Як безпечно передати ключ від Ethereum-гаманця

У Ethereum-гаманці зберігається не тільки ETH. DeFi-позиції на Aave та Uniswap, колекція NFT, десятки ERC-20 токенів, застікані активи на Lido – все це контролюється одним приватним ключем. Якщо ключ втече, все зникне за секунди. Нема банку, якому можна зателефонувати. Немає повернення коштів.

Але бувають ситуації, коли передати доступ до гаманця дійсно необхідно: залишити дані для екстреного відновлення чоловіка, координувати загальну скарбницю або передати проектний гаманець партнеру. Питання в тому, як це зробити, не наражаючи на все ризик.

Типи ключів Ethereum та їх ризики

Сід-фраза (12/24 слова)

Мнемонічна фраза, що генерується при створенні гаманця — зазвичай 12 чи 24 англійські слова. За допомогою цих слів можна повністю відновити гаманець. По суті це майстер-ключ від усіх ваших коштів.

Приватний ключ (Hex-рядок)

64-символьний шістнадцятковий рядок, що починається з 0x. У MetaMask її можна експортувати через «Дані облікові записи». Як і сід-фраза, дає повний контроль над гаманцем.

Чому ключі Ethereum особливо небезпечні

На відміну від Bitcoin, Ethereum-гаманці пов'язані з дозволами DeFi-контрактів. Якщо ви коли-небудь схвалили необмежену витрату токенів (Unlimited Token Approval) на DEX або NFT-маркетплейсі, зловмисник з вашим ключем може вивести не лише баланс, а й усі токени, вкриті цими дозволами. Один скомпрометований ключ може торкнутися кожного протоколу, з яким ваш гаманець будь-коли взаємодіяв.

Типові помилки користувачів ETH

1. Надсилання ключів «підтримці» в Discord або Telegram

Хтось пише вам у особисті повідомлення, пропонуючи вирішити проблему з гаманцем, і просить приватний ключ або сид-фразу. Це завжди шахрайство. Офіційна підтримка MetaMask ніколи не просить ваші ключі. У Telegram-чатах криптоспільства такі схеми особливо поширені — шахраї маскуються під адміністраторів каналів.

2. Скріншот сід-фрази MetaMask

Скріншот здається зручним рішенням, але зображення може автоматично синхронізуватись з iCloud, Google Фото або резервною копією пристрою. Зламаний хмарний обліковий запис або шкідлива програма з доступом до фото означає, що ваш гаманець розкритий.

3. Зберігання в Google Диску або нотатках

Зберігати сид-фразу у вигляді звичайного тексту в хмарному сховищі - це бомба сповільненої дії. Те саме стосується відправки собі через Telegram до «Вибраного» — повідомлення зберігаються безстроково і доступні з будь-якого пристрою, на якому виконано вхід.

4. Введення сид-фрази на фішингових сайтах

Сайт просить «підключити гаманець», ввівши сід-фразу. Легітимні DApps підключаються через розширення браузера, такі як MetaMask, і ніколи не вимагають вводити 12 слів вручну. Якщо сайт це вимагає, негайно закрийте вкладку.

Безпечні методи передачі

Апаратний гаманець + паперова копія

Ledger або Trezor зберігають ключі офлайн. Запишіть сид-фразу на папері (або викарбуйте на металі) і помістіть у сейф або банківську комірку. Фізична ізоляція від інтернету - найнадійніший захист.

Мультипідпис з Gnosis Safe

Замість того, щоб одна людина контролювала всі ключі, Gnosis Safe (зараз Safe) дозволяє створити гаманець, який вимагатиме кількох підписів для авторизації транзакцій. Налаштування 2 із 3 означає: навіть якщо один ключ скомпрометований, активи залишаються в безпеці.

Гаманці із соціальним відновленням

Гаманці на кшталт Argent дозволяють призначити довірених зберігачів (Guardians), які допоможуть відновити доступ. Це значно знижує необхідність ділитися приватними ключами безпосередньо.

Захищена паролем замітка для екстреного бекапу

Коли вам дійсно потрібно передати сид-фразу або приватний ключ довіреному члену сім'ї, LOCK.PUB дозволяє створити секретну замітку, захищену паролем. Інформація шифрується та доступна лише за встановленим вами паролем. Встановіть термін дії, і замітка стане недоступною після закінчення - набагато безпечніше, ніж залишати ключі в листуванні Telegram.

Перед передачею: перевірки для Ethereum

Відгук дозволів на токени

Перш ніж ділитися доступом до гаманця, перевірте та відкликайте непотрібні дозволи на Revoke.cash або в Token Approval Checker на Etherscan. Необмежені дозволи – це бомби уповільненої дії, які потрібно знешкодити.

Перевірка DeFi-позицій

Перевірте, що розміщено в протоколах Aave, Compound, Uniswap та Lido. Гаманець може показувати невеликий баланс ETH, тоді як значну вартість заблоковано в пулах ліквідності або стейкінг-контрактах.

Безпека NFT-колекції

Цінні NFT вимагають особливої уваги. Перевірте дозволи маркетплейсів на OpenSea та Blur. Чинний дозвіл може дозволити зловмиснику виставити та продати ваші NFT за нуль.

Порівняльна таблиця

| Метод | Рівень безпеки Підходить для | |-------|---------------------|-------------| | Апаратний гаманець + папір Дуже високий | Особисте довгострокове зберігання | Мультипідпис (Safe) Дуже високий | Команда чи загальна скарбниця | | Соціальне відновлення Висока | Особистий план відновлення | Секретна нотатка LOCK.PUB | Висока | Екстрений бекап | | Telegram / Звичайний текст | Дуже низька | Ніколи не використовувати |

Дійте зараз

Безпека ваших активів Ethereum починається з управління ключами. Якщо вам потрібно передати інформацію для відновлення довіреній людині, не надсилайте її через Telegram. Створіть захищену паролем нотатку на LOCK.PUB, надішліть посилання та пароль по різних каналах і встановіть термін дії, щоб ваші ключі не зберігалися вічно в чиїйсь історії повідомлень.