Криптокошелёк Bybit Wallet

Bybit Wallet: когда «Web3» — просто маркетинг

Февраль 2025-го перевернул представления о том, что такое «надёжное хранение» в криптоиндустрии. Bybit — биржа, входящая в тройку крупнейших в мире по объёму торгов, — потеряла за одну ночь около $1,5 млрд. Не из-за ошибки смарт-контракта. Не из-за уязвимости в блокчейне. Хакеры, предположительно из Lazarus Group, просто обманули людей, которые нажимали кнопки подтверждения транзакций.

Этот инцидент — лучшая точка входа для разговора о Bybit Wallet. Потому что он обнажил главное противоречие продукта: платформа продаёт себя как «Web3-кошелёк» с элементами само-кастодиальности, а под капотом — централизованная биржевая инфраструктура со всеми вытекающими рисками.

Разберём, что здесь реально работает, что вводит в заблуждение и кому вообще стоит пользоваться этим инструментом.

Что скрывается за вывеской «Bybit Wallet»

Bybit Wallet — не один продукт. Это зонтичный бренд, под которым живут три принципиально разные модели хранения активов.

Cloud Wallet — стандартный кастодиальный кошелёк, намертво привязанный к биржевому аккаунту. Приватные ключи хранит Bybit. Пользователь владеет не криптовалютой в техническом смысле, а правом требования к бирже. Это, по существу, банковский счёт, только в криптообёртке.

Keyless Wallet — MPC-кошелёк (Multi-Party Computation). Ключ разбивается на три части: одна у пользователя, две у Bybit. Для подписания транзакции нужны две из трёх. Bybit позиционирует это как «само-кастодиальность без seed-фразы» — и это, пожалуй, самое вводящее в заблуждение утверждение во всём продукте. Потому что Bybit технически может отказать в подписи своей долей. И потому что восстановление доступа всё равно требует взаимодействия с биржей.

Seed Phrase Wallet — классический некастодиальный кошелёк по стандарту BIP-39. Здесь пользователь действительно контролирует ключи. Но и этот кошелёк привязан к единому аккаунту Bybit — компрометация учётной записи создаёт единую точку отказа для всей экосистемы.

Маркетинг намеренно размывает границы между этими тремя моделями. Пользователь, читающий про «Web3-кошелёк Bybit», легко может решить, что получает настоящую децентрализацию. На практике флагманский продукт — Cloud Wallet — полностью контролируется биржей.

Кто стоит за продуктом

Bybit основал Бен Чжоу (Ben Zhou) в 2018 году. До этого он работал менеджером в форекс-брокере XM — опыт, который многое объясняет в подходе компании к маркетингу и управлению рисками.

Юридическая структура намеренно запутана. Bybit Fintech Limited зарегистрирована на Британских Виргинских островах, Bybit (Seychelles) Limited — на Сейшелах, для европейских пользователей с 2026 года работает Bybit EU в рамках регуляторного режима MiCAR. Штаб-квартира — Дубай, ОАЭ.

Компания частная. Внешние раунды финансирования не раскрываются. Кто конечные бенефициары помимо Бена Чжоу — публично неизвестно.

Регуляторная история неоднородна. Лицензий в США, Великобритании, Сингапуре нет. Заявка на лицензию в Гонконге подана в июне 2025 года, решение ожидается в 2026-м. Регуляторы Японии, Франции и Великобритании периодически предъявляли претензии к платформе. Для продукта, позиционирующего себя как глобальный финансовый сервис, это серьёзный пробел.

Как устроено хранение ключей

Архитектура Bybit Wallet создаёт иллюзию выбора там, где выбор существенно ограничен.

В Cloud Wallet ключи полностью у биржи. Пользователь видит баланс, нажимает кнопки — но on-chain контроль ему не принадлежит. Это стандартная модель любого биржевого счёта.

В Keyless Wallet ситуация тоньше. MPC-технология действительно исключает хранение полной seed-фразы — это удобно: не нужно беречь бумажку с 24 словами. Но «удобство» достигается ценой зависимости от Bybit. Компания хранит две доли из трёх. Теоретически она может заблокировать любую транзакцию, просто отказав в подписи своей долей. Независимо проверить, что Bybit не способен восстановить полный ключ без участия пользователя, — невозможно. Код закрыт, полные аудиты MPC-архитектуры в открытом доступе отсутствуют.

В Seed Phrase Wallet пользователь получает реальный контроль — при условии, что хранит seed-фразу самостоятельно и понимает риски. Но привязка к биржевому аккаунту остаётся: компрометация логина и пароля создаёт дополнительную поверхность атаки.

Резервное копирование в Keyless-модели реализовано через облачное хранение доли ключа (iCloud, Google Drive) или через устройство. Восстановление требует взаимодействия с инфраструктурой Bybit — это не автономный процесс.

Поддерживаемые сети и активы

Здесь у Bybit Wallet действительно сильные позиции. Поддерживается 30+ блокчейнов: Ethereum, BNB Smart Chain, Solana, TON, Sui, Arbitrum, Base, Optimism, Avalanche, Polygon и другие. Токенов — свыше 10 000.

Доступны NFT, DeFi-протоколы, стейкинг, свопы, бриджи между сетями. Мультисетевой портфель управляется из единого интерфейса — это реально удобно для активного пользователя.

Ограничения есть по юрисдикциям: жители США, Канады, России, Гонконга, Сингапура, Ирана, Кубы и ряда других стран не могут пользоваться сервисом в полном объёме или вовсе заблокированы. Список ограниченных юрисдикций Bybit обновляет в одностороннем порядке.

Актуальный перечень поддерживаемых сетей и токенов стоит проверять напрямую на официальном сайте — он регулярно меняется.

Основные функции

Функциональность у Bybit Wallet широкая — и это, пожалуй, главное, за что продукт хвалят.

Отправка и получение работают по стандартным адресам с поддержкой множества сетей. Внутренние переводы между кошельками Bybit — бесплатные и мгновенные. Покупка за фиат осуществляется через партнёров (MoonPay, Banxa и другие) — с их комиссиями и спредами поверх рыночной цены.

Swap (обмен токенов) встроен в интерфейс. Удобно — но спред может составлять от 0,5% до 2% выше рыночного. Это не всегда очевидно при быстром обмене.

Bridge (переброска активов между сетями) доступен напрямую из кошелька. Риски здесь двойные: комиссии провайдера плюс смарт-контрактные риски самих бриджей.

Стейкинг и Earn — широкий выбор продуктов с разными уровнями риска и доходности. APR динамический, маркетинговые акции с трёхзначными процентами — краткосрочные хуки с жёсткими лимитами, а не долгосрочная реальность.

NFT поддерживаются, есть маркетплейс и возможность хранения коллекций.

Подключение к dApps через WalletConnect и встроенный браузер — работает, но в Cloud Wallet это происходит через прокси-сервис биржи, что добавляет ещё один слой централизации.

Доступны мобильные приложения (iOS, Android) и браузерное расширение. Десктопная версия как отдельное приложение отсутствует — работа через веб-интерфейс.

Безопасность: что заявлено и что произошло на самом деле

Это самый важный раздел. И самый неудобный для Bybit.

Заявленные меры защиты

Bybit декларирует двухфакторную аутентификацию, антифишинговый код, белый список адресов для вывода, cold storage, мониторинг рисков, Proof of Reserves. На мобильных устройствах используется Secure Element. Компания заявляет о «квантово-устойчивом шифровании» — утверждение, которое крайне сложно проверить независимо.

Аудиты заявлены от Verichains и CertiK. Однако полные отчёты по MPC-архитектуре в открытом доступе не публикуются и не обновляются регулярно. Ещё в 2021 году независимый проект WalletScrutiny классифицировал кошелёк Bybit как «non-verifiable» — из-за обфускации кода и отсутствия воспроизводимых сборок. Этот статус с тех пор не изменился.

Программа Bug Bounty существует на платформе Immunefi. Конкретные суммы выплат и охват публично не детализированы.

Взлом февраля 2025 года

21 февраля 2025 года Bybit потерял около $1,5 млрд — крупнейшая кража в истории криптоиндустрии.

Схема атаки была изощрённой. Злоумышленники (предположительно Lazarus Group) скомпрометировали разработчика Safe{Wallet} через социальную инженерию. В AWS S3 Safe{Wallet} внедрили вредоносный JavaScript-код, который подменял интерфейс мультисиг-транзакций. Сотрудники Bybit, видя привычный экран подтверждения, подписали транзакцию, которая передала управление кошельком атакующим.

Атака затронула холодное хранилище — то самое, которое считается максимально защищённым. Это не была ошибка смарт-контракта или уязвимость блокчейна. Это был провал операционных процедур и человеческого фактора.

Bybit оперативно восстановил ликвидность через экстренные кредиты и приток депозитов. Клиенты, по заявлению компании, не понесли потерь. Но вопросы остаются: из каких именно резервов покрыты убытки, какие конкретные изменения внесены в процедуры подписания транзакций, есть ли независимое подтверждение этих изменений — ответов в открытом доступе нет.

Для пользователя кастодиального кошелька этот инцидент означает одно: маркетинговые списки мер безопасности не предотвращают катастрофу, если ломается человеческое звено в цепочке подписания.

Что это значит практически

Пользователь Cloud Wallet или Keyless Wallet зависит не от криптографии, а от того, насколько качественно Bybit выстраивает внутренние процессы, проверяет подрядчиков и обучает сотрудников. После февраля 2025-го доверие к этим процессам подорвано конкретным фактом, а не теорией.

Комиссии и стоимость использования

Структура расходов у Bybit Wallet многослойная, и не все слои очевидны с первого взгляда.

Торговые комиссии на споте: 0,10% maker / 0,10% taker. Фьючерсы: от 0,02% maker, от 0,055% taker. Для активного трейдера — конкурентно.

Комиссии на вывод переменные, зависят от сети и её загруженности. Важно: комиссия на вывод не всегда равна чистой сетевой стоимости транзакции — платформа может добавлять сервисный сбор или округлять в большую сторону.

Внутренние переводы между кошельками Bybit — бесплатные.

Своп и бридж — здесь живут скрытые издержки. Спред при обмене может составлять 0,5–2% сверх рыночной цены. При быстром клике «обменять» это легко не заметить.

Покупка за фиат через партнёров (MoonPay, Banxa) — комиссия провайдера плюс FX-спред плюс процессинговый сбор. Итоговая стоимость покупки может существенно превышать биржевую цену.

Earn и стейкинг монетизируются через внутренний спред между тем, что зарабатывает платформа, и тем, что выплачивается клиенту. Точные цифры не раскрываются.

Общий вывод: Bybit не самая дорогая платформа по базовым комиссиям, но полная стоимость использования кошельковых функций выше, чем кажется на первый взгляд.

Интерфейс и пользовательский опыт

Вот где Bybit действительно силён. Интерфейс — один из лучших в индустрии для новичков. Всё в одном месте: биржа, кошелёк, Earn, NFT, DeFi — без необходимости переключаться между приложениями.

Мобильные приложения получают высокие оценки в магазинах: 4,7/5 в App Store (46 000 оценок), 4,5/5 в Google Play (1,39 млн оценок, 10+ млн загрузок). Это реальные цифры реального удобства.

Но независимые площадки рисуют другую картину. На Trustpilot — 2,1/5, на Wikifx — 2,43/5. Основные жалобы: задержки выводов, заморозки аккаунтов без объяснений, шаблонные ответы поддержки, долгое рассмотрение тикетов (иногда — неделями).

Разрыв между оценками в магазинах приложений и на независимых площадках слишком велик, чтобы его игнорировать. Скорее всего, в магазинах оценивают UX и скорость работы, а на независимых площадках — опыт столкновения с комплаенс-блокировками и поддержкой.

Локализация есть, русский язык поддерживается. Для новичка интерфейс интуитивен — при условии, что всё идёт гладко и не возникает необходимости обращаться в поддержку.

Честный разбор: плюсы и минусы

Сильные стороны

• Широкая экосистема: 30+ сетей, 10 000+ токенов, DeFi, NFT, стейкинг — всё в одном интерфейсе

• Бесшовная интеграция с биржей: мгновенные переводы между торговым балансом и Web3-кошельком

• Отличный UX для новичков

• Бесплатные внутренние переводы

• Конкурентные торговые комиссии

• Быстрое восстановление после взлома 2025 года — компания не рухнула

• Keyless Wallet удобен для тех, кто боится потерять seed-фразу

Слабые стороны

• Cloud Wallet — это просто «второй карман» биржи, не кошелёк в криптографическом смысле

• Keyless Wallet не является настоящей само-кастодиальностью — Bybit хранит две трети ключа

• Код закрыт, независимые аудиты MPC-архитектуры не публикуются

• Крупнейший взлом в истории криптоиндустрии ($1,5 млрд) — реализованный, а не теоретический риск

• Все три типа кошельков привязаны к единому биржевому аккаунту — единая точка отказа

• Поддержка работает медленно и шаблонно при реальных проблемах

• Скрытые спреды в свопах и фиатных операциях

• Длинный список заблокированных юрисдикций, который расширяется

Компромиссы

Bybit Wallet — это инструмент удобства, а не безопасности. Он хорош ровно до тех пор, пока всё идёт по плану. Как только возникает нестандартная ситуация — комплаенс-проверка, блокировка, спор с поддержкой — преимущества удобства быстро меркнут на фоне рисков централизации.

Сравнение с конкурентами

Bybit Wallet vs MetaMask. MetaMask — некастодиальный, открытый исходный код, независимые аудиты, пользователь полностью контролирует ключи. Нет KYC, нет привязки к бирже. Слабее по интеграции с фиатом и Earn-продуктами. Для тех, кому важна реальная само-кастодиальность, — MetaMask выигрывает безоговорочно.

Bybit Wallet vs Trust Wallet. Trust Wallet некастодиальный, поддерживает 70+ сетей, есть аудиты, нет обязательного KYC. Менее интегрирован с биржевой инфраструктурой. Для долгосрочного хранения — надёжнее.

Bybit Wallet vs Binance Web3 Wallet. Похожая гибридная модель с MPC. Binance крупнее и имеет более длинную операционную историю, но и больше регуляторных конфликтов. По риску custody — сопоставимы. Binance пережил взлом BSC-бриджа на ~$570 млн в 2022 году; Bybit — взлом на $1,5 млрд в 2025-м.

Bybit Wallet vs Coinbase Wallet. Coinbase более прозрачен юридически и лучше интегрирован в регуляторную среду США. Тоже кастодиальный в базовом режиме, но Coinbase Wallet как отдельное приложение — некастодиальный. Для пользователей, которым важна регуляторная предсказуемость, Coinbase предпочтительнее.

Bybit Wallet vs аппаратные кошельки (Ledger, Trezor). Принципиально разные классы продуктов. Аппаратный кошелёк — максимальная безопасность для долгосрочного хранения. Bybit Wallet — операционный инструмент для активного использования. Сравнивать их напрямую — как сравнивать сейф и кошелёк в кармане.

Кому подойдёт этот кошелёк

Новичок, который хочет «пощупать» DeFi — подойдёт, если суммы небольшие и пользователь понимает, что хранит деньги у биржи, а не в своём кошельке.

Активный трейдер на Bybit — логично использовать, раз уже работаешь на платформе. Бесплатные переводы и единый интерфейс реально удобны.

DeFi-пользователь — с оговорками. Cloud Wallet подключается к dApps через прокси биржи, что противоречит духу децентрализации. Seed Phrase Wallet — нормальный вариант, но тогда зачем именно Bybit?

Долгосрочный инвестор с крупным капиталом — категорически не подходит. После взлома 2025 года хранить здесь значительные суммы — осознанный выбор высокого риска.

Пользователь, которому важна приватность — не подходит. KYC, мониторинг транзакций, передача данных третьим лицам.

Пользователь из России, США, Канады, Гонконга — не подходит. Сервис ограничен или заблокирован.

NFT-коллекционер — функционально работает, но для серьёзных коллекций лучше использовать некастодиальные решения.

Риски и красные флаги

Технические риски

Взлом 2025 года показал: даже cold storage уязвим, если ломается человеческое звено в цепочке подписания. Закрытый код и отсутствие публичных аудитов MPC-архитектуры делают невозможной независимую проверку заявлений о безопасности.

Операционные риски

Заморозка аккаунта по KYC/AML — не теоретическая угроза. Пользователи из России уже столкнулись с массовыми блокировками. Поддержка обрабатывает тикеты медленно. В периоды высокой волатильности возникают задержки выводов.

Регуляторные риски

Bybit работает без ключевых лицензий в большинстве крупных юрисдикций. Компания может в любой момент уйти из вашей страны с коротким окном для вывода средств. После взлома 2025 года $1,2 млрд украденных средств прошли через THORChain — это привлекло внимание OFAC и создаёт риск вторичных санкций для всей экосистемы.

Риски фишинга и потери доступа

Имитация интерфейса Bybit Web3 для кражи MPC-долей — реальный вектор атаки. Компрометация биржевого аккаунта открывает доступ ко всем трём типам кошельков одновременно.

Риски встроенных сервисов

Свопы, бриджи и dApps-интеграции несут собственные смарт-контрактные риски поверх рисков самой платформы. Ошибка в коде прокси-контрактов Bybit — отдельная поверхность атаки.

Ключевые вопросы без ответа

Где именно хранятся серверные доли MPC-ключей? Почему Bybit не открывает исходный код кошелька? Каков точный механизм компенсации после взлома 2025 года? Есть ли страховой фонд — и какого он размера? Какие конкретно данные передаются Chainalysis, TRM Labs и другим аналитическим провайдерам?

Итог: инструмент трейдера, а не банковская ячейка

Bybit Wallet — продукт с раздвоенной личностью. Маркетинг говорит «Web3», «само-кастодиальность», «ваши ключи — ваши монеты». Реальность говорит: флагманский продукт полностью контролируется биржей, MPC-кошелёк оставляет компании две трети ключа, а вся экосистема привязана к единому централизованному аккаунту.

Взлом февраля 2025 года — не просто репутационный удар. Это доказательство того, что централизованная инфраструктура уязвима на уровне, который не устраняется никакими маркетинговыми списками мер безопасности.

Рекомендовать Bybit Wallet можно активным трейдерам, которые уже работают на бирже, понимают кастодиальную природу продукта и держат здесь только операционные суммы — ровно столько, сколько нужно для текущих сделок.

Не рекомендовать — для долгосрочного хранения, крупных сумм, пользователям из ограниченных юрисдикций и всем, кто воспринимает слово «кошелёк» в его криптографическом смысле.

Для серьёзного хранения — аппаратные кошельки (Ledger, Trezor) или проверенные некастодиальные решения с открытым кодом. Bybit Wallet — это удобный шлюз внутри биржевой экосистемы. Не более того.