Что такое seed-фраза для криптокошелька и как её обезопасить

Seed-фраза - это мнемоническая фраза из 12 и более слов английского языка (обычно 24), которые расположены в строго определённом порядке. Seed-фраза используется для генерирования закрытого ключа при ассиметричной криптографии. Основное предназначение seed-фразы - это восстановление криповалютного кошелька при утере закрытого ключа или физического доступа к кошельку (например вследствие его кражи или выхода из строя).

Иногда seed-фразу называют “фразой восстановления” или “резервной фразой”. Некоторые используют этот термин в качестве синонима “закрытого ключа”, что является ошибкой, так как это разные вещи.

Важность сохранения seed-фразы в секрете

Seed-фразу необходимо хранить в строжайшем секрете, так как она позволяет сгенерировать закрытый ключ от вашего криптовалютного кошелька, а значит создать его полный дубликат со всеми вытекающими отсюда последствиями. Наличие Seed-фразы с одной стороны обеспечивает безопасность кошелька и является надёжным способом восстановления, но с другой стороны вызывает целый ряд неудобств с точки зрения её хранения.

У владельцев криптовалютных кошельков есть совершенно разные способы хранения seed-фразы:

• записать на электронном носителе, например в файле или послать себе по электронной почте. Это, наверное, самый ненадёжный способ хранения seed-фразы из всех возможных. С учетом высокого риска разного рода хакерских атак и распространения компьютерных вирусов (которые могут передать чувствительную информацию злоумышленникам), вероятность хищения seed-фразы, хранящейся на компьютере в долгосрочной перспективе близка к 100%. Кроме того, жёсткий диск компьютера может просто физически выйти из строя и похоронить seed-фразу вместе с криптовалютным кошельком
• записать на бумаге. Большинство пользователей записывают seed-фразу на бумажном носителе. Безопасность такого хранения однако вызывает вопросы, ввиду недолговечности самой бумаги. Чернила могут выцвести, смазаться, на лист бумаги можно что-то пролить, он может быть случайно порван так далее. Стоит заметить, что многие ламинируют лист бумаги с написанной seed-фразой, однако остаётся риск хищения. При этом злоумышленнику необязательно непосредственно завладеть листком бумаги, его достаточно просто сфотографировать
• записать на деревянном или металлическом носителе. С точки зрения физической целостности такой способ хранения seed-фразы, конечно, лучше, чем бумага, однако риск хищения - такой же высокий
• разделить seed-фразу на несколько частей и хранить части по-отдельности - интересный на первый взгляд способ обезопасить seed-фразу от хищения, который используют многие криптоэнтузиасты. Этот способ несомненно повышает безопасность, но не исключает риск хищения на 100%, а также не спасает от атаки методом brute force (читайте далее, прецедент с Алистером Милном)
• заучить seed-фразу наизусть. При кажущейся надёжности практика показывает, что это один из самых ненадёжных способов хранения. Уверен, что Магнус Карлсен сможет запомнить хоть с десяток seed-фраз, но если говорить про среднестатистического человека, то запомнить строгую последовательность из 24 слов и помнить её на протяжении долгого времени весьма проблематично

Известные случаи хищения криптовалюты через скомпрометированную seed-фразу

Все владельцы криптовалюты озабочены сохранностью своей seed-фразы и стараются выбрать место хранения по-надёжнее. Кто-то используют сейф, кто-то - банковские ячейки, кто-то прячет записку с seed-фразой на даче, в машине, у друзей, в каком-либо не очевидном месте. Но на 100% рисков избежать невозможно, это надо помнить всегда.

Ниже приведу самые известные случаи хищения криптовалюты путём получения доступа к кошелькам через украденную seed-фразу:

• 119.2 ETH было похищено у знаменитого актёра Билла Мюррея, которые он собрал на благотворительность. Впоследствии было установлено, что доступ к кошельку был получен хакером через seed-фразу, к которой удалось получил доступ
• крупная атака в 2022 году была организована на кошельки владельцев криптовалюты SOL. Общая сумма похищенных средств оценивается в 8 млн. долларов. Как выяснилось, seed-фразы пользователей хранились на централизованных серверах приложения Slope wallet. Хакеры взломали сервер и получили доступ к данным пользователей
• мошеннический проект iotaseed.io, который предоставлял пользователям сервис генерации случайных seed-фраз в реальности сохранял информацию и впоследствии злоумышленники после поступления криптовалюты на кошельки пользователей воровали её. Таким образом было выведено более 4 млн. долларов средств клиентов
• интересный случай произошел в 2020 году, не связанный с хищением, но связанный с получением доступа к чужому кошельку через seed-фразу. Алистер Милн, предприниматель и криптоэнтузиаст запустил в Твиттере конкурс по взлому собственной seed-фразы от своего кошелька, где хранился 1 биткоин. Предполагалось, что Алистер будет периодически выкладывать подсказки, первые слова своей фразы. В итоге доступ к кошельку был получен после того, как были опубликованы первые 7 слов. Программист Джон Кантрелл создал программу и методом brute force разгадал seed-фразу Алистера Милна, на перебор всех вариантов после публикации седьмого слова ушло всего 30 часов

Есть альтернативный способ хранения без seed-фразы

Существуют альтернативные способы хранения криптовалюты, без необходимости использования seed-фразы и связанных с её использованием рисков, например, кошелёк Tangem Wallet. Он обходится без seed-фразы. Кошелёк представляет собой комплект пластиковых карт с чипами внутри. Закрытый ключ генерируется и хранится на чипе, seed-фразы нет, поэтому создать дубликат ключа вне чипа нельзя.

При этом функционал восстановления кошелька присутствует, но реализован принципиально другим способом. При создании кошелька закрытый ключ прописывается на чипах всех карт из комплекта кошелька, одна карта становится основной, а другая или другие две (в зависимости от комплектности) дополнительные карты прячутся в разных надёжных местах и служат дубликатами основной (в случае утери или хищения).

Подробнее - в отдельной статье, о том, как работает кошелек Tangem и чем он лучше других аппаратных холодных кошельков. 

Заключение

Капитализация рынка криптовалют сегодня приближается к 740 млрд. долларов США, на пике в ноябре 2021 года капитализация превышала 2,1 трлн. долларов США. По оценкам экспертов ежегодно злоумышленники похищают у пользователей и институционалов до 3-5 млрд. долларов в криптовалюте. Будьте предельно внимательны в вопросе создания, хранения и использования своих seed-фраз или пользуйтесь альтернативными вариантами.

Я считаю, что наиболее оптимально как раз отсутствие seed-фразы, а кошелек Tangem - самым удобным на сегодня холодным кошельком. Купить Tangem Wallet можно на официальном сайте производителя (используйте промокод metamax, получите скидку 10%).

Оперативная информация о криптовалютном рынке, инвестиционные идеи, сетапы и некоторые сделки онлайн - в Telegram-канале (ссылка в описании профиля).