, используя первоначальную резервную копию или предварительно подписанную транзакцию, отправленную по электронной почте.
- Хостинг-контроль. Кошелек дает вам доступ к вашим средствам. Однако он хранит зашифрованную копию вашего закрытого ключа. А значит ваши средства могут быть похищены, если вы не будете использовать надежный пароль или если сервис будет скомпрометирован.
- Деньги под контролем третьей стороны. Это означает, что вы должны доверять этому сервису, и надеяться, что он не потеряет ваши средства в результате инцидента на своей стороне. На данный момент, большинство онлайн-кошельков не страхуют депозиты подобно банку, и многие сервисы в прошлом имели проблемы с безопасностью.
Так вот, не знаю, как вам, а мне совсем не нравится последние два уровня контроля. История про надежный пароль звучит вообще очень плохо. И дело тут даже не в том, что у пользователей большие проблемы с созданием, вводом и запоминанием по-настоящему надёжных паролей, а в том, что key-логгеры никуда не делись.
А уж если быть совсем реалистами, то вряд ли эти предупреждения кто-то читает. А если и читает, то далеко не каждый понимает, насколько здесь много проблем с безопасностью.
Проверка транзакций
- Полная. Кошелек является полноценном узлом (full node), который проверяет действительность и проводит операции в сети. При проверке платежей доверие к третьему лицу не требуется. Полноценные узлы обеспечивают наивысший уровень безопасности и важны для защиты сети. Однако им требуется больше дискового пространства (свыше 145 ГБ), пропускной способности и больше времени для первоначальной синхронизации.
- Упрощенная или децентрализованная. Кошелек использует случайный сервер из списка серверов. Это значит, что вы должны доверять этим серверам при проверке платежей. Это не так безопасно, как использование кошелька, который является полноценным узлом.
- Централизованная. Кошелек по умолчанию полагается на централизованный сервер. А значит, Вы должны на 100% доверять этой третьей стороне в вопросах сокрытия или подделки платежей.
Альтернативные решения имеют явные проблемы с безопасностью. Список серверов, в случае децентрализованной проверки, надо хорошо защищать. А то как бы очередной вирус не оставил в этом списке только один зараженный сервер.
А уж про стопроцентное доверие третьей стороне даже говорить не хочется.
Кстати, сторонники криптовалют любят в этом случае обращать внимание на то, что банковская система устроена похожим образом. Это конечно так. Вот только банки регулируются многочисленными стандартами, а уж если возникла новая проблема/уязвимость, то ваши средства защитит страховка. Поэтому криптовалютным сервисам еще есть куда расти.
Прозрачность
- Полная прозрачность. Исходные коды кошелька открыты, а процедура сборки зафиксирована. Любой разработчик в мире может провести аудит кода и убедиться, что исполняемый код не скрывает никаких секретов.
- Базовая прозрачность. Разработчики опубликовали исходные коды кошелька. Любой разработчик в мире может провести аудит кода. Однако, вы должны доверять разработчикам, когда устанавливаете или обновляете ПО вашего кошелька.
- Удаленное приложение. Кошелек загружается с удаленного сервиса. Значит, когда вы используете кошелек, вы должны доверять разработчикам в вопросах кражи или потери ваших средств в результате инцидента. Использование расширения для браузера или мобильного приложения может снизить эти риски.
Больше всего мне нравится фраза “Любой разработчик в мире может провести аудит кода”. Ага, как же. Во-первых, разработчик должен неплохо знать конкретный язык программирования, на котором написан конкретный кошелек. А это сразу отсекает большой кусок от “любой разработчик в мире”.
Во-вторых, далеко не любой разработчик является одновременно специалистом по информационной безопасности или имеет опыт написания безопасного кода. Приведу банальный пример:
Откройте статьи от разработчиков PVS-studio и вспомните о том, какие ошибки порой совершают разработчики. Причем даже те разработчики, которые хорошо разбираются в вопросах безопасности (например, Скучная статья про проверку OpenSSL).
Поэтому полноценный аудит всего кода кошелька может сделать весьма ограниченное количество разработчиков. Большая часть которых и так имеет кучу интересных задач, помимо этого аудита. Даже если кто-то из них и заинтересуется этой задачей, то выполнена она будет только для определенного коммита в git. А значит, оценить безопасность кода в конкретный момент времени весьма непросто.
Что подразумевают ребята с сайта Bitcoin под фиксированной процедурой сборки точно понять не удалось. Со сборкой есть свои проблемы. Например, как понять, что полученная вами сборка или обновление собраны именно из правильных исходных кодов. Давайте будем реалистами – собирать кошелек из исходных кодов будут единицы. Лучшее, что вы можете сделать, это проверить хэш от свежескачанного инсталлятора с хэшем, который указан на официальном сайте. И надеется, что сайт не был скомпрометирован и там лежит именно корректный хэш, а также доверять разработчикам и сборщикам кошелька, а также администраторам сайта.
Чтобы уж совсем добить вопрос про исходные коды, я решил сам заглянуть в исходники Bitcoin Core, который по всем показателям, которые уже были описаны и тем, которые описаны дальше, занимает лидирующие позиции. Примеры кода и выводы, которые я сделал, бегло просмотрев исходники, смотрите ниже.
Бонус про прозрачность
Есть еще один интересный аспект, который я обнаружил совершенно случайно. Допустим, вы решили использовать кошелек Bitcoin Armory, который скромно позиционирует себя как BEST BITCOIN WALLET. В описании вы найдете – “Armory is the most secure and full featured solution available for users and institutions to generate and store Bitcoin private keys”. Забив в Google название кошелька, вы обнаружите, что у кошелька есть 2 сайта. Первый https://www.bitcoinarmory.com — коммерческий с красивыми словами, в топе выдачи. Второй https://btcarmory.com — более технический, на него вас приведет ссылка с https://bitcoin.org/.
Так вот, на техническом сайте, на главной странице в новостях, вы найдете предупреждение:
Коммерческий сайт такие глупости не пишет =) Вам же не надо переживать по таким глупым поводам.
Безопасность среды
- Двухфакторная аутентификация. Кошелек можно загружать в небезопасной среде. Однако, сервис требует двухфакторной аутентификации. Значит, для кражи ваших средств необходим доступ к нескольким устройствам или аккаунтам.
- Безопасная среда. Кошелек работает на мобильном устройстве, где приложения, как правило, изолированы. Это обеспечивает хорошую защиту от вредоносных программ, хотя мобильные устройства имеют больше шансов потеряться или быть украденными. Шифрование мобильного устройства и резервное копирование кошелька может уменьшить этот риск.
- Уязвимая среда. Кошелек может быть загружен на компьютеры, которые потенциально уязвимы для вредоносных программ. Если вы увеличите безопасность вашего компьютера, используя сложный пароль, переведете большую часть своих средств в оффлайновое хранилище или активируете двухфакторную авторизацию, то ваши биткоины будет сложнее украсть.
Давайте тут тоже остановимся чуть подробнее.
Использование надежной двухфакторной аутентификации действительно может помочь решить многие проблемы с информационной безопасностью.
Ключевое слово тут “надежной”. А еще и правильно реализованной. А с этим не всегда все хорошо получается. Например, blockchain.info предложит вам старые добрые SMS в качестве второго фактора. Никому же не интересны те же рекомендации NIST в Special Publication 800-63B:
- [Out of band verification] using SMS is deprecated, and will no longer be allowed in future releases of this guidance.
На безопасности компьютеров и мобильных устройств останавливаться подробно не будем. Достаточно почитать любой из отчетов Лаборатории Касперского или других серьезных игроков на рынке безопасности, чтобы самостоятельно сделать выводы.
Следующие два пункта не связаны напрямую с безопасностью хранения ваших средств. Поэтому подробно останавливаться на них я не буду, но приведу их тут для полноты картины.
Конфиденциальность
- Улучшенная. Кошелек затрудняет слежку за вашими балансами и платежами при помощи ротации используемых адресов. Вам следует использовать новый биткойн-адрес каждый раз, когда вы запрашиваете оплату. Кошелек при получении или отправке платежей не передает информацию о них другим узлам сети. Кошелек позволяет вам настроить и использовать Tor в качестве прокси для того, чтобы не позволить злоумышленникам или интернет-провайдерам связать ваши платежи с вашим IP-адресом.
- Базовая. Кошелек затрудняет слежку за вашими балансами и платежами при помощи ротации используемых адресов. Вам следует использовать новый биткойн-адрес каждый раз, когда вы запрашиваете оплату. Кошелек использует центральные серверы, которые способны связать вместе ваши платежи и запомнить ваш IP-адрес. Кошелек позволяет вам настроить и использовать Tor в качестве прокси для того, чтобы не позволить злоумышленникам или интернет-провайдерам связать ваши платежи с вашим IP-адресом.
- Слабая. Кошелек позволяет кому угодно следить за вашим балансом и платежами, потому что повторно использует те же адреса. Раскрывает ограниченную информацию другим участникам. Другие узлы сети могут запомнить ваш IP-адрес и впоследствии связать все платежи, которые вы получали или отправляли. Tor не поддерживается.
Комиссия
- Полный контроль над комиссией. Кошелек позволит вам изменить комиссию после отправки средств с использование RBF или CPFP. Этот кошелек также дает рекомендации по комиссии в зависимости от текущего состояния сети для проведения транзакции вовремя и без переплат.
- Динамические комиссии. Кошелек дает рекомендации по комиссии в зависимости от текущего состояния сети, которые вы можете переопределить. Это значит, что кошелек поможет вам в выборе подходящей комиссии для проведения транзакции вовремя без переплаты, но в то же время дает полный контроль для установки комиссии, если вы захотите.
- Статические комиссии. Кошелек не дает никаких предложений по комиссии, учитывая текущее состояние сети. Это означает, что ваши транзакции могут занимать большее количество времени, если выбрана слишком низкая комиссия, либо вы можете заплатить слишком высокую комиссию.
Подведем итоги
Все предъявляемые требования звучат очень разумно. Более того, этот список можно было бы еще расширить, чтобы повысить уровень безопасности.
Внимательно изучив все эти требования, вы хотите найти такой кошелек, который удовлетворял бы им по максимум. И вот тут наступает самое интересное. На https://bitcoin.org нет ни одного кошелька, который удовлетворял бы всем требованиям.
В лучшем случае, вы можете выбрать Bitcoin Core или Bitcoin Knots, для которых будет такая картина:
Или будете использовать Electrum, для которого такая картина:
Использование зеленого создает ложное впечатление полного удовлетворения требованиям. Полное соответствие —жирный зеленый цвет. Такое оформление было явно выбрано умышленно, а значит, создатели портала решили слегка поманипулировать обычным пользователем. Не хорошо это.
На этом можно было бы уже и закончить. Думаю, все уже представили насколько безопасно хранятся закрытые ключи в кошельках криптовалют. Но мы же на Хабре.
Работа с закрытыми ключами на примере Bitcoin Core
Пойдем чуть дальше и посмотрим, как происходит хранение и работа с закрытыми ключами на примере программных клиентов. Как мы уже выяснили, вредоносное ПО может получить доступ к закрытым ключам вашего кошелька. Вопрос в том, насколько легко или тяжело это сделать на самом деле.
Первым делом посмотрим, как это делает Bitcoin Core. Этот процесс неплохо описан в wiki самого Bitcoin. Как вы видели на скрине выше, этот клиент отмечен как один из самых продвинутых и удовлетворяющих большинству требований.
Закрытые ключи вашего кошелька хранятся вместе с другой информацией, в файле wallet.dat в формате “bitkeys”. Этот файл может быть зашифрован, а может и не быть =) По умолчанию, конечно, ничего не шифруется. Вы же грамотный пользователь и сами найдете нужную кнопку. Шифруется только информация о закрытых ключах с помощью алгоритма AES-256-CBC. При этом в качестве ключа шифрования используется так называемый мастер ключ – случайное число. При это сам мастер ключ шифруется на ключе, полученном из кодовой фразы с помощью SHA-512 и функции OpenSSL — EVP_BytesToKey. Количество раундов шифрования определяется скоростью компьютера, на которой происходит первоначальное шифрование.
После того ваш кошелек используется клиентом в обычном режиме. Это состояние называется “locked”. Если в какой-то момент, вам необходимо получить доступ к закрытым ключам кошелька, то вам необходимо ввести кодовую фразу в GUI клиента или воспользоваться командой walletpassphrase в RPC. В этом случае произойдет расшифрование закрытых ключей, и кошелек перейдет в состояние “unlocked”. В первом случае он будет находится в этом состоянии ровно столько, сколько необходимо для осуществления той или иной операции. Во втором случае, время через которое кошелек вернется в состояние locked определяется вторым параметром в RPC запросе!
Код выглядит так:
Это выглядит очень мило. Обычный пользователь кошелька вряд ли запустит у себя сервер, если только не промахнется файлом. А вот злоумышленник…
С GUI и хранением той же passphrase в памяти тоже все не очень просто. Ребята реализовали специальный класс для хранения подобных данных – SecureString. Реализовали в общем-то неплохо, грабли с использованием memset успешно обошли. Но вот держат его в памяти дольше, чем следовало бы.
Например, так делает наш GUI (слегка подправил для наглядности, любопытным смотреть askpassphrasedialog.cpp:154):
В начале сделаем accept(), а только потом наш oldpass выйдет из области видимости и произойдет очистка. Понятно, что более безопасный код получится не такой красивый, как менее безопасный. Но мы же тут вроде с деньгами работаем?
На мой взгляд, это отлично подтверждает мое опасение на тему открытости исходников кошелька. Открытость исходных кодов не равно безопасность.
Постараюсь предвидеть первые комментарии и сразу ответить на них:
- Да, вы можете составить некоторый набор правил пользования криптокошельком, которые позволят значительно повысить уровень безопасности ваших средств. Удобство использования при этом конечно сильно пострадает.
- Да, есть клиенты, которые значительно безопаснее остальных. Проблема в том, что остальные также существуют и рекомендуются официальным сайтом.
Я ничего не имею против криптовалют или технологии блокчейн. Наоборот, я всеми руками ЗА (это мое личное мнение, которое не в коей мере не является официальной позицией компании, в блоге которой размещена статья). Но раз уж мы начинаем работать с новой технологией, то надо делать это технически грамотно и не забывать об информационной безопасности.
Источник https://in-scale.ru/blog/luchshie-kriptokoshelki/
Источник https://www.forbes.ru/tekhnologii/466561-kak-zavesti-kriptokoselek-i-platit-kartoj-v-kriptovalute
Источник https://habr.com/ru/company/aktiv-company/blog/341338/