SSP Editorial Team

Self-custody bez przechodzenia do cold storage — droga środka, której potrzebuje większość

·8 min czytania·Autor: SSP Editorial Team
Granatowa okładka SSP dla Self-custody bez przechodzenia do cold storage, z ikonami portfela, klucza, tarczy i błyskawicy na ciemnym gradiencie

Istnieje powszechne błędne odczytanie self-custody: "żeby zrobić to porządnie, potrzebujesz air-gapped hardware walleta w sejfie, najlepiej z passphrase, którą wpisujesz tylko na laptopie ekranowanym klatką Faradaya kupionym za gotówkę". To jeden model. To nie jest ten model, a dla większości użytkowników to model błędny — za dużo tarcia jak na realny poziom zagrożenia, w wyniku czego nigdy nie kończą konfiguracji, a środki zostają na giełdzie.

To piąty artykuł serii Self-Custody Fundamentals. Poprzedni wyłożył czego self-custody naprawdę od ciebie wymaga w pięciu kategoriach pracy. Ten dotyczy samego spektrum self-custody — i dlaczego właściwa odpowiedź dla większości mieszka pośrodku, a nie na końcu cold storage.

TL;DR

  • Self-custody nie jest jednym setupem. To spektrum: od mobilnego hot walletu, którym podpisujesz cały dzień, po w pełni air-gapped multisig vault, którego otwarcie zajmuje 30 minut.
  • Właściwy punkt zależy od modelu zagrożenia, częstotliwości transakcji i ile trzymasz.
  • "Cold storage" zwykle oznacza air-gapped hardware wallet, który nigdy nie dotyka urządzenia podłączonego do internetu. Prawdziwy cold storage jest operacyjnie ciężki i zarezerwowany dla kwot rzędu treasury.
  • Dla większości użytkowników właściwy punkt to warm storagenon-custodial portfel na urządzeniach, których używasz codziennie, z kluczami podzielonymi między dwa urządzenia tak, że żadne z osobna nie podpisuje. 2-z-2 od SSP jest zbudowane na ten punkt krzywej.
  • Hot wallety "daily-driver" (jedno urządzenie, jeden klucz, mobilny) są w porządku na pieniądze do wydania. Nie tam powinny mieszkać znaczące salda.

Realne spektrum

Self-custody nie jest binarne. Istnieje w kontinuum z grubsza tak:

1. Custodial. To nie self-custody. Giełda trzyma klucze. Zobacz post o siedmiu trybach awarii.

2. Hot wallet jednokluczowy. Self-custody, ale z całym zestawem kluczy na jednym urządzeniu zwykle online. MetaMask na desktopie, Phantom na telefonie, podstawowy Trust Wallet. Wygodny, niskie tarcie, ale cały portfel jest o jeden bug lub jedno złośliwe rozszerzenie od opróżnienia.

3. Cold wallet jednokluczowy. Hardware wallet (Ledger, Trezor, Coldcard) podpisujący offline, podłączany na krótko, żeby wypchnąć transakcję. Klucz nigdy nie dotyka gorącej maszyny. Silniejszy niż hot, ale wciąż single-point-of-failure na seed phrase, i wystarczająco tarcia, by użytkownicy przestali używać go do codziennych wydatków.

4. Hot wallet multisig. Dwa lub więcej kluczy, ale wszystkie na quasi-online urządzeniach. 2-z-2 SSP siedzi tutaj — jeden klucz w rozszerzeniu przeglądarki, jeden w telefonie. Wymagane oba podpisy; żadne z urządzeń samo nie ruszy środków. Dwa urządzenia to różne powierzchnie ataku, więc skompromitowanie jednego nie opróżnia portfela.

5. Multisig z jednym zimnym kluczem. Jak 4, ale przynajmniej jeden sygnatariusz to offline urządzenie sprzętowe. Większa odporność na atak zdalny, większe tarcie w rutynowych wysyłkach.

6. W pełni zimny vault multisig. Wszyscy sygnatariusze offline, często rozproszeni fizycznie. Setup, który BitGo, Casa lub Unchained Capital sprzedają do przechowywania instytucjonalnego. Odzyskiwanie i podpisywanie wymagają ceremonii osobistych. Operacyjne opóźnienie od dni do tygodni na transakcję.

Klisza "używaj cold storage" implikuje opcję 6. To jest poprawne dla treasury. Jest przesadą dla osoby z pięciocyfrową ilością krypto, która chce od czasu do czasu wejść w DeFi.

Co naprawdę oznacza "cold storage" (i dlaczego większość go nie potrzebuje)

Cold storage to ścisłe zobowiązanie: klucz podpisujący nigdy nie dotyka urządzenia podłączonego do internetu. Nie laptopa z wyłączonym WiFi — laptopa, który nigdy nie miał włączonego WiFi. Konsekwencje:

  • Podpis air-gapped. Budujesz transakcję na maszynie gorącej, przenosisz (przez kod QR lub microSD) na urządzenie zimne, podpisujesz tam, przenosisz podpisaną transakcję z powrotem. Każda wysyłka to przepływ.
  • Oddzielne urządzenie. Zimne urządzenie nie powinno być twoim telefonem ani laptopem. Dedykowany hardware wallet albo stary, wyczyszczony laptop mieszkający w szufladzie.
  • Bezpieczeństwo fizyczne. Cold storage mieszkający w szufladzie w niezamkniętym mieszkaniu nie jest tak naprawdę zimny. Sens polega na uczynieniu ataku zdalnego niemożliwym, więc dostęp fizyczny staje się zagrożeniem — dlatego mieszka w sejfie, skrytce bankowej lub geograficznie oddzielonej lokalizacji.

To właściwy model w kilku konkretnych sytuacjach:

  • Długoterminowy holder, który naprawdę nie planuje dotykać środków przez lata.
  • Treasury (osobiste lub korporacyjne) z kwotami, dla których każda operacyjna latencja jest akceptowalna, by sprowadzić powierzchnię ataku niemal do zera.
  • Spadek lub posiadania pokoleniowe, gdzie optymalizacja jest w skali dekad, nie dni.

Dla reszty tarcie cold storage niweczy jego bezpieczeństwo. Wzorzec, który zabił niezliczonych użytkowników: kupują hardware wallet, konfigurują, a potem albo (a) zostawiają w szufladzie i nigdy nie używają, bo przepływ jest uciążliwy, podczas gdy środki czekają na giełdzie aż "wreszcie je przeniosą", albo (b) gubią urządzenie, a seed nie jest porządnie zbackupowany, bo dyscyplina cold nigdy nie została zinternalizowana.

Multisig hot, którego rzeczywiście używasz, bije cold wallet, którego nie używasz.

Warm storage: gdzie powinna mieszkać większość

"Warm storage" nie jest terminem standardowym, ale chwyta właściwy pomysł: klucze na urządzeniach, których naprawdę używasz, z modelem bezpieczeństwa wystarczająco silnym, by przetrwać realistyczne ataki.

Cechy definiujące:

  • Wiele kluczy, wiele urządzeń. Kompromitacja jednego urządzenia — złośliwe rozszerzenie, telefon z ukradzionym odblokowaniem — nie powinna opróżnić portfela. Model 2-z-2 obsługuje to wprost.
  • Różne powierzchnie ataku na klucz. Rozszerzenie przeglądarki i aplikacja mobilna to różny kod, różne OS-y, różne profile zagrożeń. Atakujący, który jednocześnie skompromituje oba, robi coś bardzo specyficznego wobec ciebie.
  • Niskie tarcie transakcyjne. Wysłanie rutynowej transakcji nie powinno zajmować 20 minut i karty microSD. Powinno zająć stuknięcie na każdym urządzeniu — pięć sekund marginalnego wysiłku, nie pięć minut.
  • Uczciwa historia recovery. Stracisz jedno urządzenie — możesz nadal odzyskać przez drugie plus przepływ wallet-recovery. Stracisz całego seeda — masz kłopot, ale najlepsze praktyki seed phrase obejmują tę warstwę.

Dla indywidualnego użytkownika trzymającego $1k–$100k, który tygodniowo wchodzi w DeFi lub podpisuje transakcje, warm storage to właściwa odpowiedź. Dostajesz ulepszenie bezpieczeństwa, które się liczy — żadna kompromitacja jednego urządzenia cię nie opróżnia — bez płacenia podatku air-gap za każdą transakcję.

Kiedy dołożyć cold storage na wierzchu

Nie ma reguły mówiącej "warm zamiast cold". Dla kwot uzasadniających koszt operacyjny właściwa odpowiedź to oba: warm do rutynowej aktywności i setup cold do warstwy oszczędności.

Rozsądna alokacja dla użytkownika z poważnymi posiadaniami:

  • Hot wallet (mały setup tylko mobilny): pieniądze na wydatki, codzienne interakcje DeFi. Traktuj saldo tutaj jak gotówkę w portfelu — tyle, ile na dwa tygodnie, nie oszczędności życia.
  • Warm wallet (SSP 2-z-2 lub równoważny multisig na codziennych urządzeniach): konto operacyjne. Setki do niskich pięciu cyfr. Stąd ruszają większość transakcji.
  • Cold wallet (air-gapped hardware multisig albo jeden zimny sygnatariusz): warstwa oszczędności. Pięć cyfr i więcej, których nie planujesz dotykać przez miesiące lub lata. Procedury odzyskiwania udokumentowane, w planach spadkowych, z kluczem w skrytce bankowej lub u rodziny.

Podział nie jest arbitralny — to ta sama logika, którą banki stosują do konta bieżącego vs. oszczędnościowego vs. lokat. Środki w aktywnym użyciu zostają ciepłe. Środki w długoterminowym przechowaniu idą do zimna. Każdy poziom akceptuje tarcie odpowiednie do swojego horyzontu.

Dla większości użytkowników warstwa cold jeszcze nie istnieje, bo warm wystarcza. Wraz ze wzrostem sald dodawana jest warstwa cold.

Co to dla ciebie znaczy

Trzy wnioski:

  1. Nie pozwól, by "cold storage" było powodem, dla którego zostajesz na giełdzie. Multisig warm, którego używasz dziś, jest dramatycznie bezpieczniejszy niż setup cold, który zrobisz w przyszłym miesiącu. Najpierw przenieś środki, potem dopracuj model.
  2. Dopasuj setup do modelu zagrożenia, nie do marketingu. Jeśli twoim realnym zagrożeniem jest złośliwe rozszerzenie przeglądarki i clipboard-replacer — a dla niemal każdego użytkownika retailowego tak jest — 2-z-2 między przeglądarką a mobilnym pokonuje oba. Klatka Faradaya w piwnicy nie kupuje ci większego bezpieczeństwa wobec realnych zagrożeń.
  3. Zaplanuj, by warstwa oszczędności rosła z czasem. Wraz ze wzrostem posiadań właściwa odpowiedź prawdopodobnie przesunie się z "całe warm" na "warm + cold". Nie próbuj obu pierwszego dnia; najpierw zrób porządnie warm, a warstwę cold dołóż, gdy kwota uzasadni koszt operacyjny.

Następny i ostatni artykuł serii, self-custody checklist for your first $1,000, przechodzi przez konkretne kroki, które nowy użytkownik self-custody powinien podjąć w kolejności — zaprojektowane na pierwszą znaczącą kwotę krypto, którą trzymasz, nie dziesiątą.

Udostępnij ten artykuł

Powiązane artykuły

Granatowa okładka SSP dla Checklist self-custody dla pierwszych $1,000, z ikonami portfela, klucza, tarczy i odcisku palca na ciemnym gradiencie

Checklist self-custody dla pierwszych $1,000 — konkretny playbook startowy

Osiem uporządkowanych kroków, by skonfigurować SSP 2-z-2, zapisać oba seedy, przetestować recovery i przenieść pierwsze $1,000 z giełdy w jedno popołudnie.

8 min read
Granatowa okładka SSP dla Czego self-custody naprawdę od ciebie wymaga, z ikonami klucza, tarczy, odcisku palca i procesora na ciemnym gradiencie

Czego self-custody naprawdę od ciebie wymaga — uczciwa lista

Backupy, opsec, zarządzanie urządzeniami, plan recovery, czas i uwaga: rachunek w pięciu kategoriach, który self-custody na ciebie nakłada.

8 min read
Granatowa okładka SSP dla Siedem trybów awarii, jakie może ponieść giełda, z ikonami tarczy, kłódki, ukrytego oka i błyskawicy na ciemnym gradiencie

Siedem trybów awarii, jakie może ponieść giełda (i jak każdy wygląda)

Niewypłacalność, hacki, zamrożenia, exit scamy, sankcje, blokady KYC, wstrzymanie wypłat — siedem sposobów, by twoje środki odeszły.

9 min read