Аппаратный кошелёк

Аппаратный кошелёк (hardware wallet) — отдельное USB- или Bluetooth-устройство, в защищённом чипе которого хранится приватный ключ. Все транзакции подписываются внутри устройства, а наружу выходит уже только готовая подпись. Приватный ключ не покидает кошелёк никогда — даже на момент подключения к заражённому компьютеру.

Какие модели работают с TON

• Ledger Nano S Plus, Nano X, Stax — основная линейка с поддержкой TON через приложение TON в Ledger Live, а также через Tonkeeper в режиме Ledger-моста (Tonkeeper desktop / mobile видит подключенный Ledger как подписанта).
• Tangem — карты-чипы с TON-поддержкой, удобны для офлайн-холодного хранения и подарков.
• Keystone — air-gapped кошелёк с QR-подписью, поддерживает TON через сторонние интеграции.
• Trezor — на момент написания нативной TON-интеграции у Trezor нет; пользователи Trezor обычно работают с TON через сторонние решения с оговорками. Уточняйте актуальный статус на сайте производителя перед покупкой именно ради TON.

Перед покупкой устройства имеет смысл сверить совместимость на странице кошелька, через который вы планируете подключаться, — обычно у Tonkeeper и MyTonWallet есть актуальный список поддерживаемых hardware-вариантов.

Workflow подписания

1. Пользователь инициирует транзакцию в Tonkeeper или Ledger Live на компьютере или телефоне.
2. Приложение формирует unsigned-транзакцию и передаёт её на устройство по USB/Bluetooth.
3. На экране устройства показываются ключевые поля: сумма, адрес получателя, тип сообщения. Это критичный момент — пользователь обязан проверить именно то, что отображено на железе, а не на компьютере.
4. Пользователь нажимает физическую кнопку подтверждения. Чип внутри подписывает транзакцию приватным ключом.
5. Готовая подпись возвращается в приложение, и оно отправляет транзакцию в сеть.

Атакующий может подменить адрес в интерфейсе на компьютере (например, через буфер обмена или скомпрометированный веб-сайт), но не может изменить то, что показано на экране самого Ledger. Поэтому проверка на устройстве — это не формальность, а основная линия защиты.

Что защищает

• Стиллеры и инфостилеры. Малварь, ворующая сиды и ключи из браузеров и файлов, не имеет доступа к чипу аппаратного кошелька.
• Скомпрометированный буфер обмена. Подмена адреса на этапе ввода — выявляется сверкой на экране устройства.
• Атаки уровня supply chain на ОС. Даже полностью скомпрометированный Windows не отдаёт приватный ключ.

Ограничения

• Multisig в железе ограниченно. Native multisig для TON в большинстве hardware-устройств не реализован. На практике hardware-кошелёк подключают как одного из подписантов через мост Tonkeeper-а, и сама multisig-логика остаётся в смарт-контракте.
• Сид — всё равно главная точка отказа. Hardware-кошелёк защищает от удалённых атак, но не от утечки сид-фразы. Если запасную сид-фразу сфотографировали в галерею — устройство уже не помогает.
• Цена и UX. Устройства стоят 60-300 USD, подтверждение каждой транзакции требует физического действия.
• Риск контрафакта. Покупайте только у официального продавца. Подделки Ledger с предустановленной сид-фразой регулярно встречаются на маркетплейсах.

Для сумм, которые жалко потерять, аппаратный кошелёк — стандарт. Для активной торговли удобно держать «горячий» некастодиальный кошелёк на телефоне с небольшой суммой, а основные активы хранить на hardware с подключением через TON Connect к нужным dApp по необходимости.