Некастодиальный кошелек: тест трех приложений по пяти критериям

Для теста взяты три массовых приложения из разных классов: MetaMask, Trust Wallet и Rabby Wallet. Не как «лучший некастодиальный кошелек» в вакууме. Такой категории нет. Есть профиль экспозиции: EVM-торговля, мультичейн-хранение, DeFi-операции, подключение hardware signer, работа с токенами в сетях с разной ликвидностью.
Что именно делает кошелек некастодиальным
Некастодиальный кошелек для криптовалюты — это интерфейс к приватным ключам. Не депозитный счет. Не брокерский аккаунт. Не биржевой субсчет. Актив остается в блокчейне, кошелек только формирует и подписывает транзакцию.
Критический объект — seed. Обычно 12 или 24 слова по BIP-39. Стандарт опубликован в 2013 году и стал базовой схемой мнемонического восстановления. При корректной реализации seed можно восстановить в другом совместимом кошельке. Это снижает vendor lock-in. Но не снижает риск утечки.
BIP-39 работает вместе с HD-логикой: из одной мнемоники выводится дерево ключей. Для маршрутов деривации используется BIP-44 и смежные схемы. Практический эффект простой: один seed, много адресов, разные сети, разные аккаунты. Ошибка тоже простая: пользователь считает, что «удалил приложение» — значит, удалил риск. Нет. Пока seed скомпрометирован, риск живет.
Отличие от CEX-аккаунта жесткое:
| Параметр | Некастодиальный кошелек | Централизованная биржа |
|---|---|---|
| Контроль приватного ключа | У пользователя | У платформы |
| KYC для старта | Нет | Обычно да |
| Блокировка сервисом | Не является штатной функцией кошелька | Возможна на уровне аккаунта |
| Комиссия за хранение | 0% | Обычно 0%, но есть риск правил платформы |
| Основной риск | Сид, фишинг, вредные подписи | Контрагент, KYC, заморозка, операционный риск |
| Восстановление доступа | Через seed 12/24 слова | Через поддержку и процедуры платформы |
0% комиссии за хранение — не равно 0% стоимости владения. Транзакции оплачиваются сетевой комиссией. Свопы идут через DEX, мосты, агрегаторы или встроенных провайдеров. Там появляется спред, fee route, MEV, проскальзывание и риск контракта.
Некастодиальность убирает риск биржи. Она не убирает риск пользователя. Она просто меняет его адрес.
Методика: пять параметров вместо рейтинга по популярности
Популярность кошелька не является метрикой безопасности. Установки в сторах не показывают качество генерации ключей, прозрачность кода, поведение при подписи typed data и уровень защиты от вредных approval.
Я использовал пять параметров. Без весов «для всех». Вес зависит от сценария.
1. Контроль ключей и стандарты восстановления.
Наличие seed-фразы 12/24 слова, совместимость с BIP-39, возможность восстановления в другом кошельке, экспорт аккаунтов, маршруты деривации.
2. Прозрачность и проверяемость.
Open source, публичные репозитории, возможность аудита кода сообществом, отсутствие закрытого критического слоя там, где формируются ключи и подписи.
3. Поведение при транзакциях.
Симуляция, отображение approvals, предупреждения о подозрительных контрактах, читаемость подписи, контроль nonce, gas, slippage.
4. Мультичейн и ликвидность маршрутов.
Поддержка EVM и не-EVM сетей, ручной RPC, работа с токенами, мостами, DEX-агрегаторами. Здесь важна не длина списка сетей, а качество маршрута и предсказуемость операции без ручного ремонта.
5. Интеграция с аппаратными кошельками.
Некастодиальный hot wallet без hardware signer остается hot wallet. Для долгосрочного хранения крупной экспозиции холодная подпись снижает площадь атаки. Логика покупки устройства отдельно разобрана в материале про покупку холодного кошелька напрямую; здесь фиксирую только совместимость приложений с таким контуром.
Три приложения дают разную архитектуру.
| Критерий | MetaMask | Trust Wallet | Rabby Wallet |
|---|---|---|---|
| Базовый профиль | EVM-стандарт де-факто | Мультичейн-кошелек для широкой корзины активов | EVM/DeFi-кошелек с упором на симуляцию |
| Сид и восстановление | BIP-39-совместимая логика | BIP-39-совместимая логика | Импорт seed/private key, EVM-аккаунты |
| Open source | Существенная часть кода публична | Компоненты и core-части публичны, приложение не стоит считать полностью прозрачным как монолит | Публичные репозитории, акцент на проверяемость |
| Аппаратные кошельки | Сильная интеграция в браузере | Ограниченнее, зависит от платформы и сценария | Сильная интеграция для EVM-сценариев |
| Главный риск | Слишком широкий фишинговый таргет | Сложность мультичейна и разная зрелость сетей | Более узкий профиль: не универсальный кошелек для всех сетей |
MetaMask: базовый EVM-терминал, но не сейф
MetaMask остается стандартным входом в EVM. Ethereum, L2, sidechains, кастомные RPC, DeFi-протоколы, NFT-маркетплейсы, DAO-инструменты — совместимость с dApp максимальная. Это не оценка качества. Это сетевой эффект.
Сильная сторона MetaMask — совместимость. Если стратегия построена на EVM-ликвидности, кошелек снижает операционный friction. Подключение к протоколам почти всегда работает. Подписи EIP-712 читаются лучше, чем «слепой hex», если dApp реализован корректно. Есть ручной контроль gas, nonce, сетей. Для трейдера это не косметика. Зависшая транзакция в перегруженной сети — это потеря опциона на вход/выход.
Но именно из-за сетевого эффекта MetaMask является основным таргетом фишинга. Фейковые расширения, поддельные сайты, вредные pop-up, approvals на бесконечный allowance. Если адрес активно использует DeFi, угроза не в «взломе кошелька», а в нормальной подписи вредного действия.
Типовая девиация: пользователь думает, что подписывает логин, а подписывает typed data с последствиями для разрешений. Или подтверждает unlimited approval для токена на контракте, который через час меняет поведение через прокси. Кошелек не обязан понимать экономический смысл каждого контракта. Он показывает транзакцию. Решение принимает владелец ключа.
Для cold storage MetaMask подходит как интерфейс к аппаратному устройству. Это правильнее, чем держать seed hot wallet на том же браузере, где открыты dApp, Discord и почта. Но конструкция становится безопасной только при дисциплине: аппаратный signer хранит ключ, MetaMask дает UI, seed устройства не вводится в браузер.
По комиссии: MetaMask не берет плату за хранение. Сетевой gas платится блокчейну. При встроенных свопах возможны комиссии маршрута и спред. Точные текущие ставки меняются, поэтому оценивать надо итоговый quote, а не рекламную надпись внутри интерфейса.
Практический профиль MetaMask:
- EVM-трейдинг и DeFi — высокая пригодность.
- Мультичейн за пределами EVM — слабее.
- Long-term storage без hardware signer — повышенный риск.
- Работа с новыми dApp — высокий фишинговый шум.
- Контроль продвинутых параметров — выше среднего.
Trust Wallet: широкий мультичейн, но больше операционных веток
Trust Wallet закрывает другой интент: один мобильный кошелек под много сетей. Для пользователя с BTC, ETH, BNB Chain, Solana, Tron и набором токенов это снижает количество приложений. Для портфеля с мелкими позициями удобно. Для строгой операционной модели — добавляет ветвления.
Мультичейн — не бесплатный фактор. Каждая сеть имеет свой формат адресов, комиссии, memo/tag, токен-стандарты, поведение bridge, риск поддельных токенов. Чем шире список сетей, тем больше шанс ошибиться на уровне пользователя. Кошелек может скрыть часть сложности, но не отменить ее.
Trust Wallet не требует KYC для старта. Seed остается у пользователя. Хранение стоит 0% комиссии сервиса. Сетевые комиссии — отдельно. Встроенные обмены зависят от провайдеров, DEX-агрегаторов или маршрутов. Спред на неликвидных парах может быть выше видимой комиссии. В P2P- и CEX-логике пользователь привык смотреть на fee. В кошельке надо смотреть на итоговое количество получаемого актива, depth route и slippage.
С точки зрения open source картина менее линейная, чем у Rabby. Есть публичные компоненты и библиотечные части, но массовому пользователю не стоит превращать это в тезис «весь кошелек полностью проверяем». Для модели риска корректнее считать Trust Wallet удобным мультичейн-интерфейсом с частичной проверяемостью, а не академическим эталоном прозрачности.
Где Trust Wallet выигрывает:
1. Мобильный мультичейн.
Много активов в одном интерфейсе. Меньше приложений, меньше seed-фраз, меньше ручных импортов.
2. Быстрый старт без KYC.
Создание кошелька, запись seed, получение адреса. Нет биржевого аккаунта и проверки личности.
3. Поддержка массовых сетей.
Удобно для портфеля, где есть не только EVM.
Где появляется риск:
- пользователь отправляет актив в правильную сеть, но не тот стандарт токена;
- забывает memo/tag там, где он нужен;
- делает своп через маршрут с плохой ликвидностью;
- принимает поддельный токен как реальный баланс;
- хранит seed в скриншоте или облачной заметке.
Для суммы, которую пользователь готов оперативно перемещать между сетями, Trust Wallet рационален. Для крупного cold storage — только как интерфейс вокруг более жесткой схемы хранения. Иначе мобильное устройство становится единой точкой отказа.
Rabby Wallet: DeFi-кошелек с нормальной симуляцией, но узкой областью
Rabby Wallet интересен не количеством сетей в маркетинговом списке, а поведением перед подписью. Для DeFi это главный слой. Если кошелек показывает изменение баланса до подтверждения, подсвечивает рискованные approvals, симулирует транзакцию и явно разделяет сети, он снижает шанс дорогой ошибки.
Rabby построен вокруг EVM-сценариев. Это плюс, если портфель и стратегии находятся в Ethereum, Arbitrum, Optimism, Base, BNB Chain и других совместимых сетях. Это минус, если нужен универсальный кошелек под BTC, Solana, Tron и длинный хвост L1.
В DeFi риск часто возникает не на этапе хранения, а на этапе взаимодействия. Адрес может быть чистым. Seed не утек. Но пользователь подписывает транзакцию, которая выдает контракту право списывать токен. Или подключается к фишинговому домену, копирующему dApp. Симуляция не дает абсолютной защиты. Но уменьшает количество слепых подписей.
Rabby также удобен для работы с несколькими аккаунтами и hardware signer. Для адресов, где есть реальная экспозиция, это базовая схема: ключ на устройстве, Rabby как интерфейс, DeFi-операции через симуляцию. Hot seed для крупных сумм не нужен.
Ограничение — ликвидность не в самом кошельке. Кошелек не делает рынок. Он отображает и маршрутизирует операции через протоколы. Если в пуле плохая глубина, спред останется плохим. Если bridge имеет риск контракта, интерфейс не превращает его в безрисковый инструмент.
Для активного DeFi Rabby дает лучший набор защитных сигналов из трех. Для пользователя, которому нужно «держать все монеты в одном приложении», он менее универсален, чем Trust Wallet. Для совместимости с любым dApp MetaMask все еще имеет более широкий сетевой эффект.
Лучший некастодиальный кошелек определяется не брендом, а типом транзакций. Хранение, DeFi и мультичейн — разные задачи.
Безопасность некастодиальных кошельков: где реальный риск
Безопасность некастодиальных кошельков почти всегда ломается не в криптографии. BIP-39 не является слабым местом при нормальной энтропии и корректной реализации. Слабое место — операционный контур.
Пять основных векторов:
1. Компрометация seed-фразы.
Скриншот, облачная заметка, мессенджер, письмо самому себе, ввод seed на фишинговом сайте. После утечки восстановление контроля невозможно без перевода средств на новый seed.
2. Вредные approvals.
Unlimited allowance для токенов остается активным, пока его не отозвали. Особенно опасно для адресов, которые годами ходят по новым протоколам.
3. Фишинговые dApp.
Домен отличается на один символ. Интерфейс копирует оригинал. Пользователь подписывает действие, которое выглядит как routine login.
4. Поддельные токены и airdrop-приманки.
На адрес приходит токен с названием известного актива или «claim». Взаимодействие с контрактом создает риск.
5. Компрометация устройства.
Malware, подмена clipboard, вредное расширение браузера. Hot wallet в такой среде не имеет изоляции.
Из этих пяти только часть решается выбором приложения. Остальное решается сегментацией.
Рабочая схема для портфеля:
| Слой | Назначение | Инструмент |
|---|---|---|
| Cold storage | Долгосрочное хранение основной экспозиции | Аппаратный кошелек, seed офлайн |
| DeFi operational | Работа с протоколами и ликвидностью | Rabby или MetaMask + hardware signer |
| Mobile spending | Небольшие суммы, переводы, мультичейн | Trust Wallet или аналог |
| Burner wallet | Новые dApp, mint, тесты | Отдельный hot seed без крупного баланса |
Один seed для всего — плохая модель. Не потому что кошелек «плохой». Потому что корреляция риска равна 1. Один фишинговый ввод — вся экспозиция под угрозой.
Комиссии: что считать, если хранение стоит 0%
У некастодиального кошелька нет комиссии за хранение. Это важный ноль. Но он часто неправильно интерпретируется.
Реальная стоимость операций складывается из нескольких компонентов:
- Network fee.
Gas в EVM, комиссия валидатора или майнера в других сетях. Зависит от нагрузки сети, размера транзакции и параметров fee market.
- Swap fee.
Комиссия DEX, агрегатора или встроенного провайдера. Может быть явной или встроенной в quote.
- Slippage.
Разница между ожидаемой и фактической ценой. На неликвидных парах это главный расход.
- Bridge fee.
Комиссия моста плюс риск задержки, лимитов, контракта и финализации.
- MEV.
Сэндвич-атаки и неблагоприятное исполнение. Особенно на публичных mempool и токенах с тонкой ликвидностью.
Сравнивать «комиссию кошелька» бессмысленно без маршрута. Один и тот же swap внутри разных интерфейсов может пойти через разные агрегаторы и дать разный output. Для ликвидных пар разница мала. Для long-tail токенов — существенная.
MetaMask и Rabby сильнее там, где пользователь сам контролирует DeFi-маршрут. Trust Wallet удобнее для простых операций, но внутри мультичейн-свопов надо смотреть итоговые числа. Не процент в описании, а output после всех маршрутов.
Сводная матрица: какой кошелек под какой сценарий
Некастодиальный кошелек рейтинг без сценария дает ложную точность. Поэтому матрица ниже не сортирует приложения по «местам». Она показывает пригодность под задачу.
| Сценарий | MetaMask | Trust Wallet | Rabby Wallet |
|---|---|---|---|
| EVM dApp-совместимость | Высокая | Средняя | Высокая |
| Активный DeFi | Средняя/высокая | Средняя | Высокая |
| Мультичейн-портфель | Средняя | Высокая | Низкая/средняя |
| Мобильное хранение малых сумм | Средняя | Высокая | Средняя |
| Работа с hardware signer | Высокая | Средняя | Высокая |
| Прозрачность транзакций перед подписью | Средняя | Средняя | Высокая |
| Универсальность для новичка | Средняя | Высокая | Средняя |
| Контроль продвинутых параметров | Высокий | Средний | Высокий |
Если портфель в основном EVM и есть регулярные DeFi-операции, Rabby выглядит рациональнее как ежедневный интерфейс. Если нужна максимальная совместимость с dApp и привычная инфраструктура, MetaMask остается базовым терминалом. Если задача — держать разнородные активы в одном мобильном приложении без KYC, Trust Wallet закрывает больше сетей.
Но для крупной экспозиции все три приложения должны быть не хранилищем, а интерфейсом. Ключевой актив — seed. Его место не в телефоне, не в браузере и не в облаке.
Итоговая позиция по трем приложениям
Сводная оценка без претензии на универсальный рейтинг, по пригодности к типовым задачам:
- Rabby Wallet для активного EVM-DeFi: высокая пригодность. Причина — симуляция транзакций до подписи, явное отображение approvals, чистая работа с hardware signer для основного адреса экспозиции, контроль nonce и gas на уровне читаемого интерфейса.
- MetaMask как базовый EVM-терминал: высокая пригодность для широкого набора dApp. Причина — максимальная совместимость с протоколами, развитые EIP-712 подписи, контроль nonce/gas, сильная интеграция с аппаратными кошельками в браузере. Минус — повышенный фишинговый шум из-за сетевого эффекта.
- Trust Wallet для мобильного мультичейна: высокая пригодность для портфеля с множеством сетей. Причина — один интерфейс под BTC, ETH, BNB, Solana, Tron и связанные токены, без KYC. Минус — операционная сложность растет вместе с числом сетей, и пользователь должен держать в голове различия стандартов и memo-полей.
Длинный горизонт и крупная экспозиция — отдельная задача. Здесь все три приложения работают как интерфейс к более жесткой схеме хранения. Горячий seed под значимую сумму — плохая идея вне зависимости от бренда кошелька.
Модель «один seed на весь портфель» имеет низкую рациональность. При компрометации одного seed риск затрагивает всю экспозицию, потому что корреляция рисков равна единице. Модель сегментированного хранения — cold storage на hardware signer, operational hot wallet под конкретный сценарий, burner для новых dApp — рациональна и удерживает аварийный сценарий в пределах одного сегмента, а не всего портфеля.
Некастодиальный кошелек сам по себе не равен безопасности. Безопасность некастодиальных кошельков — это сумма дисциплины по seed, сегментации экспозиции, внимания к подписям и изоляции устройства. Кошелек дает инструмент. Решение и ответственность остаются у владельца ключа.