DeFi Capital
Безопасность · Seed-фраза

Чек-лист безопасности seed-фразы: проверь свой кошелёк, пока это не сделали за тебя

12 слов на бумажке - это весь твой капитал. Разбор уязвимости Ill Bloom и полный чек-лист: от проверки «уязвим ли я» до конструкции хранения для $100k+.

Чтение: ~8 минут Данные: на июль 2026 Формат: разбор + чек-листы
Т
Тимур СевостьяновDeFi Capital · управление капиталом on-chain · актуально на 12.07.2026
Контекст

Что произошло

В начале июля 2026 аудиторская фирма Coinspect раскрыла уязвимость Ill Bloom. Суть простая и страшная.

Seed-фраза из 12 слов должна давать такое число комбинаций, что перебор невозможен физически. Но часть кошельков генерировала seed через слабый генератор случайных чисел. Итог: вместо астрономического числа вариантов - всего около 4 миллиардов комбинаций.

4 миллиарда для видеокарты - это не защита

Несколько GPU перебирают весь диапазон меньше чем за сутки. Атакующий не «взламывает» твой кошелёк. Он просто генерирует все возможные уязвимые кошельки у себя и смотрит, на каких лежат деньги.

С конца мая 2026 таким способом украдено уже больше $5 млн. Под ударом адреса в Bitcoin, Ethereum, Tron, Solana, Polygon, BNB Chain, Rootstock: одна уязвимая фраза открывает средства сразу во всех сетях. Уязвимая генерация существовала минимум с 2018 года, то есть под риском кошельки, созданные за последние 8 лет.

Важно, что НЕ затронуто: аппаратные кошельки и большинство популярных программных. Основная зона риска - малоизвестные мобильные кошельки. Но «мой кошелёк популярный» - это надежда, а не проверка. Проверка ниже.
Блок 01

Проверь, уязвим ли ты (5 минут)

Чек-лист проверки
  • Прогони свои публичные адреса через чекер Coinspect на illbloom.org. Он сверяет адрес с базой известных уязвимых кошельков. Вводится ТОЛЬКО публичный адрес. Любой «чекер», который просит seed-фразу или приватный ключ - это скам, закрывай сразу.
  • Вспомни, чем ты генерировал каждый кошелёк. Малоизвестное мобильное приложение, старый генератор с сайта, «кошелёк из Telegram-бота» - красная зона, даже если чекер ничего не нашёл.
  • Особое внимание кошелькам 2018-2026 годов из неосновных приложений: уязвимость жила все эти годы.
  • Если адрес в базе - обновление приложения НЕ спасает. Фраза уже скомпрометирована математически. Единственное лечение - миграция (блок 5).
Блок 02

Как правильно генерить seed

Правила генерации
  • Seed генерирует аппаратный кошелёк (Ledger, Trezor и аналоги) со своим сертифицированным источником случайности. Не сайт, не бот, не «генератор фраз».
  • Программный кошелёк - только массовый, с открытым кодом и историей аудитов.
  • Никогда не используй «красивые» или самодельные фразы. Человеческая «случайность» перебирается ещё быстрее, чем слабый генератор.
  • Один кошелёк - одна задача. Seed от холодного хранения никогда не касается устройства, где стоят DeFi-кошельки.
Блок 03

Холодное хранение

Чек-лист хранения
  • Фраза записана на физическом носителе: бумага минимум, металлическая пластина лучше (переживает пожар и воду).
  • Две копии в двух разных местах. Одна копия - это ставка на то, что в квартире никогда ничего не случится.
  • Копии не подписаны словами «seed», «крипта», «кошелёк».
  • Раз в полгода: проверил, что копии на месте и читаемы.
Блок 04

Что НИКОГДА не делать

Красные линии
  • Не фотографировать фразу. Фотоплёнка синхронизируется в облако, облака взламывают.
  • Не хранить в облаке, заметках, email, мессенджерах, Google Docs. Ни целиком, ни «половинками».
  • Не вводить в онлайн-менеджеры паролей.
  • Не вводить фразу ни на одном сайте. Ни для «проверки», ни для «синхронизации», ни для «airdrop». Фраза вводится только в сам кошелёк при восстановлении.
  • Не диктовать вслух рядом с колонками и телефонами и не «проверять» фразу по просьбе «поддержки». Поддержка seed не спрашивает никогда.
Блок 05

План миграции, если ты под риском

  1. Не паникуй, но не откладывай. У атакующих тот же список уязвимых адресов, что у чекера.
  2. Создай новый кошелёк с новой фразой на чистом устройстве, в идеале на аппаратном кошельке. Не в том приложении, которое сгенерировало уязвимый seed.
  3. Переведи сначала самые ликвидные активы (стейблы, BTC, ETH), потом остальное. Помни про все сети: один seed - это адреса везде.
  4. Проверь и выведи стейкинг, LP-позиции, лендинги, привязанные к старым адресам. Отзови approvals со старых адресов.
  5. Старый кошелёк считай сожжённым навсегда. Ничего на него больше не принимать.
Блок 06

Если держишь $100k+

Одна seed-фраза на весь капитал - это единая точка отказа, какой бы правильной ни была генерация.
Конструкция для крупного капитала
  • Пассфраза (25-е слово) поверх seed: даже украденная фраза без пассфразы не открывает основной кошелёк. Пассфраза хранится отдельно от seed.
  • Мультисиг 2-из-3 для основного капитала: компрометация одного ключа не значит потерю денег.
  • Деление на контуры: холодный (не двигается), рабочий DeFi (ограниченная сумма), горячий (мелочь на газ и тесты).
  • План наследования: близкие знают, КАК получить доступ при форс-мажоре, не зная самих фраз сейчас.
Итог

Честный итог

Ill Bloom - не последняя такая история. Уязвимость жила 8 лет, и всё это время кошельки выглядели абсолютно нормально. Защита - это не разовое действие, а конструкция: правильная генерация, холодное хранение, разделение контуров, регулярная проверка.

Хочешь, чтобы этим занимались за тебя?

Я управляю DeFi-капиталом некастодиально, и вся эта конструкция - моя ежедневная практика, не теория. Если хочешь, чтобы капиталом от $100k управляли за тебя, с выстроенной безопасностью и публичным портфелем - это DeFi Capital:

Telegram: @defi_cap_bot
Дисклеймер

Материал подготовлен на основе публичных данных по состоянию на июль 2026 года (раскрытие Coinspect, illbloom.org). Технические детали уязвимости исследователи пока не публикуют, рекомендации могут уточняться. Это не финансовая консультация и не индивидуальная инвестиционная рекомендация.