Как это работает
Coldcard — это аппаратное устройство для подписи, работающее только с Bitcoin, созданное компанией Coinkite из Торонто, которая выпускает продукт с 2017 года. Оно выполняет одну задачу: создавать и оберегать приватные ключи биткойн-кошелька, а затем подписывать транзакции, ни разу не подключаясь к компьютеру по доверенному каналу передачи данных.
Рабочий процесс намеренно непрямой. Кошелёк в режиме только для наблюдения на компьютере или телефоне — Sparrow, Electrum или собственные инструменты Coldcard — формирует неподписанную транзакцию в формате PSBT. Этот файл переносится на Coldcard на карте microSD, в виде QR-кода или через NFC на более крупном Coldcard Q. Устройство показывает получателя и сумму на собственном экране, пользователь подтверждает их PIN-кодом, и подписанная транзакция возвращается тем же путём. Хост-машина занимается рассылкой, но никогда не касается seed-фразы.
Ключи хранятся за двумя защищёнными элементами от разных производителей, поэтому взлом одного чипа — это ещё не взлом кошелька. Корпус намеренно прозрачный, чтобы физическое вмешательство было заметным.
KYC и приватность
Здесь нет ни аккаунта, ни регистрации, ни электронной почты и никакого сопутствующего облачного сервиса. Coldcard — это физический предмет, а не размещённый на сервере сервис: оказавшись в руках, оно неизвестно ни одному серверу, и нечего ни истребовать по повестке, ни заморозить, ни записать в журнал. Устройство вообще не подключается к интернету, поэтому не передаёт никакой телеметрии.
Дальше приватность зависит от того, как устройство сопряжено. Coldcard подписывает транзакции; оно не решает, как настольный кошелёк обращается к сети. Пользователь, который направляет наблюдательный кошелёк на чужой сервер Electrum, раскрывает свои адреса этому серверу. Сопряжение Coldcard с собственным узлом Bitcoin закрывает эту брешь. Само устройство не собирает ничего; приватность адресов выигрывается или теряется в окружающей настройке.
Сильные стороны и ограничения
Самый сильный довод в пользу Coldcard — модель угроз, из которой оно исходит: любой компьютер враждебен, включая компьютер самого владельца. Изолированная от сети подпись, проверка на самом устройстве и два защищённых элемента делают удалённую компрометацию трудной, а тихую — заметной. Восемь лет работы под управлением одной компании, с уязвимостями, которые раскрывали и устраняли, а не прятали, — это весомая репутация.
Ограничения реальны. Прошивка опубликована и воспроизводима, но распространяется под лицензией Commons Clause — доступной для изучения, но не открытой в строгом смысле, и сообщество приватности регулярно поднимает этот вопрос. Прошлые раскрытия — обход отображения testnet в 2020 году, ошибка регистрации multisig-xpub в 2020–21 годах, исправленная в прошивке 3.2.1, и слабость извлечения PIN-кода на давно снятом с производства Mk2 — все были устранены, но они показывают, что устройство не вне критики. Кроме того, оно работает только с Bitcoin и требует больше внимания, чем мобильный кошелёк, который подписывают одним жестом.
Вердикт
Coldcard подходит пользователю, который относится к управлению ключами как к дисциплине, а не как к удобству, и разочарует всякого, кто хочет перемещать средства за секунды. Лицензия Commons Clause и череда раскрытых ошибок — реальные оговорки, но ни одна из них не подрывает устройство, чьё главное обещание — держать seed-фразу вне любой подключённой машины — выполняется уже восемь лет. Оценка: A (9,4/10). Доверие: TRUSTED.
Coldcard — инструмент для специалистов: оно вознаграждает пользователей, которым нужен максимальный контроль, и разочаровывает тех, кто ищет удобство. Доступная для изучения лицензия и история раскрытых, а затем исправленных ошибок не дают поставить оценку без оговорок, но инженерия и восьмилетняя репутация надёжны. Оценка: A (9,4/10). Доверие: TRUSTED.
