Холодный кошелёк для обменника — один из главных инструментов защиты резервов. Купил Ledger, убрал в сейф — и будто обеспечил безопасность. На практике же большинство операторов верят в несколько опасных мифов о cold storage, и каждый из них стоит реальных денег.
Почему холодный кошелёк для обменника — это только один слой
Аппаратный кошелёк защищает приватный ключ от удалённого взлома. Это важно. Но у обменника есть минимум четыре других уязвимости, на которые устройство не влияет вообще — и именно они чаще приводят к потерям, чем прямой взлом сети.
Миф 1: «Аппаратный кошелёк защищает от всего»
Защита ключа и защита транзакции — разные вещи. Ledger не пустит злоумышленника к ключу через интернет. Но если оператор сам подпишет перевод на фишинговый адрес — устройство честно выполнит команду. Деньги уйдут, а устройство здесь ни при чём.
Есть и физический сценарий: если злоумышленник добирается до устройства и знает PIN — деньги уходят без всяких взломов. Аппаратный кошелёк защищает ключ. Не транзакцию, не ошибку оператора, не физическую кражу.
Миф 2: «Достаточно одного устройства для резерва»
Устройства ломаются — батарея вздувается, контроллер выходит из строя, девайс теряется при переезде. Без seed-фразы, хранящейся отдельно от устройства, доступ к резерву просто исчезает. Навсегда.
Но хранить seed в той же папке, что и устройство — не резерв, а иллюзия. Минимальная надёжная схема: два физически разнесённых места для seed и хотя бы одно резервное устройство.
Миф 3: «Мультисиг — это для больших бирж, нам не нужно»
Мультисиг (multi-signature) — схема, при которой транзакцию нужно подписать несколькими ключами. Например, 2 из 3: директор, бухгалтер, технарь. Ни один человек не выведет деньги в одиночку.
Именно небольшие обменники теряют средства из-за одного скомпрометированного сотрудника или взломанного ноутбука. Мультисиг решает это. И порог входа за последние годы сильно снизился: современные кошельки поддерживают мультисиг без знания программирования.
Миф 4: «Seed сохранён — мы в безопасности»
Seed-фраза из 12–24 слов — это буквально все деньги в одной записи. Написали на листке рядом с компьютером? Сфотографировали «для надёжности» — и снимок ушёл в облако? Отправили самому себе в Telegram? Это не backup. Это открытая дверь.
Настоящий backup seed — физический носитель (бумага или металл), хранящийся в двух разных местах, никогда не оцифрованный и доступный строго определённому кругу людей по заранее задокументированной процедуре. Всё остальное — риск.
Миф 5: «Cold wallet стоит — деньги точно на месте»
Холодный кошелёк не защищает от фишинга при подписании транзакции, от кражи устройства без резервной seed-фразы, от мошенничества сотрудника с доступом и от ошибки оператора при вводе адреса. Вот как слои защиты соотносятся с угрозами:
- Аппаратный кошелёк — от удалённого взлома;
- Мультисиг — от единственной точки отказа;
- Правильно хранимый seed — от физических потерь;
- Чёткий процесс подписания — от фишинга и человеческой ошибки.
Убрать любой слой — и появляется уязвимость, которую остальные не закроют.
Вывод
Холодный кошелёк — необходимость, но не финишная черта. Оператор, который ограничился «купил Ledger и убрал в сейф», остаётся уязвим сразу с нескольких сторон. Настоящая безопасность резервов обменника — это мультисиг, правильно хранимая seed-фраза, разграничение доступов и прозрачный процесс авторизации вывода.
Для тех, кто строит или развивает собственный обменник и хочет держать расчёты без зависимости от сторонних кастодианов, iEXWallet — собственный некастодиальный кошелёк в экосистеме вашего обменника.
