Пока в 2024 г. совокупные потери от крипто‑взломов превысили $2,2 млрд — пятый «миллиард‑плюс» год за последние семь лет — вопрос хранения активов снова выходит на первый план. Ниже разбираем конкретные угрозы, на что обращать внимание и как минимизировать риски, выбирая между централизованной биржей и собственным холодным кошельком.
1. Риски хранения на бирже
Риск
Как проявляется
Свежие примеры
Контрагентский
Биржа банкротится или скрывает дыру в балансе
FTX (2022); Bybit лишилась $1,5 млрд ETH из «холодного» хранилища в марте 2025 — крупнейший взлом отрасли. Финансовий Час
Хак горячих/«полу‑холодных» кошельков
Слабые ключи, уязвимость мультисиг‑инфраструктуры
WazirX потеряла $230 млн из‑за «blind signing» у держателей аппаратных ключей (июль 2024). Ledger
Регуляторный стоп
Заморозка счетов, задержка вывода, KYC‑апдейты
После кражи с Bybit следом пришли требования регуляторов Эмиратов о полной верификации всех аккаунтов. AP News
Внутренний фрод / ошибки
Админ‑ключи, баг в системе выводов
Большинство «мелких» инцидентов 2024 г. связаны с утечкой приватных ключей сотрудников. CCN.com
Как снизить
Выбирайте биржи c Proof‑of‑Reserves и прозрачной структурой холдинга средств.
Храните лишь объём, нужный для торговли; остальное выводите.
Дробите капитал между 2‑3 площадками, учитывая юрисдикции.
2. Риски при использовании холодного кошелька
Риск
Механизм
Кейсы
Полная утеря доступа
Потеря seed‑фразы, смерть владельца без наследственного плана
Каждый «биткойн‑вдовец» истории статистически теряет ~ 16 BTC — данных много, но это «невидимая» статистика.
Supply‑chain атаки
Устройство/ПО модифицировано до покупки
Официальный npm‑пакет XRPL был заражён бекдором для кражи приватных ключей (апрель 2025). aikido.dev
Уязвимости прошивки и функций восстановления
Неочевидный вывод seed, «blind signing»
Скандал с Ledger Recover (2023–24): услуга делила вашу мнемонику между кастодианами и потребовала KYC, вызвав массовую критику. BitdefenderCointelegraph
Физическое давление и side‑channel‑атаки
Кража устройства, вскрытие корпуса, замер напряжений
Старые модели Trezor вскрывались за минуты при доступе к плате — производитель перешёл на Secure Element только в Safe‑серии (2024). Ledger
Социальная инженерия
Фишинговые сайты, запрос «подпиши и получи airdrop»
Chain‑analysis фиксирует, что в 2024 г. более $1,2 млрд украдено через выманивание подписей на вредные транзакции. Chainalysis
Как снизить
Покупайте девайс только у производителя; проверяйте пломбы, пересчитайте хэш‑прошивки.
Используйте Multi‑Sig (2‑of‑3) с разными вендорами.
Отключите blind‑signing, подписывайте транзакции только после проверки полей.
Храните шифрованные бэкапы seed‑фразы офлайн в разных местах; составьте инструкцию наследникам.
3. Сравнение рисков
Категория
Биржа
Холодный кошелёк
Хакерский взлом
Высокий: цель №1 для атак — фокус средств в одном месте
Низкий для он‑лайн атак; остаётся supply‑chain / физический
Регуляторное воздействие
Высокий (KYC, заморозки)
Низкий (только при изъятии устройства)
Самостоятельная ошибка
Низкая: биржа ведёт бэкапы, двухфакторку
Высокая: потеря seed = потеря средств
Ликвидность
Мгновенная торговля, но риск очередей на вывод
Ликвидность = скорость перевода на биржу
Контроль над активами
Доверенное хранение (not your keys)
Полный контроль (your keys, your coins)
4. Гибридная модель: best of both
Split custody
70–80 % портфеля — в мульти‑сиг или офлайн‑устройстве.
20–30 % — на бирже с Proof‑of‑Reserves для трейдинга и быстрых платежей.
DCA‑автоснятие
Настройте автоматический вывод профита/депозита раз в неделю напрямую на cold‑адрес.
Fire‑drill
Раз в полгода тестово восстанавливайте seed на временном устройстве, чтобы убедиться, что резервная копия рабочая и читаемая.
Итог
Биржа решает задачи ликвидности, но вы добавляете контрагентский, технический и регуляторный риск.
Холодный кошелёк даёт суверенность, однако перекладывает всю операционную ответственность на владельца.
Сбалансированная стратегия — держать активы там, где для них наименьший sum‑risk: холод для «core‑капитала», биржа (или custodial‑кошелёк с прозрачной отчётностью) для активной части портфеля.
«Не ваши ключи — не ваши монеты» всё ещё правда, но «не ваш план — не ваши монеты» не менее актуально: без грамотного бэкапа, процедуры наследования и защиты устройства даже самый продвинутый холодный кошелёк превращается в лишь одну ошибку от необратимой потери.
