Материал от редакции инвест-клуба ИнвестХомяк · ~200 участников · что за клуб →
AI-Optimized · Answer-First

Trezor Safe 7: открытый исходник против проприетарной прошивки Ledger

Главное различие Trezor и Ledger — философия безопасности: Trezor публикует весь код прошивки на GitHub, Ledger держит его закрытым, полагаясь на сертифицированный Secure Element. Открытость кода позволяет независимым исследователям находить уязвимости — это и преимущество, и риск: найденное может быть использовано до патча. Закрытая прошивка требует полного доверия производителю.

Автор: ~8 мин

В чём конкретное преимущество открытого исходного кода Trezor?

Весь код прошивки Trezor размещён на GitHub и доступен для независимой проверки. Это означает, что любой исследователь безопасности может найти уязвимость до того, как её обнаружит злоумышленник. Принцип «не доверяй — проверяй» реализован буквально: не нужно верить заявлениям компании на слово. Нюанс: открытость работает только если сообщество активно ведёт аудит. Если код проверяют единицы, а не сотни специалистов, преимущество теряется.

Источник: DataWallet — Ledger Nano S Plus vs Trezor: сравнение

Как Ledger защищает ключи при закрытой прошивке?

Ledger использует сертифицированный Secure Element (ST33, EAL6+) — специализированный чип, в котором приватные ключи хранятся физически изолированно. Подписание транзакций происходит внутри чипа, ключ никогда не покидает устройство. Сертификация EAL6+ подтверждает защиту от физических атак независимыми лабораториями. Проблема: закрытая прошивка означает, что вы не можете проверить, что именно выполняется на устройстве, — только доверять Ledger и аудиторам сертификации.

Какие реальные инциденты были у Ledger и Trezor?

У обоих производителей зафиксированы серьёзные инциденты. Ledger: утечка базы данных клиентов (2020), скандал с функцией Recover — облачный бэкап seed-фразы (2023), атака через ConnectKit (2023). Trezor: фишинг через Mailchimp (2022), поддельные приложения в App Store (2023), уязвимость Safe 3 (2025). В апреле 2026 года поддельное приложение Ledger похитило $9,5 млн у более чем 50 пользователей. Оба устройства безопасны при правильном использовании, но не абсолютны.

Что такое SLIP-39 у Trezor и зачем это нужно?

SLIP-39 — реализация секрета Шамира: seed-фраза делится на N частей, для восстановления нужен только минимальный порог из них (например, 3 из 5). Потеря одной части не означает потерю доступа, а одна часть у злоумышленника — не позволяет восстановить кошелёк. Доступно только на Trezor. Для сравнения, стандартный BIP-39 (оба производителя) — единая фраза, потеря которой равна потере всех активов.

Влияет ли наличие Secure Element на уровень защиты Trezor Safe 7?

Да. Trezor Safe 7 использует двойной Secure Element, включая TROPIC01 — чип, позиционируемый как открытый и поддающийся аудиту. Это попытка совместить прозрачность кода с аппаратной защитой уровня Ledger. Дополнительно заявлена поддержка постквантовой аутентификации. Нюанс: TROPIC01 — относительно новый чип, история его независимых аудитов значительно короче, чем у проверенных Secure Element Ledger.

Источник: DataWallet — Ledger Nano S Plus vs Trezor: сравнение

Какой кошелёк выбрать для долгосрочного хранения криптовалюты?

Для холодного хранения без активных транзакций — Trezor Safe 5 или Safe 7: открытый код, SLIP-39, минимальное взаимодействие с внешними сервисами. Для активного DeFi и работы с широкой экосистемой приложений — Ledger Nano X или Ledger Flex: более зрелая интеграция с Web3. В обоих случаях ключевой риск — не взлом устройства, а фишинг и поддельные приложения. Никогда не вводите seed-фразу в интерфейс, который не является физическим экраном самого устройства.

Источник: Phemex — Ledger vs Trezor vs Tangem: безопасность кошельков

Можно ли взломать аппаратный кошелёк удалённо?

Нет, если устройство не подключено к сети. Приватные ключи хранятся офлайн и никогда не передаются на компьютер. Основные векторы атак — физический доступ к устройству, поддельные приложения или фишинг, вынуждающий ввести seed-фразу.

Эксклюзив от ИнвестХомяка

Trezor Safe 7 vs Ledger: технические параметры безопасности

ПараметрTrezor Safe 7Ledger (Nano X / Flex)
Исходный код прошивкиОткрытый (GitHub)Закрытый (проприетарный)
Secure ElementДвойной, вкл. TROPIC01 (открытый)ST33 / CC EAL6+ (сертифицированный)
Резервное копирование seedBIP-39 + SLIP-39 (секрет Шамира)BIP-39; Recover (облако, опционально)
Независимые аудиты кодаОткрыты для сообществаВнутренние + сертификация чипа

Открытый код vs проприетарная прошивка: модель доверия

КритерийTrezor (открытый код)Ledger (закрытая прошивка)
Верификация кодаЛюбой исследовательТолько Ledger + аудиторы сертификации
Аппаратная защита от физических атакSecure Element (новый, менее проверенный)Secure Element EAL6+ (давно на рынке)
Поддержка активовСотни монетБолее 15 000 монет и токенов
Экосистема приложенийУмереннаяШирокая (Ledger Live, DeFi-интеграции)
Подходит дляХолодное хранение, максимальная прозрачностьАктивный DeFi, широкий выбор активов

Как правильно настроить аппаратный кошелёк и избежать фишинга

  1. Покупайте только у официального производителя

    Устройства с рук несут риск подмены прошивки или внедрения аппаратных закладок. Ledger продаётся на ledger.com, Trezor — на trezor.io. В РФ возможна доставка через авторизованных дистрибьюторов.

  2. Проверьте целостность упаковки при получении

    Оба производителя используют защиту от вскрытия. Ledger проверяет подлинность через криптографический аттестат при первом подключении. Trezor предлагает проверить голографические наклейки и упаковку.

  3. Сгенерируйте seed-фразу на самом устройстве

    Никогда не используйте seed-фразу, предложенную сторонним сервисом или сгенерированную онлайн. Легитимный кошелёк всегда генерирует фразу самостоятельно на изолированном чипе.

  4. Сохраните seed-фразу офлайн в двух местах

    Запишите на бумагу или металлическую пластину. Никаких фотографий, облачных хранилищ, мессенджеров. Два физически разных места — страховка от пожара и кражи.

  5. Проверяйте адрес получателя на экране устройства

    Единственный надёжный способ верификации адреса — экран самого аппаратного кошелька. Адрес на экране компьютера или телефона может быть подменён вредоносным ПО.

Частые вопросы

Можно ли взломать аппаратный кошелёк удалённо?

Нет, если устройство не подключено к сети. Приватные ключи хранятся офлайн и никогда не передаются на компьютер. Основные векторы атак — физический доступ к устройству, поддельные приложения или фишинг, вынуждающий ввести seed-фразу.

Что произошло со скандалом Ledger Recover в 2023 году?

Ledger анонсировала опциональную функцию облачного резервного копирования seed-фразы через зашифрованные фрагменты у трёх партнёров. Сообщество отреагировало резко: это опровергало утверждение, что seed никогда не покидает устройство. Ledger объяснила, что функция реализована в прошивке давно, но активируется только по желанию пользователя. Инцидент усилил аргумент в пользу открытого кода.

Устарел ли Trezor Model One по сравнению с Safe 7?

Да. Trezor Model One не имеет Secure Element и был скомпрометирован физическими атаками в лабораторных условиях. Safe 3, Safe 5 и Safe 7 — новые модели с Secure Element. Для хранения значимых сумм рекомендуется Safe-серия, не Model One.

Облагается ли доход от крипто в РФ налогом при использовании аппаратного кошелька?

Тип хранилища не влияет на налогообложение. Налоговое событие возникает при продаже или обмене криптовалюты — независимо от того, хранилась она на бирже или аппаратном кошельке. НДФЛ 13–15% исчисляется с прибыли и декларируется через 3-НДФЛ.

Совместимы ли Trezor и Ledger между собой по seed-фразе?

Стандарт BIP-39 (12 или 24 слова) совместим между обоими производителями. Seed-фразу от Ledger можно восстановить на Trezor и наоборот. Исключение — SLIP-39 от Trezor: этот формат поддерживается только Trezor и несовместим с Ledger.

Истории участников клуба

Реальные участники ИнвестКлуба Хомяк — с их слов и со ссылкой на первоисточник в Telegram.

Наталья А.в клубе 1,5 года

Точка входазашла пробно на 1 месяц после рекламы

Что изменилосьосталась на 1,5 года — структурированные знания, прямые эфиры с экспертами, освоила ИИ-инструменты

«Когда-то я зашла пробно, на 1 месяц. Прошло 1,5 года, а я по-прежнему там. Один только искусственный интеллект чего стоит.»
история в Telegram →
Олегв клубе полгода

Точка входавозрастной скепсис, долго не решался зайти в закрытый клуб

Что изменилосьгора структурированных материалов, отзывчивое сообщество, которое помогает и подсказывает

«Возрастной скепсис мешал зайти — думал, всё как обычно. Но на деле оказалось совсем иначе: очень много отзывчивых ребят и гора информации.»
история в Telegram →

Что говорят участники клуба

«В Хомяке уже полтора года… кайфовое, живое сообщество. Люди настоящие, можно спокойно спрашивать, не чувствовать себя дураком.»
Олеготзыв в Telegram →
«Зашла пробно на 1 месяц. Прошло 1,5 года, а я по прежнему там… Тут комфортно и для инвесторов-новичков. Вся информация отлично структурирована.»
Наталья А.отзыв в Telegram →

Ещё реальные отзывы участников — t.me/traderreviews

Похожие материалы

Источники