Криптокошелёк Cropty

Cropty Wallet: полный разбор сервиса, который называет себя кошельком

Когда сервис называет себя «кошельком», у большинства пользователей возникает вполне конкретная ассоциация: мои деньги, мои ключи, мой контроль. Cropty эту ассоциацию активно эксплуатирует — и именно здесь начинается главная проблема. Разберем продукт честно, без скидок на красивый интерфейс и маркетинговые обещания.

Что скрывается за словом «кошелек»

Cropty — это мобильное приложение (iOS и Android), веб-интерфейс, браузерное расширение для Chrome и Telegram Mini App, позиционирующиеся как криптовалютный кошелек с расширенной функциональностью: встроенными свопами, займами, стейкингом и фиатными шлюзами.

Тип решения — кастодиальный. Полностью. Это принципиальный момент, который стоит зафиксировать сразу, до любого разговора об удобстве интерфейса или поддерживаемых монетах.

Пользователь не получает seed-фразу. Приватные ключи хранятся на стороне компании. Доступ к аккаунту — через логин, пароль и двухфакторную аутентификацию. Восстановление — через службу поддержки. Это не кошелек в классическом понимании. Это мини-биржа с приятным интерфейсом.

Целевая аудитория — новички, преимущественно из СНГ, которым нужен низкий порог входа и русскоязычная поддержка. Продукт позиционируется как «максимально безопасный и анонимный» — и именно это сочетание слов должно настораживать любого, кто понимает, как устроена кастодиальная модель.

Кто за этим стоит — и почему это важно знать

Здесь начинаются противоречия, которые не удается разрешить даже при детальном изучении открытых источников.

По данным OSINT-исследований, юридическое лицо, стоящее за Cropty, — Coinscatch (Private) Limited, зарегистрированное на Шри-Ланке (адрес: 107c Lindamulla waththa, kabalana road, Ahangama 80650). Именно это юрлицо фигурирует в пользовательском соглашении и политике конфиденциальности. Governing law — законы Шри-Ланки, споры — исключительно в судах Шри-Ланки.

Параллельно существуют данные о другом юридическом лице — CROPTY DIGITAL LLC (ID: 405523091), зарегистрированном в Грузии (Тбилиси). Связь между этими двумя структурами публично не раскрыта. Это само по себе — серьезный вопрос без ответа.

Основатели и команда публично не раскрыты. В LinkedIn упоминаются отдельные имена, в том числе Антон Акентьев как CEO с предполагаемой связью с B2Broker, но верифицировать эти данные независимо не представляется возможным. Компания насчитывает, по данным LinkedIn, от 11 до 50 сотрудников.

Информации о раундах финансирования от крупных фондов нет. Судя по всему, проект либо «bootstrapped», либо финансируется частными инвесторами из финтех-среды СНГ.

Что касается лицензий: в октябре 2023 года FCA (Великобритания) выпустило предупреждение о том, что Cropty ведет деятельность в Великобритании без соответствующей авторизации. Это не уголовное обвинение, но это официальный регуляторный сигнал, который нельзя игнорировать. Лицензий VASP в ЕС или США нет. Упоминается регистрация как VASP в Грузии, однако это не банковская лицензия и не страховка средств.

Как это работает на самом деле

Архитектура Cropty — 100% кастодиальная. Разберем, что это означает практически.

Когда пользователь «пополняет кошелек», средства поступают на адреса, которыми управляет компания. Внутренние переводы между пользователями Cropty происходят off-chain — то есть это просто записи в базе данных сервиса, а не реальные блокчейн-транзакции. Реальные активы хранятся на горячих и холодных кошельках компании.

Пользователь не может:

• экспортировать приватный ключ;

• получить seed-фразу;

• восстановить доступ к средствам без участия службы поддержки;

• самостоятельно подписать транзакцию.

Компания заявляет о «blend of self-custody» — это маркетинговая формулировка, которая не соответствует технической реальности. Никакого смешения с самохранением здесь нет.

Исходный код закрыт. GitHub-активности, связанной с основным продуктом, практически нет. Проверить архитектуру независимо невозможно.

Что используется для безопасности по заявлениям компании: cold storage для большей части средств, TLS/SSL, 2FA на каждую транзакцию, мониторинг подозрительной активности. Компания также имеет ISO-сертификаты (27001, 27017 и ряд других, включая CSA STAR) — это реальные сертификаты в области управления информационной безопасностью. Однако важно понимать: ISO 27001 — это стандарт менеджмента, а не специализированный криптографический аудит. Он не заменяет pentest, не подтверждает отсутствие уязвимостей в коде и не гарантирует сохранность средств пользователей.

Публичных аудитов безопасности от специализированных фирм уровня Trail of Bits, Least Authority или Cure53 в открытом доступе не обнаружено. Bug bounty программа формально существует, но с выплатами в диапазоне $10–500 — это несерьезно для сервиса, претендующего на хранение средств пользователей.

Какие монеты и сети поддерживаются

Cropty поддерживает 9 основных блокчейнов: Bitcoin, Ethereum, BNB Smart Chain, TON, XRP, Polygon, Solana, TRON, Avalanche.

Из токенов доступны: BTC, ETH, USDT (в нескольких сетях), XRP, SOL, TRX, AVAX, а также широкий список TON-мемкоинов — NOT, DOGS, HMSTR, MAJOR и другие. Именно поддержка TON-экосистемы и мемкоинов выглядит как одно из реальных конкурентных преимуществ для определенной аудитории.

NFT явно не поддерживаются. Мультисетевой портфель управляется через единый интерфейс — это удобно, но нужно помнить, что «управление» здесь означает управление записями в базе данных кастодиана, а не реальными on-chain активами.

Что умеет сервис

Функциональность Cropty шире, чем у типичного простого кошелька. Вот что доступно:

Базовые операции: отправка и получение криптовалюты, история транзакций, адресная книга.

Внутренние переводы: по @CroptyTag, email или номеру телефона — без комиссии и мгновенно. Это действительно удобно, но работает только внутри экосистемы Cropty и является off-chain операцией.

Покупка через фиат: поддерживаются банковские карты, Apple Pay и Google Pay. Реальные комиссии партнеров-провайдеров при этом не раскрываются прозрачно.

Свопы: заявлены как «zero cost» между пользователями Cropty. Для внешних свопов — через сторонних провайдеров ликвидности, которые публично не раскрыты. Спред при обмене может достигать 2–5%.

Займы (Crypto Loans): пользователь оставляет криптовалюту в залог и получает заем. Это одна из функций, по которой зафиксированы жалобы пользователей.

Стейкинг и Earn: доступны, детали условий требуют уточнения на официальном сайте.

Донации: заявлены как zero-fee переводы.

Наследование: упоминается как функция — редкость для подобных сервисов, хотя механизм реализации не раскрыт.

Подключение к dApps: через Telegram Mini App и браузерное расширение. WalletConnect-интеграция — данные требуют уточнения.

Несколько аккаунтов, импорт сторонних кошельков: информация не подтверждена в открытых источниках.

Безопасность: что за фасадом

Этот раздел — ключевой. И здесь картина наименее утешительная.

Кастодиальная модель означает, что все риски концентрируются на стороне компании. Если серверы Cropty взломают — потенциально пострадают все пользователи разом. Если компания обанкротится — средства могут оказаться недоступны. Если аккаунт заблокируют по решению комплаенс-отдела — пользователь не сможет получить средства в обход сервиса, потому что у него нет ключей.

Open source: исходный код закрыт. Проверить отсутствие бэкдоров или уязвимостей невозможно.

Аудиты: ISO-сертификаты есть, но это не криптографический аудит. Публичных отчетов от специализированных security-фирм не обнаружено. Если на сайте есть упоминания об аудите без ссылки на публичный PDF, имени аудитора и даты — это claim, а не подтвержденный факт.

Bug bounty: $10–500. Для сравнения: серьезные протоколы предлагают $100 000–$1 000 000 за критические уязвимости.

Крупных публичных взломов на момент подготовки материала не зафиксировано. Это хорошая новость, но она не означает отсутствия уязвимостей — закрытый код просто не дает возможности это проверить.

Трекеры в приложении: мобильные приложения содержат Google Analytics, Firebase, Facebook SDK. Это стандартная практика для consumer-приложений, но она означает деанонимизацию устройства и связывание активности с идентификаторами.

Фишинговый риск: поскольку нет seed-фразы, слабым звеном становится email-аккаунт. Угон почты = потенциальный угон доступа к средствам.

Комиссии: что раскрыто, что — нет

Структура монетизации Cropty непрозрачна. Вот что известно:

Внутренние переводы между пользователями — действительно без комиссии.

Сетевые комиссии при выводе on-chain — оплачиваются пользователем, но могут включать операционную наценку сервиса сверх реальной сетевой комиссии.

Свопы и покупка через фиат — основной источник скрытого дохода через спред. Реальный курс обмена может отличаться от рыночного на 2–5% и более. Прозрачного breakdown комиссий на сайте нет.

Займы — сервисная комиссия присутствует, детали требуют уточнения.

Стейкинг — вероятно, сервис берет процент от вознаграждений.

Жалобы пользователей на Trustpilot упоминают несоответствие заявленных и реальных условий по займам. Это косвенно подтверждает непрозрачность тарифной политики.

Интерфейс и пользовательский опыт

Здесь Cropty действительно силен. Интерфейс — интуитивный, современный, хорошо локализованный. Именно за это продукт получает высокие оценки в App Store и Google Play.

Поддержка работает 24/7, на 23 языках, включая русский. По отзывам, время ответа — быстрее, чем у большинства глобальных бирж. Отдельные пользователи отмечают конкретного сотрудника поддержки (Alex) как особенно отзывчивого.

Onboarding — минимальный. Не нужно разбираться с seed-фразами, настройкой сети, gas-лимитами. Для новичка это выглядит как преимущество. Для опытного пользователя — как отсутствие контроля.

Рейтинг на Trustpilot — 4.3 при небольшой базе отзывов (около 20 на момент исследования). Среди негативных — детализированные жалобы на блокировки, несоответствие политик по займам, отказ в возврате средств. Среди позитивных — подозрительно однотипные пятизвездочные отзывы.

Присутствие в англоязычном крипто-сообществе (Reddit, X) — минимальное. Основная аудитория сосредоточена в Telegram-каналах и YouTube-блогах СНГ.

Честный список плюсов и минусов

Сильные стороны

• Удобный, современный интерфейс с низким порогом входа

• Быстрые внутренние переводы без комиссии

• Русскоязычная поддержка 24/7

• Поддержка TON-экосистемы и популярных мемкоинов

• Встроенные займы, стейкинг, фиатные шлюзы в одном месте

• Восстановление доступа без seed-фразы (удобно для тех, кто боится её потерять)

• Реальные ISO-сертификаты

Слабые стороны

• Полное отсутствие контроля над приватными ключами

• Закрытый исходный код

• Нет публичных криптографических аудитов

• Непрозрачная тарифная политика, скрытые спреды

• Слабая bug bounty программа

• Неясная корпоративная структура (два возможных юрлица в разных юрисдикциях)

• Предупреждение FCA (2023)

• Маркетинг «анонимного» кошелька при кастодиальной модели — прямое противоречие

• Нет Proof of Reserves

• Споры — только в судах Шри-Ланки

Сравнение с ближайшими конкурентами

Trust Wallet — некастодиальный, пользователь владеет ключами. Широкая поддержка активов, известный бренд. Проигрывает Cropty в удобстве встроенных финансовых инструментов, но выигрывает принципиально — в контроле над средствами. Для большинства пользователей Trust Wallet безопаснее.

MetaMask — отраслевой стандарт для EVM-сетей, self-custody. Сложнее для новичков, имеет вопросы по приватности из-за зависимости от Infura. Но пользователь держит ключи сам. Для DeFi — значительно лучше Cropty.

Tonkeeper — некастодиальный кошелек, специализирующийся на TON-экосистеме. Если пользователю нужны именно TON и мемкоины — Tonkeeper дает то же самое без кастодиальных рисков. Прямой конкурент Cropty в его нише, и более безопасный.

Exodus — красивый мультиактивный кошелек с частично закрытым кодом и монетизацией через спреды. Похожая модель по части прозрачности, но пользователь владеет ключами. Лучше Cropty по контролю.

Binance / Bybit — если уж выбирать кастодиальное решение, крупные биржи предлагают больше ликвидности, более строгий регуляторный контроль, страховые фонды (SAFU у Binance) и Proof of Reserves. Cropty на их фоне — непрозрачный локальный игрок.

Кому это подойдет, а кому — нет

Новичок, хранящий небольшие суммы — Cropty может быть приемлемым вариантом при условии, что пользователь понимает: это не настоящий кошелек, а мини-биржа. Суммы — только те, потерю которых можно пережить.

Пользователь TON-экосистемы и мемкоинов — функциональность есть, удобство высокое. Но Tonkeeper предлагает то же самое без кастодиальных рисков.

Активный трейдер — лучше использовать полноценные биржи с реальной ликвидностью.

DeFi-пользователь — кастодиальная модель принципиально несовместима с духом DeFi. MetaMask, Rabby или аппаратный кошелек — правильный выбор.

Долгосрочный инвестор (HODL) — категорически не подходит. Хранить значительные суммы в кастодиальном сервисе с непрозрачной структурой — неоправданный риск.

Пользователь с крупным капиталом — исключено. Ни при каких обстоятельствах.

Privacy-ориентированный пользователь — маркетинг об анонимности не соответствует реальности. Кастодиан видит всё.

Пользователь из ЕС, Великобритании, США — регуляторные риски повышены. FCA-предупреждение — реальный сигнал.

Риски, о которых нужно знать заранее

Банкротство или взлом компании. Если Coinscatch прекратит работу или горячие кошельки будут скомпрометированы — пользователь теряет всё. Без seed-фразы восстановить средства невозможно.

Заморозка по AML. Пользовательское соглашение дает компании право заблокировать аккаунт при подозрении в нарушении AML-политики. Разблокировка может потребовать предоставления документов о происхождении средств.

Юрисдикционный риск. Судиться с Coinscatch придется в Шри-Ланке. Для нерезидента это дорого, долго и практически нереально.

Деанонимизация. Email, IP, device ID, история транзакций — всё это хранится и может быть передано правоохранительным органам по запросу.

Геополитические и санкционные риски. Блокировка пользователей по национальному признаку — реальный сценарий.

Скрытые комиссии. Спреды при свопах и покупке через фиат могут существенно превышать заявленные «нулевые комиссии».

Фишинг. Слабое звено — email-аккаунт. Нет seed-фразы как резервного механизма защиты.

Риск «bank run». При массовом выводе средств ликвидность может оказаться недостаточной.

Непрозрачные провайдеры. Кто обеспечивает свопы, фиатные шлюзы, AML-скрининг — публично не раскрыто.

Маркетинговые несоответствия. Разрыв между обещаниями («анонимность», «полный контроль», «ваш кошелек») и реальностью (кастодиальная модель) — сам по себе тревожный сигнал.

Итог: удобство в обмен на контроль

Cropty — технически работающий продукт с приятным интерфейсом и реальной аудиторией. Для новичка, которому нужно быстро и без лишних сложностей поработать с небольшими суммами в TON-экосистеме или сделать внутренний перевод, сервис может показаться привлекательным.

Но называть его «кошельком» в полном смысле слова — нельзя. Это кастодиальная платформа, где компания держит ключи, а пользователь держит только аккаунт. Разница принципиальная.

Главные проблемы: закрытый код, отсутствие публичных криптографических аудитов, непрозрачная корпоративная структура, слабая bug bounty, предупреждение FCA и маркетинг, систематически вводящий пользователей в заблуждение относительно реального уровня контроля над средствами.

Объективный вердикт: средний — высокий риск. Оценка доверия — около 4.5 из 10.

Рекомендовать Cropty можно лишь для хранения сумм, потерю которых пользователь готов принять. Для всего остального — self-custody решения (Trust Wallet, MetaMask, Tonkeeper, аппаратные кошельки Ledger или Trezor) или регулируемые кастодиальные платформы с Proof of Reserves и прозрачной юридической структурой.

Правило остается неизменным: not your keys, not your coins. Cropty его не отменяет — он просто делает вид, что оно не существует.