Назад |  Блог > Записи блога> Аналитика> О доверии аппаратным кошелькам и их надёжности.

О доверии аппаратным кошелькам и их надёжности.

Проблема хранения цифровых активов является одним из ключевых препятствий на пути массового принятия и внедрения последних в повседневную жизнь и существующую финансовую систему. Известная всем фраза предпринимателя Андреаса Антонопулоса, одного из самых ярких сторонников криптовалют и технологии блокчейн, гласит «Не Ваши ключи – не Ваши биткоины». Сложно с ним не согласиться, ведь централизованные биржи и кастодиальные сервисы являются посредниками и противоречат первоначальной идеологии Р2Р-экономики. На протяжении нескольких лет различные медиа ресурсы уверяют нас, что одним из самых надёжных и комфортных способов хранения Ваших монет является использование аппаратных кошельков. В этой статье мы рассмотрим насколько достоверным является данное заявление.

Что из себя представляют аппаратные кошельки.

Аппаратные кошельки никоим образом не хранят Ваши активы, доступ к криптовалюте по-прежнему возможен только при наличии приватного ключа. Сам же аппаратный кошелёк – это не что иное, как физическое электронное устройство для надёжного хранения Ваших приватных ключей, в то же время, позволяющее пользователю с лёгкостью получить доступ к своим монетам и токенам. В данный момент существует множество таких устройств, однако все они призваны выполнять одни и те же функции, такие как создание новых приватных ключей в автономном режиме внутри самого устройства и их надёжное хранение. Самыми популярными криптокошельками всё также остаются устройства производителей Ledger и Trezor. И хотя компании не раскрывают статистику продаж своих продуктов, но по данным SimilarWeb, страницу интернет-магазина Trezor посещают в месяц 150 — 200 тысяч человек, а аналогичную страницу на сайте Ledger около 400 тысяч человек. Также стоит отметить резкий скачок в мае 2020 года посещаемости интернет-магазина Ledger, которая достигла 720 тысяч человек, что может свидетельствовать о лучшей подготовке компании Ledger к выходу из карантинного периода.

Насколько безопасны Ledger, Trezor и их конкуренты.

О криптовалютных аппаратных кошельках, их особенностях и преимуществах перед другими способами хранения криптоактивов, написано уже очень много статей. Не единожды также поднимались темы о различных уязвимостях таких устройств и соответствующих рисках безопасности. Но мы хотим остановиться на отдельном популярном вопросе, граничащем с теориями заговоров: как после получения и сохранения сид-фразы (мнемонический код для генерации и восстановления приватных ключей) для своего кошелька, быть уверенным на 100 %, что приватные ключи принадлежат только тебе? Если углубиться в данный вопрос, то становится ясно, что нет никаких гарантий. Что если аппаратное устройство, призванное оберегать наши приватные ключи, на самом деле, при подключении к интернету или при обновлении прошивки, сохраняет сид-фразу в базу данных производителя или вовсе предоставляет нам заранее заготовленную фразу из своей памяти?

 

Производители устройств упорно твердят нам, что приватный ключ никогда не покидает кошелёк. Но проверить это не представляется возможным. Ведь практически все современные аппаратные кошельки частично используют в своём программном обеспечении элементы с закрытым кодом. Таким образом, технически взломать аппаратное устройство практически невозможно, но в то же время, нет гарантий, что производители не играют против нас, собирая конфиденциальные данные.   

Почему всё сводится к банальному доверию?

В настоящее время большинство производителей аппаратных кошельков полагаются на свою репутацию и сторонние аудиты безопасности для вывода на рынок и успешных продаж своих продуктов как безопасных. Однако возникает вопрос насколько надёжны эти сертификаты безопасности. Производители отмечают, что сертификация тестируется только по набору заранее определённых сценариев и не является заменой для независимых проверок.

 

По аналогии с админ-ключами в DeFi, это становится исключительно вопросом доверия. Пользователи должны доверять утверждениям производителей о том, что устройство на самом деле является безопасным, что хакеры не нашли способ скомпрометировать его, и что третьи лица в цепочке поставок компонентов не вставили бэкдоры. Нас заставляют поверить, что кошелёк действительно содержит задекларированные элементы безопасности, и может обеспечить надёжность, за которую мы платим. И разрешить этот вопрос доверия мы не можем никаким образом.

Мы можем проверить часть открытого исходного кода, но у нас не будет доказательств того, что компании не собирают наши конфиденциальные данные. Можно сколько угодно говорить о теории заговоров, но всё сводится лишь к вопросу доверять конкретной компании или не доверять. Можно попытаться повысить уровень доверия, задавая вопросы, в том числе провокационные, представителям компании, и сделать выводы на основе их реакции на эти вопросы. Отчасти эту проблему можно разрешить только обладая определёнными знаниями, поэтому единственный способ – это просто собрать максимально возможное количество дополнительных знаний, чтобы принять решение доверять конкретному разработчику или нет. Сами производители заявляют, что очень сложно создать программное обеспечение с открытым исходным кодом с точки зрения затрат, технических аспектов, патентов и времени. 

Таким образом, существует вероятность того, что для появления первых защищённых элементов с открытым исходным кодом для аппаратных кошельков понадобится ещё несколько лет. Чем же тогда Ledger и Trezor надёжнее, чем Binance и Coinbase? У крупнейших бирж также имеется репутация, аудиты безопасности и крупные страховые фонды на случай взломов и краж средств. А вклады клиентов кастодиального сервиса BitGo защищены по программе страхования предоставленной Lloyd’s Of London.

Ждать ли открытый исходный код и какие сроки для этого потребуются?

Лицензирование инструментов, необходимых для разработки аппаратных кошельков для хранения криптовалют с открытым исходным кодом, является дорогостоящим процессом и весьма трудоёмкой задачей, особенно при сопоставлении безопасности уже установленных защищённых элементов. Нам ещё предстоит выяснить какие компании имеют достаточный капитал и потенциал, необходимый для такого преобразования. Пока лишь можно сделать вывод, что надёжность аппаратных криптовалютных кошельков сильно преувеличена. Нужно потратить ещё не один год и значительные ресурсы, чтобы программное обеспечение аппаратных устройств стало максимально открытым и доступным для проверки любому пользователю, что безусловно приведёт к новому этапу развития данного рынка.

Аналитика

Оставьте комментарий