Зачем нужна мнемоническая фраза

Мнемоническая фраза

Мнемоническая фраза (англ. Mnemonic phrase или Seed фраза) — это список слов, которые хранят всю информацию, необходимую для восстановления биткоин-кошелька. Кошелек обычно сам генерирует мнемоническую резервную фразу, чтобы пользователь записал ее на бумаге. Если компьютер пользователя сломается или жесткий диск повредится, он сможет снова загрузить тот же кошелек и использовать бумажную резервную копию, чтобы вернуть свои биткоины. Так как любой обладатель мнемонической фразы получает доступ к кошельку, требуется очень тщательно ее хранить.

Принцип работы мнемонических фраз [ править ]

Программное обеспечение кошелька использует целый набор слов, взятых из словаря, причем каждое слово присваивается определенному числу. Фраза может быть преобразована в число, которое используется в качестве сида (seed), который генерирует все пары ключей для этого кошелька.

Англоязычный список слов для стандарта BIP39 имеет 2048 слов. Если фраза состоит из 12 слов, тогда число возможных комбинаций составляет 2048 в 12-й степени, или 2 в 132-й степени, то есть фраза будет иметь 132 бита безопасности.

Теоретически мнемоническую фразу можно придумать самому, но это небезопасно, так как человек плохо справляется со случайной генерацией. Лучший способ обезопасить свой кошелек – взять мнемоническую фразу, созданную с помощью специального генератора фраз.

Двухфакторные мнемонические фразы [ править ]

Многие кошельки поддерживают создание двухфакторной мнемонической фразы. В этом случае кошелек генерирует мнемоническую фразу и запрашивает у пользователя пароль или кодовое слово. Затем для восстановления кошелька понадобится и мнемоническая фраза, и слово/пароль.

Пароль можно записать вместе с мнемонической фразой, но более эффективно было бы его запомнить, чтобы получилась действительно двухфакторная система восстановления: для разблокировки биткоинов понадобится «то, что у вас есть» плюс «то, что вы знаете».

Где хранить мнемонические фразы [ править ]

Большинство людей записывают фразы на бумаге, но их можно хранить многими другими способами: запомнить, записать на полях книги, выгравировать на металле и так далее. Для хранения на бумаге фразу лучше писать карандашом, а не ручкой. Записку следует хранить в темноте, избегая экстремально высоких или низких температур и влаги.

Некоторые люди разделяют свои фразы: шесть слов хранят в одном месте, шесть в другом. Это малоэффективно, так как обнаружение одной половины фразы облегчает подбор второй половины. Еще один неэффективный, но часто используемый способ: добавить во фразу слова, которые значимы лично для вас, чтобы запутать злоумышленника. Так как словарь из слов, которые используются для генерации мнемонических фраз, известен, не составит труда отсечь слова, которые в него не входят.

Что такое SEED-фраза?

Seed-фраза, также известная как мнемоническая фраза или восстановительная фраза, является основной составляющей многих криптовалютных кошельков, особенно тех, которые используют стандарт BIP-39 (Bitcoin Improvement Proposal 39).

Seed-фраза представляет собой набор слов, обычно состоящий из 12, 18 или 24 случайно выбранных слов из определенного списка. Эти слова образуют мнемоническую фразу, которая может быть легко запомнена и использована для восстановления кошелька в случае его потери, повреждения или переноса на другое устройство.

Когда вы создаете новый криптовалютный кошелек, вам обычно будет предложено записать и сохранить свою seed-фразу. Это важно, поскольку seed-фраза является единственным способом восстановления доступа к вашим средствам. Если вы потеряете доступ к своему кошельку или забудете пароль, seed-фраза будет использоваться для создания нового экземпляра кошелька с теми же самыми адресами и приватными ключами.

Seed-фраза представляет собой более безопасный способ хранения вашего кошелька, поскольку она предоставляет вам полный контроль над вашими средствами, не требуя хранения приватных ключей или другой конфиденциальной информации на устройстве. Однако важно обеспечить безопасное хранение своей seed-фразы, поскольку любой, кто получит доступ к ней, сможет восстановить ваш кошелек и получить доступ к вашим средствам.

Кроме того, seed-фраза используется для генерации дерева определенных ключей, таких как приватные и публичные ключи, которые используются для подписывания и проверки транзакций. Это позволяет вам отправлять и получать криптовалюту, используя свой кошелек.

Важно отметить, что каждый кошелек или криптовалютная платформа может использовать свои собственные правила для создания seed-фразы и определения длины и содержимого списка слов. Поэтому всегда следует внимательно прочитывать инструкции и соблюдать рекомендации, предоставленные вашим кошельком или платформой, для создания и сохранения seed-фразы.

Почему seed-фраза небезопасна

Seed-фраза (мнемонический код) — набор из 12, 18 или 24 английских слов. Этот код является одним из базовых этапов генерации древа приватных и публичных ключей вашего криптокошелька, которые дают полный доступ ко всем вашим монетам и токенам в разных блокчейнах, а также позволяют проводить с ними любые операции.

Вам seed-фраза нужна для восстановления доступа ко всем вашим криптоактивам в случае утери, поломки или кражи кошелька. Вроде бы все удобно, просто и логично. Есть только одно большое НО! Вашей seed-фразой можете воспользоваться не только вы, блокчейнам все равно, кто ее введет и получит доступ к криптоактивам, которые на ней завязаны.

Криптопользователи придумали множество способов защитить seed-фразу от того, кто ее украдет или найдет. Ее шифруют, добавляют к ней лишнее слово, делят на части и хранят в разных местах. Однако у всех этих методов есть крупный недостаток: они неудобны. А человек — существо в большинстве своем беспечное и энергоэффективное (т. е. ленивое). Поэтому очень многие владельцы криптовалюты просто записывают фразу на бумажке. И не думают о том, что листочек с заветными словами легко может повредиться, потеряться, попасть не в те руки. Есть и те, кто отправляют ее себе на email или хранят в текстовом файле в iCloud. Тут все еще грустнее. Уже сейчас мы знаем множество таких случаев, да и новые случаются практически каждый день.

Случаи потери seed-фразы

Актер Билл Мюррей собрал 119,2 ETH ($185 тыс.) на благотворительность в ходе аукциона NFT. Спустя всего несколько часов после завершения благотворительной акции хакеру удалось получить доступ к личному кошельку Мюррея. Злоумышленник успешно похитил все доходы от благотворительного аукциона NFT ($185 тыс.) и скрылся с выручкой. После этого хакер попытался украсть некоторые из NFT Мюррея, которых у него много. Хакер смог получить доступ к кошельку благодаря тому, что seed-фраза владельца была скомпрометирована.
3 августа 2022 года на блокчейн-проект Solana была организована хакерская атака, во время которой преступники взломали более 9000 кошельков пользователей. Токены SOL и SPL были переведены со взломанных кошельков клиентов на кошельки злоумышленников. Общая сумма выведенных активов составила более 8 миллионов долларов. Массовый взлом кошельков Solana произошел в то время, когда централизованные серверы хранили незашифрованные seed-фразы, отправленные мобильным приложением Slope Wallet, делая их видимыми для любого, кто имеет доступ к серверу, показал предварительный вывод аудиторской компании OtterSec, занимающейся аудитом блокчейна.
Бо Шен, партнер-основатель венчурной компании Fenbushi Capital, в ноябре 2022 поделился в Twitter новостью о том, что хакеры украли из его личного кошелька криптовалюту на сумму порядка 42 миллионов долларов. По словам Шена, кража произошла 10 ноября, причем большая часть похищенных средств — 38 миллионов долларов — пришлась на стейблкойн USDC. Компания SlowMist, специализирующаяся на безопасности блокчейна, заявила, что, согласно ее анализу, хакерам удалось скомпрометировать seed-фразу кошелька Шена.
В 2020 году предприниматель, инвестор и любитель криптовалюты Алистар Милн запустил в Твиттере конкурс по взлому seed-фразы от его кошелька, где хранился 1 BTC. Автор намеревался время от времени выкладывать подсказки — первые слова seed-фразы — в Twitter, но фраза была разгадана раньше, чем он ожидал. Разработчик Джон Кантрелл вычислил seed-фразу методом подбора после того, как Милн выложил первые семь слов: он создал программу, которая тестировала несколько миллионов seed-фраз в час, пытаясь определить нужную. К удивлению многих, на метод подбора ушло всего 30 часов, и Джон Кантрелл стал счастливым обладателем 1 BTC.
В январе 2020 года пользователь холодного кошелька Ledger заявил о потере криптовалюты ZCash на сумму 16 тысяч долларов. Он установил себе расширение Ledger Secure на браузер Google Chrome. Ledger Secure не имеет ничего общего с компанией Ledger. Вместо выполнения полезных действий программа попросту передает seed-фразу пользователя злоумышленнику, если пользователь уже вводил ее на компьютере.

Мы перечислили вам крупнейшие известные случаи, когда компрометация seed-фразы приводила к утечке криптоактивов. Но количество таких случаев неуклонно растет. Только по итогам 2022 года суммарный объем краж цифровых активов с различных блокчейн-платформ составил $3,5 млрд — по подсчетам экспертов аналитической компании Chainalysis. Были поставлены очередные антирекорды как по объемам похищенных средств, так и по числу инцидентов.
Мошенники не останавливаются ни перед чем, когда речь идет о краже криптовалюты. Они способны получить доступ к seed-фразе с помощью социальной инженерии, взлома аккаунтов или обыска. И при этом вы можете даже не подозревать, что seed-фраза давно в руках злоумышленников, и они только и ждут, когда на адресе вашего кошелька появятся средства.

Как защитить свои активы

Чтобы избежать случаев утери или кражи seed-фразы, выбирайте модель холодного кошелька, в котором бэкап приватного ключа не строится на seed-фразе. Как, например, Tangem Wallet, который полностью позволяет избежать рисков, связанных с хранением seed-фразы. Вместо этого ключ клонируется на другие карты комплекта. В случае потери или кражи кошелька ваши активы все равно будут с вами, ведь у вас останется 2 или 3 дополнительных карты-кошелька. Одна карта действует как основной криптокошелек, вторую карту можно надежно спрятать, третью — оставить в сейфе или отдать на хранение членам семьи. Даже если основная карта будет потеряна или украдена, не страшно — она защищена паролем. Взломать пароль перебором не получится — при неверном вводе пароля задержка до следующей попытки растет и в итоге составит 45 секунд.

Если же без seed-фразы вам не обойтись, защитите ее самым надежным образом. Существуют различные автономные устройства, предназначенные для хранения seed-фразы, безопасность которой все равно станет вашей ответственностью. И соблюдайте элементарные правила криптогигиены:

никогда не храните свою seed-фразу в Интернете;
никогда не вводите свою seed-фразу в любое приложение, не убедившись в его безопасности;
никогда никому не передавайте свою seed-фразу;
не теряйте свою seed-фразу.

Вот вроде бы и все по теме. А каким кошельком пользоваться, с seed-фразой или без нее, — выбор за вами. В любом случае, безопасность ваших криптоактивов — ваша ответственность.

Что такое seed-фраза для криптокошелька и как её обезопасить

Seed-фраза — это мнемоническая фраза из 12 и более слов английского языка (обычно 24), которые расположены в строго определённом порядке. Seed-фраза используется для генерирования закрытого ключа при ассиметричной криптографии. Основное предназначение seed-фразы — это восстановление криповалютного кошелька при утере закрытого ключа или физического доступа к кошельку (например вследствие его кражи или выхода из строя).

Иногда seed-фразу называют “фразой восстановления” или “резервной фразой”. Некоторые используют этот термин в качестве синонима “закрытого ключа”, что является ошибкой, так как это разные вещи.

Важность сохранения seed-фразы в секрете

Seed-фразу необходимо хранить в строжайшем секрете, так как она позволяет сгенерировать закрытый ключ от вашего криптовалютного кошелька, а значит создать его полный дубликат со всеми вытекающими отсюда последствиями. Наличие Seed-фразы с одной стороны обеспечивает безопасность кошелька и является надёжным способом восстановления, но с другой стороны вызывает целый ряд неудобств с точки зрения её хранения.

У владельцев криптовалютных кошельков есть совершенно разные способы хранения seed-фразы:

записать на электронном носителе, например в файле или послать себе по электронной почте. Это, наверное, самый ненадёжный способ хранения seed-фразы из всех возможных. С учетом высокого риска разного рода хакерских атак и распространения компьютерных вирусов (которые могут передать чувствительную информацию злоумышленникам), вероятность хищения seed-фразы, хранящейся на компьютере в долгосрочной перспективе близка к 100%. Кроме того, жёсткий диск компьютера может просто физически выйти из строя и похоронить seed-фразу вместе с криптовалютным кошельком
записать на бумаге. Большинство пользователей записывают seed-фразу на бумажном носителе. Безопасность такого хранения однако вызывает вопросы, ввиду недолговечности самой бумаги. Чернила могут выцвести, смазаться, на лист бумаги можно что-то пролить, он может быть случайно порван так далее. Стоит заметить, что многие ламинируют лист бумаги с написанной seed-фразой, однако остаётся риск хищения. При этом злоумышленнику необязательно непосредственно завладеть листком бумаги, его достаточно просто сфотографировать
записать на деревянном или металлическом носителе. С точки зрения физической целостности такой способ хранения seed-фразы, конечно, лучше, чем бумага, однако риск хищения — такой же высокий
разделить seed-фразу на несколько частей и хранить части по-отдельности — интересный на первый взгляд способ обезопасить seed-фразу от хищения, который используют многие криптоэнтузиасты. Этот способ несомненно повышает безопасность, но не исключает риск хищения на 100%, а также не спасает от атаки методом brute force (читайте далее, прецедент с Алистером Милном)
заучить seed-фразу наизусть. При кажущейся надёжности практика показывает, что это один из самых ненадёжных способов хранения. Уверен, что Магнус Карлсен сможет запомнить хоть с десяток seed-фраз, но если говорить про среднестатистического человека, то запомнить строгую последовательность из 24 слов и помнить её на протяжении долгого времени весьма проблематично

Известные случаи хищения криптовалюты через скомпрометированную seed-фразу

Все владельцы криптовалюты озабочены сохранностью своей seed-фразы и стараются выбрать место хранения по-надёжнее. Кто-то используют сейф, кто-то — банковские ячейки, кто-то прячет записку с seed-фразой на даче, в машине, у друзей, в каком-либо не очевидном месте. Но на 100% рисков избежать невозможно, это надо помнить всегда.

Ниже приведу самые известные случаи хищения криптовалюты путём получения доступа к кошелькам через украденную seed-фразу:

119.2 ETH было похищено у знаменитого актёра Билла Мюррея, которые он собрал на благотворительность. Впоследствии было установлено, что доступ к кошельку был получен хакером через seed-фразу, к которой удалось получил доступ
крупная атака в 2022 году была организована на кошельки владельцев криптовалюты SOL. Общая сумма похищенных средств оценивается в 8 млн. долларов. Как выяснилось, seed-фразы пользователей хранились на централизованных серверах приложения Slope wallet. Хакеры взломали сервер и получили доступ к данным пользователей
мошеннический проект iotaseed.io, который предоставлял пользователям сервис генерации случайных seed-фраз в реальности сохранял информацию и впоследствии злоумышленники после поступления криптовалюты на кошельки пользователей воровали её. Таким образом было выведено более 4 млн. долларов средств клиентов
интересный случай произошел в 2020 году, не связанный с хищением, но связанный с получением доступа к чужому кошельку через seed-фразу. Алистер Милн, предприниматель и криптоэнтузиаст запустил в Твиттере конкурс по взлому собственной seed-фразы от своего кошелька, где хранился 1 биткоин. Предполагалось, что Алистер будет периодически выкладывать подсказки, первые слова своей фразы. В итоге доступ к кошельку был получен после того, как были опубликованы первые 7 слов. Программист Джон Кантрелл создал программу и методом brute force разгадал seed-фразу Алистера Милна, на перебор всех вариантов после публикации седьмого слова ушло всего 30 часов

Есть альтернативный способ хранения без seed-фразы

Существуют альтернативные способы хранения криптовалюты, без необходимости использования seed-фразы и связанных с её использованием рисков, например, кошелёк Tangem Wallet. Он обходится без seed-фразы. Кошелёк представляет собой комплект пластиковых карт с чипами внутри. Закрытый ключ генерируется и хранится на чипе, seed-фразы нет, поэтому создать дубликат ключа вне чипа нельзя.

При этом функционал восстановления кошелька присутствует, но реализован принципиально другим способом. При создании кошелька закрытый ключ прописывается на чипах всех карт из комплекта кошелька, одна карта становится основной, а другая или другие две (в зависимости от комплектности) дополнительные карты прячутся в разных надёжных местах и служат дубликатами основной (в случае утери или хищения).

Заключение

Капитализация рынка криптовалют сегодня приближается к 740 млрд. долларов США, на пике в ноябре 2021 года капитализация превышала 2,1 трлн. долларов США. По оценкам экспертов ежегодно злоумышленники похищают у пользователей и институционалов до 3-5 млрд. долларов в криптовалюте. Будьте предельно внимательны в вопросе создания, хранения и использования своих seed-фраз или пользуйтесь альтернативными вариантами.

Я считаю, что наиболее оптимально как раз отсутствие seed-фразы, а кошелек Tangem — самым удобным на сегодня холодным кошельком. Купить Tangem Wallet можно на официальном сайте производителя (используйте промокод metamax, получите скидку 10%).

Оперативная информация о криптовалютном рынке, инвестиционные идеи, сетапы и некоторые сделки онлайн — в Telegram-канале (ссылка в описании профиля).