Hot wallet — будь-який гаманець, чий приватний ключ сидить на пристрої, підключеному до інтернету. MetaMask у браузері, Phantom на телефоні, додаток Trust Wallet, Rabby — усі hot. Мітка описова, не зневажлива: hot-гаманці — правильний інструмент для щоденної on-chain активності, і неправильний інструмент для холдингів, втратити які було б катастрофою.
Що робить гаманець "hot"
Приватний ключ розшифрований і утримується в пам'яті процесу, коли гаманець розблокований. Навіть якщо гаманець шифрує ключ у спокої, у момент, коли ви вводите пароль і підписуєте транзакцію, ключ коротко перебуває в RAM на пристрої, що також може гортати Twitter, встановлювати застосунки і запускати JavaScript. Це вікно — поверхня атаки.
Три реальні загрози
Перша, stealer malware. Lumma, RedLine, Atomic, та десяток інших. Це commodity-інструменти, що продаються на дарк-форумах за $50-$200/місяць; оператор кидає їх у піратські завантаження ПЗ, фейкові browser-розширення і пітчі "безкоштовний торговий бот". Вони сканують файли гаманців, дані browser-розширень і вміст clipboard. Одного разу посіяні в систему, вони ексфільтрують усе за секунди.
Друга, шкідливі browser-розширення. Інцидент Ledger Connect Kit у грудні 2023 року показав, як зловмисник, що компрометує популярну бібліотеку, може ін'єктувати drainer-логіку у сотні легітимних dApp за ніч.
Третя, фішинг-сайти, яким не потрібен malware — їм просто потрібно, щоб ви підписали одну погану транзакцію. Hot-гаманці підписують транзакції одним кліком і запитом пароля; апаратні гаманці вимагають додаткового фізичного підтвердження на пристрої, що відображає, що підписується.
Коли hot wallet — правильний вибір
Щоденна on-chain активність: DEX-торгівля, mint NFT, DeFi-взаємодії, gaming. Тертя апаратного гаманця для кожної транзакції реальне, і мало голдерів підтримують цю дисципліну довше місяця. Hot-гаманець на телефоні або в браузері, що використовується з окремим "торговим флоатом" балансом, — практичний компроміс.
Дисципліна: ніколи не дозволяйте hot-гаманцевому флоату перевищувати те, що ви активно потратите за два тижні нормального використання. Якщо ваші DeFi-позиції йдуть за цю стелю, фіксуйте прибуток назад у холодне зберігання. Правило "не тримати більше 200 000 ₴ в будь-якому hot-гаманці" працює для більшості українських роздрібних голдерів; "не тримати більше 5% загального портфеля" працює для всіх.
Rabby vs MetaMask
Серед hot-гаманців Rabby (придбаний DeBank у 2022) з'явився як краща історія безпеки: попередньо симулює транзакції, помічає підозрілі approval, нативно підтримує більше EVM-мереж і чисто інтегрується з апаратними гаманцями. MetaMask досі лідирує за кількістю користувачів, але відстає за UX safety-rail. Для українського голдера, що будує hot-wallet рутину в 2026, Rabby — кращий дефолт.
Подальше читання: Cold vs hot wallet, Холодний гаманець, Безпека MetaMask.