pages.guides.all_back
beginner

Кошельки и безопасность: от новичка до профи

Полный гид по хранению крипты: типы кошельков, seed-фразы, защита от фишинга и скама, мультисиг.

Кошельки и безопасность: от новичка до профи

Крипта устроена иначе чем банк. Нет техподдержки, которая вернёт деньги. Нет кнопки «отменить». Ваши монеты — это приватный ключ, и только вы решаете, кто до него доберётся. Этот гайд — набор правил, которые спасли миллионы долларов тем, кто их соблюдал.

Какие бывают кошельки

Есть тёплые и холодные, кастодиальные и некастодиальные. Разложим по полкам.

Горячий кошелёк — программа на телефоне или расширение в браузере. В интернете, всегда готов к платежу. Быстро, бесплатно, удобно для ежедневных операций. Минус: ключи живут на устройстве, которое подключено к сети. Вирус или фишинг — и всё.

Холодный кошелёк — физическое устройство размером с флешку. Ключи внутри чипа, изолированы от интернета. Чтобы украсть, надо физически забрать устройство и знать PIN. Даже если компьютер заражён — транзакцию подтверждаете кнопкой на устройстве с проверкой адреса на экране.

Кастодиальный — ключи у биржи. Вы владелец записи в базе, не монет. Если биржа закроется (FTX, 2022) — денег нет.

Некастодиальный — ключи только у вас. Ответственность тоже.


Какой выбрать прямо сейчас

Ваша ситуацияЧто взятьПример
Первые $100 в криптеГорячий, некастодиальный, бесплатныйMetaMask или Rabby
Купили на $1 000+ и держитеХолодный + горячийTrezor Safe 3 + Rabby
Активно торгуете на биржеДержите на бирже только торговый капиталBinance / Bybit
Сумма >$10 000Обязательно холодный, желательно мультисигTrezor Safe 5 / Ledger Flex

Горячие кошельки: детальный обзор

Горячий кошелёк — ваш ежедневный инструмент. Выбирайте с умом: разница между «удобно» и «безопасно» измеряется в деньгах.

Trust Wallet

Некастодиальный мультичейн-кошелёк (мобильное приложение + браузерное расширение). Крупнейший некастодиальный кошелёк в мире. Приобретён Binance в 2018 году, с конца 2023 — независимая компания.

Плюсы: 100+ сетей без ручной настройки RPC, крупнейшая база 220M+ пользователей, встроенный dApp-браузер, стейкинг и покупка через карту, NFT-поддержка, открытый wallet-core.

Минусы: горячий кошелёк (фишинг и вредоносное ПО угрожают средствам), нет интеграции с аппаратными кошельками, браузерное расширение уступает мобильной версии.

Rabby

Создан командой DeBank. Главное преимущество — предпросмотр транзакции человеческим языком до подписи.

Плюсы: предпросмотр транзакции с симуляцией баланса до подписи, авто-переключение сети (100+ EVM-сетей), встроенный менеджер токен-разрешений (ревок approve в один клик), поддержка аппаратных кошельков (Ledger, Trezor, Keystone), интеграция с DeBank (институциональный портфель), открытый код, аудиты SlowMist и Least Authority.

Минусы: только EVM-сети (нет Solana, Bitcoin, Sui), нет встроенной покупки за фиат, мобильная версия отстаёт от десктопной, может показаться перегруженным новичку.

📌 Если вы пользуетесь MetaMask — переключитесь на Rabby. Тот же функционал, но вы видите что подписываете. Это спасло тысячи кошельков от drainer-атак.

Phantom

Лучший выбор для экосистемы Solana. Изначально создан как Solana-кошелёк, теперь мультичейн-кошелёк с 20M+ пользователей.

Плюсы: лучший UX среди всех кошельков, 8 сетей из одной seed-фразы, встроенный своп-агрегатор (Jupiter + 1inch), стейкинг SOL в один клик, NFT-галерея с эскизами, Phantom Terminal + Perps для продвинутого трейдинга, симуляция транзакций и AI-защита от скамов.

Минусы: нельзя добавить Arbitrum, Optimism, BNB Chain, Avalanche (только предустановленные сети), комиссия свопов 0.85%, Bitcoin-поддержка базовая (нет UTXO-контроля), нет MEV-защиты на EVM-свопах, горячий кошелёк.

MetaMask

Стандарт индустрии. Браузерное расширение и мобильное приложение. Самый распространённый Web3-кошелёк — 30M+ активных пользователей ежемесячно.

Плюсы: совместимость с 17 000+ dApp — стандарт индустрии, Snaps-расширения (модульные плагины), поддержка аппаратных кошельков (Ledger, Trezor, Keystone и др.), мета-кошелёк — Ethereum, EVM, Bitcoin, Solana, TRON в одном интерфейсе, 100M+ установок, MetaMask Card, встроенный портфель.

Минусы: слепая подпись (не показывает результат транзакции до подтверждения), комиссия встроенных свопов 0.875%, нет 2FA, фишинг — главный вектор атак (30M+ пользователей = цель №1), лицензия с ограничениями для коммерческого использования.


Холодные кошельки: детальный обзор

Trezor Safe 3 (≈$80) и Safe 5 (≈$170)

Семейство аппаратных кошельков SatoshiLabs. Safe 3 — компактный, Safe 5 — флагман с сенсорным экраном.

Плюсы: полностью открытый исходный код (аудит сообществом), чип EAL6+ (высший уровень сертификации), passphrase для правдоподобного отрицания, Shamir Backup на Safe 5.

Минусы: нет Bluetooth (только USB), нет нативной поддержки Solana.

Ledger Flex (≈$250)

Аппаратный кошелёк с сенсорным E Ink-экраном. Французская компания Ledger SAS.

Плюсы: поддержка тысяч монет и токенов, Ledger Live (удобный UX для стейкинга и DeFi), Secure Element сертифицирован ANSSI, PIN до 8 цифр.

Минусы: закрытый исходный код (верите на слово), Ledger Recovery — seed покидает устройство, утечка данных клиентов в 2020 (email, адреса, телефоны).

Coldcard Mk4 (≈$150)

Биткоин-максималист от Coinkite. Air-gap через SD-карту — максимальная физическая изоляция от сети.

Плюсы: максимальная изоляция (air-gap через SD), только Bitcoin — минимальная поверхность атаки, PSBT для мультисиг-сценариев, анти-фишинг (проверка адреса на экране устройства).

Минусы: только Bitcoin, требует технических знаний, нет мобильного приложения.

Keystone 3 Pro (≈$170)

Аппаратный кошелёк с air-gap через QR-коды. Три чипа безопасности EAL5+.

Плюсы: air-gap через QR-коды (удобнее чем SD), три чипа EAL5+ (разделение секрета), открытый код, крупный сенсорный экран, поддержка MetaMask, Rabby, OKX.

Минусы: нет USB (только QR и Bluetooth на Pro-версии), аккумулятор требует зарядки, менее известен чем Trezor/Ledger.

📌 Цены ориентировочные на момент написания. Проверяйте актуальную стоимость на официальном сайте производителя.


Seed-фраза: правила жизни и смерти

12 или 24 слова. Это ваш банк. Правила:

  • Бумага умирает. Записали на листочке — через год вода, огонь или переезд уничтожат.
  • Сталь вечна. Криптостил, Billfodl, SafePal Cypher. $30-50 — инвестиция, которая переживёт вас.
  • Две копии в разных местах. Пожар в доме — не повод терять доступ.
  • Храните passphrase ОТДЕЛЬНО от seed-фразы. Passphrase — 25-е слово, которое генерирует совершенно другие адреса. Без passphrase seed-фраза бесполезна.
  • Никогда в интернете. Ни iCloud, ни Google Photos, ни Dropbox, ни Telegram в «Избранном».
  • Никогда никому. Ни одна техподдержка не попросит seed-фразу.
  • Раз в год восстанавливаете кошелёк из seed-фразы на новом устройстве и проверяете что адрес совпадает.

5 главных векторов атаки

⚠️ 1. Фишинговый сайт-клон. Домен отличается одной буквой. Подключаете кошелёк, подписываете транзакцию — активы ушли. Защита: ЗАКЛАДКИ на все крипто-сайты. Никогда не переходите по ссылке из поиска, письма или Discord.

⚠️ 2. Address poisoning. Присылают 0.001 USDT с адреса, у которого первые и последние символы — как у вашего частого контрагента. Копируете из истории и шлёте $5 000 скамеру. Защита: сверяйте первые 4 И последние 4 символа адреса.

⚠️ 3. Поддельная техподдержка. Пишут «я администратор», «помогу с выводом», «ваш кошелёк заблокирован». Защита: администраторы никогда не пишут первыми.

⚠️ 4. Malware-софт. Скидывают «торгового бота» или «снайпер мемкоинов». Программа крадёт cookie, пароли, seed-фразу из буфера обмена. Защита: отдельный профиль браузера только под крипту. Не качайте софт из Telegram и Discord.

⚠️ 5. Pig Butchering. С вами знакомятся. Месяц дружат. Предлагают «попробовать $100». Платформа показывает прибыль. Вы вносите $10 000. Платформа исчезает. Защита: не инвестируйте туда, куда привели через личное знакомство.

Ежедневная гигиена

ИнструментЧто делает
Rabby вместо MetaMaskПоказывает ЧТО ИМЕННО вы подписываете
Pocket Universe / Wallet GuardСимулирует транзакцию до подписи
Scam SnifferПредупреждает о фишинговых сайтах
Отдельный профиль ChromeИзоляция крипто-операций от повседневного сёрфинга
Hot wallet на $100Для тестов и новых сайтов — никогда не основной

Token Approvals: невидимая дыра

Каждый раз когда вы даёте DeFi-протоколу право тратить ваши токены — создаётся approval. Забытый approval может опустошить кошелёк через год.

📌 Правила approvals: 1) Никогда unlimited — лимит ровно на сумму. 2) Раз в месяц revoke.cash. 3) После крупных операций — ревокайте сразу. 4) Никогда не подписывайте eth_sign (сырые байты) — это полный доступ. 5) Permit2 и setApprovalForAll — тоже отзывайте.

⚠️ Подключились к скам-сайту? 1) Немедленно revoke.cash — отозвать ВСЕ approvals. 2) Перевести остатки на новый кошелёк с НОВОЙ seed-фразой. 3) Никому не сообщать скомпрометированную фразу.


Мультисиг: когда ставки высоки

Обычный кошелёк — одна подпись = транзакция. Мультисиг — нужно N подписей из M возможных: например 2 из 3. Даже если один ключ скомпрометирован — деньги не уйдут.

Когда нужен: управляете общими средствами, сумма >$50 000, хотите исключить единую точку отказа.

Стандарт индустрии: Safe (бывший Gnosis Safe). Конфигурация 2/3 — два ключа у вас в разных локациях, один у доверенного человека. Или 3/5 для максимальной защиты.


Пирамида безопасности

Снизу вверх по мере роста капитала:

Уровень 1: Горячий кошелёк — до $1 000, ежедневные операции и DeFi. Rabby + Pocket Universe.

Уровень 2: Холодный кошелёк — от $1 000, основной капитал. Trezor Safe 3 или 5. Seed на стали в двух локациях.

Уровень 3: Мультисиг — от $50 000. Safe 2/3. Ключи у разных людей в разных городах.

Уровень 4: Наследование — инструкция для близких: где железо, где стальная пластина, как восстановить. Без неё деньги умрут вместе с вами.

📌 Главное правило: Что бы ни случилось — hot wallet можно потерять, hardware сломать, пластину украсть, — пока есть seed-фраза и passphrase в двух географически разнесённых точках, доступ вернётся.