Аппаратный кошелёк: «холодный сейф» для приватных ключей
Суть: приватные ключи остаются внутри устройства, а подтверждение транзакций происходит на экране кошелька — это снижает риск кражи ключей через ПК, браузер и вредоносные расширения.
Аппаратный криптокошелёк — физическое устройство, которое хранит приватные ключи внутри себя и подписывает транзакции локально, не раскрывая ключи компьютеру или телефону.
В «горячих» кошельках операции подтверждаются в браузере или на смартфоне. В аппаратном кошельке ключи остаются внутри устройства, а подпись подтверждается на его экране (кнопками или сенсором), поэтому вредоносное ПО на хосте не получает приватные ключи.
Как работает аппаратный криптокошелёк
- Приватные ключи генерируются и хранятся на устройстве.
- Транзакция подписывается внутри кошелька и подтверждается на экране устройства.
- В сеть отправляется подписанная транзакция (цифровая подпись), а приватные ключи остаются офлайн.
Принцип: Кто контролирует ключи — тот контролирует активы.
Главные преимущества
- Подходит для долгосрочного хранения крупных сумм: риск ниже, чем у «горячих» кошельков.
- Вредоносное ПО на ПК/телефоне не получает приватные ключи из устройства, но может подменять детали в интерфейсе — критична сверка адреса и суммы на экране.
- Подходит для DeFi и стейкинга: подключение через фирменные приложения или WalletConnect (подключение кошелька к dApp по QR/сессии).
Контекст 2025: появилось больше моделей под разные сценарии подключения (USB, Bluetooth, QR). Ключевой критерий — сценарий: для частых операций важны экран и удобство подтверждения, для «холда» — модель угроз и качество резервирования.
Известные бренды остаются актуальными при базовой гигиене: офлайн-бэкап сид-фразы и сверка деталей операции на экране устройства.
Материал обновлён → учтены модели 2024–2025, сценарии USB/Bluetooth/QR и типовые риски “слепых” подписей в DeFi.
- Что проверять перед подтверждением → адрес/сеть/сумму на экране устройства.
- Как хранить резерв → практичное резервирование (металл, passphrase, Shamir).
Как выбрать аппаратный кошелёк: 5 критериев без воды
Пять критериев: детали на экране при подписи, тип поддержки (нативно или через интеграции), восстановление, а также подключение и цена.
-
Безопасность (ключи и доступ)
- PIN и защита от перебора: задержки, блокировка или стирание после N попыток.
- Сверка перед подписью на экране устройства: адрес, сеть, сумма, комиссия.
- Риски физического доступа: Secure Element и/или passphrase снижают последствия кражи устройства.
-
Удобство (ошибки подтверждения)
- Критерий экрана: отображаются детали операции, а не только “OK/Confirm”.
- Критерий адреса: читаемые длинные фрагменты, чтобы подмена была заметна.
- Для DeFi важна видимость approve/spender (кому выдаются права), а не “blind signing”.
-
Монеты и сети (тип поддержки)
- Поддержка бывает нативной в фирменном приложении или через интеграции (MetaMask/Electrum/Sparrow), что означает разные ограничения и разный UX.
- Совместимость определяется платформой (PC/Android/iOS) и конкретным приложением.
- Практическая проверка: тестовый цикл “получить → отправить малую сумму” показывает, какие детали выводятся на экран при подписи.
-
Подключение (USB, Bluetooth, QR)
- USB — предсказуемо; QR air-gap уменьшает число каналов обмена данными, но требует больше времени.
- Bluetooth удобен для телефона, но добавляет канал связи; в строгой модели угроз чаще используется как опциональный режим.
- Платформенные нюансы: Android (OTG), iOS (ограничения модели и приложения).
-
Цена (плата за UX, не за “магию”)
- Обычно ~$50–$300+: рост цены чаще связан с экраном, тачем и комфортом.
- Supply-chain риск ниже при покупке у официальных продавцов; “с рук” и “преднастроенные” устройства повышают вероятность компрометации.
- Расходы на резервирование: металл, второй комплект, раздельное хранение.
Что ещё учесть при выборе
- Софт: Ledger Live / Trezor Suite / BitBoxApp и совместимость со сторонними кошельками под нужные сети.
- Документация и обновления: понятные инструкции и частота релизов под нужную платформу.
- Бэкап: 24 слова / microSD / Shamir (если есть) и разовый тест восстановления “вхолостую”.
- Реакция на уязвимости: скорость, прозрачность, патчи.
Типовой провал связан не с “взломом чипа”, а с ошибками обращения: покупка не у официальных продавцов, цифровые копии сид-фразы и подпись без сверки адреса/сети/суммы на экране устройства.
Сравнение аппаратных кошельков 2024–2025: что покупается за свои деньги
Таблица не является “рейтингом”. Она помогает сопоставить сценарий: универсальный мультивалютный, air-gap по QR или BTC-only для строгой изоляции.
Как читать: 1) экран (адрес/сеть/сумма при подписи), 2) подключение (USB/BT/QR), 3) “# монет”. “Поддержка” бывает нативной (фирменное приложение) или через интеграции (MetaMask/Electrum/Sparrow).
Цены и число монет — ориентировочные: зависят от региона, поставок и обновлений.
| Модель | Цена | # Монет | Совместимость | Особенности | Преимущества | Недостатки |
|---|---|---|---|---|---|---|
| Trezor One | ~$65 (59 €) |
1000 | PC Android (OTG) |
OLED; 2 кнопки без SE; open-source |
Низкая цена: “порог входа” простой старт и настройка открытый код |
Нет BT и iOS маленький экран: адрес сложнее сверять без SE выше роль passphrase при физдоступе |
| Trezor Model T | ~$219 | 1800+ | PC Android (OTG) |
Тач 1.54″ (цвет) microSD (Shamir) open-source |
Тач-экран: легче сверять данные Shamir Backup для резервирования есть Monero |
Дороже многих альтернатив нет BT/iOS без SE важна дисциплина passphrase |
| Ledger Nano X | $149 | 5500+ | PC Android/iOS (BT) |
OLED; 2 кнопки BT + АКБ SE CC EAL5+ |
Широкий охват активов и интеграций мобильный сценарий: BT + аккумулятор SE-чип как плюс против физдоступа |
Закрытая прошивка (иная модель доверия) репутационные споры вокруг функций/инцидентов бренда на iOS часть сценариев может быть ограничена |
| Ledger Stax | $279 | 5500+ | PC Android/iOS (BT) |
E-Ink 3.7″ (тач) Qi зарядка SE EAL6+ |
Большой E-Ink: меньше “слепых” подтверждений крупный экран и тач SE EAL6+ |
Очень высокая цена несъёмный АКБ закрытая прошивка |
| Coldcard Mk4 | $150 | BTC-only | PC PSBT: microSD/USB |
OLED + клавиатура 2× SE; без BT NFC (опц.) |
BTC-only: строгий фокус PSBT/microSD для офлайн-подписи мультисиг и защитные режимы |
Только BTC выше порог входа (PSBT, мультисиг, Sparrow) меньше “повседневного” комфорта |
| Keystone 3 Pro | $149 | 5500+ | Автономно (QR) Android / iOS |
Экран 4″; 3× SE отпечаток; без USB/BT self-destruct |
Air-gap по QR: без кабеля/BT-канала данных большой экран: легче сверять детали удобен для мобильного DeFi через QR |
QR-процесс медленнее USB/BT устройство крупнее “флешек” UX завязан на приложения/связки |
| BitBox02 | $120 | ~1500 | PC Android (USB-C) |
Компактный USB-C сенсорные грани microSD-бэкап |
microSD-бэкап: быстрое восстановление баланс “прозрачность + железо” есть BTC-only версия |
Нет iOS у классической модели меньше сетей, чем у Ledger сенсорное управление требует привыкания |
| NGRAVE ZERO | $398 (398 €) |
1000+ | Автономно (QR) Android / iOS |
Тач 4″; камера SE EAL7; биометрия полностью офлайн |
Акцент на “железо” и физические риски большой экран + офлайн-подтверждения Graphene-бэкап как отдельный сценарий |
Очень высокая цена менее массовый опыт и меньше интеграций закрытая прошивка; сценарий через смартфон/связку |
| SafePal S1 | $50 | 30 000+ | Автономно (QR) Android / iOS; USB |
Экран + камера АКБ поддержка Binance Labs |
Доступный вход в “холодное” хранение широкие списки сетей/токенов QR-сценарий без кабеля |
Устаревший UI и кнопочная навигация редкие обновления и неоднородный UX компромисс по корпусу/ощущениям |
Практическая проверка: 1) актив есть в официальном списке и понятен тип поддержки; 2) на экране устройства видны адрес/сеть/сумма/комиссия перед подписью.
Обзоры аппаратных кошельков: 8 моделей и понятные компромиссы
Короткие обзоры по сценариям: универсальность, air-gap, BTC-only или большой экран.
Как читать: 1) “Суть” (сценарий и модель доверия), 2) параметры (экран/подключение/софт), 3) сильные стороны и ограничения, 4) итог по применимости.
Trezor One — простой «ветеран» для старта
Суть: бюджетный кошелёк без Bluetooth и аккумулятора. Частый выбор как “первый холодный”, но без Secure Element; при рисках физдоступа обычно добавляется passphrase.
- Подключение: USB (micro-USB) • без BT/АКБ
- Активы: >1 000 (BTC, ETH, LTC, ERC-20 и др.)
- Экран/управление: OLED (моно) • 2 кнопки
- Совместимость: Windows / macOS / Linux; Android (OTG) • iOS — нет
- Софт: Trezor Suite (Desktop + Web + Bridge)
- Модель защиты: open-source; SE: нет • PIN, Passphrase, офлайн-подпись
|
Сильные стороны
|
Ограничения
|
Кому подходит: базовый проводной сценарий и “порог входа” в холодное хранение; для класса с тач-экраном или SE чаще рассматриваются другие модели линейки.
Trezor Model T — флагман Trezor с тач-экраном
Суть: цветной тач-экран и ввод PIN/passphrase на устройстве. Есть Shamir Backup. Подход “open-source без Secure Element”.
- Подключение: USB-C • microSD для Shamir • без BT/АКБ
- Активы: ≈1 800+ • Monero — именно здесь
- Экран: 1.54″ цветной тач • ввод на устройстве
- Совместимость: PC; Android (OTG) • iOS — нет
- Софт: Trezor Suite
- Модель защиты: open-source; SE: нет • Shamir, CoinJoin, FIDO2
|
Сильные стороны
|
Ограничения
|
Кому подходит: сценарии, где важны тач-UX и Shamir Backup при максимально “открытой” модели доверия.
Ledger Nano X — мультивалютный “на каждый день”
Суть: компактный кошелёк с Bluetooth и батареей для мобильных сценариев. Ledger Live закрывает базовые операции. Есть Secure Element CC EAL5+, но прошивка закрытая.
- Подключение: USB-C / Bluetooth • АКБ
- Активы: ≈5 500+
- Экран: OLED 128×64 • 2 кнопки
- Совместимость: PC; Android / iOS • возможны ограничения
- Софт: Ledger Live
- Модель защиты: SE CC EAL5+ • PIN, Passphrase, U2F
|
Сильные стороны
|
Ограничения
|
Кому подходит: “один кошелёк под многое” (мультисети + мобильный сценарий), если приемлема закрытая прошивка.
Ledger Stax — большой E-Ink и упор на удобство подтверждений
Суть: акцент на читаемость: изогнутый E-Ink 3.7″, тач, Qi-зарядка и магниты. По сценариям близок к Nano X, но подтверждения на экране проще считывать. SE EAL6+.
- Подключение: USB-C / Bluetooth • Qi • АКБ
- Активы: ≈5 500+
- Экран: 3.7″ E-Ink (тач) • always-on
- Совместимость: PC; Android / iOS
- Софт: Ledger Live
- Модель защиты: SE EAL6+ • PIN, Passphrase
|
Сильные стороны
|
Ограничения
|
Кому подходит: сценарии, где в приоритете читаемость и комфорт подтверждений на экране.
Coinkite Coldcard — BTC-only и максимум контроля
Суть: BTC-кошелёк для “строгого режима”: PSBT через microSD (air-gap), 2× Secure Element, duress-PIN и защитные режимы. Часто используется под мультисиг и долгий холд.
- Подключение: USB (питание) • microSD (PSBT) • без BT/АКБ
- Активы: BTC-only
- Управление: OLED + клавиатура • 12 клавиш
- Совместимость: PC + офлайн через microSD
- Софт: Electrum / Sparrow / Specter
- Модель защиты: 2× SE • duress PIN, Brick Me, tamper
|
Сильные стороны
|
Ограничения
|
Кому подходит: BTC-холд и мультисиг-схемы, когда контроль важнее “повседневного” удобства.
Keystone 3 Pro — air-gap по QR для активного DeFi
Суть: обмен данными через QR (без BT и без USB-обмена данными), большой 4″ тач, 3× Secure Element и защитные режимы. Сценарий — мобильный DeFi через WalletConnect и связки с совместимыми приложениями.
- Подключение: Air-gap (QR) • без BT/USB-данных
- Активы: ≈5 500+
- Экран: 4″ тач + камера
- Совместимость: Android / iOS • PC через QR
- Софт: Keystone Companion • WalletConnect
- Модель защиты: 3× SE • Self-Destruct, Fingerprint
|
Сильные стороны
|
Ограничения
|
Кому подходит: QR air-gap и активные операции в DeFi с телефона при приоритете офлайн-подписи.
BitBox02 — минимализм и microSD-бэкап “в один шаг”
Суть: компактный проводной кошелёк с microSD-резервом “файлом”, open-source подходом и защищённым чипом. Есть Multi и BTC-only версии.
- Подключение: USB-C • microSD (бэкап)
- Активы: ≈1 500+ (Multi) • BTC-only — отдельная версия
- Управление: OLED • сенсорные грани
- Совместимость: PC; Android (USB-C) • iOS — нет
- Софт: BitBoxApp
- Модель защиты: SE ATECC608A • Anti-Klepto, U2F
|
Сильные стороны
|
Ограничения
|
Кому подходит: аккуратное хранение с приоритетом простого резервирования и минималистичного UX.
NGRAVE ZERO — “настольный сейф” с EAL7 и QR-режимом
Суть: офлайн-устройство формата “мини-смартфона”: QR-обмен, большой экран, SE EAL7, тампер-сенсоры и физический бэкап Graphene. Нишевый класс с акцентом на физические риски.
- Подключение: Air-gap (QR) • USB-C: заряд/прошивка
- Активы: ~1 000+
- Экран: 4″ тач + камера • 480×800
- Совместимость: Android / iOS
- Софт: Liquid • WalletConnect; QR-интеграции
- Модель защиты: SE EAL7 • тампер-сенсоры, NGRAVE OS
|
Сильные стороны
|
Ограничения
|
Кому подходит: строгая модель угроз и крупные суммы, когда приоритет — офлайн-подпись и физическая устойчивость устройства.
Нишевые модели и достойные альтернативы
Здесь не “главные хиты”, а устройства под конкретные сценарии: ультрабюджет, Trezor с SE, BTC-only с UX, open-source для техничного подхода, NFC-карта для повседневного.
SafePal S1
Формат: air-gap через QR (USB — опционально, зависит от сценария).
Активы: заявлено >30 000 токенов/сетей — фактическая поддержка зависит от SafePal App.
Сильная сторона: низкая цена входа в холодное хранение + широкий охват сетей по спискам.
Ограничение: более простой UX и закрытая прошивка — модель доверия отличается от open-source устройств.
Кому подойдёт: сценарии, где важна минимальная цена при широких списках сетей, а QR-процесс приемлем по скорости.
Trezor Safe 3
Формат: проводной (USB), без Bluetooth.
Экосистема: Trezor Suite (PC + Android через OTG).
Сильная сторона: “Trezor-опыт” + Secure Element в более доступной линейке.
Ограничение: нет iOS/BT и нет тача — подтверждение и навигация менее “мобильные”.
Кому подойдёт: сценарии, где важны интерфейс Trezor и SE-чип против рисков физдоступа.
Blockstream Jade
Формат: гибридные режимы — USB / Bluetooth / QR.
Фокус: open-source подход и BTC-сценарии (часто через Green и совместимые кошельки).
Сильная сторона: выбор режима подключения под ситуацию (USB для простоты, BT для мобильности, QR для изоляции).
Ограничение: отсутствие “классического” Secure Element — для части сценариев это принципиально.
Кому подойдёт: open-source подход и гибкость режимов подключения без привязки к одному сценарию.
Foundation Passport
Формат: BTC-only с QR-air-gap и упором на понятный UX.
Интеграции: чаще всего связка со Sparrow/Specter и другими BTC-инструментами.
Сильная сторона: строгий BTC-фокус без “чисто технарского” интерфейса.
Ограничение: высокая цена и строго BTC-only (без сценария “на всякий случай альтов”).
Кому подойдёт: хранение только BTC с QR-air-gap при приоритете читаемости и навигации.
Tangem Wallet
Формат: NFC “смарт-карта” без экрана — управление через смартфон.
Безопасность: Secure Element (часто указывают EAL6+); прошивка закрытая/неизменяемая.
Сильная сторона: минимальный порог входа и быстрый повседневный сценарий.
Ограничение: без экрана на устройстве отсутствует “железная” сверка адреса/суммы; возрастает зависимость от смартфона.
Кому подойдёт: сценарии, где важны скорость и форм-фактор карты, а автономность и экранная сверка вторичны.
Гид-подбор: аппаратный кошелёк под профиль и сценарий
Подбор сводится к трём параметрам: активы (BTC-only или мультисети), подпись (USB / Bluetooth / QR) и масштаб риска (повседневные операции или крупные суммы).
Короткая логика подбора:
- Телефон: Bluetooth (Ledger) или QR air-gap (Keystone / SafePal / NGRAVE).
- Меньше “слепых” подтверждений: читаемые адрес и сумма на экране (крупнее экран или более прозрачный интерфейс).
- Крупные суммы: приоритет у схем мультисиг + разнесённые бэкапы, затем — выбор модели.
1) Новичкам и для повседневного
- Trezor Safe 3 / Trezor One — проводной сценарий и экосистема Suite; защита от подмены упирается в сверку адреса на экране.
- Ledger Nano S Plus — бюджетно и широко по монетам при USB-сценарии.
- SafePal S1 — много сетей за минимальные деньги при QR-подписи; скорость ниже USB/BT.
2) DeFi/NFT и активное использование
- Ledger Nano X / Ledger Stax — Bluetooth, Ledger Live и интеграции для мультисетей.
- Keystone 3 Pro — QR air-gap для мобильного DeFi через WalletConnect и совместимые приложения; QR-обмен добавляет шаги и уменьшает число каналов обмена данными.
- BitBox02 Multi — microSD-бэкап и экосистема; охват сетей сопоставляется с целевыми токенами.
3) Крупные суммы и строгая модель угроз
- Мультисиг 2-из-3 — меньше риск “одной точки отказа”: разные бренды + разнесённое хранение ключей и бэкапов.
- NGRAVE ZERO — QR air-gap и акцент на защиту (дороже и менее “повседневный” формат).
- Рутина важнее модели: passphrase, металлический бэкап, тест восстановления и сверка адреса/суммы на экране.
Критично при каждой подписи: сверка адреса, сети и суммы на экране устройства. Сид хранится офлайн (желательно в металле), PIN/сид/passphrase не передаются третьим лицам.
Вопросы и ответы (FAQ)
Бэкап сид-фразы для аппаратного кошелька: металл, passphrase или Shamir — что выбирать?
Базовый уровень — металл и второй комплект в другом месте. Для крупных сумм добавляют passphrase или используют Shamir 2-из-3; отдельный шаг — разовая проверка восстановления на “чистом” устройстве. Подробный разбор резервирования вынесен в отдельный материал: сид-фраза: хранение и бэкапы.
USB, Bluetooth или QR (air-gap): как это влияет на аппаратный кошелёк и подтверждение?
QR/PSBT уменьшает число каналов обмена данными, USB остаётся рабочим вариантом при сверке на экране, Bluetooth добавляет канал связи ради мобильности. Общий принцип: сверка адреса/сети/суммы выполняется на устройстве, а не в приложении.
Заражённый ПК/смартфон и “чистый” аппаратный кошелёк: где остаётся риск?
Приватные ключи не покидают устройство, но заражённый хост может подменять адрес и детали в интерфейсе. Практическая реакция: остановка операций и переход на чистое окружение; при сомнениях применяется сценарий новый сид + passphrase и перевод средств.
DeFi/NFT через аппаратный кошелёк: что важно видеть при подписи?
Критично, чтобы на экране устройства читались детали операции и тип действия (например, transfer или approve), а в EVM — кто spender и какой allowance выдаётся. Углубление по approvals и отзыву разрешений вынесено отдельно: approval/allowance: проверка и revoke.
Что сверять на экране устройства перед подписью?
Кому (адрес), что (актив/сумма), где (сеть/chainId), сколько (комиссия). В EVM отдельно: transfer или approve, и кто spender. Если операция неясна, подпись откладывается.
Когда имеет смысл мультисиг с аппаратными кошельками?
Для крупных сумм схема 2-из-3 на устройствах разных брендов снижает риск одной точки отказа. Условия сценария: раздельное хранение ключей и бэкапов, тест потери одного устройства. Пошаговая сборка и нюансы кросс-вендора вынесены отдельно: мультисиг 2-из-3: принципы и сборка.
Наследование и аппаратный кошелёк: что нужно предусмотреть?
Два слоя: юридические документы и отдельная “тех-инструкция” (где бэкапы и порядок действий). Сид-фраза не размещается в завещании; сценарий должен работать без участия владельца.
Финал: холодное хранение, которое реально работает
Аппаратный кошелёк хранит приватные ключи внутри устройства и подписывает транзакции офлайн. Подтверждение на экране снижает риск подмены адреса и “подписи не того”.
Практичная формула: ключи офлайн + бэкап раздельно + сверка на экране — базовый набор, который важнее “топ-модели”.
Сид-фраза не должна попадать в цифровой вид (фото/сканы/облако/ввод на ПК). Если сид оказался “в цифре”, риск компрометации считается повышенным.
|
Рекомендуется
|
Нежелательно
|
Мини-алгоритм запуска
- Покупка: официальный продавец → проверка упаковки и комплектации.
- Инициализация: сид создаётся на устройстве → запись офлайн → второй комплект.
- Доступ: PIN → при необходимости passphrase (отдельное хранение).
- Проверка: тест-перевод туда/обратно на небольшую сумму.
- Разделение: отдельный адрес для хранения и отдельный “операционный” для DeFi.
- Обслуживание: обновления только с официальных источников + периодическая ревизия разрешений (allowance).
Финальная мысль: безопасность даёт не “самый дорогой кошелёк”, а рутина: офлайн-бэкап, раздельное хранение и сверка на экране.