К основному содержанию
T TON Adoption
EN
Кошельки GUIDE · 2026

Холодное хранение TON: стратегии и инструменты 2026

Как хранить TON долгосрочно — Ledger, air-gapped кошельки, металлические бэкапы seed, multi-sig. Реальные сетапы для разных уровней суммы и угроз.

Автор
TON Adoption Team · исследовательская группа проекта
Опубликовано
6 мин. чтения

Холодное хранение — стратегия, при которой приватные ключи никогда не подключены к интернету в момент подписания. Для TON это критично, когда суммы выходят за пределы «не жалко». В этом гайде — практические сетапы для разных уровней суммы и моделей угроз, без теории и маркетинга.

Что такое холодное хранение в контексте TON

Базовое определение: ключ генерируется и хранится на устройстве, которое физически не подключено к интернету. Подпись транзакции происходит на устройстве; в онлайн-кошелёк (Tonkeeper, MyTonWallet) приходит уже готовая подписанная транзакция, которая публикуется в сеть.

В TON холодное хранение реализуется через:

  1. Аппаратные кошельки (Ledger Nano S Plus, Nano X, Stax) — основной массовый вариант.
  2. Air-gapped телефон — старый смартфон без SIM и Wi-Fi, на котором стоит Tonkeeper или MyTonWallet и который выходит онлайн только при необходимости.
  3. Multi-sig контракты — защита через распределение прав, см. Multi-sig в TON.
  4. Бумажные / стальные seed-бэкапы — не самостоятельный кошелёк, а способ резервирования любого из трёх предыдущих вариантов.

Уровни защиты по сумме

Сумма в TON-эквивалентеМинимальный сетапЦелевой сетап
< $500Wallet в TelegramTonkeeper с биометрией
$500–5000Tonkeeper / MyTonWalletТот же + бумажный бэкап seed
$5000–50 000Tonkeeper + LedgerLedger + стальной seed-бэкап
$50 000–500 000Ledger + стальной бэкап в двух местахMulti-sig 2-of-3 на Ledger-ах
> $500 000Multi-sig 2-of-3 минимумMulti-sig 3-of-5 распределённый географически

Это ориентир, не догма. Если параноидально настроен — можно делать строже на любом уровне.

Стратегия 1: Ledger + стальной бэкап (массовый стандарт)

Это «золотой стандарт» индивидуального хранения для $5k–500k. Логика:

  • Ledger Nano S Plus или X — генерирует и хранит ключи в защищённом чипе.
  • Tonkeeper / MyTonWallet — интерфейс для просмотра баланса и инициации транзакций.
  • Стальная пластина (Cryptosteel Capsule, Billfodl) — единственный физический бэкап seed-фразы устройства.

Конкретная процедура:

  1. Купи Ledger напрямую с ledger.com.
  2. Распакуй, проверь упаковку (на 2026 году пломбы в виде наклеек — посмотри их фото на сайте Ledger перед покупкой).
  3. Включи устройство, выбери «Set up new device» (никогда не Restore от чужой фразы).
  4. Запиши 24 слова на стальную пластину сразу, не на бумагу.
  5. Установи TON-приложение в Ledger Live.
  6. Подключи к Tonkeeper или MyTonWallet.
  7. Сделай тестовый перевод $10 в обе стороны.
  8. Только после этого переводи основные средства.

Стратегия 2: air-gapped телефон

Альтернатива Ledger — старый смартфон, который физически отключён от интернета и используется только для подписи. Преимущество — не нужно покупать дополнительное устройство, недостаток — больше точек отказа и меньше «защиты от себя».

Сетап:

  1. Старый смартфон (Android или iOS, не используется для повседневных задач).
  2. Сделай factory reset, не входи ни в какие аккаунты.
  3. Включи режим полёта, отключи Wi-Fi и Bluetooth.
  4. Установи Tonkeeper или MyTonWallet через APK или App Store, на отдельный Apple ID без iCloud.
  5. Создай кошелёк, запиши seed на сталь.
  6. Включай Wi-Fi только когда нужно подписать транзакцию или проверить баланс.

Это менее надёжно чем Ledger, потому что у телефона есть атакующая поверхность операционной системы. Но дешевле и работает в сценариях, где не доверяешь импорту/доставке Ledger.

Стратегия 3: multi-sig

Распределяет риск через требование подписей k из n ключей. На TON multi-sig реализован через смарт-контракт multisig-contract-v2 от TON Core team, прошёл аудиты Zellic и Trail of Bits в 2024 году.

Типовые конфигурации для частного пользователя:

  • 2-of-3 — три ключа, для подписи нужны два. Один теряешь — деньги доступны. Один скомпрометирован — деньги в безопасности.
  • 3-of-5 — для крупных сумм или команды. Больше отказоустойчивости и гранулярности доступа.

Каждый ключ может быть отдельным Ledger-ом. Идеально — географически распределённым: один дома, один в банковской ячейке, один у доверенного юриста.

Подробно — Multi-sig в TON: безопасность для команд.

Бэкап seed-фразы: как делать правильно

Что НЕ делать

  • Не фотографировать seed на телефон. Облако синхронизирует фото за секунды.
  • Не сохранять в менеджер паролей. Менеджер — это онлайн-сервис с тем же набором рисков, что биржа.
  • Не отправлять себе в Telegram Saved Messages. Это худший вариант — Telegram облачный, аккаунт могут увести.
  • Не печатать на принтере в офисе. У сетевых принтеров есть кэш с историей печати.
  • Не записывать в один блокнот с пин-кодами от карт. Найдут блокнот — найдут всё.

Что делать

  • Стальная пластина — Cryptosteel Capsule, Billfodl, Hodlr Disk. Цена $50–150, выдерживает пожар, воду, удары.
  • Две или три копии в разных местах — дом + банковская ячейка + у родственника / юриста.
  • Test recovery раз в год — взять одну из копий, восстановить в новом устройстве, убедиться что работает, потом стереть. Это критично — слишком часто люди обнаруживают неточность в записи seed уже когда нужно реально восстанавливаться.

Shamir Secret Sharing

Ledger Nano X и Stax поддерживают Shamir backup — разделение seed на 5 частей, для восстановления нужно собрать любые 3. Преимущества:

  • ни одна часть сама по себе не выдаёт seed;
  • потеря одной или двух частей не критична;
  • можно распределить части по разным людям без раскрытия.

Минус — выше сложность, большая вероятность ошибки при восстановлении. Имеет смысл от $50k или для команд.

Operational security: что не упустить

Получение публичного адреса

Холодный кошелёк должен только получать, пополнения не требуют подписи. Его адрес можно раздавать свободно — публичный адрес публичен по дизайну.

Проверка: каждый раз когда копируешь адрес из Ledger через Tonkeeper, сверяй последние 4 символа на самом устройстве. Известны атаки через подмену clipboard.

Отправка с холодного кошелька

Каждый исходящий перевод требует физического подтверждения на устройстве. Вижуально проверь:

  • адрес получателя (последние 4 символа);
  • сумму;
  • комиссию.

Если на экране Ledger не то что в кошельке — не подписывай.

Регулярная проверка устройства

Раз в 3–6 месяцев:

  1. Включи Ledger, разблокируй пином (не должен быть забыт).
  2. Открой Tonkeeper или MyTonWallet, подключи Ledger, увидь актуальный баланс.
  3. Убедись что прошивка не требует обновления.

Не нужен тестовый перевод каждый раз. Достаточно убедиться, что устройство и сетап работают.

Восстановление по seed

Раз в год — fully restore drill. Возьми одну из копий seed, восстанови на чистом Ledger или в чистом MyTonWallet (на отдельном устройстве!), проверь что адрес совпадает. Это единственный способ убедиться, что seed-фраза записана корректно.

Подробно про процесс — Как восстановить TON-кошелёк по seed-фразе.

Реальный сетап на разных уровнях

Уровень 1: $1000 в TON

  • Tonkeeper на основном телефоне.
  • Seed на бумаге в личных вещах.
  • Биометрия + пин на разблокировку.
  • Этого достаточно. Ledger избыточен.

Уровень 2: $20 000 в TON

  • Tonkeeper для DeFi и переводов на основном телефоне (горячий, $500–1000).
  • Ledger Nano S Plus для основной суммы, подключён к MyTonWallet на ноутбуке.
  • Seed Ledger на стальной пластине, две копии в разных местах.

Уровень 3: $200 000 в TON

  • Multi-sig 2-of-3 на Ledger-ах.
  • Один Ledger дома, один в банковской ячейке, один у доверенного партнёра.
  • Каждый seed на стальной пластине.
  • Просмотр баланса — через любой watch-only режим Tonkeeper.

Уровень 4: команда / DAO

  • Multi-sig 3-of-5.
  • Каждый член команды — Ledger.
  • Подписания — через специализированный multi-sig интерфейс.
  • Логирование всех операций в внутренней системе.

Чего не нужно делать

  • Не доверять «безопасным» сервисам, обещающим хранение «как Ledger без устройства». Это либо кастодиал в маске, либо мошенничество.
  • Не фотографировать seed «на всякий случай». Слово «временно» не работает с криптой.
  • Не использовать generated seed из подозрительных источников. Только устройство или официальный кошелёк.
  • Не хранить seed и Ledger в одном месте. Воры найдут оба сразу.
  • Не делать «холодное хранение» на телефоне с сохранённым паролем от облака. Это горячий кошелёк в маскировке.

Что в итоге

Холодное хранение — не про сложность, а про разделение функций. Горячий кошелёк для повседневных операций (мало денег, удобно), холодный — для накоплений (много денег, неудобно по дизайну). Ledger остаётся стандартом для частного пользователя на 2026 год; multi-sig — для команд и крупных сумм.

Главное правило: сначала тестовый сетап, потом перевод. Многие потери происходят именно в момент перехода с горячего на холодное, когда seed ещё не отработан, а сумма уже большая.

Связанные материалы: Подключение Ledger к TON-кошельку, Multi-sig в TON, Восстановление по seed-фразе.

Источники

Частые вопросы

Практическое правило — стоимость аппаратного кошелька должна быть меньше 1–2% от защищаемой суммы. Ledger Nano S Plus ($79) оправдан от ~$5000–8000 в TON. Меньше — можно обойтись грамотным сетапом из двух некастодиальных кошельков на разных устройствах.
Технически можно — один seed откроет одинаковый адрес в обоих кошельках. Но это бессмысленно с точки зрения безопасности — компрометация горячего устройства означает компрометацию холодного. Холодный кошелёк должен иметь свой собственный seed.
Ledger. Бумажный кошелёк (paperwallet) в TON-экосистеме практически не используется — нет проверенных открытых инструментов генерации, плюс seed на бумаге всё равно ничем не лучше seed Ledger. Аппаратное устройство добавляет физический шаг подтверждения, бумага — не добавляет.
Запиши seed на стальной пластине. Существуют готовые решения — Cryptosteel, Billfodl, Steelwallet. Стоят $50–150, выдерживают пожар, воду, удары. Бумажный лист в идеальных условиях живёт десятилетия, в реальной квартире — несколько лет до потери, повреждения или забывчивости.
Да, схема Shamir Secret Sharing разделяет seed на части так, что для восстановления нужно собрать k из n. На устройствах Ledger Nano X / Stax эта функция встроена. Для частного пользователя достаточно 2-of-3 — три части в трёх разных физических местах, любых двух хватит.
Раз в 3–6 месяцев. Цель проверки — убедиться что устройство работает, seed актуальный, ты помнишь процедуру. Проводить тестовый перевод не обязательно, достаточно просто разблокировать и увидеть баланс через Tonkeeper или MyTonWallet в режиме чтения.

Похожие материалы

← К списку статей