Тем кто интересуется Keystone 3 и думает о его приобретении может быть интересен свежий пост n0nce о возможной уязвимости этого кошелька, связанной с использованием встроенного в его нестандартную батарейку контролера заряда.

Теоретически этот контролер может исполнять зловредный код, встроенный злоумошленником, оказавшимся в   цепочке поставок.

Читаю https://community.trustwallet.com/t/trust-wallet-rolls-out-encrypted-cloud-backup-recovery-feature/698307 и размышляю, на кого рассчитаны подобные решения, ведь даже из описания понятно, что это хранение в облаке никак не защищает вас от потери доступа к кошельку, а наоборот увеличивает вероятность такой потери. Во-первых, сид фраза шифруется с помощью пароля, который хранится у пользователя. В данном случае это означает, что потеря пароля равносильна потере доступа к кошельку и никакой проблемы "защиты от потери" тут не решается. Во-вторых, да, часть данных хранится в открытом виде и может быть полезна хакерам или еще кому для выявления потенциальных жертв. Даже если владельцы облака честнейшие люди, это не спасет от неожиданных сливов данных со всеми зашифрованными фразами и адресами. Хакеру останется только подобрать пароль, который у многих пользователей будет гораздо менее сложный, чем сама сид-фраза.

Я тоже слышал обещание разработчиков трезора о том что сид фраза не покинет аппаратного кошелька, но если это станет трендом и будет делаться с согласия пользователя,
то незачем винить в этом компанию. Ведь владелец кошелька может самостоятельно зашифровать свою сид фразу и разместить в любом облачном хранилище.

Мне сложно будет проверить что может делать открытый код и есть ли там баги. если все ресурсы открыты то это может дать другим компаниям делать похожие кошельки и конкурировать с трезором.
Я согласен только с тем, что хранение в облаках не решает проблему потери, из за необходимости хранения другого пароля, а у леджера этого не нужно. Хоть там и требуется кис, но по резервным копиям телефона еще легче определить кто хозяин.

Ну как бы Леджер предлагает услугу и зарабатывает на этом. Файл с сид фразой в облаке зашифрован и что будет у хакера после взлома чужого облака?
Если пароль стойкий к перебору то у хакера не будет возможности украсть крипту с кошелька. Если такие услуги появляются, то выходит самостоятельное хранение всем не подходит.   

Леджер, как я понял, предлагает услоугу, в которой пользователю советуют переложить всю заботу о безопасности своей заначки на плечи самой компании.

Отдай свои паспортные данные и ни о чём не думай, так простыми словами можно выразить то, что предлагает пользователям эта компания.

Вообще если кто-то думает, что существует 100% решение для безопасности его заначки, то он глубоко ошибается. Такого решения нет и скорее всего оно не появится и в будущем.

Её безопасность необходимо строить самому шаг за шагом, наращивая её слоями так, чтобы каждый новый слой накрывал собой слабые стороны старых слоёв, защищая в целом заначку от возникающих новых угроз.

Применительно к аппаратным кошелькам это может означать, что если уж пользователь выбрал их для хранения заначки, то каждый новый слой будет означать новый кошелёк от нового ппроизводителя и новая подпись к его новому мультисиг кошельку. Мультисиг схема при этом конечно усложняется и она должна соответствовать размеру самой заначки.

Думаю, что большинство пользователей либо прямо сейчас хранят секретные ключи на компьютере, либо когда-то копировали сид-фразу в файл, а потом удаляли оставив следы на жестком диске. В обоих случаях сид-фразу можно украсть удаленно, причем наличие аппаратного кошелька никак на это не влияет. Если пользователь решит ходлить в течение нескольких лет, то ему надо проводить ревизию своего сетапа, так как могут найтись дыры в определенном способе хранения. Хранение же в облаке - это одна сплошная дыра в безопасности, ревизии там проводить бесполезно, хранить там средства бессмысленно и опасно. Ну, а по поводу хранения дома в разных местах: чем больше копий, тем больше вероятность потерять одну из них. Здесь нужно сохранять баланс и распределять не в пределах одного помещения, а среди нескольких относительно удаленных локаций.

Пользователи эксплуатирующие десктопные кошельки создают СИДы на компьютере.

Существует класс зловредов способных делать скриншоты и отсылать их злоумышленникам.

Если компьютер заражён таким зловредом, то созданный СИД скорее всего окажется в руках хакеров несмотря на то, что пользователь  сохранил его не в компьютере, а где-то в другом месте.

Поэтому аппаратные кошельки, особенно бесконтактные, в этом смысле намного безопаснее.

Если появляются сомнения в ненадежности сид фразы, то можно создать новую фразу и отправить монетки на новый кошелек.
Я уверен что прямо сейчас большинство пользователей хранят свои монетки на централизованных биржах, потому что это более надежно чем семейный компьютер.
Копия сид фразы не должна быть похоже на ее копию. Если вам в руки моя попадет, то вы об этом и знать не будете.