Статья Разбираем биткоин-кошельки

[fres]

Для тех, кому лень все читать, кратко :

зеленый (рекомендовано);

1. Wasabi Wallet
2. Electrum

оранжевый (довольно неплохо);

1. Trezor

красный (не рекомендуется);

1. Exodus
2. Coin.Space
3. Ledger Live

черный (держитесь в стороне).

1. Blockchain.com

В этом исследовании мы используем систему градации из четырех цветов:

• зеленый (рекомендовано);
• оранжевый (довольно неплохо);
• красный (не рекомендуется);
• черный (держитесь в стороне).

Мы оценили следующие виды кошельков:

• веб-кошельки (чаще всего приватные ключи хранятся на стороне провайдера услуг);
• десктопные кошельки (чаще всего приватные ключи хранятся на стороне пользователя, но вероятность кражи высокая из-за низкого уровня безопасности ПК);
• мобильные кошельки (удобные в использовании, но с серьезными рисками безопасности).

Этот рейтинг будет полезен для:

• новичков, которые еще не выбрали кошелек;
• для существующих пользователей, которые могут проверить надежность поставщиков услуг;
• людей, которые интересуются устройством биткоина в целом.

Мы кратко объясним каждую из проанализированных характеристик. При этом некоторые функции являются весомее других. Прежде, чем делать выводы, необходимо понимать, что удобство в использовании и безопасность средств — это полярные вещи. Пользователь всегда идет на компромисс в пользу чего-то одного.

Подключение к полной ноде​

Для осуществления транзакций кошелек должен подключаться к сети

You do not have permission to view link please Вход or Регистрация

. Рано или поздно он взаимодействует с полной нодой — это зависит от акцента на удобство/безопасность.

Полная

You do not have permission to view link please Вход or Регистрация

— это программное обеспечение для сети биткоина. Запустив ноду, вы становитесь равноправным участником сети и получаете значительно больше контроля над средствами за счет высокого уровня безопасности и анонимности.

В таблице мы показываем, какие кошельки предоставляют возможность подключения к вашей ноде. Такие кошельки мы считаем более безопасными, поскольку вы не обязаны использовать ноду поставщика услуг. Нода, которая вам не принадлежит, может хранить и анализировать историю ваших адресов.

Подключение к бэкенд-серверу​

Если ваш кошелек не подключается напрямую через полную ноду, то это API-кошелек, которому для подключения к сети требуется бэкенд-сервер. Это обязательно для всех веб-кошельков. Обычно это централизованная инфраструктура серверов, которая управляет взаимодействиями между ее пользователями и сетью биткоина.

Открытый бэкенд​

Некоторые API-кошельки раскрывают код бэкенда. Это позволяет пользователям запустить собственные версии, всем желающим проводить аудит, а кошельку укрепить репутацию. Открытый исходный код — это положительная черта ПО.

API​

API-кошельки по умолчанию подключаются к ноде поставщика услуг и полностью раскрывают пользовательский xpub (основной публичный ключ) для автоматического получения информации и адресов кошелька.

API — это способ связи кошелька с сервером, поэтому можно подключиться к вашей полной ноде, если бэкенд открыт.

SPV (без бэкенда)​

SPV-кошельки (Simple Payment Verification) подключаются к случайным нодам и запрашивают информацию о транзакциях пользователя, а также о транзакциях, в которых пользователь не участвует. Это делает пользователя менее заметным для сети, учитывая, что трудно определить, какие транзакции с ним связаны.

Такой способ подключения считается более закрытым, но он не обеспечивает преимуществ анонимности, доступных при запуске личной полной ноды. Большинство SPV-кошельков используют реализацию Bloom Filters, которая обеспечивает очень низкую конфиденциальность.

Язык программирования​

Различные кошельки могут быть написаны на нескольких языках программирования в зависимости от функций и уровня безопасности, на которые разработчики делают упор. В основном они зависят от платформы, для которой разработан кошелек.

Механизм резервного копирования​

Резервное копирование кошелька — самый важный элемент безопасности. Он может быть реализован в нескольких формах: последовательность из 12/24 слов или зашифрованный компьютерный файл. Резервная копия позволяет восстановить средства в случае потери или отсутствия доступа к кошельку.

Обязательное резервное копирование​

Некоторые кошельки позволяют пользователю пропустить шаг резервного копирования, но многие делают его обязательным. Последнее неудобно для тех, кто хочет просто протестировать интерфейс, а первое — плохо для безопасности.

Мультиподпись​

Схема с множеством подписей позволяет повысить уровень безопасности, разделяя доступ к кошельку. Эта функция очень гибкая: пользователь может определить общее количество подписей и количество, необходимое для доступа к средствам.

Поставщик услуг выступает сопоручителем​

В кошельке с функцией совместной подписи для подтверждения транзакции требуется подпись второй стороны. Это равносильно размещению средств в рамках контракта с подписями 2-из-2.

Это обеспечит защиту от возможной кражи резервной копии, но потребует доверия ко второй стороне и приведет к потере анонимности.

2FA​

2FA — это сокращение от двухфакторная аутентификация. Это способ сочетает в себе несколько методов для подтверждения личности пользователя.

Дополнительная энтропия​

Кошельки используют несколько методов генерации приватных ключей пользователя, чтобы обеспечить случайность и непредсказуемость процесса. Уровень случайности (также называемый энтропией) зависит от качества используемых алгоритмов.

Дополнительная опция энтропии является отличной мерой безопасности и позволяет пользователю использовать собственный источник случайности.

You do not have permission to view link please Вход or Регистрация

Выбор пользователя зависит от его технических навыков и размера биткоин-капитала. Если пользователь самостоятельно хранит монеты, то использует финансовый суверенитет биткоина, однако несет полную ответственность за безопасность (некастодиальный).

Пользователь также может делегировать эту ответственность кошельку (кастодиальный).

Способы блокировки​

Мобильные кошельки используют PIN-код или биометрический идентификатор, а десктопные — пароль.

Фраза-пароль​

Эта функция позволяет установить дополнительную фразу-пароль на случай, если резервное копирование скомпрометировано.

Интеграция аппаратного кошелька​

Некоторые программные кошельки разрешают интеграцию с аппаратными — это позволяет использовать интерфейс первого и полагаться на безопасность второго.

Используя стандартные интерфейсы, такие как Ledger Live, пользователь передает значительную часть финансовой информации компании Ledger.

Функция интеграции аппаратного кошелька настоятельно рекомендуется экспертами Veriphi.

Функция CoinJoin​

Протокол CoinJoin позволяет смешивать входы транзакций разных пользователей, обеспечивая повышенную анонимность.

Поддержка

You do not have permission to view link please Вход or Регистрация

Использование луковой маршрутизации TOR для взаимодействия с сетью биткоина желательно для максимальной анонимности.

Выбор размера комиссии за транзакцию​

Некоторые кошельки позволяют пользователю устанавливать комиссию самостоятельно. Таким образом пользователи контролируют скорость перевода и его стоимость.

Единицы измерения​

Некоторые кошельки могут отображать сумму в сатоши.

Другие демонстрируют стоимость биткоинов в реальном времени, но для этого требуется связь с внешним сервером, что подразумевает доверие к поставщику услуг.

RBF (изменение размера комиссии)​

You do not have permission to view link please Вход or Регистрация

— замена существующей транзакции новой транзакцией с повышением комиссии. В новой транзакции будут использованы те же входы, что и в старой, и это не будет считаться двойной тратой. В блокчейн попадет только одна транзакций (вероятно, с повышенной комиссией).

Несколько учетных записей​

Некоторые кошельки позволят вам создать несколько учетных записей, обеспечивая гибкость в управлении своими биткоинами.

Индивидуальный контроль монет (Coin Control)​

Эта функция позволяет управлять пользовательскими UTXO (неизрасходованными выходами транзакций). У каждой монеты есть своя история. Биржи часто блокируют те счета, на которые поступают биткоины, ранее зафиксированные на даркнет-рынках.

Предоставление электронной почты​

Кошелек, запрашивающий электронную почту, всегда требует ссылку на внешний сервер. Это вредит анонимности.

Транзакции «RAW»​

Лишь немногие кошельки позволяют транслировать транзакции, созданные вне сервиса. Так называемые “

You do not have permission to view link please Вход or Регистрация

” транзакции создают в низкоуровневом интерфейсе с помощью командной строки.

Подпись сообщений / Верификация​

Эта функция позволяет пользователю доказать, что у него есть приватный ключ, подписав ассоциирующийся с ним публичный ключ / адрес, тем самым подтвердив право собственности на монеты.

Поддержка тестовой сети биткоина​

Некоторые кошельки позволяют использовать тестовую сеть биткоина для ознакомления с различными функциями без риска потери средств.

Группирование транзакций​

You do not have permission to view link please Вход or Регистрация

— это метод, который позволяет объединять несколько транзакций. Этот метод используется для более эффективного управления транзакционными издержками. Сгруппированные транзакции занимают меньше места в блоке.

PSBT (частично подписанные транзакции)​

Эта функция позволяет кошелькам обмениваться информацией о транзакции и необходимых для ее трансляции подписях. Это расширение возможностей мультиподписи.

Возможность обмена BTC на альткоины​

Некоторые кошельки предлагают возможность прямого обмена биткоинов на альткоины.

PRIV (возможность импортировать приватные ключи)​

Эта функция позволяет импортировать приватный ключ, созданный в другом кошельке.

Поддержка разных

You do not have permission to view link please Вход or Регистрация

• Bech32 — предпочтительно.
• P2SH (оплата на хеш Биткоин-скрипта).

Бесплатная версия​

Необходимо с осторожностью относиться к бесплатным версиям, поскольку они часто предлагают свои услуги в обмен на сбор информации о пользователях.

Поддержка нескольких монет​

Поддержка нескольких монет усложняет обеспечение безопасности кошелька. В Veriphi рекомендуют использовать кошельки только с поддержкой биткоина.

Способ обращения в службу поддержки​

Существует несколько способов контакта для решения проблем пользователей. Зная, что некоторые кошельки основаны на работе с открытым исходным кодом, некоторые виды помощи приходят непосредственно от сообщества.

Возможность покупать и продавать BTC​

Эта функция требует связи с третьей стороной, которая обменивает биткоины на фиатные валюты. Практически все такие сервисы требуют прохождения KYC (знай своего клиента).

Условия и положения​

Когда кошелек является коммерческой услугой, его оператор выдвигает ряд требований и берет на себя ряд обязательств. Пользователю необходимо читать такие соглашения перед внесением средств.

Настраиваемый пользовательский интерфейс​

Некоторые кошельки предлагают возможность изменения пользовательского интерфейса. Например, включить опцию ночного режима.