Как настроить Monero-кошелёк на GrapheneOS: руководство 2026

В феврале 2024 года Binance убрал Monero из стакана, а к концу 2024-го Kraken последовал за ним для европейских клиентов. Для русскоязычного пользователя картина ещё жёстче: после ограничений по санкциям и регулярных блокировок аккаунтов держать XMR на бирже превратилось в постоянную лотерею. Главный урок не в том, что Monero стало сложно хранить, а в том, насколько критична сама самокастодия. И самое приватное место для XMR — телефон, которым реально управляете вы. Тут на сцену выходит GrapheneOS: укреплённая, де-гуглифицированная сборка Android для устройств Pixel, дающая чистую и проверяемую базу для мобильного кошелька.

Это руководство проведёт вас через весь процесс: выбор подходящего Pixel, прошивка GrapheneOS, выбор приложения-кошелька, подключение к ноде через Tor и резервное копирование сид-фразы — чтобы потерянный телефон никогда не означал потерянных средств. Когда настанет время пополнить кошелёк, MoneroSwapper позволяет менять Bitcoin или стейблкоины на Monero без регистрации, так что монеты падают прямо в адрес, который вы только что защитили. По итогу у вас в кармане окажется Monero-сетап без Google-сервисов в фоне, без отслеживания трафика оператором и с полным контролем над spend-ключом.

Почему GrapheneOS — правильная база для Monero-телефона

Приватная монета на дырявой ОС — это противоречие. Стоковый Android регулярно стучится в Google, тащит предустановленное мусорное ПО от оператора и привязывает каждое приложение к стойкому рекламному идентификатору. Ничто из этого не совместимо с моделью угроз, ради которой человек вообще берёт в руки Monero.

GrapheneOS вычищает этот слой слежки и заменяет его реальной защитой. Это единственная заметная альтернативная ОС, поставляющая verified boot с вашими собственными ключами, ужесточённый аллокатор памяти и пермиссии сети и сенсоров на уровне отдельного приложения. Для пользователя Monero выгоды конкретные:

• Никаких Google Play Services по умолчанию: приложения работают без зависимости от Google, которая обычно сливает телеметрию устройства. Если Play всё-таки нужен, GrapheneOS изолирует его как любое другое приложение, а не выдаёт ему системные привилегии.
• Сетевая пермиссия для каждого приложения: можно отозвать у кошелька прямой выход в интернет и заставить каждый байт идти через Orbot (Tor). Ваш реальный IP никогда не касается удалённой ноды.
• Профили и приватные пространства: кошелёк живёт в отдельном профиле с собственным шифрованием. Скомпрометированный браузерный профиль не сможет добраться до данных кошелька.
• Verified boot и аттестация: verified boot ловит подмену прошивки, а приложение Auditor позволяет убедиться, что устройство не подменили до того, как загрузить на него сид.
• Никакого операторского брендинга: базовый образ одинаков для всех, что убирает целый класс рисков, связанных с цепочкой поставок и предустановленным мусором.

GrapheneOS официально поддерживает актуальные и недавние Google Pixel — на практике всё, начиная с поколения Pixel 6 и до серии Pixel 9, причём максимальный срок аппаратной поддержки безопасности у самых новых моделей. Pixel — единственные телефоны, которые позволяют заново заблокировать загрузчик после прошивки кастомной ОС, поэтому GrapheneOS целится только в них. Для российского покупателя нюанс: Pixel у нас официально не продаётся, поэтому берут «серый» импорт или восстановленные устройства с маркетплейсов и Avito — главное проверять, что загрузчик не залочен, что устройство не региональная «китайская» версия с альтернативной прошивкой и что версия Android поддерживается актуальным релизом GrapheneOS.

Выбор приложения-кошелька

Гарантии приватности Monero идут от протокола, а не от приложения: каждая транзакция использует RingCT для скрытия сумм, кольцевые подписи CLSAG, чтобы спрятать настоящего отправителя среди обманок, и стелс-адрес — чтобы публичный адрес получателя никогда не появлялся в блокчейне. Bulletproofs+ держат эти конфиденциальные транзакции достаточно компактными, чтобы их было дёшево проверять. Любой нормально собранный кошелёк наследует всё это — ваша задача выбрать тот, который соблюдает ту же приватность на уровне сети и хранения.

Основные варианты

На GrapheneOS есть несколько достойных кошельков — все с открытым исходным кодом и все умеющие работать через Tor. Различия касаются работы с нодами, мульти-валютности и того, насколько за ручку они вас ведут.

Для большинства людей, настраивающих свой первый GrapheneOS-телефон, правильный выбор — Cake Wallet или Monerujo. Cake Wallet выигрывает на удобстве и одном тапе для включения Tor; Monerujo — если хочется приложения только под Monero с минимальным следом и вы готовы держать рядом Orbot.

Откуда ставить

Стандартный путь через Google Play не подходит. Используйте F-Droid или подписанный APK с сайта самого кошелька, а Aurora Store держите как запасной вариант. И Monerujo, и Cake Wallet публикуются в F-Droid и собираются с воспроизводимыми или подписанными сборками, которые можно проверить. На GrapheneOS F-Droid ставится как обычное приложение — Sandboxed Google Play ни для одного из перечисленных кошельков не нужен.

Пошагово: прошивка и настройка

В первый раз полная настройка занимает около 30 минут, большая часть — ожидание загрузок и работы установщика. Понадобятся: поддерживаемый Pixel, кабель USB-C и компьютер с браузерным установщиком GrapheneOS (работает в любом Chromium-браузере через WebUSB).

1. Сделайте бэкап и сотрите Pixel. Сначала выйдите из любого Google-аккаунта на устройстве. Во время прошивки всё будет стёрто, поэтому пока не переносите на него ничего важного.
2. Разрешите OEM unlock. В стоковом Android включите «Для разработчиков», затем «Заводская разблокировка OEM» и «Отладка по USB». Это даёт право разлочить загрузчик.
3. Запустите веб-установщик GrapheneOS. Откройте install.grapheneos.org на компьютере, подключите Pixel и идите по подсказкам: разлочить загрузчик, прошить ОС и — критически важно — заново заблокировать загрузчик. Релок восстанавливает verified boot.
4. Завершите первый запуск. Пропустите подключение к сети, если хотите настроить инструменты приватности до того, как телефон вообще что-то скажет в интернет. Поставьте надёжный PIN или парольную фразу — этот ключ шифрует хранилище устройства.
5. Создайте отдельный профиль под кошелёк. В «Настройках» добавьте второй пользовательский профиль (или используйте Private Space). Ставьте кошелёк только внутри этого профиля — так он криптографически изолирован от вашего повседневного браузинга.
6. Установите Orbot и кошелёк. Из F-Droid поставьте Orbot и выбранный кошелёк. В Orbot включите «VPN mode», чтобы трафик приложений шёл через Tor. В настройках приложения GrapheneOS можно отозвать у кошелька прямую сетевую пермиссию и оставить только Orbot.
7. Создайте Monero-кошелёк. Откройте приложение, выберите «Создать новый кошелёк» и дайте сгенерировать 25-словную мнемоническую фразу. 25-е слово — контрольная сумма, поэтому важны все 25.
8. Подключитесь к удалённой ноде через Tor. Укажите кошельку доверенную ноду — свою или репутабельную .onion-ноду — а не первую попавшуюся из списка по умолчанию. Кошелёк синхронизирует цепь, скачивая блоки; через Tor это медленнее, но приватно.
9. Проверьте до того, как пополнять. Сначала отправьте маленькую тестовую сумму, убедитесь, что она пришла и баланс обновился, и только потом переводите крупное. Под каждый входящий платёж генерируйте свежий субадрес — это держит средства невзаимосвязанными.

Запишите 25-словный сид на бумаге — никаких скриншотов, никаких заметок в облаке. Фото сид-фразы в синхронизированной галерее — самый частый способ потерять Monero на самокастодии.

Укрепление: Tor, удалённые ноды и сетевая приватность

Поставить кошелёк — это полдела. Вторая половина — сделать так, чтобы сетевая метадата не пустила под нож on-chain приватность Monero. Сама цепь скрывает суммы, отправителей и получателей, но удалённая нода всё равно видит ваш IP и транзакции, которые вы броадкастите — если не обойти это.

Маршрутизация кошелька через Tor с Orbot решает проблему IP: нода видит выходной узел Tor, а не ваше домашнее подключение. Собственный Dandelion++ у Monero добавляет второй слой на уровне протокола, рандомизируя то, как транзакция первый раз попадает в мемпул, — наблюдатель не сможет легко проследить её до исходной ноды. Вместе они куда сильнее, чем по отдельности.

Удалённая нода против своей

Удалённая нода удобна и, через Tor, довольно приватна — но вы доверяете тому, что она не логирует тайминги. Если модель угроз серьёзная, поднимите свою ноду на домашнем сервере или дешёвом VPS, выставьте её как hidden service и направляйте на неё только телефон. Тогда кошелёк не сливает ничего третьим лицам — нода ваша. Для повседневного использования репутабельная сообщественная .onion-нода плюс Tor — разумный средний вариант.

Ещё одна сетевая деталь: держите кошелёк в его собственном GrapheneOS-профиле и подумайте о том, чтобы отключить ему пермиссии на сенсоры и контакты полностью. У кошелька нет дел ни с микрофоном, ни с адресной книгой. GrapheneOS делает такие запреты тривиальными, а отозванные пермиссии возвращают пустые данные, а не валят приложение.

Что полезно знать на перспективу: приватный стек Monero не стоит на месте. Обновление FCMP++ (full-chain membership proofs) должно заменить кольцевые подписи доказательством, скрывающим настоящий вход среди всей истории цепи, а не среди кольца из 16 обманок, а более долгосрочные работы Seraphis и Jamtis переделывают адресацию и формат транзакций. На сегодняшнюю настройку это не повлияет — кошельки обновятся через F-Droid — но именно поэтому самокастодийный, обновляемый мобильный кошелёк бьёт хранение монет на бирже, которая в следующем квартале может делистнуть XMR.

Российский контекст: правовая сторона и доступ

Несколько важных штрихов специально для русскоязычного пользователя. Во-первых, статус крипты в РФ: с 2024 года ЦБ РФ и ФНС последовательно ужесточают отчётность по криптоактивам — налог на доход от продажи никуда не делся, а планы по обязательному декларированию владения цифровыми активами обсуждаются на постоянной основе. На бирже это означает повышенное внимание к KYC-данным; в самокастодии — что вы сами отвечаете за собственный учёт, и привычка фиксировать ввод/вывод с датой и суммой в офлайн-таблице окупается с лихвой.

Во-вторых, доступ. Российские карты на большинстве иностранных бирж работают через раз, а централизованные площадки регулярно блокируют аккаунты по IP и санкционным маркерам. P2P даёт обход, но добавляет риск контрагента. Не-кастодиальные обменники без аккаунта, включая MoneroSwapper, закрывают часть этого разрыва: вы заходите без регистрации, отправляете Bitcoin или USDT и получаете Monero на свой адрес — никаких аккаунтов, которые завтра можно заморозить.

В-третьих, физическая безопасность. В юрисдикциях с высокой долей наличного оборота крипты основной риск — не блокчейн-аналитика, а старый добрый «терморектальный криптоанализ». Сид-фраза должна жить не там, где живёт телефон. Распределённое хранение — например, разрезанный пополам металлический бэкап в двух разных физических местах — сильнее облачных решений, как бы привлекательно ни выглядели «зашифрованные облака».

FAQ

Нужен ли Google-аккаунт, чтобы запустить Monero-кошелёк на GrapheneOS?

Нет. GrapheneOS работает полностью без Google-аккаунта, а каждый рекомендованный здесь Monero-кошелёк ставится из F-Droid или подписанным APK. Google Play Services вы не трогаете, если только сами осознанно не поставите песочную версию ради какого-то другого приложения.

Удалённая нода безопасна, или обязательно поднимать свою?

Удалённая нода безопасна с точки зрения сохранности средств, потому что она никогда не видит ваш сид или spend-ключ — она только ретранслирует блоки и броадкастит ваши транзакции. Риск — это метадата: нода видит ваш IP и тайминги. Маршрутизация через Tor с Orbot закрывает большую часть этого зазора. Своя нода закрывает остаток и считается золотым стандартом для серьёзных сумм.

Что будет, если я потеряю или сломаю телефон?

Ничего — при условии, что вы записали 25-словную мнемоническую фразу. Ваши средства живут на блокчейне Monero, а не на устройстве. Восстановите сид в любом Monero-кошельке на любом устройстве, и после синхронизации баланс вернётся. Именно поэтому бумажный бэкап — не предмет для торга.

Можно ли использовать view-ключ, чтобы наблюдать баланс без риска для средств?

Да. Monero разделяет view-ключ (видит входящие транзакции) и spend-ключ (авторизует отправку). View-only кошелёк можно загрузить на второе устройство — например, на ноутбук — и следить за балансом, пока spend-ключ остаётся только на укреплённом телефоне.

Почему просто не хранить Monero на бирже?

Биржи делистят приватные монеты под регуляторным давлением — Binance и Kraken оба обрезали доступ к XMR на крупных рынках в 2024-м — а кастодиальный баланс приватен ровно настолько, насколько приватны логи биржи, то есть не приватен. Самокастодия на GrapheneOS оставляет ключи, приватность и доступ полностью у вас в руках.

Заключение

Pixel под GrapheneOS с Monerujo или Cake Wallet, маршрутизированный через Tor и подкреплённый бумажным сидом, — один из самых приватных и устойчивых вариантов кошелька, доступных обычному человеку в 2026 году. И стоит он, по сути, только подержанного телефона и получаса времени. Вы получаете протокольную приватность от RingCT и стелс-адресов, сетевую — от Tor и Dandelion++, а аппаратно-программную — от ОС, которая просто не следит за вами.

Когда кошелёк уже жив, последний шаг — пополнить его, не отдав приватность обратно на пороге. MoneroSwapper меняет Bitcoin, USDT и другие активы прямо в ваш Monero-адрес, без аккаунта и без KYC, так что монеты приходят в тот самый кошелёк, который вы только что укрепили. Готовы заполнить? Запустите обмен на странице купить Monero анонимно и держите хранение там, где ему положено быть — у себя.