SSP Editorial Team

Self-custody senza arrivare al cold storage — la via di mezzo che serve alla maggior parte

·8 min di lettura·Di SSP Editorial Team
Copertina blu navy SSP per Self-custody senza arrivare al cold storage, con icone di wallet, chiave, scudo e fulmine su gradiente scuro

Esiste una lettura comune e sbagliata della self-custody: "per farla davvero come si deve servono un hardware wallet air-gapped in cassaforte, idealmente con una passphrase digitata solo su un laptop schermato a gabbia di Faraday comprato in contanti". È un modello. Non è il modello, e per la maggior parte degli utenti è il modello sbagliato — troppa frizione per il livello reale di minaccia, e così non finiscono mai di configurare il tutto e i fondi restano sull'exchange.

Questo è il quinto articolo della serie Self-Custody Fundamentals. Il precedente ha esposto cosa la self-custody ti chiede davvero in cinque categorie di lavoro. Questo riguarda lo spettro della self-custody — e perché la risposta giusta per la maggior parte delle persone vive nel mezzo, non al lato cold storage.

TL;DR

  • La self-custody non è un singolo setup. È uno spettro: da un hot wallet mobile con cui firmi tutto il giorno, a un caveau multisig completamente air-gapped che richiede 30 minuti per essere aperto.
  • Il punto giusto dipende dal modello di minaccia, frequenza delle transazioni e quanto detieni.
  • "Cold storage" di solito significa un hardware wallet air-gapped che non tocca mai un dispositivo connesso a Internet. Il vero cold storage è operativamente pesante e riservato a importi di tipo treasury.
  • Per la maggior parte degli utenti, il punto giusto è il warm storage — un wallet non custodial su dispositivi che usi tutti i giorni, con le chiavi divise tra due dispositivi così che nessuno dei due firmi da solo. Il 2-di-2 di SSP è costruito per questo punto della curva.
  • Gli hot wallet "daily-driver" (singolo dispositivo, chiave unica, mobile) vanno bene per i soldi della spesa. Non sono il posto dove devono vivere saldi rilevanti.

Lo spettro reale

La self-custody non è binaria. Vive su un continuum più o meno così:

1. Custodial. Non è self-custody. L'exchange tiene le chiavi. Vedi il post sui sette modi di fallimento.

2. Hot wallet a chiave unica. Self-custody, ma con l'intero set di chiavi su un dispositivo per lo più online. MetaMask su desktop, Phantom su telefono, una Trust Wallet base. Comodo, poca frizione, ma l'intero wallet è a un bug o un'estensione malevola dallo svuotarsi.

3. Cold wallet a chiave unica. Un hardware wallet (Ledger, Trezor, Coldcard) che firma offline e si collega brevemente per inviare transazioni. La chiave non tocca mai una macchina calda. Più forte dell'hot, ma ancora con un punto unico di fallimento sulla seed phrase, e abbastanza frizione perché gli utenti smettano di usarla per la spesa quotidiana.

4. Hot wallet multisig. Due o più chiavi, ma tutte su dispositivi più o meno online. Il 2-di-2 di SSP sta qui — una chiave sull'estensione del browser, una sul telefono. Servono entrambe le firme; nessun dispositivo da solo muove i fondi. I due dispositivi sono superfici d'attacco diverse, quindi compromettere uno non svuota il wallet.

5. Multisig con una chiave fredda. Come il 4 ma con almeno un firmatario su hardware offline. Maggiore resistenza ad attacco remoto, più frizione per gli invii ordinari.

6. Caveau multisig completamente freddo. Tutti i firmatari offline, spesso distribuiti fisicamente. Il setup che BitGo, Casa o Unchained Capital vendono per storage istituzionale. Recovery e firma comportano cerimonie di persona. Latenza operativa di giorni o settimane per transazione.

Il cliché "usa il cold storage" implica l'opzione 6. È corretto per un treasury. È sproporzionato per un individuo con cinque cifre di cripto che vuole partecipare alla DeFi ogni tanto.

Cosa significa davvero "cold storage" (e perché la maggior parte non ne ha bisogno)

Il cold storage è un impegno stretto: la chiave di firma non tocca mai un dispositivo connesso a Internet. Non un laptop con il WiFi spento — un laptop che non ha mai avuto il WiFi attivato. Implicazioni:

  • Firma air-gapped. Costruisci la transazione su una macchina calda, la trasferisci (via QR code o microSD) al dispositivo freddo, firmi lì, riporti indietro la transazione firmata. Ogni invio è un workflow.
  • Dispositivo separato. Il dispositivo freddo non dovrebbe essere il tuo telefono o laptop. Un hardware wallet dedicato o un laptop vecchio e azzerato che vive in un cassetto.
  • Sicurezza fisica. Un cold storage che vive in un cassetto in un appartamento aperto non è davvero freddo. Lo scopo è rendere l'attacco remoto impossibile, e questo sposta la minaccia sull'accesso fisico — quindi vive in cassaforte, cassetta di sicurezza, o in un luogo geograficamente separato.

È il modello giusto per alcune situazioni specifiche:

  • Un holder di lungo termine che davvero non pensa di toccare i fondi per anni.
  • Un treasury (personale o aziendale) con importi per cui qualsiasi latenza operativa è accettabile pur di ridurre la superficie d'attacco quasi a zero.
  • Successione o tenute generazionali in cui l'ottimizzazione è su scala di decenni, non di giorni.

Per gli altri, la frizione del cold storage annulla la sua sicurezza. Il pattern che ha ucciso innumerevoli utenti: comprano un hardware wallet, lo configurano, poi (a) lo lasciano in un cassetto senza usarlo perché il workflow infastidisce, mentre i fondi restano sull'exchange ad aspettare di essere "finalmente spostati", o (b) perdono il dispositivo e la seed non è ben conservata perché la disciplina cold non è mai stata interiorizzata.

Un multisig hot che usi davvero batte una cold wallet che non usi.

Warm storage: dove dovrebbe vivere la maggior parte

"Warm storage" non è un termine standard, ma cattura l'idea giusta: chiavi su dispositivi che usi davvero, con un modello di sicurezza forte abbastanza per resistere agli attacchi realistici.

Le proprietà definitorie:

  • Più chiavi, più dispositivi. Compromettere un dispositivo — un'estensione malevola, un telefono con sblocco rubato — non deve svuotare il wallet. Il modello 2-di-2 gestisce questo direttamente.
  • Superfici d'attacco diverse per chiave. Un'estensione del browser e un'app mobile sono codice diverso, SO diversi, profili di minaccia diversi. Un attaccante che compromette entrambe nello stesso momento sta facendo qualcosa di molto specifico contro di te.
  • Bassa frizione di transazione. Inviare una transazione di routine non dovrebbe richiedere 20 minuti e una microSD. Dovrebbe richiedere un tap su ciascun dispositivo — cinque secondi di sforzo marginale, non cinque minuti.
  • Storia di recovery onesta. Perdi un dispositivo, recuperi ancora con l'altro più il flusso wallet-recovery. Perdi la seed intera, sei nei guai — ma best practice di seed phrase affronta quel livello.

Per un utente individuale con $1k–$100k che interagisce con la DeFi o firma transazioni settimanalmente, il warm storage è la risposta giusta. Ottieni il miglioramento di sicurezza che conta — nessuna compromissione di un singolo dispositivo ti svuota — senza pagare la tassa air-gap per ogni transazione.

Quando aggiungere cold storage sopra

Non c'è una regola che dica "warm storage al posto del cold storage". Per importi che giustificano il costo operativo, la risposta giusta è entrambi: un warm per l'attività di routine e un setup cold per lo strato risparmio.

Un'allocazione ragionevole per un utente con tenute serie:

  • Hot wallet (un piccolo setup solo mobile): soldi per le spese, interazioni DeFi quotidiane. Tratta il saldo qui come contanti in tasca — quanto serve per due settimane, non i risparmi di una vita.
  • Warm wallet (SSP 2-di-2 o multisig equivalente sui tuoi dispositivi quotidiani): il conto operativo. Da centinaia a cinque cifre basse. Dove ha origine la maggior parte delle transazioni.
  • Cold wallet (multisig hardware air-gapped o un singolo firmatario freddo): lo strato risparmio. Cinque cifre o più che non pensi di toccare per mesi o anni. Procedure di recovery documentate, nei piani di successione, con una chiave in cassetta di sicurezza o in famiglia.

La suddivisione non è arbitraria — è la stessa logica delle banche tra conto corrente, conto deposito e depositi vincolati. I fondi in uso attivo restano caldi. I fondi in storage di lungo termine vanno al freddo. Ciascun livello accetta la frizione adeguata al proprio orizzonte.

Per la maggior parte degli utenti lo strato cold non esiste ancora, perché il warm basta. Man mano che i saldi crescono, lo strato cold viene aggiunto.

Cosa significa per te

Tre take:

  1. Non lasciare che il "cold storage" sia il motivo per cui resti su un'exchange. Un multisig warm che usi davvero oggi è drasticamente più sicuro di un setup cold che metterai in piedi il mese prossimo. Sposta i fondi prima, raffina il modello dopo.
  2. Allinea il setup al modello di minaccia, non al marketing. Se la tua minaccia realistica è un'estensione del browser malevola e un sostitutore di clipboard — e per quasi tutti gli utenti retail lo è — un 2-di-2 tra browser e mobile li batte entrambi. Una gabbia di Faraday in cantina non ti compra più sicurezza contro le vere minacce.
  3. Pianifica di far crescere lo strato di risparmio nel tempo. Man mano che le tenute crescono, la risposta giusta probabilmente passa da "tutto warm" a "warm + cold". Non provare a fare entrambe le cose il primo giorno; fai bene il warm prima, e aggiungi lo strato cold quando l'importo giustifica il costo operativo.

Il prossimo e ultimo articolo della serie, self-custody checklist for your first $1,000, percorre i passi concreti che un nuovo utente di self-custody dovrebbe fare, nell'ordine — pensato per la prima somma significativa di cripto che possiedi, non per la decima.

Condividi questo articolo

Articoli correlati

Copertina blu navy SSP per Checklist self-custody per i tuoi primi 1.000 $, con icone di wallet, chiave, scudo e impronta digitale su gradiente scuro

Checklist self-custody per i tuoi primi 1.000 $ — il playbook concreto di partenza

Otto passi ordinati per impostare SSP 2-di-2, annotare entrambe le seed, testare il recovery e spostare i tuoi primi 1.000 $ dall'exchange in un pomeriggio.

8 min read
Copertina blu navy SSP per Cosa la self-custody ti chiede davvero, con icone di chiave, scudo, impronta e CPU su gradiente scuro

Cosa la self-custody ti chiede davvero — la lista onesta

Backup, opsec, gestione dispositivi, pianificazione recovery, tempo e attenzione: la fattura in cinque categorie che la self-custody ti mette addosso.

8 min read
Copertina blu navy SSP per I 7 modi di fallimento che un'exchange può subire, con icone di scudo, lucchetto, occhio nascosto e fulmine su gradiente scuro

I 7 modi di fallimento che un'exchange può subire (e come si presenta ciascuno)

Insolvenza, hack, congelamenti, exit scam, sanzioni, blocchi KYC, sospensioni di prelievo: i sette modi in cui i tuoi fondi possono andarsene.

9 min read