Кошельки Ellipal: критический обзор безопасности, сравнение моделей и выгоды

Содержание

Вы узнаете про безопасность и все типы кошельков Ellipal. А также про сравнение с конкурентами такими как SafePal, Trezor и Ledger.

Обзор и назначение Ellipal

Основная идея кошельков Ellipal – полное отсутствие связи с интернетом. Все транзакции выполняются через сканирование QR-кодов в мобильном приложении и камерами самих аппаратных кошельков.

При этом, формат QR-кодов открыт - любой желающий может проверить на GitHub, что ключи не передаются по сети.

При этом вы видите детали транзакции (адрес, сумму) на дисплее Ellipal перед QR-подписанием. И хотя QR-коды исключают векторы атак, потому что нет ни USB, ни Bluetooth/Wi-Fi соединений, постоянное сканирование QR сильно замедляет работу. Особенно если вы собираетесь часто отправлять транзакции.

Это если вкратце. Теперь погрузимся в детали безопасности, разбор кошелька и посмотрим на саму компанию.

Надежна ли репутация компании

Теперь рассмотрим, что за компания и репутация у разработчиков.

Компания Ellipal основана в Гонконге и начала производить аппаратные кошельки в 18г.

Согласно отзывам на Trustpilot, пользователи хвалят высокую безопасность и быструю поддержку, но жалуются на задержки доставки и брак комплектных SD-карт.

В целом о компании не так много известно, кроме того, что они называют себя «лидером холодных кошельков». Но верить на слово производителям мы не будем.

Виды кошельков

У компании есть 4 вида кошельков:

Titan – версия кошелька, похожая на смартфон с большим экраном и с операц. системой Андроид.
Titan Mini – версия меньше и без Андроидовской прошивки. Это важно с точки зрения безопасности, поскольку урезанная прошивка уменьшает поверхность для взлома.
Карточный кошелек (X Card), и идущий в комплекте стартер. По сути просто банковская карта с чипом. Работает через касание к телефону (NFC).
Ellipal в виде мобильного приложения – он как оболочка для взаимодействия с аппаратными кошельками, но и работает как самостоятельный горячий кошелек.

Прочитайте про каждый кошелек по ссылкам выше чтобы глубже понять специфику и безопасность конкретного кошелька.

На фото все версии кошельков – Мини, Титан 2.0, карта и стартер для карты.

Поддерживаемые криптовалюты

Все кошельки Ellipal поддерживают 40 блокчейнов и более 10 000 токенов в этих сетях. Среди активов вы найдете BTC, ETH, SOL и сети ERC20, BSC, TRX и др. По сути, здесь поддерживаются весь спектр криптовалют.

Однако вы покупаете аппаратный кошелек в первую очередь ради безопасности и удобного хранения крипты. Рассмотрим, что дает вам Ellipal в этих аспектах.

Безопасность и риски

Из мер безопасности у аппаратных кошельков реализовано следующее:

Ваша безопасность:

Полная изоляция. Нет USB, Bluetooth, Wi-Fi – только QR-коды между аппаратником и мобильным приложением. Ключи никогда не покидают устройство.
Самоуничтожение. При физическом вскрытии Ellipal автоматически удаляет все данные
Режим сброса. После 10 неверных попыток ввода ПИН-кода, устройство стирает приватные ключи и возвращается к заводским настройкам.

Доп. меры безопасности:

Скрытые аккаунты (passphrase). Опциональная доп. фраза создает двойное дно в кошельке - без нее скрытый счет не отображается.
Пыле- и влагозащищенный корпус повышает надежность в повседневном использовании.
Металлическая плата для сид-фразы. Дополнительно можно купить стальной бланк вместо бумаги. Он защитит от воды, огня и коррозии.

Теперь к минусам. Начнем с незначительных

Частично закрытый код - нет независимого аудита ПО - приходится верить на слово производителю.
Долгие транзакции - постоянное сканирование QR-кодов замедляет процесс.

Теперь рассмотрим минусы безопасности более глубоко.

Критика архитектуры безопасности

Ellipal Titan, по сути, представляет собой обычный Android-телефон со всеми его уязвимостями, закрытыми лишь программными средствами.

Группа исследователей безопасности Ledger провела исследование, в ходе которого выявила, что при физическом доступе к аппаратному кошельку Ellipal Titan злоумышленник может извлечь сид-фразу, а также установить вредоносную версию прошивки!

Ellipal оперативно отреагировал выпуском обновления (v2.0), однако независимая проверка эффективности исправлений так и не проводилась.

Таким образом, несмотря на маркетинговое заявление об физической изоляции, Ellipal Titan уязвим к атакам при наличии физического доступа.

Читайте подробный гайд про версию Ellipal Titan 2.0.

Другое дело – версия Titan Mini,и она безопаснее! Здесь главным управляющим микроконтроллером оказался Allwinner Sochip V831, что указывает на то, что устройство работает на собственной встроенной прошивке, а не на полноценной операционной системе Android.

Благодаря этому поверхность атаки программного обеспечения значительно меньше по сравнению с оригинальным Ellipal Titan, который работал на заблокированной Android-системе. Другими словами, они просто с помощью ПО заблокировали функции Андроида, но фактически блокировку можно снять. И в кошельке появятся соединения, которых не должно быть.

Пришло время сравнить безопасность версии Титан и Мини.

Сравнение безопасности Титан с версией Мини

Сравнивая Titan Mini с оригинальным Titan, стало ясно, что это совершенно новая аппаратно-программная платформа, а не просто уменьшенная версия прежней модели. На Titan Mini установлена собственная прошивка (вместо Android) и выделенный защищенный элемент. Это значительно снижает поверхность атаки ПО и повышает уровень безопасности по сравнению с предыдущим поколением.

Однако стоит учесть, что прошивка на всех устройствах Ellipal включая Titan Mini по-прежнему является закрытой. Для некоторых это может стать весомым недостатком, а другие предпочтут доверять компании Ellipal.

	Titan Mini	Titan
Экран	2.4 HD	3.97
Камера	2 МП (практически аналогична 5 МП Titan)	5 МП
Батарея	600 mAh (хватает надолго)	1400 mAh
Клавиатура	Без перемешивания букв	С перемешиванием (защита от подглядывания)
Автовыключение	Есть	Только ручное

В сухом остатке, камера в Мини версии - 2 Мп, у оригинала - 5 Мп, но в ходе тестирования различия в сканировании QR-кодов оказались незначительными. Экран Мини версии имеет диагональ 2,4″ (HD), тогда как у оригинального Titan диагональ составляет 3,97″. При этом, несмотря на меньший аккумулятор (600 mAh вместо 1400 mAh), Мини держит заряд примерно так же долго. У Мини меньше энергопотребление, а у Titan - более яркий и больший дисплей.

Наш вывод в том, что Mini меньше по размеру, его удобно носить с собой, он дешевле и обладает большей безопасностью за счет другой прошивки.

Так же версия Mini довольно крепкая - устройство выдерживало проезд автомобиля без повреждений. На заводе его компоненты устанавливаются в рамку, а потом вся конструкция закрепляется на передней панели с помощью клея.

Так же у версии Титан бывают проблемы с распознаванием SD-карты при обновлении прошивки.

Кошелек в виде карты

ELLIPAL X Card Cold Wallet – это аппаратный кошелек в виде банковской карты. Он хранит вашу сид-фразу в своем защищенном чипе. Для подписания транзакций достаточно приложить карту к смартфону (NFC), что обеспечивает удобство и теоретически высокий уровень безопасности. Это исключает передачу приватных ключей в онлайн.

Однако у карты нет экрана, что делает ее слепым подписантом - вы не можете проверить детали транзакции (например, адрес получателя или сумму) непосредственно на устройстве. Это создает высокий риск подписания мошеннических операций, если злоумышленник подменит данные в приложении.

Вторым минусом будет то, что стартер для активации карты имеет закрытый исходный код – вы не можете проверить, как именно генерируются сид-фразы и обеспечивается ли их криптографическая безопасность.

Читайте отдельный гайд про карточный кошелек Ellipal.

Мобильное приложение Ellipal

Хотя приложение имеет сильные функции безопасности (ПИН-код, Touch ID/Face ID и др.), его уровень защиты ниже холодного хранения из-за доступа в интернет (горячий кошелек). Как самостоятельное решение он надежен, но чаще служит интерфейсом для аппаратных кошельков Ellipal, обеспечивающих холодное хранение ключей.

Читайте отдельный гайд про все возможности мобильного приложения и его безопасность.

Рассмотрев безопасность, перейдем к обзору удобства и выгодности использования кошельков Ellipal.

Удобство и выгода

Все кошельки Ellipal работают через мобильное приложение и предлагают следующие опции.

Ваши экономические возможности:

Стейкайте ADA (3,9 % годовых), XTZ, DOT, KSM и др.
Меняйте криптовалюты одну на другую.
Используйте встроенный браузер dApps для безопасного доступа к DeFi-приложениям, играм и др.
Управляйте NFT через мобильный кошелек.
Покупайте и продавайте криптовалюты прямо в приложении.
Подключите внешние dApps через WalletConnect и взаимодействуйте с протоколами DeFi.
Добавляйте и управляйте пользовательскими токенами помимо стандартного списка.

Приложение предлагает функции обмена, покупки и стекинга без взимания дополнительных комиссий, хотя некоторые их сторонние партнеры взимают собственные комиссии.

Процесс настройки аппаратников очень прост, поскольку устройство похоже на смартфон. И хотя кошелек и его адаптер для зарядки довольно громоздкие, большой экран упрощает работу.

В плане удобства, сенсорный экран версии Titan очень отзывчивый. У версии Мини экран чуть похуже.

Перейдем к сравнениям чтобы понять какие кошельки дают вам лучшие условия.

Сравнение Ellipal с SafePal

Критерий	Ellipal Titan 2	SafePal S1 Pro	Кто лучше?
Цена	~$199	~$89.99	SafePal
Безопасность	Чип CC EAL5+ 100% изоляция Анти-вскрытие	Чип CC EAL5+ Изоляция (но есть USB-C для зарядки/прошивки)	Паритет (оба EAL5+ и Изолированны)
Экран и Управление	Большой сенсорный экран (удобно, как смартфон)	Маленький экран (1.3) Неудобный джойстик	Ellipal
Поддержка крипты	Все основные сети (ERC-20, BSC, Solana, Polkadot, Cosmos и т.д.) Нет Aptos	Все основные сети + Aptos Лучшая интеграция с MetaMask/Trust Wallet	Паритет (SafePal +Aptos)
Прочность	Ламинированный экран, неразборный дизайн	Алюминий + закаленное стекло	Одинаково
Плюсы	Лучший пользовательский опыт (UX), премиальное ощущение	Лучшая цена, компактность
Минусы	Цена в 2 раза выше, Андроид прошивка	Неудобное управление (джойстик, мелкий экран)

У SafePal, в отличии от Ellipal так же есть браузерное расширение, что полезно для быстрых транзакций и подключения к DeFi-приложениям.

Сравнение Ellipal с Ledger и Trezor

Сравним Ellipal с Ledger Nano X.

Функция	Ledger Nano X	Ellipal Titan
Тип подключения	Bluetooth, USB-C	Полностью изолирован (только QR-коды, без USB, Bluetooth и Wi-Fi)
Экран	Небольшой OLED-экран	Более крупный цветной экран (приблизительно как у маленького смартфона)
Защита	Чип CC EAL5+; беспроводная связь вызывает сомнения у некоторых пользователей	Чип CC EAL5+; корпус IP65, неразборная конструкция, механизм самоуничтожения при попытке вскрытия
Поддержка монет	Около 46–75 монет через Ledger Live (основные монеты и ERC-20)	Широкий список: базовые топ-монеты + редкие и экзотические (CMT, TRX, Decred, Grin, ADA, PTON, BSV и др.)
Управление через ПО	Приложение Ledger Live (iOS/Android/ПК)	Собственное мобильное приложение (iOS/Android)
Цена	~ $140	~ $129-199
Прочие особенности	Компактность, металлический корпус; экран меньше для удобства ношения в кармане	Прочный корпус, водо- и пылезащита, удобнее читать адреса и подтверждать транзакции

Ledger удобнее переносить из-за его размера как у флешки.

Кошельки Ledger не смотря на не самое удобное приложение Ledger Live работает на рынке с 2016 года и является вторым по возрасту кошельком после Trezor.

Сравнивая Ellipal с линейкой Trezor, можно заключить следующее:

Trezor Model One: только если вы используете BTC/ETH и хотите сэкономить – самый бюджетный вариант всего $29.
Trezor Model T напротив поддерживает тысячи активов и с сенсорным экраном. Но и стоит от $76. Однако он позволяет разделить сид-фразу на несколько долей (например, для хранения в разных местах). Это полезно для крупных сумм.

Итоги, проблемность и стоит ли использовать

Продвинутые пользователи, вероятно, предпочтут более гибкое решение с открытым исходным кодом, хотя Ellipal превосходно справляется, например, с импортом старых бумажных кошельков. Оценивая Ellipal как компанию, помните, что вы доверяете ПО с закрытым кодом.

Плюс в том, что формат обмена данными через QR-коды между приложением и устройством открыт. Вы можете проверить, какая именно информация передается, и убедиться, что устройство подписывает только ту информацию, которую вы намерены подписать.

Однако на рынке холодных криптокошельков есть вагон и маленькая тележка из разных предложений. Вам нужно 1 раз выбрать себе наиболее безопасный и удобный кошелек, чтобы хранить крипту в долгосрок.

Использовать этот кошелек или выбрать себе другой из рейтинга сравнения - конечный ответ всегда за вами.

В целом устройства Ellipal рассчитаны на пользователей, которым нужен очень простой холодный кошелек, связанный со смартфоном, а не с ПК.

Если же вам нужны расширенные функции - биометрия, мультиподпись, Sign Message и так далее - Ellipal вам не подходит.

Одна из функций, которую вы оцените как продвинутый пользователь, заключается в том, что устройства Ellipal позволяют импортировать необработанные одиночные приватные ключи. Если у вас есть старые бумажные кошельки для Bitcoin, Dogecoin, Litecoin или аналогичных, Ellipal остается единственным устройством на рынке, которое позволяет безопасно импортировать кошельки с одним ключом, вывести или отправить эти балансы и подписывать транзакции офлайн.

Также важно помнить, что Ellipal заставляет пользователей пользоваться собственным приложением кошелька. Для новичков это может быть удобно, так как уменьшает шанс ошибки, но, с другой стороны, означает полную зависимость от инфраструктуры Ellipal.

Если их серверы выйдут из строя или вы захотите работать с неподдерживаемой сетью Ethereum, вы окажетесь в затруднительном положении.

Техподдержка:

Оцените статью

Категория

Кошельки криптовалют

Автор: Максим Анисимов

Blockchain engineer, Android app developer, financier since 2012. Develops applications for cryptocurrencies, blockchain and investments. Studying programs, their vulnerabilities