Self-custody — это модель, при которой пользователь сам контролирует приватные ключи от своих криптоадресов (и несёт за них полную ответственность). Противоположность — кастодиальное хранение, где ключи держит посредник (биржа, кастодиальный провайдер). Отсюда известный принцип: «Not your keys — not your coins».
Self-custody реализуется через некастодиальные кошельки: программные (desktop/mobile), аппаратные (hardware wallet), бумажные и др. Ключевая особенность — наличие у владельца seed-фразы и/или приватного ключа (см. Seed-phrase и Private key).
Зачем self-custody
- Полный контроль над активами. Ни блокировок аккаунта, ни заморозок по усмотрению посредника.
- Устойчивость к банкротствам и взломам кастодиантов. Не зависите от рисков третьей стороны (см. Proof of Reserves — PoR сам по себе не даёт ключей).
- Приватность и цензуроустойчивость. Никто не может «открутить» перевод, если ключ у вас.
- Интероперабельность. Один и тот же ключ/seed может работать во многих кошельках/сетях (с оговорками по стандартам).
Цена свободы — полная ответственность за бэкап и операционную безопасность: потеря seed = потеря средств.
Self-custody vs Custodial vs MPC
| Модель | Кто хранит ключи | Плюсы | Минусы |
|---|---|---|---|
| Self-custody | Вы сами (seed/ключ на вашем устройстве) | Полный контроль, нет контрагента | Риск потери/кражи seed, требуется OPSEC |
| Custodial (биржа/провайдер) | Третья сторона | UX «как в банке», восстановление через KYC | Контрагентский риск, заморозки, взломы |
| MPC/социальное восстановление | Ключ «разделён» на доли (часто с участием провайдера) | Удобное восстановление, без одной «супер-секретки» | Сложность модели, доверие к провайдеру/клиенту |
На практике встречаются гибриды: self-custody кошелёк + multisig/MPC для восстановления, или AA-подходы в Ethereum (см. Account Abstraction).
Риски и как их снижать
Ключевые угрозы:
- Потеря/порча носителя с seed-фразой.
- Фишинг (ввод seed на сайте-подделке/злой dApp).
- Вредонос/кейлоггер на устройстве, «доверенные» расширения браузера.
- Физический доступ злоумышленника (квартирный поиск, социальная инженерия).
- Ошибки при сетевых операциях (не та сеть, не тот адрес, подмена адреса в буфере обмена).
Меры защиты (минимум):
- Используйте аппаратный кошелёк для подписей оффлайн (см. Hardware wallet).
- Создайте несколько оффлайн-бэкапов seed (бумага/металл) и храните в разных местах.
- Зашифруйте цифровые резервные копии (если они есть) и держите офлайн.
- Никогда не вводите seed на сайтах/в чатах/«форме поддержки».
- Для day-to-day используйте отдельный «жертвенный» кошелёк с малым балансом; основные средства — в «холоде».
- Для входа в сервисы/биржи — 2FA (FIDO2/WebAuthn). Важно: 2FA не защищает seed; это про аккаунты, а не про блокчейн-ключи.
Бэкап и восстановление
- Seed-фраза (BIP-39). Запишите вручную (без фото!), проверьте восстановление на устройстве оффлайн. Подумайте о металлическом бэкапе (стойкий к огню/воде).
- Passphrase (25-е слово). Дополнительная фраза поверх seed: увеличивает безопасность, но обязательно хранить отдельно и также резервировать. Потеря passphrase = потеря доступа.
- Shamir Secret Sharing (SLIP-39). Делит секрет на N долей, из которых для восстановления нужно K (например, 2-из-3).
- Multisig. Вместо одного ключа — M-of-N подписи (см. Multisig). Удобно для семей/команд и крупных сумм.
Выбор схемы зависит от суммы, географии и угроз. Для крупных капиталов — multisig или SLIP-39 с распределением по юрисдикциям.
«Горячее» vs «холодное» хранение
| Тип | Где ключ | Для чего |
|---|---|---|
| Горячее (hot) | На устройстве, связанный с интернетом | Повседневные платежи, небольшие суммы |
| Тёплое (warm) | Аппаратный кошелёк, регулярные операции | Средние суммы, периодические сигнатуры |
| Холодное (cold) | Оффлайн-устройство/изолированный носитель | Долгосрочное хранение крупных сумм |
Рекомендация: архитектура «кошелёк-слоисто» — небольшой горячий, основной тёплый на «харде», «трезор» в холоде.
UX-аспекты и AA (Account Abstraction)
Self-custody долго был «неудобным»: один ключ, нулевая толерантность к ошибкам. AA/смарт-аккаунты в Ethereum добавляют:
- Социальное восстановление (guardians), пороги, роли.
- Ограниченные ключи-сессии (session keys) для dApp.
- Оплата газа альтернативными токенами/спонсорство (см. AA).
Это не отменяет self-custody, а скорее делает его управляемым: ваш аккаунт — код с политиками, а не «голая секретка».
Операционная гигиена (OPSEC)
- Отдельное устройство/профиль браузера для подписи транзакций; минимум расширений.
- Проверка адресов и доменов в закладках, аппаратное подтверждение деталей на экране устройства.
- Белые списки адресов на CEX, отключение «быстрого вывода», задержки на добавление новых адресов.
- Отдельная почта под криптосервисы, менеджер паролей с 2FA (лучше FIDO2).
- Не публикуйте «скрины» кошельков с метаданными; не храните seed в облаках.
Типичные ошибки
- Фото/скриншот seed-фразы в телефоне/облаке.
- Ввод seed на «сайте поддержки»/в «кошельке из рекламы».
- Отсутствие резервов или один бэкап «в комоде».
- Подписание транзакций, не читая, что написано на экране устройства.
- Хранение всех средств в одном горячем кошельке.
Чек-лист self-custody
- Аппаратный кошелёк для основных средств? — Да/Нет
- Минимум 2 оффлайн-бэкапа seed (бумага/металл) в разных местах? — Да/Нет
- Проверено восстановление «вхолостую»? — Да/Нет
- Используется passphrase / SLIP-39 / multisig для крупных сумм? — Да/Нет
- Отдельный «горячий» кошелёк для повседневки, лимиты? — Да/Нет
- OPSEC: отдельный профиль/браузер, закладки, антифишинг-привычки? — Да/Нет
- 2FA на всех сервисах вокруг (почта/биржи/менеджер паролей)? — Да/Нет
FAQ
Можно ли «забыть seed и восстановить по почте»? Нет. Self-custody означает, что восстановление без seed/passphrase невозможно. Почта/2FA — это про аккаунты, не про блокчейн.
Что надёжнее для крупных сумм: аппаратник или multisig? Часто — multisig с аппаратными ключами. Он убирает «single point of failure» и снижает риски компрометации одной секретки.
MPC-кошелёк — это self-custody? Зависит от реализации. Если все доли под вашим контролем/у доверенных сторон — ближе к self-custody. Если доля у провайдера критична — это уже гибрид с элементом доверия.
Можно ли держать всё в горячем кошельке, если у меня мало? Для мелких сумм — да, но используйте базовый OPSEC. По мере роста — мигрируйте в «тёплое/холодное» хранение.
См. также
* Кошелёк · Seed-phrase · Private key * Hardware wallet · Multisig · Account Abstraction * 2FA · Proof of Reserves · Risk Management
Вывод
Self-custody даёт автономию и снимает контрагентские риски, но требует дисциплины: аппаратные подписи, продуманные бэкапы, OPSEC и проверенные процедуры восстановления. Постройте многоуровневую схему (hot/warm/cold) с резервами и — по мере роста капитала — переходите на multisig/SLIP-39 или AA-политики. Так вы сохраните контроль и минимизируете главные риски самостоятельного хранения.