Криптокошелёк Atomic Wallet

Atomic Wallet: полный разбор кошелька, который потерял $100 миллионов пользователей

Когда «ты контролируешь всё» — не совсем правда

Есть продукты, которые выглядят хорошо на лендинге. Atomic Wallet — именно такой случай. Чистый интерфейс, поддержка полутора тысяч токенов, встроенный обмен, стейкинг, никакой регистрации. Звучит как идеальный мультивалютный кошелек для тех, кто хочет держать всё в одном месте.

Но за этим фасадом — история, которую стоит знать до того, как туда отправятся ваши деньги.

В июне 2023 года пользователи Atomic Wallet потеряли от $35 до $100+ миллионов. Атаку приписали северокорейской группировке Lazarus Group. Аудиторы предупреждали о критических уязвимостях за год до этого — предупреждения проигнорировали. Исходный код закрыт. Коллективный иск в США суд отклонил: эстонская компания вне американской юрисдикции.

Это не значит, что кошельком нельзя пользоваться вообще. Это значит, что пользоваться им нужно с открытыми глазами.

Что такое Atomic Wallet — и чем он на самом деле является

Atomic Wallet — программный некастодиальный мультивалютный кошелек. Работает на Windows, macOS, Linux, Android и iOS. Поддерживает более 1500 токенов в 50+ блокчейнах. Позволяет хранить, отправлять, получать криптовалюту, обменивать активы внутри приложения, покупать за фиат и участвовать в стейкинге.

Ключевой маркетинговый тезис: приватные ключи генерируются и хранятся локально на устройстве пользователя. Компания не имеет доступа к средствам.

Это — правда. Частичная.

Atomic Wallet действительно не является кастодиальной биржей, где ваши средства лежат на общем кошельке компании. Seed-фраза из 12 слов создается на вашем устройстве, ключи туда же. Формально — self-custody.

Но вот что важно понимать: некастодиальная модель не равна безопасной реализации. Если код, который генерирует вашу seed-фразу, закрыт и не поддается независимой проверке — никто не может гарантировать, что этот процесс реализован без уязвимостей. Что и подтвердил 2023 год.

По существу, Atomic Wallet — это агрегатор. Само приложение лишь оболочка: обмен идет через Changelly и ChangeNOW, покупка фиата — через Simplex и MoonPay, стейкинг — через партнерскую инфраструктуру. Пользователь видит единый интерфейс, но за ним — цепочка сторонних сервисов с собственными правилами, комиссиями и AML-фильтрами.

Кто стоит за продуктом: Эстония, Changelly и вопросы без ответов

Юридическое лицо — Atomic Protocol Systems OÜ, зарегистрировано в Таллине, Эстония (регистрационный номер 14519622). Компания основана в октябре 2017 года. К разработке привлекалась также структура Evercode Infinite.

Основатель и CEO — Константин Гладыч. До Atomic Wallet он руководил сервисом мгновенного обмена Changelly — тем самым, который сейчас является основным провайдером свопов внутри кошелька. Это не просто биографическая деталь: это конфликт интересов, о котором стоит помнить, когда видите «лучший курс обмена» в интерфейсе.

Штат компании по состоянию на сентябрь 2024 года — 3 человека. Годовой доход за 2023 год — около €4,65 млн. Публичного совета директоров нет. Институциональных инвесторов с прозрачным cap table — тоже. В 2018 году проводился ICO, сумма не раскрывалась.

Среди акционеров в открытых источниках упоминаются Павел Соколов и Илья Брусов (12,8% акций Evercode Infinite). Но полная структура владения публично не раскрыта.

Регуляторный статус компании в разных странах:

• Италия — внесена в черный список CONSOB как нелицензированный поставщик финансовых услуг (июль 2025).

• Малайзия — признана неавторизованным оператором (декабрь 2024).

• США — федеральный суд Колорадо отклонил коллективный иск против компании в сентябре 2024 года. Причина: отсутствие персональной юрисдикции над эстонским юридическим лицом.

Последний пункт — пожалуй, самый важный для понимания реального положения дел. Компания выбрала юрисдикцию, которая минимизирует её ответственность перед пользователями из большинства стран мира. Суд это подтвердил.

Как работает кошелек: архитектура, ключи и зависимости

Генерация и хранение ключей

При первом запуске приложение генерирует 12-словную seed-фразу на устройстве пользователя. Приватные ключи шифруются локально паролем. Компания заявляет, что не имеет доступа к этим данным.

Резервное копирование — исключительно ответственность пользователя: записать seed-фразу на бумагу и хранить в безопасном месте. Никакого облачного бэкапа нет. Потеряли seed — потеряли доступ навсегда.

Восстановление доступа: стандартный импорт seed-фразы в приложение. Можно также импортировать приватный ключ или JSON-файл от совместимых кошельков.

Чего нет — и почему это критично

Atomic Wallet не поддерживает интеграцию с аппаратными кошельками — ни Ledger, ни Trezor, ни SafePal, ни Keystone. Это означает: ключи всегда остаются в оперативной памяти устройства, подключенного к интернету. Нет Secure Element, нет аппаратной изоляции подписи транзакций.

Нет двухфакторной аутентификации. По состоянию на момент написания статьи 2FA значится как «coming soon» — обещание, которое висит с 2023 года.

Нет мультиподписи. Нет MPC-архитектуры.

Зависимость от инфраструктуры

Приложение жестко привязано к централизованным RPC-узлам Atomic Wallet для трансляции транзакций и запроса балансов. Если серверы компании недоступны — пользователь не может взаимодействовать с блокчейнами через интерфейс кошелька. Технически выход есть: экспортировать seed-фразу и импортировать в другое ПО. Но для большинства пользователей это нетривиальная операция.

Десктопная версия построена на фреймворке Electron — технологии, которая исторически является вектором для RCE-уязвимостей (удаленное выполнение кода) при некорректной конфигурации. Именно Electron упоминается в коллективном иске как один из факторов уязвимости.

Поддерживаемые активы и сети: широко, но с оговорками

Atomic Wallet поддерживает более 1500 токенов в 50+ блокчейнах. Среди них Bitcoin, Ethereum, Solana, Cardano, Cosmos, Polkadot, Tron, BNB Chain, Polygon и многие другие. Встроенный стейкинг доступен для более чем 20 активов — ATOM, SOL, ADA, AWC и других.

Это, пожалуй, одна из реальных сильных сторон продукта: широта охвата в одном интерфейсе без необходимости держать десяток разных кошельков.

Однако важно понимать ограничения:

• NFT и DeFi поддерживаются значительно слабее, чем в специализированных web3-кошельках вроде MetaMask или Rabby.

• Браузерного расширения нет — подключение к dApps через Atomic Wallet крайне ограничено.

• WalletConnect — интеграция заявлена, но функциональность уступает кошелькам, ориентированным на web3.

• Список поддерживаемых активов и сетей меняется. Актуальные данные стоит проверять на официальном сайте.

Основные функции: что умеет кошелек

Отправка и получение работают стандартно для большинства поддерживаемых сетей. Есть настройка комиссии сети для некоторых блокчейнов, история транзакций, адресная книга.

Встроенный обмен (swap) — маршрутизируется через Changelly и ChangeNOW. Работает без KYC для большинства пар, но при срабатывании AML-фильтров партнера может потребоваться верификация личности с заморозкой средств до её прохождения. Это не гипотетический сценарий — именно такие жалобы регулярно появляются на Reddit и Trustpilot.

Покупка за фиат — через Simplex и MoonPay. Требует верификации карты, часто — KYC. Совокупные комиссии (шлюз + эквайринг + спред) составляют 5–10% от суммы.

Стейкинг — встроенный интерфейс для делегирования в PoS-сетях. Доходность зависит от актива и рыночных условий. Для нативного токена AWC заявлена доходность до ~20% годовых.

Перпетуал-трейдинг — нововведение 2025 года через интеграцию с Hyperliquid.

Импорт сторонних кошельков — поддерживается через seed-фразу или приватный ключ.

Браузерное расширение — отсутствует. Это существенное ограничение для пользователей DeFi.

Мультиаккаунты — поддерживаются в рамках одной seed-фразы для совместимых сетей.

Безопасность и хранение ключей: самый важный раздел

Это то, ради чего стоит читать этот материал особенно внимательно.

Закрытый код: почему это проблема

Atomic Wallet не является open-source. Компания использует формулировку «decentralized app built on open-source libraries» — но это не означает, что сам кошелек открыт. По данным WalletScrutiny, код закрытый и обфусцированный. На GitHub компании присутствуют лишь вспомогательные репозитории.

Почему это критично для кошелька, где хранятся ваши деньги? Потому что без открытого кода невозможно независимо проверить:

• как именно генерируется seed-фраза и достаточна ли криптографическая стойкость генератора случайных чисел;

• нет ли в коде намеренных или случайных утечек приватных ключей;

• что именно приложение отправляет во внешние сервисы;

• совпадает ли распространяемый бинарник с тем, что описано в документации.

Аудит, который ничего не изменил

В 2022 году компания Least Authority провела аудит архитектуры Atomic Wallet. Согласно судебным документам, аудиторы выявили критически опасные уязвимости, делающие пользователей уязвимыми для атак с полной потерей средств. Компания получила рекомендации. Рекомендации не были реализованы в полном объеме.

В июне 2023 года произошел взлом.

Это не домысел и не интерпретация — это факт, зафиксированный в материалах судебного разбирательства.

Взлом 2023 года: что произошло

3 июня 2023 года пользователи начали массово сообщать о пропаже средств. Оценки потерь расходятся: ZachXBT называл цифру около $35 млн, Elliptic — свыше $100 млн. Атаку с высокой степенью уверенности приписали Lazarus Group — северокорейской хакерской группировке. Аналитики Elliptic и Chainalysis отследили отмывание средств через миксер Sinbad.

Характер эксплойта указывал на то, что транзакции подписывались валидными ключами — то есть атакующие каким-то образом получили доступ к приватным ключам или seed-фразам пользователей. Как именно — компания так и не объяснила публично в форме детального технического post-mortem.

Обсуждавшиеся версии: атака на цепочку поставок (supply chain attack) через зараженное обновление ПО, компрометация генератора случайных чисел, уязвимость в механизме хранения ключей. Ни одна из них официально не подтверждена.

Компания заявила, что затронуто «менее 1% активных пользователей». Это может быть статистически верно — но при базе в 15+ млн загрузок даже 1% означает тысячи пострадавших.

Что было после

В декабре 2023 года запустили программу bug bounty с призовым фондом $1 млн (максимум $100 000 за критическую уязвимость). Реактивная мера — после катастрофы, не до.

В январе 2026 года пользователь под псевдонимом Nicolas van Saberhagen сообщил о потере 633 XMR (~$479 000) после открытия приложения. Компания заявила, что не может подтвердить инцидент. Случай остался неразрешенным.

В сентябре 2025 года обнаружен вредоносный npm-пакет nodejs-smtp, имитирующий nodemailer и модифицирующий код Atomic Wallet для перенаправления транзакций. Это отдельный вектор атаки — supply chain через зависимости.

Итог по безопасности

Формальная некастодиальная модель не компенсирует:

• закрытый непроверяемый код;

• игнорирование аудиторских рекомендаций;

• отсутствие публичного объяснения крупнейшего инцидента;

• отсутствие аппаратной изоляции ключей;

• повторяющиеся инциденты после заявлений об «обновлении безопасности».

Конфиденциальность: анонимность есть, но не полная

Atomic Wallet не требует регистрации и KYC для базового использования. Это реальное преимущество по сравнению с биржами.

Но приватность ограничена по нескольким причинам.

Запросы к блокчейну идут через серверы Atomic Wallet — это создает риск логгирования IP-адресов в связке с публичными адресами кошельков. Деанонимизация через RPC-инфраструктуру разработчика — вполне реальный сценарий.

Согласно Privacy Policy, компания собирает: информацию об устройстве, аналитику использования приложения, криптовалютные адреса, которые пользователь предоставляет. Данные могут передаваться по запросу правоохранительных органов.

При использовании встроенных сервисов (свопы, покупка фиата) данные передаются партнерам — Changelly, ChangeNOW, Simplex, MoonPay. Эти сервисы применяют собственный AML-скоринг. Пользователь может внезапно обнаружить, что его операция заморожена до прохождения полной верификации личности — причем не по решению Atomic Wallet, а по решению партнера.

Atomic Wallet — не privacy wallet. Это обычный коммерческий кошелек с умеренным уровнем анонимности для базовых операций.

Комиссии и стоимость использования: считайте внимательно

Скачать и установить кошелек — бесплатно. Отправить транзакцию — платите только сетевую комиссию (gas). Пока всё логично.

Дальше начинается интереснее.

Встроенный обмен (swap): маршрутизируется через Changelly/ChangeNOW. Сервисный сбор — около 2%, плюс маржа на курсе 3–4%, плюс сетевые комиссии. Итого реальная стоимость операции — 5–7% от суммы. На неликвидных парах или при высокой волатильности — больше. Заявленная «комиссия за обмен» не отражает реальных потерь на проскальзывании.

Покупка за фиат: через Simplex/MoonPay. Совокупные комиссии — 5–10% от суммы депозита.

Стейкинг: комиссии зависят от актива и провайдера.

Для сравнения: прямой обмен на крупной CEX обойдется в 0,1–0,5%. Разница в 10–70 раз — не мелочь при регулярном использовании.

Прозрачность тарифной политики — слабая. Полная стоимость операции до её совершения не всегда очевидна из интерфейса.

Удобство интерфейса и пользовательский опыт

Здесь у Atomic Wallet есть реальные достоинства. Интерфейс минималистичный, интуитивно понятный, не перегруженный. Новичок разберется за несколько минут. Мультивалютный портфель в одном окне — удобно.

Мобильные приложения получают неплохие оценки в магазинах: 4.4/5 в App Store (~800 оценок) и 4.1/5 в Google Play (~75 800 оценок). Это заметно выше, чем рейтинги на независимых платформах.

На Trustpilot — 3.2/5. На Sitejabber — 1.4/5. Разрыв между магазинами приложений и независимыми площадками отзывов аналитики объясняют в том числе подозрениями в накрутке позитивных оценок.

Типичные жалобы: долгий или шаблонный ответ поддержки, зависшие swap-операции, неожиданные требования KYC при обмене, некорректное отображение балансов, проблемы с конкретными токенами.

Поддержка — слабое место. После инцидента 2023 года команда подверглась жесткой критике за удаление комментариев в социальных сетях и шаблонные ответы, отрицавшие системную проблему на ранних этапах.

Локализация: приложение доступно на нескольких языках, включая русский.

Плюсы и минусы: честный счет

Сильные стороны

• Реально некастодиальная модель — ключи локально, компания не имеет доступа к средствам.

• Широкая поддержка активов — 1500+ токенов, 50+ блокчейнов в одном приложении.

• Нет обязательного KYC для базового хранения и переводов.

• Простой интерфейс, подходит новичкам.

• Кросс-платформенность: Windows, macOS, Linux, Android, iOS.

• Встроенный стейкинг для 20+ активов.

• Bug bounty программа с призовым фондом до $100 000.

Слабые стороны

• Взлом 2023 года с потерями $35–100+ млн и отсутствием публичного технического объяснения.

• Закрытый обфусцированный код — независимый аудит невозможен.

• Нет интеграции с аппаратными кошельками (Ledger, Trezor).

• Нет 2FA.

• Высокие скрытые комиссии за свопы (5–7%) и фиат (5–10%).

• Слабая техподдержка.

• Юридическая защита пользователей минимальна — суд США подтвердил невозможность привлечь компанию к ответственности.

• Регуляторные черные списки в Италии и Малайзии.

• Нет браузерного расширения — ограниченная работа с DeFi.

Компромиссы

Удобство и широкий охват активов — в обмен на слабую верифицируемость безопасности. Простота интерфейса — в обмен на высокие комиссии встроенных сервисов.

Сравнение с конкурентами: где Atomic проигрывает и где держится

Против Trust Wallet

Trust Wallet имеет частично открытый исходный код (Wallet Core), поддерживает интеграцию с Ledger, не имеет инцидентов масштаба $100 млн. Комиссии за свопы ниже — около 2–3%. Для большинства пользователей Trust Wallet предпочтительнее по соотношению безопасности и удобства.

Против Exodus

Оба исторически критиковались за неполную открытость кода. Но Exodus не пережил катастрофического взлома, поддерживает интеграцию с Trezor и Ledger, имеет более чистую репутацию. Exodus выигрывает по надежности, хотя тоже не является образцом open-source прозрачности.

Против MetaMask

MetaMask — стандарт де-факто для Ethereum-экосистемы. Открытый код, огромное сообщество, глубокая интеграция с DeFi и dApps, браузерное расширение. Но MetaMask — не мультичейн-кошелек в том смысле, в котором им является Atomic. Для пользователей, которым нужен Bitcoin + Solana + Cardano + Cosmos в одном интерфейсе, MetaMask не закроет задачу.

Против Rabby

Rabby — лучший выбор для продвинутых EVM-пользователей. Симуляция транзакций, предупреждения о рисках, открытый код. Но Rabby не мультичейн в широком смысле.

Против аппаратных кошельков (Ledger, Trezor, Coldcard)

Сравнение здесь некорректно по назначению. Аппаратные кошельки аппаратно изолируют ключи от среды с доступом в интернет. Atomic Wallet — исключительно программная оболочка. Для долгосрочного хранения значимых сумм аппаратный кошелек в связке с проверенным программным интерфейсом — единственный разумный выбор.

Итог сравнения: Atomic Wallet проигрывает ближайшим конкурентам по прозрачности кода, репутации безопасности и юридической защите пользователей. Выигрывает — по широте поддержки активов в едином интерфейсе и простоте для новичков.

Кому подойдет этот кошелек

Новичок с небольшой суммой — допустимо, если понимает риски и держит там не более $300–500. Удобный интерфейс снижает порог входа.

Активный криптопользователь — лучше выбрать Trust Wallet или Exodus. Те же функции, меньше исторических рисков.

Трейдер — нет. Комиссии за встроенные свопы в 5–7% делают активную торговлю через Atomic Wallet экономически бессмысленной.

DeFi-пользователь — нет. Нет браузерного расширения, ограниченная интеграция с dApps. MetaMask или Rabby справятся лучше.

NFT-пользователь — нет. Поддержка NFT слабее, чем у специализированных решений.

Долгосрочный инвестор — категорически нет. Для ходлинга значимых сумм нужен аппаратный кошелек.

Пользователь с крупным капиталом — нет. Взлом 2023 года, закрытый код и отсутствие аппаратной изоляции делают это решение неприемлемым.

Пользователь, которому важна максимальная безопасность — нет. Atomic Wallet не предоставляет криптографически верифицируемых гарантий.

Основные риски и на что обратить внимание

Технические риски

Десктопная версия на Electron — исторически уязвимый фреймворк при некорректной конфигурации. Закрытый код исключает независимую проверку генератора случайных чисел, механизма хранения ключей и телеметрии. Зависимость от централизованной RPC-инфраструктуры: при падении серверов компании интерфейс перестает работать.

Риски supply chain

Атака через зараженное обновление ПО — вероятный вектор взлома 2023 года. Вредоносный npm-пакет, обнаруженный в 2025 году, подтверждает: этот вектор актуален. Пользователь не может верифицировать, что скачанный бинарник соответствует заявленному коду.

Операционные риски

Встроенные свопы через Changelly могут внезапно заморозить средства при срабатывании AML-фильтров. Разблокировка требует KYC — иногда полной верификации личности. Техподдержка медленная и часто шаблонная.

Регуляторные риски

Черные списки в Италии и Малайзии. Риск аналогичных действий регуляторов в других юрисдикциях. Пользователи из стран с жестким крипторегулированием должны проверить статус сервиса в своей юрисдикции.

Юридические риски

Суд США подтвердил: привлечь эстонскую компанию к ответственности через американские суды практически невозможно. Пользователи из большинства стран мира лишены эффективной правовой защиты. Коллективный иск на $100 млн был отклонен. Новый иск в Калифорнии (июнь 2025) пока в процессе.

Риски фишинга и потери seed-фразы

Существуют поддельные сайты Atomic Wallet с вредоносным ПО (Mars Stealer). Скачивать приложение — только с официального сайта atomicwallet.io или официальных магазинов. Seed-фразу никому не сообщать, хранить офлайн.

Риски встроенных обменников

Реальная стоимость свопа — 5–7%, что в разы выше биржевых комиссий. На неликвидных парах — больше. Заморозка средств партнером при AML-проверке — реальный сценарий, не гипотетический.

Итог: что в остатке

Atomic Wallet — функциональный, удобный и широко поддерживаемый мультивалютный кошелек с серьезной репутационной и архитектурной проблемой.

Взлом 2023 года на сумму от $35 до $100+ млн, предшествующее игнорирование аудиторских предупреждений, закрытый непроверяемый код, успешное уклонение от юридической ответственности через эстонскую юрисдикцию — всё это переводит продукт в категорию высокорисковых инструментов.

Маркетинговые обещания расходятся с реальностью по нескольким ключевым пунктам: «open-source libraries» не означает открытый код кошелька, «you are in full control» не означает верифицируемую безопасность реализации, «no fees» не означает отсутствие скрытых спредов.

Вердикт: допустим исключительно как транзитный инструмент для небольших сумм (до $300–500) и разовых операций. Для долгосрочного хранения, значимых капиталов и серьезного self-custody — не рекомендуется.