Криптовалюта без страха: как перестать бояться за свои деньги

by Опубликовано

https://s0.rbk.ru/v6_top_pics/media/img/8/98/756595258828988.png

Безопасность криптовалют: почему старые банковские привычки не работают и что приходит им на смену

В банке всё просто. Потерял карту — позвонил, заблокировал, перевыпустил. Забыл пароль — пришёл с паспортом, восстановил. Деньги лежат на счету, за ними следит целая армия юристов, программистов и охранников. Человеку вообще не нужно думать о сохранности — он платит банку за эту услугу.

С криптовалютами всё иначе. Блокчейн устроен так, что посредников нет. Никто не вернёт вам монеты, если вы перевели их по ошибке. Никто не разблокирует кошелёк, если потеряли seed-фразу. Безопасность криптовалют — это личная ответственность, и для многих это становится шоком. Люди привыкли, что за них всё решает банк, а тут приходится самому разбираться с приватными ключами, фишингом и холодным хранением.

Когнитивный диссонанс между «доверием к организации» и «доверием к алгоритму» — главная причина, по которой массовый пользователь до сих пор побаивается цифровых активов. Причём большинство проблем с безопасностью — это не ошибки в коде блокчейна, а человеческий фактор. Перевели на адрес мошенника, загрузили на компьютер вирус, записали сид-фразу в заметки телефона — и всё, капитал уплыл.

Поэтому вопрос «как решить проблему безопасности криптовалют» сегодня стоит как никогда остро. И ответ лежит не в том, чтобы учить каждого пользователя криптографии. Ответ — в архитектуре самих решений.

В криптоиндустрии безопасность перестаёт быть услугой и становится личной ответственностью. Но индустрия постепенно учится защищать человека от него самого.

Для начала разберёмся, как вообще можно владеть криптой. Есть два принципиально разных подхода. Первый — кастодиальный. Вы регистрируетесь на бирже, заводите кошелёк в Telegram или другом сервисе, а приватные ключи хранятся у платформы. Фактически вы не владеете монетами — у вас есть только право требования к компании. Это как деньги на банковском счете: удобно, можно восстановить доступ через техподдержку, но вы зависите от посредника. Платформа может заморозить вывод, обанкротиться или попасть под взлом.

Второй подход — некастодиальный. Ключи хранятся только у вас. Никто, кроме вас, не может распоряжаться активами. Ни государство, ни хакеры, ни сотрудники биржи. Но и восстановить доступ, если вы потеряли сид-фразу, невозможно. Это и есть «парадокс безопасности»: абсолютная свобода — абсолютная ответственность.

Дальше идёт деление на «горячие» и «холодные» кошельки. Горячие — это приложения на телефоне или компьютере, которые всегда онлайн. Удобно для быстрых транзакций, но поверхность для атаки огромна: вирусы, фишинговые сайты, поддельные расширения браузера. Холодное хранение — это аппаратные кошельки, где приватный ключ физически изолирован от сети. Даже если подключите его к заражённому компьютеру, подписать транзакцию можно только кнопкой на самом устройстве. Золотой стандарт для крупных сумм.

Но холодный кошелёк не защищает от социальной инженерии. Вас могут развести на телефонный звонок, подослать «техподдержку», украсть сид-фразу из дома. Поэтому инженеры придумывают более умные способы.

Будущее безопасности лежит не в дисциплине пользователей, а в инфраструктуре, которая по умолчанию защищает от ошибок.

Одна из таких технологий — MPC, или многосторонние вычисления. Суть в том, что приватный ключ вообще нигде не хранится целиком. Он разбивается на части: одна у вас на устройстве, другая на сервере, третья в облаке. Чтобы подписать транзакцию, нужно собрать две или три части. Если хакер украдёт ваш телефон — это бесполезно, нужна ещё часть с сервера. Если взломают сервер — у них нет вашей части. Единой точки отказа нет.

Другой подход — социальное восстановление. Вы назначаете несколько «хранителей» — доверенных людей или дополнительные устройства. Если вы потеряли доступ к кошельку, хранители по отдельности не могут ничего сделать, но вместе (по порогу, например, три из пяти) подтверждают вашу личность и перевыпускают ключ. Это попытка вернуть человеческий элемент в децентрализованную среду, но без посредников. Не банк решает, что вы — это вы, а ваши друзья или другие ваши устройства.

Особняком стоит проблема наследования криптовалют. Если человек умер, а сид-фраза никому не известна — деньги пропадают навсегда. В обычном мире есть нотариусы, завещания, суды. В криптомире — только смарт-контракты. Уже существуют решения вроде «Dead Man’s Switch»: если владелец не проявляет активность в кошельке заданное время (например, полгода), смарт-контракт автоматически переводит активы на счета наследников. Никаких юристов, никаких пошлин, никаких споров. Математика вместо бюрократии.

Всё это вместе — MPC, социальное восстановление, смарт-контракты наследования — складывается в новую картину. Криптовалюты перестают быть «сложными для избранных» и становятся «невидимыми для масс». Пользователю не нужно знать, что такое эллиптическая криптография или как подписывать транзакции вручную. Достаточно скачать приложение, пройти простую процедуру восстановления и пользоваться деньгами.

Но дорога к этому состоянию ещё не пройдена. Пока большинство людей хранят сид-фразы на бумажках в ящиках стола — XXI век, а методы из прошлого. Рынок требует решений, где безопасность криптовалют обеспечивается на уровне протокола, а не инструкции для пользователя. Точно так же, как интернет в 90-х был сложным и опасным, а сегодня любой может зайти в соцсеть, не зная, что такое IP-адрес. Так и блокчейн станет массовым только тогда, когда он сможет защитить человека от его собственных ошибок надёжнее, чем банк.