В прошлом мы неоднократно критиковали и выступали против технологии сид-фраз. Наше мнение о безопасности сид-фраз не изменилось — ее недостатки вполне понятны.
Однако новый кошелек Tangem Wallet сможет сгенерировать и показать вам сид-фразу (если она вам нужна). Кроме того, он позволяет импортировать сид-фразу из другого кошелька.
Что такое сид-фраза?
Seed-фраза (мнемонический код) — набор из 12, 15, 18 или 24 английских слов. Этот код является одним из базовых этапов генерации древа приватных и публичных ключей вашего криптокошелька, которые дают полный доступ ко всем вашим монетам и токенам в разных блокчейнах, а также позволяют проводить с ними любые операции.
Вам seed-фраза нужна для восстановления доступа ко всем вашим криптоактивам в случае утери, поломки или кражи кошелька. Вроде бы все удобно, просто и логично. Есть только одно большое НО! Вашей seed-фразой можете воспользоваться не только вы, блокчейнам все равно, кто ее введет и получит доступ к криптоактивам, которые на ней завязаны.
Криптопользователи придумали множество способов защитить seed-фразу от того, кто ее украдет или найдет. Ее шифруют, добавляют к ней лишнее слово, делят на части и хранят в разных местах. Однако у всех этих методов есть крупный недостаток: они неудобны. А человек — существо в большинстве своем беспечное и энергоэффективное (т. е. ленивое).
Поэтому очень многие владельцы криптовалюты просто записывают фразу на бумажке. И не думают о том, что листочек с заветными словами легко может повредиться, потеряться, попасть не в те руки. Есть и те, кто отправляют ее себе на email или хранят в текстовом файле в iCloud. Тут все еще грустнее. Уже сейчас мы знаем множество таких случаев, да и новые случаются практически каждый день.
Почему новый Tangem Wallet предоставляет возможность выбора сид-фразы?
По выражению Джорджа Оруэлла, "Если хочешь сохранить секрет, надо скрывать его и от себя". Большинство пользователей аппаратных кошельков в прошлом часто раскрывали, теряли или забывали свои сид-фразы.
Честно говоря, наша технология генерации и хранения приватного ключа на нескольких картах гораздо более безопасна.
Но в духе независимости и универсальности мы решили предоставить нашему комьюнити возможность использовать сид-фразу. Теперь Tangem предлагает универсальное решение, позволяющее каждому пользователю самостоятельно принимать решение по обеспечению безопасности.
Использование этой опции позволяет хранить сид-фразу в ненадежном виде, но дает возможность выбора тем, кто действительно хочет иметь сид-фразу в качестве запасного варианта на случай наихудшего сценария в их воображении.
Вопросы и ответы: сид-фраза в Tangem Wallet
Здесь мы отвечаем на ваши вопросы о возможности использования сид-фразы в новом Tangem Wallet. Когда мы получим новые вопросы от комьюнити, мы будем отвечать на них в этом разделе.
Генерирует ли приложение Tangem сид-фразу из 12 или 24 слов? Приложение генерирует сид-фразу из 12 и 24 слов.
Будет ли кошелек Tangem Wallet первого поколения выпускаться в будущем? Или он со временем будет заменен на новый? Мы прекратили производство кошелька Tangem первого поколения. Со временем его заменит новый кошелек Tangem.
Могу ли я выбрать 12 слов для сид-фразы? Нет, вы не можете импортировать созданную вами сид-фразу, поскольку алгоритм работает по-другому.
Могу ли я добавить дополнительную карту в качестве резервной, если я забуду свою сид-фразу? Нет, не можете. После генерации и использования сид-фразы нельзя вернуться к генерации закрытых ключей и использованию дополнительных карт в качестве резервного варианта.
Как приложение Tangem генерирует и переносит сид-фразу на карту Tangem? Программное обеспечение кошелька выбирает 12 или 24 слов случайных слов из списка, содержащего 2048 слов, на основе стандарта сид-фразы BIP39. Выбранная комбинация этих слов преобразуется в бинарную сид-фразу, которая используется для генерации набора приватных ключей и пар открытых адресов. Приватные ключи загружаются и хранятся на картах Tangem.
Можно ли использовать сид-фразу для восстановления кошельков из нового набора карт? Да. Вы можете получить доступ к своим средствам, используя сид-фразу, ранее сгенерированную на другом наборе новых карт Tangem Wallet. При активации кошелькa, в котором необходимо использовать сид-фразу, выберите пункт Другие опции, а затем воспользуйтесь функцией импорта.
Поддерживает ли новый Tangem Wallet несколько адресов? Нет, новый Tangem Wallet пока не поддерживает несколько адресов. Мы все еще работаем над обеспечением безопасности и удобства этой функции, прежде чем добавить ее. Как только она будет готова, эта функция будет доступна и для карт Tangem первого поколения.
Как импортировать сид-фразу из другого кошелька? При использовании функции импорта сид-фразы из стороннего кошелька вы можете восстановить доступ к своим средствам, хранящимся в том кошельке. Вы можете импортировать сид-фразу, состоящую из 12, 15, 18, 21 или 24 слов.
После импорта сид-фразы необходимо вручную добавить монеты и токены, хранившиеся в стороннем кошельке, на экран основного кошелька.
Обращаем ваше внимание на то, что восстановить средства из стороннего кошелька можно будет только в сетях, поддерживаемых новым Tangem Wallet.
Могу ли я использовать новое приложение с моими картами Tangem первого поколения? Да. Все карты Tangem первого поколения будут совместимы с новым приложением Tangem.
В чем разница между новыми картами Tangem и картами первого поколения? Оба поколения карт Tangem работают одинаково для хранения ключей. Однако в новой карте Tangem есть возможность сгенерировать сид-фразу или импортировать ее из другого кошелька.
В новом Tangem Wallet также есть возможность отключить восстановление пароля доступа с помощью резервной карты.
Будет ли новое приложение Tangem доступно на ПК? Нет. Новое приложение Tangem будет доступно только на смартфонах с функцией NFC.
Случаи потери seed-фразы
Несколько громких случаев потери cид-фраз:
Билл Мюррей
Актер Билл Мюррей собрал 119,2 ETH ($185 тыс.) на благотворительность в ходе аукциона NFT. Спустя всего несколько часов после завершения благотворительной акции хакеру удалось получить доступ к личному кошельку Мюррея.
Злоумышленник успешно похитил все доходы от благотворительного аукциона NFT ($185 тыс.) и скрылся с выручкой. После этого хакер попытался украсть некоторые из NFT Мюррея, которых у него много. Хакер смог получить доступ к кошельку благодаря тому, что seed-фраза владельца была скомпрометирована.
Блокчейн-проект Solana
3 августа 2022 года на блокчейн-проект Solana была организована хакерская атака, во время которой преступники взломали более 9000 кошельков пользователей. Токены SOL и SPL были переведены со взломанных кошельков клиентов на кошельки злоумышленников. Общая сумма выведенных активов составила более 8 миллионов долларов.
Массовый взлом кошельков Solana произошел в то время, когда централизованные серверы хранили незашифрованные seed-фразы, отправленные мобильным приложением Slope Wallet, делая их видимыми для любого, кто имеет доступ к серверу, показал предварительный вывод аудиторской компании OtterSec, занимающейся аудитом блокчейна.
Бо Шен
Бо Шен, партнер-основатель венчурной компании Fenbushi Capital, в ноябре 2022 поделился в Twitter новостью о том, что хакеры украли из его личного кошелька криптовалюту на сумму порядка 42 миллионов долларов.
По словам Шена, кража произошла 10 ноября, причем большая часть похищенных средств — 38 миллионов долларов — пришлась на стейблкойн USDC. Компания SlowMist, специализирующаяся на безопасности блокчейна, заявила, что, согласно ее анализу, хакерам удалось скомпрометировать seed-фразу кошелька Шена.
Алистар Милн
В 2020 году предприниматель, инвестор и любитель криптовалюты Алистар Милн запустил в Твиттере конкурс по взлому seed-фразы от его кошелька, где хранился 1 BTC. Автор намеревался время от времени выкладывать подсказки — первые слова seed-фразы — в Twitter, но фраза была разгадана раньше, чем он ожидал.
Разработчик Джон Кантрелл вычислил seed-фразу методом подбора после того, как Милн выложил первые семь слов: он создал программу, которая тестировала несколько миллионов seed-фраз в час, пытаясь определить нужную. К удивлению многих, на метод подбора ушло всего 30 часов, и Джон Кантрелл стал счастливым обладателем 1 BTC.
Ledger Secure
В январе 2020 года пользователь холодного кошелька Ledger заявил о потере криптовалюты ZCash на сумму 16 тысяч долларов. Он установил себе расширение Ledger Secure на браузер Google Chrome. Ledger Secure не имеет ничего общего с компанией Ledger. Вместо выполнения полезных действий программа попросту передает seed-фразу пользователя злоумышленнику, если пользователь уже вводил ее на компьютере.
Мы перечислили вам крупнейшие известные случаи, когда компрометация seed-фразы приводила к утечке криптоактивов. Но количество таких случаев неуклонно растет. Только по итогам 2022 года суммарный объем краж цифровых активов с различных блокчейн-платформ составил $3,5 млрд — по подсчетам экспертов аналитической компании Chainalysis. Были поставлены очередные антирекорды как по объемам похищенных средств, так и по числу инцидентов.
Мошенники не останавливаются ни перед чем, когда речь идет о краже криптовалюты. Они способны получить доступ к seed-фразе с помощью социальной инженерии, взлома аккаунтов или обыска. И при этом вы можете даже не подозревать, что seed-фраза давно в руках злоумышленников, и они только и ждут, когда на адресе вашего кошелька появятся средства.
Как защитить свои seed-фразы
Чтобы избежать случаев утери или кражи seed-фразы, выбирайте модель холодного кошелька, в котором бэкап приватного ключа не строится на seed-фразе. Как, например, Tangem Wallet, который полностью позволяет избежать рисков, связанных с хранением seed-фразы. Вместо этого ключ клонируется на другие карты комплекта.
В случае потери или кражи кошелька ваши активы все равно будут с вами, ведь у вас останется 2 или 3 дополнительных карты-кошелька. Одна карта действует как основной криптокошелек, вторую карту можно надежно спрятать, третью — оставить в сейфе или отдать на хранение членам семьи.
Даже если основная карта будет потеряна или украдена, не страшно — она защищена паролем. Взломать пароль перебором не получится — при неверном вводе пароля задержка до следующей попытки растет и в итоге составит 45 секунд.
Если же без seed-фразы вам не обойтись, защитите ее самым надежным образом. Существуют различные автономные устройства, предназначенные для хранения seed-фразы, безопасность которой все равно станет вашей ответственностью. И соблюдайте элементарные правила криптогигиены:
никогда не храните свою seed-фразу в Интернете;
никогда не вводите свою seed-фразу в любое приложение, не убедившись в его безопасности;
никогда никому не передавайте свою seed-фразу;
не теряйте свою seed-фразу.
Вот вроде бы и все по теме. А каким кошельком пользоваться, с seed-фразой или без нее, — выбор за вами. В любом случае, безопасность ваших криптоактивов — ваша ответственность.
