Биткоин-стартап Veriphi провел анализ криптовалютных кошельков, сравнив их по 48 критериям. Исследователи оценили сервисы в контексте безопасности, приватности и суверенитета. Найдите свой кошелек прямо сейчас!
Статью перевел резидент ForkLog Hub Tony ₿ из BITCOIN TRANSLATED при поддержке P2P-биржи HodlHodl специально для ForkLog.
В этом исследовании мы используем систему градации из четырех цветов:
- зеленый (рекомендовано);
- оранжевый (довольно неплохо);
- красный (не рекомендуется);
- черный (держитесь в стороне).
Мы оценили следующие виды кошельков:
- веб-кошельки (чаще всего приватные ключи хранятся на стороне провайдера услуг);
- десктопные кошельки (чаще всего приватные ключи хранятся на стороне пользователя, но вероятность кражи высокая из-за низкого уровня безопасности ПК);
- мобильные кошельки (удобные в использовании, но с серьезными рисками безопасности).
Этот рейтинг будет полезен для:
- новичков, которые еще не выбрали кошелек;
- для существующих пользователей, которые могут проверить надежность поставщиков услуг;
- людей, которые интересуются устройством биткоина в целом.
Мы кратко объясним каждую из проанализированных характеристик. При этом некоторые функции являются весомее других. Прежде, чем делать выводы, необходимо понимать, что удобство в использовании и безопасность средств — это полярные вещи. Пользователь всегда идет на компромисс в пользу чего-то одного.
Подключение к полной ноде
Для осуществления транзакций кошелек должен подключаться к сети биткоина. Рано или поздно он взаимодействует с полной нодой — это зависит от акцента на удобство/безопасность.
Полная нода — это программное обеспечение для сети биткоина. Запустив ноду, вы становитесь равноправным участником сети и получаете значительно больше контроля над средствами за счет высокого уровня безопасности и анонимности.
В таблице мы показываем, какие кошельки предоставляют возможность подключения к вашей ноде. Такие кошельки мы считаем более безопасными, поскольку вы не обязаны использовать ноду поставщика услуг. Нода, которая вам не принадлежит, может хранить и анализировать историю ваших адресов.
Подключение к бэкенд-серверу
Если ваш кошелек не подключается напрямую через полную ноду, то это API-кошелек, которому для подключения к сети требуется бэкенд-сервер. Это обязательно для всех веб-кошельков. Обычно это централизованная инфраструктура серверов, которая управляет взаимодействиями между ее пользователями и сетью биткоина.
Открытый бэкенд
Некоторые API-кошельки раскрывают код бэкенда. Это позволяет пользователям запустить собственные версии, всем желающим проводить аудит, а кошельку укрепить репутацию. Открытый исходный код — это положительная черта ПО.
API
API-кошельки по умолчанию подключаются к ноде поставщика услуг и полностью раскрывают пользовательский xpub (основной публичный ключ) для автоматического получения информации и адресов кошелька.
API — это способ связи кошелька с сервером, поэтому можно подключиться к вашей полной ноде, если бэкенд открыт.
SPV (без бэкенда)
SPV-кошельки (Simple Payment Verification) подключаются к случайным нодам и запрашивают информацию о транзакциях пользователя, а также о транзакциях, в которых пользователь не участвует. Это делает пользователя менее заметным для сети, учитывая, что трудно определить, какие транзакции с ним связаны.
Такой способ подключения считается более закрытым, но он не обеспечивает преимуществ анонимности, доступных при запуске личной полной ноды. Большинство SPV-кошельков используют реализацию Bloom Filters, которая обеспечивает очень низкую конфиденциальность.
Язык программирования
Различные кошельки могут быть написаны на нескольких языках программирования в зависимости от функций и уровня безопасности, на которые разработчики делают упор. В основном они зависят от платформы, для которой разработан кошелек.
Механизм резервного копирования
Резервное копирование кошелька — самый важный элемент безопасности. Он может быть реализован в нескольких формах: последовательность из 12/24 слов или зашифрованный компьютерный файл. Резервная копия позволяет восстановить средства в случае потери или отсутствия доступа к кошельку.
Обязательное резервное копирование
Некоторые кошельки позволяют пользователю пропустить шаг резервного копирования, но многие делают его обязательным. Последнее неудобно для тех, кто хочет просто протестировать интерфейс, а первое — плохо для безопасности.
Мультиподпись
Схема с множеством подписей позволяет повысить уровень безопасности, разделяя доступ к кошельку. Эта функция очень гибкая: пользователь может определить общее количество подписей и количество, необходимое для доступа к средствам.
Поставщик услуг выступает сопоручителем
В кошельке с функцией совместной подписи для подтверждения транзакции требуется подпись второй стороны. Это равносильно размещению средств в рамках контракта с подписями 2-из-2.
Это обеспечит защиту от возможной кражи резервной копии, но потребует доверия ко второй стороне и приведет к потере анонимности.
2FA
2FA — это сокращение от двухфакторная аутентификация. Это способ сочетает в себе несколько методов для подтверждения личности пользователя.
Дополнительная энтропия
Кошельки используют несколько методов генерации приватных ключей пользователя, чтобы обеспечить случайность и непредсказуемость процесса. Уровень случайности (также называемый энтропией) зависит от качества используемых алгоритмов.
Дополнительная опция энтропии является отличной мерой безопасности и позволяет пользователю использовать собственный источник случайности.
Кастодиальный/некастодиальный
Выбор пользователя зависит от его технических навыков и размера биткоин-капитала. Если пользователь самостоятельно хранит монеты, то использует финансовый суверенитет биткоина, однако несет полную ответственность за безопасность (некастодиальный).
Пользователь также может делегировать эту ответственность кошельку (кастодиальный).
Способы блокировки
Мобильные кошельки используют PIN-код или биометрический идентификатор, а десктопные — пароль.
Фраза-пароль
Эта функция позволяет установить дополнительную фразу-пароль на случай, если резервное копирование скомпрометировано.
Интеграция аппаратного кошелька
Некоторые программные кошельки разрешают интеграцию с аппаратными — это позволяет использовать интерфейс первого и полагаться на безопасность второго.
Используя стандартные интерфейсы, такие как Ledger Live, пользователь передает значительную часть финансовой информации компании Ledger.
Функция интеграции аппаратного кошелька настоятельно рекомендуется экспертами Veriphi.
Функция CoinJoin
Протокол CoinJoin позволяет смешивать входы транзакций разных пользователей, обеспечивая повышенную анонимность.
Поддержка TOR
Использование луковой маршрутизации TOR для взаимодействия с сетью биткоина желательно для максимальной анонимности.
Выбор размера комиссии за транзакцию
Некоторые кошельки позволяют пользователю устанавливать комиссию самостоятельно. Таким образом пользователи контролируют скорость перевода и его стоимость.
Единицы измерения
Некоторые кошельки могут отображать сумму в сатоши.
Другие демонстрируют стоимость биткоинов в реальном времени, но для этого требуется связь с внешним сервером, что подразумевает доверие к поставщику услуг.
RBF (изменение размера комиссии)
RBF — замена существующей транзакции новой транзакцией с повышением комиссии. В новой транзакции будут использованы те же входы, что и в старой, и это не будет считаться двойной тратой. В блокчейн попадет только одна транзакций (вероятно, с повышенной комиссией).
Несколько учетных записей
Некоторые кошельки позволят вам создать несколько учетных записей, обеспечивая гибкость в управлении своими биткоинами.
Индивидуальный контроль монет (Coin Control)
Эта функция позволяет управлять пользовательскими UTXO (неизрасходованными выходами транзакций). У каждой монеты есть своя история. Биржи часто блокируют те счета, на которые поступают биткоины, ранее зафиксированные на даркнет-рынках.
Предоставление электронной почты
Кошелек, запрашивающий электронную почту, всегда требует ссылку на внешний сервер. Это вредит анонимности.
Транзакции «RAW»
Лишь немногие кошельки позволяют транслировать транзакции, созданные вне сервиса. Так называемые “сырые” транзакции создают в низкоуровневом интерфейсе с помощью командной строки.
Подпись сообщений / Верификация
Эта функция позволяет пользователю доказать, что у него есть приватный ключ, подписав ассоциирующийся с ним публичный ключ / адрес, тем самым подтвердив право собственности на монеты.
Поддержка тестовой сети биткоина
Некоторые кошельки позволяют использовать тестовую сеть биткоина для ознакомления с различными функциями без риска потери средств.
Группирование транзакций
Группирование транзакций — это метод, который позволяет объединять несколько транзакций. Этот метод используется для более эффективного управления транзакционными издержками. Сгруппированные транзакции занимают меньше места в блоке.
PSBT (частично подписанные транзакции)
Эта функция позволяет кошелькам обмениваться информацией о транзакции и необходимых для ее трансляции подписях. Это расширение возможностей мультиподписи.
Возможность обмена BTC на альткоины
Некоторые кошельки предлагают возможность прямого обмена биткоинов на альткоины.
PRIV (возможность импортировать приватные ключи)
Эта функция позволяет импортировать приватный ключ, созданный в другом кошельке.
Поддержка разных типов адресов
- Bech32 — предпочтительно.
- P2SH (оплата на хеш Биткоин-скрипта).
Бесплатная версия
Необходимо с осторожностью относиться к бесплатным версиям, поскольку они часто предлагают свои услуги в обмен на сбор информации о пользователях.
Поддержка нескольких монет
Поддержка нескольких монет усложняет обеспечение безопасности кошелька. В Veriphi рекомендуют использовать кошельки только с поддержкой биткоина.
Способ обращения в службу поддержки
Существует несколько способов контакта для решения проблем пользователей. Зная, что некоторые кошельки основаны на работе с открытым исходным кодом, некоторые виды помощи приходят непосредственно от сообщества.
Возможность покупать и продавать BTC
Эта функция требует связи с третьей стороной, которая обменивает биткоины на фиатные валюты. Практически все такие сервисы требуют прохождения KYC (знай своего клиента).
Условия и положения
Когда кошелек является коммерческой услугой, его оператор выдвигает ряд требований и берет на себя ряд обязательств. Пользователю необходимо читать такие соглашения перед внесением средств.
Настраиваемый пользовательский интерфейс
Некоторые кошельки предлагают возможность изменения пользовательского интерфейса. Например, включить опцию ночного режима.
Источник: forklog.com