Узнайте, что делает криптокошелек безопасным. Узнайте, как Blockscout обеспечивает более безопасное взаимодействие с блокчейном, решая проблемы слепого подписания, самостоятельного хранения и абстракции аккаунтов.

Криптовалютные кошельки — это ворота в блокчейн; они хранят наши приватные ключи и позволяют нам подписывать транзакции, выступая в качестве первой линии безопасности для всего, что мы делаем в блокчейне.

Как отмечает Ethereum Foundation, «пользовательский интерфейс кошелька — это то, с чего начинается безопасность для всех пользователей Ethereum». Если пользователи не могут безопасно управлять своими ключами или понимать, что они подписывают, они не могут безопасно использовать блокчейн-сети.

К сожалению, существующие кошельки имеют существенные ограничения. Например, многие кошельки по-прежнему страдают от «слепой подписи» — пользователи часто одобряют транзакции, представленные нерасшифровываемыми данными, без четкого указания на то, что будет сделано в результате транзакции. Это позволяет легко ошибочно авторизовать вредоносные контракты или отправить средства на неправильный адрес. Другие проблемы включают сложность управления сид-фразами, риск фишинга со стороны поддельных приложений-кошельков и интерфейсы, которые могут сбивать с толку неопытных пользователей.

В этой статье мы обсудим, что делает криптокошелек хорошим, и рассмотрим некоторые текущие ограничения традиционных кошельков и внешних счетов, а также новые решения для их решения. В заключение мы рассмотрим будущее криптокошельков.

Хороший криптокошелек ставит безопасность и удобство использования на первое место, обеспечивая безопасное и удобное взаимодействие с блокчейнами. Вот некоторые из основных качеств и функций, которые определяют надежный и безопасный кошелек сегодня:

Надёжный кошелек должен регулярно проходить аудит и поддерживаться в актуальном состоянии для защиты ваших активов. Он должен выдавать четкие предупреждения перед завершением любых транзакций, гарантируя, что вы понимаете последствия подписываемых транзакций. Эта функция помогает предотвратить фишинговые атаки и риски, связанные со слепым подписанием.

Кроме того, хороший кошелек должен самостоятельно проверять данные цепочки, а не полагаться исключительно на один RPC (удалённый вызов процедур). Это добавляет дополнительный уровень безопасности. Также важно поддерживать аппаратные кошельки, которые надежно хранят ваши приватные ключи на самом устройстве, минимизируя риск потенциальных угроз. По мере развития технологий обратите внимание на кошельки, которые переходят на использование паролей, поскольку это может помочь снизить риск фишинга с использованием seed-фразы.

Конфиденциальность — это не просто переключатель, это дизайн. Кошелёк должен помочь вам избежать привязки вашей реальной личности к одному публичному адресу и минимизировать межадресные соединения, чтобы ваши аккаунты было сложно сопоставить. Приватные переводы не должны быть неудобным дополнением; они должны быть естественными и простыми в использовании, с разумными настройками по умолчанию, которые уменьшают утечки метаданных. Стандарт WalletBeat прост: если настройки по умолчанию кошелька часто раскрывают вашу личность или управляемые вами адреса, он недостаточно приватен.

Самостоятельное хранение означает, что вы контролируете свои активы. Надёжный кошелёк позволяет вам подключаться напрямую к своему узлу, обеспечивая конфиденциальность и защиту от цензуры, без обязательного посредника RPC. Ваш аккаунт также должен быть переносимым, что позволит вам менять провайдеров без блокировки.

Кроме того, кошелёк должен поддерживать гарантии включения как на уровне 1, так и на уровне 2 (если секвенсор уровня 2 игнорирует вас, вы можете отправить транзакцию в специальную очередь уровня 1), чтобы цензор не смог вас незаметно заблокировать. Кошелёк, соблюдающий гарантии включения, должен предоставлять вам пользовательский интерфейс для использования этих очередей уровня 1 и принудительного вывода средств, когда секвенсор вас цензурирует.

💡 Если вы не можете запустить собственный бэкэнд, перенести свой аккаунт или обеспечить принудительное включение, вы фактически не являетесь его владельцем.

Отдавайте предпочтение кошелькам с открытым исходным кодом под подлинной лицензией FOSS (бесплатное программное обеспечение с открытым исходным кодом), чтобы сообщество могло быстро проверять, воспроизводить и устранять проблемы. Информация о финансировании и обслуживании должна быть раскрыта, включая информацию о том, кто оплачивает аудит, инфраструктуру и текущую работу. В каждом запросе на транзакцию должны быть четко указаны комиссии и последствия, а не просто шестнадцатеричный код.

💡 Видимый источник, видимое финансирование и зримые намерения значительно снижают вероятность рискованных сюрпризов.

Лучшие кошельки соответствуют будущему направлению развития экосистемы. Выбирайте кошелек, который поддерживает абстракцию аккаунтов (ERC-4337) и предлагает доступ к пользовательскому интерфейсу смарт-кошелька через EIP-7702 для внешних аккаунтов (EOA), включая такие функции, как пакетирование, альтернативные варианты газа, делегированные действия, ключи доступа и восстановление без смены адреса.

Хороший кошелек должен хорошо работать с браузерами и Dapps, чтобы обеспечить бесперебойную работу с различными кошельками. Он должен использовать абстракцию цепочки и безопасное пакетирование транзакций, чтобы избежать ненужных подтверждений и уменьшить проблемы с сетями уровня 2 (L2). Эти функции улучшают пользовательский опыт.

В ближайшем будущем мы, вероятно, увидим кошельки, которые будут проще в использовании, сложнее поддаются взлому и лучше интегрированы в нашу повседневную цифровую жизнь. Одним из важных трендов на горизонте является развитие кошельков на смарт-контрактах и ​​абстракции аккаунтов.

Вместо внешних аккаунтов, которые полагаются исключительно на один закрытый ключ, абстракция аккаунтов позволяет создавать программируемые и гибкие кошельки. Это может означать отказ от традиционной сид-фразы, при которой пользователи будут аутентифицироваться с помощью биометрии или защищенных аппаратных модулей, в то время как кошелек будет управлять закрытыми ключами автоматически.

Еще одна область, в которой мы, вероятно, увидим рост, — это прозрачность и безопасность транзакций. Обсуждаемая нами проблема слепой подписи решается с разных сторон: все больше кошельков внедряют имитацию транзакций и понятные человеку подсказки (например, отображение названий токенов и логотипов, преобразование вызовов контрактов в понятный язык для нетехнических пользователей), а такие сообщества, как Verifier Alliance, расширяют открытые базы данных ABI контрактов для поддержки этой идеи.

https://x.com/blockscout/status/1882792391050252294?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1882792391050252294%7Ctwgr%5Eeaeac4cf599fb7a221ca4646e15bb8703fce7a73%7Ctwcon%5Es1_c10&ref_url=https%3A%2F%2Fwww.blog.blockscout.com%2Fsecure-crypto-wallets-guide%2F

В будущем ваш кошелёк может выдавать предупреждения большими красными буквами: «Этот контракт, как известно, вредоносный» или «Вы собираетесь дать неограниченное разрешение на трату ваших DAI», предотвращая ошибки до их совершения. Обучение пользователей также является частью этого будущего, но в идеале сам кошелёк возьмёт на себя большую часть работы по обеспечению их безопасности.

Если и есть один ключевой вывод, то он должен быть следующим: хороший кошелёк гармонично сочетает в себе безопасность, конфиденциальность, самоконтроль и прозрачность, предлагая при этом интуитивно понятный пользовательский интерфейс для улучшения работы этих функций.

Цель ясна: нам нужны кошельки, абстрагированные от учётных записей, пароли вместо уязвимых сид-фраз, понятные человеку подписи и более безопасные значения по умолчанию для решения проблемы слепой подписи.

Это первая часть короткой серии статей о кошельках. Далее мы покажем вам, как подключить свои кошельки к Blockscout различными способами. Мы рассмотрим использование расширений для настольных компьютеров, мобильных и аппаратных кошельков. Мы также проведем вас через процесс настройки вашей учетной записи Wallet Connect (теперь Reown) для интеграции кошельков в ваши dapps.

Узнайте, что делает криптокошелек безопасным. Узнайте, как Blockscout обеспечивает более безопасное взаимодействие с блокчейном, решая проблемы слепого подписания, самостоятельного хранения и абстракции аккаунтов.

Криптовалютные кошельки — это ворота в блокчейн; они хранят наши приватные ключи и позволяют нам подписывать транзакции, выступая в качестве первой линии безопасности для всего, что мы делаем в блокчейне.

Как отмечает Ethereum Foundation, «пользовательский интерфейс кошелька — это то, с чего начинается безопасность для всех пользователей Ethereum». Если пользователи не могут безопасно управлять своими ключами или понимать, что они подписывают, они не могут безопасно использовать блокчейн-сети.

К сожалению, существующие кошельки имеют существенные ограничения. Например, многие кошельки по-прежнему страдают от «слепой подписи» — пользователи часто одобряют транзакции, представленные нерасшифровываемыми данными, без четкого указания на то, что будет сделано в результате транзакции. Это позволяет легко ошибочно авторизовать вредоносные контракты или отправить средства на неправильный адрес. Другие проблемы включают сложность управления сид-фразами, риск фишинга со стороны поддельных приложений-кошельков и интерфейсы, которые могут сбивать с толку неопытных пользователей.

В этой статье мы обсудим, что делает криптокошелек хорошим, и рассмотрим некоторые текущие ограничения традиционных кошельков и внешних счетов, а также новые решения для их решения. В заключение мы рассмотрим будущее криптокошельков.

Хороший криптокошелек ставит безопасность и удобство использования на первое место, обеспечивая безопасное и удобное взаимодействие с блокчейнами. Вот некоторые из основных качеств и функций, которые определяют надежный и безопасный кошелек сегодня:

Надёжный кошелек должен регулярно проходить аудит и поддерживаться в актуальном состоянии для защиты ваших активов. Он должен выдавать четкие предупреждения перед завершением любых транзакций, гарантируя, что вы понимаете последствия подписываемых транзакций. Эта функция помогает предотвратить фишинговые атаки и риски, связанные со слепым подписанием.

Кроме того, хороший кошелек должен самостоятельно проверять данные цепочки, а не полагаться исключительно на один RPC (удалённый вызов процедур). Это добавляет дополнительный уровень безопасности. Также важно поддерживать аппаратные кошельки, которые надежно хранят ваши приватные ключи на самом устройстве, минимизируя риск потенциальных угроз. По мере развития технологий обратите внимание на кошельки, которые переходят на использование паролей, поскольку это может помочь снизить риск фишинга с использованием seed-фразы.

Конфиденциальность — это не просто переключатель, это дизайн. Кошелёк должен помочь вам избежать привязки вашей реальной личности к одному публичному адресу и минимизировать межадресные соединения, чтобы ваши аккаунты было сложно сопоставить. Приватные переводы не должны быть неудобным дополнением; они должны быть естественными и простыми в использовании, с разумными настройками по умолчанию, которые уменьшают утечки метаданных. Стандарт WalletBeat прост: если настройки по умолчанию кошелька часто раскрывают вашу личность или управляемые вами адреса, он недостаточно приватен.

Самостоятельное хранение означает, что вы контролируете свои активы. Надёжный кошелёк позволяет вам подключаться напрямую к своему узлу, обеспечивая конфиденциальность и защиту от цензуры, без обязательного посредника RPC. Ваш аккаунт также должен быть переносимым, что позволит вам менять провайдеров без блокировки.

Кроме того, кошелёк должен поддерживать гарантии включения как на уровне 1, так и на уровне 2 (если секвенсор уровня 2 игнорирует вас, вы можете отправить транзакцию в специальную очередь уровня 1), чтобы цензор не смог вас незаметно заблокировать. Кошелёк, соблюдающий гарантии включения, должен предоставлять вам пользовательский интерфейс для использования этих очередей уровня 1 и принудительного вывода средств, когда секвенсор вас цензурирует.

💡 Если вы не можете запустить собственный бэкэнд, перенести свой аккаунт или обеспечить принудительное включение, вы фактически не являетесь его владельцем.

Отдавайте предпочтение кошелькам с открытым исходным кодом под подлинной лицензией FOSS (бесплатное программное обеспечение с открытым исходным кодом), чтобы сообщество могло быстро проверять, воспроизводить и устранять проблемы. Информация о финансировании и обслуживании должна быть раскрыта, включая информацию о том, кто оплачивает аудит, инфраструктуру и текущую работу. В каждом запросе на транзакцию должны быть четко указаны комиссии и последствия, а не просто шестнадцатеричный код.

💡 Видимый источник, видимое финансирование и зримые намерения значительно снижают вероятность рискованных сюрпризов.

Лучшие кошельки соответствуют будущему направлению развития экосистемы. Выбирайте кошелек, который поддерживает абстракцию аккаунтов (ERC-4337) и предлагает доступ к пользовательскому интерфейсу смарт-кошелька через EIP-7702 для внешних аккаунтов (EOA), включая такие функции, как пакетирование, альтернативные варианты газа, делегированные действия, ключи доступа и восстановление без смены адреса.

Хороший кошелек должен хорошо работать с браузерами и Dapps, чтобы обеспечить бесперебойную работу с различными кошельками. Он должен использовать абстракцию цепочки и безопасное пакетирование транзакций, чтобы избежать ненужных подтверждений и уменьшить проблемы с сетями уровня 2 (L2). Эти функции улучшают пользовательский опыт.

В ближайшем будущем мы, вероятно, увидим кошельки, которые будут проще в использовании, сложнее поддаются взлому и лучше интегрированы в нашу повседневную цифровую жизнь. Одним из важных трендов на горизонте является развитие кошельков на смарт-контрактах и ​​абстракции аккаунтов.

Вместо внешних аккаунтов, которые полагаются исключительно на один закрытый ключ, абстракция аккаунтов позволяет создавать программируемые и гибкие кошельки. Это может означать отказ от традиционной сид-фразы, при которой пользователи будут аутентифицироваться с помощью биометрии или защищенных аппаратных модулей, в то время как кошелек будет управлять закрытыми ключами автоматически.

Еще одна область, в которой мы, вероятно, увидим рост, — это прозрачность и безопасность транзакций. Обсуждаемая нами проблема слепой подписи решается с разных сторон: все больше кошельков внедряют имитацию транзакций и понятные человеку подсказки (например, отображение названий токенов и логотипов, преобразование вызовов контрактов в понятный язык для нетехнических пользователей), а такие сообщества, как Verifier Alliance, расширяют открытые базы данных ABI контрактов для поддержки этой идеи.

https://x.com/blockscout/status/1882792391050252294?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1882792391050252294%7Ctwgr%5Eeaeac4cf599fb7a221ca4646e15bb8703fce7a73%7Ctwcon%5Es1_c10&ref_url=https%3A%2F%2Fwww.blog.blockscout.com%2Fsecure-crypto-wallets-guide%2F

В будущем ваш кошелёк может выдавать предупреждения большими красными буквами: «Этот контракт, как известно, вредоносный» или «Вы собираетесь дать неограниченное разрешение на трату ваших DAI», предотвращая ошибки до их совершения. Обучение пользователей также является частью этого будущего, но в идеале сам кошелёк возьмёт на себя большую часть работы по обеспечению их безопасности.

Если и есть один ключевой вывод, то он должен быть следующим: хороший кошелёк гармонично сочетает в себе безопасность, конфиденциальность, самоконтроль и прозрачность, предлагая при этом интуитивно понятный пользовательский интерфейс для улучшения работы этих функций.

Цель ясна: нам нужны кошельки, абстрагированные от учётных записей, пароли вместо уязвимых сид-фраз, понятные человеку подписи и более безопасные значения по умолчанию для решения проблемы слепой подписи.

Это первая часть короткой серии статей о кошельках. Далее мы покажем вам, как подключить свои кошельки к Blockscout различными способами. Мы рассмотрим использование расширений для настольных компьютеров, мобильных и аппаратных кошельков. Мы также проведем вас через процесс настройки вашей учетной записи Wallet Connect (теперь Reown) для интеграции кошельков в ваши dapps.