⚠ Это не официальный сайт pump.fun или PumpSwap. PumpSwap Guide — независимый образовательный проект. Мы не связаны с pump.fun, PumpSwap или любым из упомянутых ниже поставщиков кошельков. Любые цифры, приписываемые официальному сайту pump.fun, могут меняться — всегда проверяйте их там.
- «Кошелька pump.fun» не существует
- Какой кошелёк Solana выбрать
- Кастодиальный vs некастодиальный — на пальцах
- Seed-фраза — это мастер-ключ
- Правила бэкапа, которые действительно важны
- Восстановление по seed-фразе, шаг за шагом
- Hot- и cold-кошельки
- Аппаратные кошельки для крупных сумм
- 2FA, пароли и где они применимы
- Гигиена разрешений и их отзыв
- Открытость кода и приватность
- Наша оценка безопасности кошелька
- FAQ
«Кошелька pump.fun» не существует
Давайте разберёмся с этим в первую очередь, потому что это самое дорогостоящее недопонимание во всей экосистеме. pump.fun не выпускает кошелёк. Как и PumpSwap. Это веб-интерфейсы, которые общаются с кошельком, который у вас уже есть. Когда вы нажимаете «connect wallet» в приложении pump.fun или в swap DEX, вы направляете на сайт имеющийся кошелёк Solana, а не скачиваете какой-то фирменный «pumpfun wallet».
Это важно, потому что мошенники постоянно эксплуатируют эту путаницу. Поищите «pump.fun wallet download» — и вы найдёте целую россыпь поддельных приложений, поддельных расширений для браузера и поддельных лендингов, единственная задача которых — заполучить вашу seed-фразу. Никакого легитимного первородного кошелька для скачивания не существует, поэтому любой результат, утверждающий обратное, по определению не является тем, чем себя называет.
Какой кошелёк Solana выбрать
pump.fun работает на Solana, поэтому вам нужен совместимый с Solana self-custody кошелёк, пополненный небольшим количеством SOL для оплаты сетевых комиссий. Три названия, которые встречаются чаще всего, — Phantom, Solflare и Backpack. Все они некастодиальные, то есть ключами владеете вы и только вы.
| Кошелёк | Форм-фактор | Поддержка железа | Чем примечателен |
|---|---|---|---|
| Phantom | Расширение для браузера + мобильное | Да (Ledger) | Самый распространённый; мультичейн; удобный интерфейс. |
| Solflare | Расширение + мобильное + веб | Да (Ledger) | Нативный для Solana, функции стейкинга, давно на рынке. |
| Backpack | Расширение для браузера + мобильное | Частично | Новее; тесная интеграция с рядом приложений Solana. |
Мы описываем категории, а не рекомендуем конкретный бренд и не призываем что-либо покупать. Выбирайте кошелёк с устоявшейся репутацией, скачивайте его только с официального сайта или из официального магазина приложений (проверяйте URL символ за символом) и игнорируйте расширения, продвигаемые в поисковой рекламе. Поддельные расширения-кошельки — повторяющаяся проблема именно потому, что этап загрузки — это то место, где пользователей обмануть проще всего.
Какой бы кошелёк вы ни выбрали, бренд кошелька значит гораздо меньше, чем то, как вы обращаетесь с seed-фразой. Идеально защищённый кошелёк с утёкшей seed-фразой — это пустой кошелёк. Остальная часть этой страницы именно об этом.
Кастодиальный vs некастодиальный — на пальцах
Именно это различие решает, что станет с вашими деньгами в худший день, поэтому объясним его простыми словами.
🏦 Кастодиальный = банк хранит за вас
- Компания держит ваши ключи и ваши монеты.
- Забыли пароль? Поддержка может его сбросить.
- Вы проходите KYC; компания несёт ответственность и часто застрахована от определённых сбоев.
- Примеры: регулируемые централизованные биржи.
🔐 Некастодиальный = ваш собственный сейф
- Ключи держите вы — в кошельке вроде Phantom. pump.fun и PumpSwap некастодиальны.
- Потеряете seed-фразу — деньги пропадут навсегда, никакой линии поддержки нет.
- Ни KYC, ни сброса пароля, ни страховки.
- Одна неосторожная подпись может опустошить весь кошелёк.
Self-custody — это настоящая свобода и настоящая, ни на кого не переложенная ответственность. Когда что-то пошло не так, звонить в службу поддержки некуда, ведь сама конструкция убирает посредника, который мог бы помочь. Распространённая и разумная схема: держать основную часть средств на регулируемой бирже и переводить лишь небольшую сумму, которую не жалко потерять, в self-custody кошелёк для торговли мемкоинами. О том, как работает «вход» на базе кошелька вообще без пароля, читайте в нашем гиде по входу.
Seed-фраза — это мастер-ключ
При создании кошелька он генерирует seed-фразу — обычно 12 или 24 простых английских слова в фиксированном порядке. Это не резервная копия вашего пароля. Это и есть ваш кошелёк. Из этих слов кошелёк математически выводит каждый приватный ключ и каждый адрес внутри него.
Из этого напрямую следуют выводы:
- У кого есть ваша seed-фраза, у того есть ваши деньги. Её можно импортировать в собственный кошелёк в любой точке мира и опустошить. Никакой дополнительной аутентификации не требуется.
- Вы с seed-фразой всегда сможете восстановить кошелёк. Потеряли телефон, разбили ноутбук, удалили расширение? Seed-фраза восстановит всё на новом устройстве.
- Вы без seed-фразы не имеете ничего. Если вы потеряете слова и утратите доступ к установленному кошельку, средства восстановить невозможно. Навсегда. Это не угроза и не редкий случай — так устроена сама криптография.
Относитесь к seed-фразе как к единственному ключу от хранилища, где лежит всё, что вы туда положили, — потому что это именно так и есть. Запасного мастера нет.
Правила бэкапа, которые действительно важны
Большинство потерь seed-фразы — не экзотические взломы. Это размокшие блокноты, заводской сброс телефона до того, как кто-либо что-то записал, или скриншот, синхронизировавшийся с облачным аккаунтом, который потом взломали. Вот правила, которым стоит следовать.
- Запишите на бумаге, офлайн. Ручка и бумага — в тот самый момент, когда кошелёк показывает вам слова. Сделайте это до того, как отправите туда реальные деньги.
- Никогда не храните её в цифровом виде. Никаких скриншотов, фото, заметок, письма самому себе, записи в менеджере паролей, документа в облаке. Всё, что касается интернета, может утечь.
- Сделайте вторую копию и храните её отдельно. Одна копия может сгореть или утонуть. Две копии в двух местах защищают от случайностей, почти не повышая риск кражи.
- Для серьёзных сумм подумайте о металлическом бэкапе. Стальные пластины переживут огонь и воду, которые погубят бумагу. Перебор для мемкоинов на $20; разумно для значимых активов.
- Никогда не вводите её на сайте. Никогда. Легитимное восстановление происходит внутри приложения кошелька, а не на веб-странице. Это самое эксплуатируемое слабое место.
- Не говорите никому, что она у вас есть и где она. Ни «поддержке», ни помощнику из Discord, ни слишком щедрой раздаче. В крипто-кражах основную работу делает социальная инженерия.
«Агент поддержки», который сам написал вам первым, предлагает «помочь восстановить» кошелёк и подводит к форме, где просят seed-фразу, — всегда вор. Настоящая поддержка никогда не пишет первой и никогда не запрашивает вашу фразу.
Восстановление по seed-фразе, шаг за шагом
Если вы купили новый телефон, переустановили браузер или стёрли машину, вы восстанавливаете кошелёк из seed-фразы. Процесс в целом одинаков в Phantom, Solflare и Backpack.
- Установите официальный кошелёк на новом устройстве — снова только с официального сайта или из магазина. Проверьте URL.
- Выберите «Import» или «Restore existing wallet», а не «Create new wallet».
- Введите seed-фразу в точном порядке, внутри самого приложения кошелька. Убедитесь, что никто не подсматривает в экран, и держите в голове: это происходит в приложении, а не на сайте.
- Задайте новый локальный пароль для этого устройства. Этот пароль лишь разблокирует приложение на одной конкретной машине; он не является вашей seed-фразой и сам по себе не восстановит средства.
- Дождитесь синхронизации балансов. Ваши токены и SOL появятся снова, потому что они никогда не хранились на устройстве — они живут в блокчейне Solana, а seed-фраза просто заново выводит ваш доступ к ним.
Если вы дошли до экрана импорта и поняли, что так и не записали seed-фразу, а рабочей установки у вас больше нет, — шага 6 не существует. Средства не сможет восстановить никто, включая разработчика кошелька. Мы говорим это прямо, потому что надежда на обратное лишь тратит время, на котором так любят наживаться мошенники с фейковыми «сервисами восстановления».
Hot- и cold-кошельки
Эти термины описывают, где находятся ваши приватные ключи относительно интернета.
Hot-кошелёк
Расширение для браузера или приложение на телефоне. Ключи лежат на устройстве с доступом в интернет. Удобен для торговли, но уязвим к вредоносному ПО и фишингу. Phantom, Solflare и Backpack по умолчанию являются hot-кошельками.
Cold-кошелёк
Ключи хранятся офлайн на аппаратном устройстве или в air-gapped-схеме. Удалённо опустошить его гораздо труднее, ведь подпись требует физического устройства. Менее удобен для быстрой торговли.
Разделение
Многие используют оба: hot-кошелёк с торговыми средствами, которые не жалко потерять, и cold-кошелёк с суммами, которые им действительно важно сохранить.
Для быстрых, недорогих свопов мемкоинов на PumpSwap hot-кошелёк — практичный выбор: именно он делает возможным процесс «в один клик». Дисциплина состоит в том, чтобы держать баланс низким: относитесь к нему как к наличным в кармане, а не как к сбережениям на всю жизнь. Если устройство скомпрометировано, вы теряете то, что в hot-кошельке, и ничего больше.
Аппаратные кошельки для крупных сумм
Как только вы держите больше, чем готовы спокойно потерять из-за одной неудачной подписи, аппаратный кошелёк становится логичным следующим шагом. Устройство вроде Ledger хранит приватные ключи внутри выделенного чипа, который никогда не раскрывает их вашему компьютеру. Когда вы торгуете, транзакция отправляется на устройство, вы её проверяете и физически подтверждаете на железе, и обратно возвращается только подпись. Вредоносное ПО на ноутбуке может запросить подпись, но не может её создать без вашего физического нажатия кнопки — и без внимательного прочтения экрана устройства.
Phantom и Solflare оба поддерживают подключение Ledger, так что вы можете продолжать пользоваться теми же интерфейсами pump.fun и PumpSwap, оставляя ключи офлайн. Компромиссы реальны: аппаратные кошельки стоят денег, добавляют трения к каждой транзакции, и вам всё равно придётся с той же тщательностью сделать бэкап seed-фразы этого устройства. Но для значимых активов это трение и есть суть.
Аппаратный кошелёк не делает вас неуязвимым к фишингу. Если вы подтвердите вредоносную транзакцию на устройстве, потому что не прочитали экран, железо послушно её подпишет. Устройство защищает ваши ключи; оно не защитит вас от одобрения кражи. Читайте каждое подтверждение.
2FA, пароли и где они применимы
Здесь многие путаются, поэтому будем точны. У self-custody кошелька Solana нет двухфакторной аутентификации в том виде, в каком она есть у централизованной биржи, а «пароль», который вы задаёте, действует только локально.
- Пароль приложения-кошелька: разблокирует приложение на одном конкретном устройстве. Он не защищает средства, если утекла seed-фраза, и сам по себе не восстановит средства. Полезен против того, кто схватил ваш разблокированный телефон; бесполезен против утёкшей фразы.
- 2FA — на биржах, а не в кошельках: если у вас также есть средства на кастодиальной бирже, именно там по-настоящему важна 2FA на основе приложения (приложение-аутентификатор, а не SMS). Включите её там. По возможности избегайте SMS-2FA — атаки с подменой SIM (SIM-swap) её обходят.
- Аппаратное устройство — это ваш «второй фактор» в self-custody: физическое подтверждение на Ledger — ближайший аналог 2FA для некастодиального кошелька.
Честный итог таков: в чистом self-custody нет переключателя «включить 2FA», который вас спасёт. Ваша модель безопасности — это seed-фраза плюс, по желанию, аппаратное устройство. Планируйте исходя из этого, а не из предположения, что страховочная сетка существует.
Гигиена разрешений и их отзыв
Помимо seed-фразы, второй способ опустошить кошелёк — через транзакции и разрешения, которые вы подписали сами. Когда вы взаимодействуете с DEX или любой ончейн-программой, вы иногда даёте ей разрешение перемещать определённые токены или подписываете транзакцию, которая делает больше, чем вы осознавали. Вредоносный или скомпрометированный сайт может составить запрос на подпись, который при одобрении передаёт ваши токены или выдаёт широкое разрешение.
- Читайте каждый запрос на подпись. Кошелёк показывает, что именно вы авторизуете. Если он просит переместить токены, которые вы перемещать не собирались, отклоните его.
- С подозрением относитесь к неожиданным всплывающим окнам. Запрос на подпись, появившийся без какого-либо вашего клика, — тревожный сигнал.
- Периодически проверяйте подключённые приложения. Кошельки перечисляют сайты, к которым вы подключались. Отключайте те, которыми больше не пользуетесь.
- Отзывайте устаревшие разрешения. Используйте настройки кошелька или надёжный инструмент отзыва (revoke), чтобы отменить выданные ранее разрешения. Закрытие неиспользуемых разрешений сокращает то, чем злоумышленник может воспользоваться позже.
- Используйте свежий «бёрнер»-кошелёк для сомнительных минтов. Для всего экспериментального отдельный кошелёк с минимумом средств ограничивает радиус поражения.
Разрешения, выданные несколько месяцев назад, сами по себе не истекают. Относитесь к периодической ревизии разрешений как к замене батареек в датчике дыма — скучно, легко отложить и ровно то, о чём вы пожалеете, что не сделали.
Открытость кода и приватность
О любом кошельке стоит задать два вопроса: открыт ли код для изучения и что он знает о вас?
С точки зрения открытости кода кошельки различаются. Одни публикуют полный исходный код, чтобы независимые исследователи могли его проверить; другие держат часть закрытой. Открытый код не гарантирует безопасности — мало кто реально читает код, а опубликованный аудит всё равно может что-то упустить, — но он означает, что возможность проверить существует, чего закрытый кошелёк вам не даёт. Уточняйте текущий статус в документации самого кошелька, а не доверяйте общим заявлениям, включая наши.
В части приватности помните, что работают два слоя. Сам блокчейн Solana публичен и постоянен: каждая транзакция вашего адреса навсегда видна любому, а адреса часто можно объединять в кластеры и со временем связывать с личностями. Self-custody даёт вам контроль над ключами, а не анонимность. Отдельно: ПО кошелька и сайты, к которым вы подключаетесь, могут собирать данные — IP-адреса, отпечатки устройства, RPC-эндпоинты, к которым вы обращаетесь. Логирует ли конкретный кошелёк ваш IP и как долго — это вопрос к его политике конфиденциальности. Мы не будем утверждать здесь, как именно ведёт логи тот или иной кошелёк, потому что политики меняются, а мы не проверяем их построчно; читайте политику того кошелька, который реально устанавливаете. Наше более широкое мнение о прозрачности сети изложено в гиде по Solana.
Наша оценка безопасности кошелька
Редакционный взгляд на self-custody для типичного пользователя pump.fun. Это наше мнение, а не измерение, и оно отражает модель, а не какой-либо отдельный бренд кошелька.
Закономерность постоянна: self-custody получает высокие оценки за контроль и за тот потолок безопасности, которого вы можете достичь, и низкие — за прощение ошибок. Инструменты, чтобы быть очень в безопасности, существуют; система не остановит вас, если вы решите действовать небезопасно.
Если вы предпочли бы не осваивать self-custody на деньгах, потерю которых не можете себе позволить, разумной отправной точкой будет управляемый кошелёк или регулируемая биржа, где есть варианты восстановления, а затем переводите небольшие суммы в self-custody, как только привычки станут второй натурой.
Настроить self-custody кошелёк→FAQ
Существует ли официальное приложение-кошелёк pump.fun?
Нет. Отдельного «pump.fun wallet» для скачивания не существует. pump.fun и PumpSwap — это некастодиальные интерфейсы, которые подключаются к уже имеющемуся у вас кошельку Solana, например Phantom, Solflare или Backpack. Любой, кто рекламирует загрузку официального «pumpfun wallet», почти наверняка занимается мошенничеством.
Что будет, если я потеряю seed-фразу?
Если вы потеряете seed-фразу и при этом утратите доступ к устройству, на котором установлен кошелёк, средства пропадут навсегда. Нет ни службы поддержки, ни сброса пароля, ни процедуры восстановления. Seed-фраза — единственный мастер-ключ, и именно поэтому так важно сделать её офлайн-бэкап до того, как вы пополните кошелёк.
Могут ли украсть мою крипту, зная только адрес кошелька?
Нет. Публичный адрес кошелька безопасно сообщать для получения средств. Кражи случаются, когда кто-то получает вашу seed-фразу или приватный ключ либо когда вы подписываете вредоносную транзакцию или разрешение на токены. Никогда не вводите seed-фразу на сайтах и никогда не подтверждайте транзакцию, которую не понимаете.
Нужен ли мне аппаратный кошелёк для pump.fun?
Чтобы начать — нет, но это логичный следующий шаг, как только вы держите больше, чем готовы потерять из-за одной неудачной подписи. Аппаратный кошелёк вроде Ledger хранит приватные ключи офлайн, так что вредоносное ПО на вашем компьютере не сможет подписать транзакцию без вашего физического подтверждения на устройстве.
Что такое разрешения на токены и почему их стоит отзывать?
Когда вы торгуете на DEX, вы иногда даёте программе разрешение перемещать определённые токены из вашего кошелька. Устаревшие или вредоносные разрешения могут быть использованы во вред позже. Периодическая проверка и отзыв ненужных разрешений закрывают эту поверхность атаки — обычно через настройки подключённых приложений в кошельке или через инструмент отзыва (revoke).
Достаточно ли безопасен hot-кошелёк для небольших сделок с мемкоинами?
Hot-кошелёк удобен и вполне подходит для небольших сумм, которыми вы активно торгуете и которые не жалко потерять. Минус в том, что ключи находятся на устройстве с доступом в интернет, поэтому вредоносное ПО и фишинг — реальные риски. Держите основную часть средств в другом месте и относитесь к hot-кошельку как к наличным в кармане, а не как к сберегательному счёту.
