Среди пользователей форума хватает людей с приличными суммами в крипте. И вопрос безопасности для них стоит остро. Хранить несколько биткоинов в Electrum на рабочем компьютере, который постоянно в сети, это как держать деньги под матрасом в общественном туалете. Рискованно. Под большим количеством я понимаю суммы от 1 BTC, потому что безопасное хранение требует вложений в районе 200 долларов, и для таких объёмов это оправдано.
Для начала немного теории. В любом биткоин-кошельке есть два ключа: открытый (xpub) и закрытый (сид-фраза). Открытый нужен чтобы смотреть баланс и создавать транзакции. Закрытый чтобы подписывать эти транзакции и отправлять деньги. Закрытый ключ должен храниться на устройстве, которое никогда не подключается к интернету. Такие кошельки называются air-gapped. Открытый ключ можно хранить где угодно, с ним можно только смотреть на деньги, но не тратить их. Если закрытый ключ никогда не касается сети, это называется холодным хранением.
Следующий важный момент: если ваши биткоины имеют отношение к теневой деятельности или вы просто не хотите светить свой IP, нельзя использовать публичные серверы Electrum и публичные ноды Bitcoin. Они видят ваш адрес и могут логировать запросы. Нужно поднять свою собственную ноду Bitcoin и сервер Electrum. И делать это только на своём оборудовании в своей локальной сети, чтобы все запросы к блокчейну оставались внутри дома и никуда не уходили.
Также стоит задуматься о мультиподписи или хотя бы о BIP39-пароле (дополнительная фраза к сиду). А лучше и то и другое. Это добавляет ещё один слой защиты на случай, если кто-то найдёт вашу сид-фразу.
Теперь главный вопрос: где физически хранить закрытый ключ? Первое что приходит в голову аппаратный кошелек вроде Ledger или Trezor. Но тут есть проблема. Само наличие такого устройства у человека косвенно указывает на то, что у него есть приличная сумма в крипте. Это как ходить с брендовой сумкой в трущобах. Не для всех подходит.
Отличная альтернатива это SeedSigner. Устройство, которое можно собрать самому из Raspberry Pi Zero, специальной камеры и экрана. Всё это стоит около 40 долларов и не вызывает подозрений, потому что выглядит как хоббийный проект. Самое крутое: SeedSigner не хранит закрытый ключ. Он только подписывает транзакции. Сам ключ хранится на бумажном носителе. Это самый безопасный способ, потому что бумагу нельзя взломать удалённо. Даже если у злоумышленников будет доступ к вашему выключенному SeedSigner и компьютеру с открытым ключом, они смогут только посмотреть баланс. Чтобы отправить деньги, им понадобится ваша бумажка с сид-фразой. А её у них нет.
Важно выбирать биткоин-только кошельки, а не мультивалютные. Чем меньше функций, тем меньше поверхность для атак. В качестве кошелька для хранения открытого ключа и создания транзакций надо выбирать air-gapped решение, которое поддерживает работу с серверами Electrum. В идеале ещё и с onion-серверами, чтобы скрывать трафик. Из таких кошельков можно выделить BlueWallet, Sparrow, Nunchuk и Bitcoin Keeper. Лучший вариант на мой взгляд Sparrow Wallet, он только для ПК. Мобильные кошельки для серьёзных сумм не рассматриваем.
Итоговый план по хранению биткоинов выглядит так. Поднимаете свою приватную ноду Bitcoin и сервер Electrum дома. Генерируете сид-фразу и записываете её на бумагу, в идеале в двух экземплярах в разных местах. Собираете SeedSigner или покупаете аппаратный кошелек, если вас не смущает его наличие. На компьютере с Sparrow подключаетесь к своей ноде, импортируете открытый ключ. Когда нужно отправить транзакцию, создаёте её в Sparrow, переносите на SeedSigner (по QR-коду или через SD-карту), подписываете, возвращаете обратно и отправляете в сеть. Ключ при этом ни разу не касается интернета. Это максимальный уровень безопасности, который можно достичь без строительства бункера. Рекомендую.
Для начала немного теории. В любом биткоин-кошельке есть два ключа: открытый (xpub) и закрытый (сид-фраза). Открытый нужен чтобы смотреть баланс и создавать транзакции. Закрытый чтобы подписывать эти транзакции и отправлять деньги. Закрытый ключ должен храниться на устройстве, которое никогда не подключается к интернету. Такие кошельки называются air-gapped. Открытый ключ можно хранить где угодно, с ним можно только смотреть на деньги, но не тратить их. Если закрытый ключ никогда не касается сети, это называется холодным хранением.
Следующий важный момент: если ваши биткоины имеют отношение к теневой деятельности или вы просто не хотите светить свой IP, нельзя использовать публичные серверы Electrum и публичные ноды Bitcoin. Они видят ваш адрес и могут логировать запросы. Нужно поднять свою собственную ноду Bitcoin и сервер Electrum. И делать это только на своём оборудовании в своей локальной сети, чтобы все запросы к блокчейну оставались внутри дома и никуда не уходили.
Также стоит задуматься о мультиподписи или хотя бы о BIP39-пароле (дополнительная фраза к сиду). А лучше и то и другое. Это добавляет ещё один слой защиты на случай, если кто-то найдёт вашу сид-фразу.
Теперь главный вопрос: где физически хранить закрытый ключ? Первое что приходит в голову аппаратный кошелек вроде Ledger или Trezor. Но тут есть проблема. Само наличие такого устройства у человека косвенно указывает на то, что у него есть приличная сумма в крипте. Это как ходить с брендовой сумкой в трущобах. Не для всех подходит.
Отличная альтернатива это SeedSigner. Устройство, которое можно собрать самому из Raspberry Pi Zero, специальной камеры и экрана. Всё это стоит около 40 долларов и не вызывает подозрений, потому что выглядит как хоббийный проект. Самое крутое: SeedSigner не хранит закрытый ключ. Он только подписывает транзакции. Сам ключ хранится на бумажном носителе. Это самый безопасный способ, потому что бумагу нельзя взломать удалённо. Даже если у злоумышленников будет доступ к вашему выключенному SeedSigner и компьютеру с открытым ключом, они смогут только посмотреть баланс. Чтобы отправить деньги, им понадобится ваша бумажка с сид-фразой. А её у них нет.
Важно выбирать биткоин-только кошельки, а не мультивалютные. Чем меньше функций, тем меньше поверхность для атак. В качестве кошелька для хранения открытого ключа и создания транзакций надо выбирать air-gapped решение, которое поддерживает работу с серверами Electrum. В идеале ещё и с onion-серверами, чтобы скрывать трафик. Из таких кошельков можно выделить BlueWallet, Sparrow, Nunchuk и Bitcoin Keeper. Лучший вариант на мой взгляд Sparrow Wallet, он только для ПК. Мобильные кошельки для серьёзных сумм не рассматриваем.
Итоговый план по хранению биткоинов выглядит так. Поднимаете свою приватную ноду Bitcoin и сервер Electrum дома. Генерируете сид-фразу и записываете её на бумагу, в идеале в двух экземплярах в разных местах. Собираете SeedSigner или покупаете аппаратный кошелек, если вас не смущает его наличие. На компьютере с Sparrow подключаетесь к своей ноде, импортируете открытый ключ. Когда нужно отправить транзакцию, создаёте её в Sparrow, переносите на SeedSigner (по QR-коду или через SD-карту), подписываете, возвращаете обратно и отправляете в сеть. Ключ при этом ни разу не касается интернета. Это максимальный уровень безопасности, который можно достичь без строительства бункера. Рекомендую.
