Криптокошелёк Ellipal Titan

Железная клетка: честный разбор ELLIPAL

Маркетологи ELLIPAL любят одну фразу — «Zero Hacks, Zero Doubts». Красиво звучит. Только вот в 2025 году американский пенсионер лишился трёх миллионов долларов в XRP, пользуясь именно этим «абсолютно безопасным» кошельком. И это не единственный случай. Разбираемся, что на самом деле представляет собой ELLIPAL — один из самых агрессивно продвигаемых air-gapped кошельков на рынке.

Что такое ELLIPAL: железо с претензией

ELLIPAL — линейка аппаратных криптокошельков с фирменной концепцией «воздушного зазора» (air-gap). Флагман — Titan 2.0: металлический корпус, сенсорный экран 4 дюйма, никаких USB-портов, никакого Bluetooth, никакого Wi-Fi. Связь с внешним миром — исключительно через QR-коды. Есть ещё Titan Mini (компактная версия) и X Card (карточный форм-фактор).

Идея, в общем-то, элегантная. Устройство физически изолировано от интернета. Транзакцию формирует мобильное приложение, передаёт на устройство через QR, устройство подписывает оффлайн и выдаёт ответный QR — уже с подписью. Приватный ключ теоретически не покидает железо никогда.

Тип решения — некастодиальный аппаратный кошелёк. Компания не хранит ваши ключи. Seed-фраза (12 или 24 слова) генерируется прямо на устройстве и остаётся только у вас. Это принципиально отличает ELLIPAL от бирж и кастодиальных сервисов, где «ваши» монеты на самом деле хранятся на чужих серверах.

Позиционирование — «самый безопасный холодный кошелёк в мире». Восемь лет без взломов устройств. Более миллиона пользователей. Двенадцать миллиардов долларов под защитой — так утверждает сама компания.

Цена вопроса — $169–219 плюс доставка.

Кто стоит за продуктом: гонконгский туман

Юридическое лицо — Ellipal Limited, зарегистрированное в Гонконге (регистрационный номер CR 2540327, дата регистрации — 2 мая 2018 года). Адрес фигурирует в районах Kwun Tong и Shatin. Примечательно, что в конце 2024 года появилась новая регистрация в Северной Ирландии — причины этой реструктуризации публично не объяснялись.

Основатели — David Tian (он же Jinhui Tian), Tong Chen (он же Tom Chen, CEO) и Hao Ning (CMO). Публичных биографий почти нет. LinkedIn-профили с верифицируемой историей — тоже. Для компании, которой доверяют хранение миллиардов долларов, это довольно странно.

Инвестиции: в 2018–2019 годах привлечено около $1,46 млн в рамках seed-раунда от JRR Crypto. Крупных венчурных раундов с тех пор не было. Компания небольшая — по разным оценкам, 17–20 сотрудников. Это так называемый «bus factor»: зависимость от узкого круга людей создаёт операционные риски.

Отдельного внимания заслуживает юрисдикционный вопрос. Гонконг формально — отдельная правовая система, но китайский Закон о национальной разведке (National Intelligence Law) создаёт теоретическую возможность доступа властей КНР к данным компаний, работающих в регионе. Сервисное соглашение ELLIPAL подчиняется праву КНР, споры рассматриваются в народном суде по месту подписания соглашения. Для пользователей из США или ЕС это существенный юрисдикционный риск.

Лицензий на криптовалютные услуги (VASP, MSB и аналогичные) у компании нет. Впрочем, для некастодиального hardware wallet это не обязательное требование — но встроенные сервисы покупки и обмена уже находятся в серой зоне.

Как работает кошелёк: архитектура и её пределы

Принцип air-gap

Устройство не имеет ни одного активного канала передачи данных — ни USB для данных, ни Bluetooth, ни Wi-Fi. Это подтверждено независимыми обзорами и официальной документацией. Весь обмен информацией между устройством и смартфоном — исключительно через QR-коды. Камера устройства сканирует QR с телефона, экран устройства показывает QR с подписанной транзакцией, камера телефона сканирует обратно.

Такой подход устраняет целые классы удалённых атак. Malware на компьютере не сможет напрямую обратиться к устройству. Перехват Bluetooth-трафика невозможен физически. Это реальное преимущество перед кошельками с USB-подключением.

Кто контролирует ключи

Приватные ключи (256-бит) генерируются и хранятся в защищённом элементе (Secure Element) с сертификацией CC EAL5+. Seed-фраза — у пользователя. ELLIPAL как компания не имеет к ней доступа и не хранит её на своих серверах.

Восстановление доступа — только через seed-фразу. Если устройство сломалось или потеряно, seed позволяет восстановить кошелёк в любом BIP39-совместимом приложении (Trust Wallet, BlueWallet и другие). Это снижает риск блокировки средств при исчезновении компании.

Где заканчивается «100% offline»

Вот здесь начинается самое интересное. Для подписания транзакций устройство действительно offline. Но для полноценного использования кошелька вам нужно мобильное приложение — а оно онлайн. Приложение:

• формирует неподписанные транзакции;

• отображает балансы (через внешние API);

• маршрутизирует свопы через Changelly, SWFT и других провайдеров;

• обеспечивает доступ к стейкингу через сторонние сервисы;

• подключает к dApps через WalletConnect и MetaMask;

• организует покупку крипты через MoonPay и Simplex.

Иными словами: железо offline, экосистема — нет. «100% offline» — это маркетинговое упрощение, которое описывает только одну часть системы.

Обновления прошивки

Обновления устанавливаются через microSD-карту. Это создаёт специфический риск: если сайт компании будет скомпрометирован, злоумышленники теоретически могут подсунуть вредоносный файл прошивки. ELLIPAL предлагает инструмент верификации подписи обновлений — но большинство пользователей им не пользуются.

Поддерживаемые криптовалюты и сети

ELLIPAL поддерживает 40+ блокчейнов и 10 000+ токенов. В списке — Bitcoin, Ethereum, Solana, XRP, Cardano, Polkadot, Cosmos, Tron, BNB Chain, Polygon и многие другие. Поддерживаются токены стандартов ERC-20, BEP-20, TRC-20.

Стейкинг доступен для ограниченного набора активов: ADA, DOT, ATOM и ряда других — через мобильное приложение и сторонних провайдеров.

NFT поддерживаются через совместимые сети. Свопы — через встроенный обменник в приложении (Changelly, SWFT и другие). Fiat on-ramp — через MoonPay и Simplex.

Подключение к dApps — через WalletConnect и интеграцию с MetaMask.

Список поддерживаемых активов и сетей меняется — актуальную информацию нужно проверять на официальном сайте.

Основные функции

Хранение и транзакции. Отправка и получение криптовалюты — базовая функция, работающая через QR-подписание. Адресная книга, история транзакций — есть. Настройка gas fee — доступна.

Покупка и продажа. Через встроенных партнёров (MoonPay, Simplex). Требует KYC на стороне провайдера. Комиссии — выше, чем на биржах.

Обмен. Встроенный своп через Changelly и SWFT. Спреды, по отзывам пользователей, могут достигать 1–2% и выше. Были жалобы на суммы комиссий свыше $1600 при обмене BTC.

Стейкинг. Ограниченный список активов, реализован через сторонних провайдеров.

dApps. Подключение через WalletConnect и MetaMask.

Несколько аккаунтов. Поддерживается.

Импорт сторонних кошельков. Функция импорта seed-фразы в мобильное приложение существовала — и именно она стала причиной крупнейшего инцидента 2025 года. После него компания удалила этот функционал.

Браузерное расширение — отсутствует. Продукт существует в форматах hardware device + мобильное приложение.

Безопасность и хранение ключей: честный разговор

Что реально хорошо

Аппаратная изоляция — настоящая. Устройство не подключается к интернету физически. Secure Element CC EAL5+ — серьёзный компонент. Anti-tamper защита: при попытке вскрытия корпуса ключи должны стираться (механизм не тестировался публично ведущими лабораториями).

За восемь лет нет подтверждённых случаев удалённого взлома самого железа. Это факт.

Что вызывает вопросы

Закрытый исходный код. Это главная проблема. ELLIPAL в маркетинге намекает на открытость, но реальность другая. Платформа WalletScrutiny констатирует прямо: «Сборка не может быть выполнена, так как исходный код недоступен публично». На GitHub опубликованы лишь второстепенные библиотеки — спецификация QR-формата и инструмент верификации обновлений. Firmware и мобильное приложение — закрыты. Компания объясняет это тем, что open-source «не обязательно лучше для безопасности». Аргумент спорный.

Аудиты. Towo Labs проводила аудит в 2020–2021 годах — нашла уязвимости на сайте и в XRP-приложении, они были исправлены. В 2019 году специалисты Ledger Donjon обнаружили критические уязвимости в старой модели EC01: при физическом доступе к устройству можно было извлечь seed-фразу через UART-интерфейс и активировать скрытые интерфейсы. Уязвимости исправлены, но сам факт их существования показателен. Публичных независимых аудитов firmware и приложения от CertiK, Trail of Bits или аналогичных компаний — нет.

Bug bounty. Программа формально существует, но не размещена на стандартных платформах вроде HackerOne. Публичных отчётов о выплатах и найденных уязвимостях нет.

Модель чипа. Официально не раскрывается (предположительно ST33 или аналог). Отсутствие публичной документации по реализации чипа затрудняет независимую верификацию.

Инциденты 2025 года

Это отдельная история, заслуживающая подробного разбора.

Дело LaRoque. В октябре 2025 года американский пенсионер Брэндон ЛаРок лишился 1,2 млн XRP — около $3,05 млн по курсу на момент кражи. Ончейн-детектив ZachXBT проследил движение средств: они прошли через бридж Bridgers, затем через Tron, затем через OTC-сервисы группы Huione — камбоджийской организации, находящейся под санкциями США за связь с отмыванием денег.

Версия ELLIPAL: пользователь импортировал seed-фразу из холодного кошелька в мобильное приложение, тем самым превратив его в горячий кошелёк. После этого инцидента компания удалила функцию hot-wallet из приложения.

Версия критиков: функция существовала годами и прямо противоречила позиционированию «100% offline». Почему компания не предупреждала о рисках явнее?

Массовые дренажи USDT TRC-20. В 2025 году зафиксированы множественные случаи несанкционированного списания USDT через функцию transferFrom. Общий ущерб — десятки миллионов долларов. Пользователи утверждали, что вредоносный контракт приходил через QR-коды в приложении. ELLIPAL квалифицировал это как «signature fraud attack» от группы Huione.

Независимого расследования с публичными результатами не было. Механизм атаки официально не раскрыт.

Комиссии и стоимость использования

Стоимость устройства: $169–219 плюс доставка.

Комиссии за хранение и переводы: отсутствуют. Пользователь платит только сетевую комиссию блокчейна.

Встроенные свопы: здесь начинается зона непрозрачности. Обмен происходит через сторонних провайдеров (Changelly, SWFT и другие). Пользователи на Reddit жаловались на спреды 1–2% и выше, а в отдельных случаях — на комиссии свыше $1600 при обмене BTC. Спреды не всегда отображаются заранее в явном виде.

Fiat on-ramp: через MoonPay и Simplex. Суммарные потери на комиссиях и спредах могут достигать 5–7%.

Стейкинг: reward минус комиссия провайдера. Точные размеры зависят от конкретного актива и партнёра.

Монетизация компании: продажа железа плюс партнёрские комиссии от свопов и fiat-операций. Это объясняет, почему встроенные сервисы удобны, но не всегда выгодны.

Удобство интерфейса и пользовательский опыт

Большой сенсорный экран Titan 2.0 — реальное преимущество. Интерфейс визуально понятен, QR-сканирование работает быстро. Мобильное приложение получает смешанные оценки: в App Store — выше 4,5 звезды, в Google Play — около 3,4. Разрыв показателен.

Типичные жалобы:

• приложение медленно обновляет балансы или не обновляет вовсе;

• проблемы с синхронизацией после обновлений прошивки;

• несовместимость microSD-карт при обновлении (риск «окирпичивания»);

• медленная поддержка (от 48 часов до недели);

• перекладывание ответственности на пользователя при спорных ситуациях.

На Trustpilot — около 4,0 из 5 (272+ отзыва). Положительные отзывы хвалят дизайн и концепцию. Отрицательные — поддержку и программные баги.

Локализация: приложение доступно на нескольких языках, включая русский.

Для новичков ELLIPAL — не лучший выбор. Концепция air-gap требует понимания того, что происходит. Ошибка при сканировании QR, невнимательность при проверке адреса на экране устройства — и деньги уйдут не туда. Опытным пользователям, которые понимают модель угроз, — вполне подходит.

Плюсы и минусы

Сильные стороны

• Настоящий air-gapped дизайн — нет USB, Bluetooth, Wi-Fi. Это реальная защита от удалённых атак.

• Некастодиальная модель: ключи у пользователя, компания не имеет доступа к средствам.

• Secure Element CC EAL5+.

• Большой экран, удобное QR-взаимодействие.

• Широкая поддержка активов: 10 000+ токенов, 40+ сетей.

• Восемь лет без подтверждённых взломов самого железа.

• При потере устройства seed позволяет восстановить кошелёк в любом BIP39-совместимом приложении.

Слабые стороны

• Закрытый исходный код firmware и приложения — невозможно независимо верифицировать отсутствие бэкдоров.

• Отсутствие публичных независимых аудитов firmware и приложения от ведущих компаний.

• Зависимость от мобильного приложения и сторонних провайдеров — «100% offline» описывает только железо.

• Непрозрачные спреды во встроенных свопах.

• Юрисдикция КНР/Гонконг с соответствующими рисками.

• Сбор метаданных приложением (device ID, analytics через Google/Firebase).

• Медленная и нередко неэффективная поддержка.

• Инциденты 2025 года с потерями через экосистему.

• Маркетинговые заявления расходятся с реальностью.

Компромиссы

ELLIPAL предлагает лучшую аппаратную изоляцию, чем большинство конкурентов с USB/Bluetooth, — но ценой закрытости и зависимости от проприетарной экосистемы. Это выбор между «физически изолировано» и «независимо проверяемо».

Сравнение с конкурентами

ELLIPAL vs Ledger

Ledger — более зрелый бренд с широкой экосистемой, публичными аудитами и большей прозрачностью. Но использует USB и Bluetooth, что создаёт дополнительную поверхность атаки. В 2020 году Ledger пережил масштабную утечку данных клиентов — имена, адреса, телефоны. Это не взлом кошельков, но репутационный удар был серьёзным.

ELLIPAL выигрывает в физической изоляции. Ledger — в прозрачности, зрелости экосистемы и качестве поддержки.

ELLIPAL vs Trezor

Trezor — эталон open-source в нише hardware wallets. Firmware полностью открыт, сообщество может и проверяет код. Использует USB, что теоретически создаёт attack vector. Нет Secure Element в базовых моделях.

Для пользователей, которым важна прозрачность и независимая верификация, Trezor предпочтительнее. ELLIPAL выигрывает в физической изоляции и поддержке активов.

ELLIPAL vs Keystone

Keystone — ближайший прямой конкурент по концепции: тоже air-gapped, тоже QR-подписание. При этом Keystone более открыт: firmware частично open-source, аудиты публикуются. Secure Element — EAL6+. Цена сопоставимая.

Keystone выглядит предпочтительнее для пользователей, которым важна прозрачность при сохранении air-gap концепции.

ELLIPAL vs Coldcard

Coldcard — выбор параноиков. Максимальная открытость, air-gapped режим, bitcoin-only фокус. Сложный интерфейс, требует технических знаний. Не для широкой аудитории.

ELLIPAL vs SafePal

Похожий сегмент: удобный hardware wallet с мобильным приложением и встроенными сервисами. SafePal также имеет вопросы по прозрачности. Оба продукта требуют критического отношения к маркетинговым заявлениям.

Кому подойдёт этот кошелёк

Опытный пользователь, хранящий долгосрочно. Пожалуй, основная целевая аудитория. При условии строгого соблюдения правил: никогда не импортировать seed в приложение, всегда проверять адрес и сумму на экране устройства, хранить seed-фразу в надёжном физическом месте.

Пользователь, которому важна физическая изоляция. Если для вас принципиально отсутствие USB/Bluetooth — ELLIPAL даёт это из коробки.

Новичок. Скорее нет. Концепция требует понимания. Ошибки при работе с hardware wallet могут стоить дорого, а поддержка ELLIPAL не отличается оперативностью.

Активный трейдер. Не лучший выбор. Встроенные свопы дорогие, скорость взаимодействия через QR ниже, чем у биржи.

DeFi-пользователь. С осторожностью. Подключение к dApps через WalletConnect работает, но каждая транзакция требует QR-обмена. Для активного DeFi это неудобно.

NFT-пользователь. Базовая поддержка есть, но экосистема не заточена под NFT.

Инвестор с крупным капиталом (от $100 000). Не рекомендуется без дополнительных мер: мультиподпись, отдельный air-gapped компьютер для верификации транзакций, диверсификация по нескольким устройствам разных производителей.

Пользователь, которому важна максимальная автономность и безопасность. Лучше рассмотреть Coldcard или Keystone — более прозрачные альтернативы.

Пользователи из США и ЕС с крупными суммами. Юрисдикционные риски и отсутствие лицензий создают дополнительную неопределённость.

Основные риски и на что обратить внимание

Технические риски

Уязвимость мобильного приложения — главный вектор атак 2025 года. QR approval flow для USDT TRC-20 оказался точкой входа. Механизм атаки официально не раскрыт, независимого расследования не было.

Supply-chain risk. Устройство производится в Китае. Теоретически возможно внедрение вредоносного кода на этапе производства или подмена устройства при доставке. Anti-tamper защита снижает, но не устраняет этот риск.

Firmware backdoor. Закрытый код означает, что пользователь не может исключить наличие мастер-ключа у разработчиков. Недоказуемо, но и опровергнуть невозможно.

Атака через QR. Теоретически возможен эксплойт через переполнение буфера при сканировании специально подготовленного QR-кода. Публичных подтверждений нет, но вектор существует.

Проблемы с обновлением прошивки. Несовместимость microSD-карт, прерывание процесса — риск «окирпичивания» устройства.

Операционные риски

Потеря seed-фразы = безвозвратная потеря средств. ELLIPAL не может помочь восстановить доступ. Физический износ батареи через 5–7 лет может потребовать переноса seed на новое устройство.

Регуляторные риски

Юрисдикция КНР/Гонконг. Встроенные сервисы могут быть недоступны в отдельных странах. Партнёры (MoonPay, Simplex) проводят KYC/AML и могут отказать в обслуживании.

Риски фишинга

Поддельные сайты ELLIPAL, поддельные версии приложения, фишинговые письма — стандартные угрозы для любого популярного кошелька. Покупать устройство — только у официального продавца или напрямую на ellipal.com.

Риски встроенных сервисов

Свопы, стейкинг и fiat-операции проходят через третьих лиц. Инциденты 2025 года показали связь с группой Huione, находящейся под санкциями США. Это создаёт репутационные и регуляторные риски для пользователей.

Приватность

Приложение собирает device ID, данные об использовании, аналитику через Google/Firebase. Данные передаются третьим сторонам. Это не анонимный инструмент.

Итог

ELLIPAL — продукт с реальными техническими достоинствами и серьёзными системными проблемами. Аппаратная изоляция работает. Восемь лет без подтверждённых взломов железа — факт. Но экосистема вокруг этого железа создаёт векторы атак, которые маркетинг старательно замалчивает.

Закрытый код, отсутствие публичных независимых аудитов, непрозрачная юрисдикция, инциденты 2025 года с десятками миллионов долларов потерь через приложение — всё это не позволяет рекомендовать ELLIPAL как «просто купи и забудь» решение.

Объективный вердикт: средний риск с оговорками.

Рекомендуется: опытным пользователям для долгосрочного хранения небольших и средних сумм при строгом соблюдении правил безопасности. Никогда не импортировать seed в приложение. Всегда проверять адрес и сумму на экране устройства. Покупать только у официального продавца.

Лучше рассмотреть альтернативы: если важна прозрачность кода — Trezor или Keystone. Если важна максимальная паранойя — Coldcard. Если нужна зрелая экосистема с широкой поддержкой — Ledger (с пониманием его собственных рисков). Для крупных сумм — мультиподпись с диверсификацией по нескольким устройствам разных производителей.