Как это работает
Electrum — это кошелёк с упрощённой проверкой платежей (SPV) для Bitcoin. Вместо загрузки всего блокчейна он подключается к сети серверов Electrum, которые индексируют цепочку и отвечают на запросы баланса и истории. Приватные ключи генерируются из seed-фразы, шифруются и хранятся локально — они никогда не попадают на сервер. Клиент подписывает транзакции на машине пользователя и рассылает их через тот сервер, к которому он подключён.
Программа работает на Windows, macOS, Linux и Android; версии для iOS нет. Она поддерживает аппаратные кошельки через плагины, мультиподписные кошельки, схемы холодного хранения, где ключ подписи никогда не касается онлайн-машины, и управление комиссиями, включая replace-by-fee и child-pays-for-parent. Начиная с версии 4.0 Electrum также запускает узел Lightning Network. Сборки воспроизводимы и подписаны GPG несколькими независимыми сборщиками, а сам сайт требует двух подписей сопровождающих, прежде чем бинарный файл будет опубликован.
KYC и приватность
Здесь нет регистрации, нет аккаунта, нет электронной почты и никакой проверки личности любого рода. Electrum не хранит пользовательских данных, потому что хранить нечего: записи о пользователе не существует; кошелёк — это программа, которую вы запускаете, и никто вас не регистрирует.
Оговорка о приватности структурная, а не вопрос политики. Поскольку клиент запрашивает у удалённых серверов информацию о своих адресах, сервер, к которому вы подключаетесь, может видеть, какие адреса принадлежат одному кошельку, и IP-адрес, с которого их запросили. Это утечка метаданных, присущая лёгким клиентам. Electrum смягчает её: трафик можно направить через Tor, пользователи могут выбирать или менять серверы и — самым полным образом — могут направить кошелёк на собственный сервер, и тогда никакая третья сторона ничего не видит. При настройках по умолчанию метаданные адресов всё равно доверяются чужим серверам.
Сильные стороны и ограничения
Самый сильный довод Electrum — долговечность без компрометации кода. Программа выпускается с 2011 года, она под лицензией MIT и с открытым исходным кодом, её сборки воспроизводимы, а цепочка выпуска требует нескольких подписей. Для некастодиального кошелька вопрос хранения настолько чист, насколько это вообще возможно: ключи принадлежат вам, и проект не может перемещать средства.
Ограничения реальны. В период с 2018 по 2020 год вредоносные серверы использовали то, что старые клиенты отображали сообщения об ошибках серверов как форматированный текст — злоумышленники подсовывали поддельные предложения «обновления», которые вели пользователей к бинарным файлам с бэкдором, и сотни биткоинов были украдены у пользователей устаревших версий. Код клиента так и не был взломан; взломанной оказалась конструкция, позволявшая серверу нарисовать убедительное сообщение. Версии 3.3.3 и более поздние нейтрализовали уязвимость, а проект заносит враждебные серверы в чёрный список, но этот эпизод остаётся определяющей записью в досье Electrum. К тому же формального стороннего аудита безопасности нет — гарантия исходит из открытого рецензирования и воспроизводимых сборок, а не от названной фирмы. Интерфейс плотный и предполагает, что пользователь уже понимает UTXO, комиссии и гигиену seed-фраз.
Вердикт
Electrum — это кошелёк для тех, кто уже знает, как работает Bitcoin, и хочет некастодиальный клиент с длинной прозрачной историей и серьёзной поддержкой холодного хранения и мультиподписи. Это не первый кошелёк, и его серверная модель требует, чтобы пользователи использовали Tor, держали собственный сервер или принимали утечку метаданных. Скачивайте только с electrum.org и проверяйте подпись. Оценка: A- (8,6/10). Доверие: TRUSTED.
Electrum вознаграждает пользователей, которые понимают Bitcoin, и наказывает тех, кто пропускает основы — проверяйте загрузку, держите собственный сервер или используйте Tor, обновляйте клиент. Как некастодиальный кошелёк, его позиция по хранению и KYC близка к идеальной; модель доверия к серверам и история фишинга — это цена лёгкого клиента. Оценка: A- (8,6/10). Доверие: TRUSTED.
