SSP Editorial Team

Self-custody без cold storage — средний путь для большинства пользователей

·8 мин. чтения·Автор: SSP Editorial Team
Тёмно-синяя обложка SSP для Self-custody без cold storage, с иконками кошелька, ключа, щита и молнии на тёмном градиенте

Есть распространённое неверное прочтение self-custody: "чтобы делать всё правильно, тебе нужен air-gapped аппаратный кошелёк в сейфе, идеально с passphrase, которую ты вводишь только на экранированном Фарадеем ноутбуке, купленном за наличные". Это одна модель. Это не та самая модель, и для большинства пользователей — неверная: слишком много трения для реального уровня угрозы, в итоге настройка никогда не доводится до конца, и средства остаются на бирже.

Это пятая статья серии Self-Custody Fundamentals. В предыдущей было разложено что self-custody на самом деле от тебя требует по пяти категориям работы. Эта — про сам спектр self-custody и почему правильный ответ для большинства живёт посередине, а не на конце cold storage.

TL;DR

  • Self-custody — не одна конкретная настройка. Это спектр: от горячего мобильного кошелька, которым ты подписываешь весь день, до полностью air-gapped multisig-хранилища, открытие которого занимает 30 минут.
  • Правильная точка зависит от модели угрозы, частоты транзакций и размера активов.
  • "Cold storage" обычно означает air-gapped аппаратный кошелёк, который никогда не касается интернет-подключённого устройства. Настоящий cold storage операционно тяжёлый и зарезервирован для размеров treasury.
  • Для большинства пользователей правильная точка — warm storage: non-custodial кошелёк на устройствах, которыми ты пользуешься ежедневно, с ключами, разделёнными между двумя устройствами, чтобы ни одно не подписывало в одиночку. 2-из-2 SSP построен под эту точку кривой.
  • Hot wallet-ы "повседневного водителя" (одно устройство, один ключ, мобильник) хороши для расходных денег. Это не место, где должны жить значимые балансы.

Реальный спектр

Self-custody не бинарен. Он существует на континууме примерно так:

1. Custodial. Это не self-custody. Биржа держит ключи. См. пост о семи режимах отказа.

2. Hot wallet с одним ключом. Self-custody, но весь набор ключей на одном устройстве, чаще онлайн. MetaMask на десктопе, Phantom на телефоне, базовый Trust Wallet. Удобно, низкое трение, но весь кошелёк в одном баге или одном вредоносном расширении от опустошения.

3. Cold wallet с одним ключом. Аппаратный кошелёк (Ledger, Trezor, Coldcard), подписывающий оффлайн и ненадолго подключающийся, чтобы отправить транзакцию. Ключ никогда не касается тёплой машины. Сильнее hot, но всё ещё одна точка отказа на seed phrase, и достаточно трения, чтобы пользователи перестали использовать его в повседневных тратах.

4. Multisig hot wallet. Два или более ключей, но все на квази-онлайн устройствах. 2-из-2 SSP здесь — один ключ в браузерном расширении, другой на телефоне. Нужны обе подписи; ни одно устройство в одиночку не двигает средства. Два устройства — разные поверхности атаки, так что компрометация одного не опустошит кошелёк.

5. Multisig с одним холодным ключом. Как 4, но как минимум один подписчик — оффлайн аппаратное устройство. Больше устойчивости к удалённой атаке, больше трения для рутинных отправок.

6. Полностью холодный multisig-вольт. Все подписчики оффлайн, часто физически разнесены. Настройка, которую продают BitGo, Casa или Unchained Capital для институционального хранения. Recovery и подписи — это очные церемонии. Операционная задержка дней-недель на транзакцию.

Клише "используй cold storage" неявно означает вариант 6. Это верно для treasury. Для частного лица с пятизначным крипто-балансом, который хочет периодически зайти в DeFi, — перебор.

Что на самом деле значит "cold storage" (и почему большинству он не нужен)

Cold storage — это жёсткое обязательство: подписывающий ключ никогда не касается интернет-подключённого устройства. Не ноутбук с выключенным WiFi — ноутбук, на котором WiFi никогда не был включён. Последствия:

  • Air-gapped подпись. Ты строишь транзакцию на тёплой машине, переносишь её (через QR-код или microSD) на холодное устройство, подписываешь там, переносишь подписанную транзакцию обратно. Каждая отправка — это процесс.
  • Отдельное устройство. Холодное устройство не должно быть твоим телефоном или ноутбуком. Выделенный аппаратный кошелёк или старый стёртый ноутбук, живущий в ящике.
  • Физическая безопасность. Cold storage, живущий в ящике в незапертой квартире, не на самом деле холодный. Смысл — сделать удалённую атаку невозможной, что превращает физический доступ в угрозу, — поэтому он живёт в сейфе, банковской ячейке или географически разнесённом месте.

Это правильная модель для нескольких конкретных ситуаций:

  • Долгосрочный держатель, который действительно не планирует касаться средств годами.
  • Treasury (личный или корпоративный) с суммами, для которых любая операционная задержка приемлема, лишь бы свести поверхность атаки почти к нулю.
  • Наследство или поколенческие активы, где оптимизация — на масштабе десятилетий, а не дней.

Для всех остальных трение cold storage уничтожает его безопасность. Шаблон, убивший бесчисленных пользователей: они покупают аппаратный кошелёк, настраивают и потом либо (a) оставляют в ящике и не пользуются, потому что workflow раздражает, пока средства лежат на бирже, "ожидая, что их наконец переведут", либо (b) теряют устройство, а seed не сохранена как следует, потому что cold-дисциплина так и не была усвоена.

Multisig hot wallet, которым ты действительно пользуешься, бьёт cold wallet, которым ты не пользуешься.

Warm storage: где должны жить большинство

"Warm storage" — не стандартный термин, но он схватывает правильную идею: ключи на устройствах, которыми ты реально пользуешься, с моделью безопасности, достаточно сильной, чтобы выдержать реалистичные атаки.

Определяющие свойства:

  • Несколько ключей, несколько устройств. Компрометация одного устройства — вредоносного расширения, телефона с украденной разблокировкой — не должна опустошать кошелёк. Модель 2-из-2 решает это напрямую.
  • Разные поверхности атаки на ключ. Браузерное расширение и мобильное приложение — это разный код, разные ОС, разные профили угроз. Атакующий, компрометирующий оба одновременно, делает что-то очень адресное против тебя.
  • Низкое трение транзакций. Отправка рутинной транзакции не должна занимать 20 минут и microSD. Это касание на каждом устройстве — пять секунд маржинальных усилий, не пять минут.
  • Честная история recovery. Теряешь одно устройство — всё ещё восстанавливаешься через другое плюс флоу wallet-recovery. Теряешь seed целиком — тебе плохо, но лучшие практики seed phrase покрывают этот слой.

Для частного пользователя, держащего $1k–$100k, взаимодействующего с DeFi или подписывающего транзакции еженедельно, warm storage — правильный ответ. Ты получаешь нужное улучшение безопасности — компрометация одного устройства не опустошит тебя, — без оплаты air-gap-налога за каждую транзакцию.

Когда добавлять cold storage поверх

Нет правила "warm storage вместо cold storage". Для сумм, оправдывающих операционные затраты, правильный ответ — оба: warm для рутинной активности и cold-настройка для слоя сбережений.

Разумная аллокация для пользователя со значимыми активами:

  • Hot wallet (небольшой mobile-only сетап): расходные деньги, ежедневные DeFi-взаимодействия. Воспринимай баланс здесь как наличку в кошельке — на две следующие недели, не сбережения жизни.
  • Warm wallet (SSP 2-из-2 или эквивалентный multisig на повседневных устройствах): операционный счёт. От сотен до низких пятизначных. Откуда исходит большинство транзакций.
  • Cold wallet (air-gapped аппаратный multisig или единственный холодный подписчик): слой сбережений. Пятизначные и выше суммы, которые ты не планируешь трогать месяцы или годы. Процедуры recovery задокументированы, в наследственных планах, с ключом в банковской ячейке или у семьи.

Разделение не произвольное — это та же логика, что банки применяют к текущему vs. сберегательному vs. срочному вкладу. Средства в активном использовании остаются тёплыми. Средства в долгосрочном хранении переходят в холодное. Каждый ярус принимает трение, соответствующее его горизонту.

У большинства пользователей холодного слоя ещё нет, потому что warm-слоя хватает. По мере роста балансов добавляется холодный слой.

Что это значит для тебя

Три вывода:

  1. Не позволяй "cold storage" быть причиной, по которой ты остаёшься на бирже. Warm-multisig, которым ты пользуешься сегодня, драматично безопаснее, чем cold-настройка, которой ты займёшься в следующем месяце. Сначала переведи средства, модель уточнишь потом.
  2. Подбирай настройку под модель угрозы, не под маркетинг. Если твоя реалистичная угроза — это вредоносное браузерное расширение и clipboard-replacer, — а для почти любого retail-пользователя так и есть — 2-из-2 между браузером и мобильным побеждает обе. Клетка Фарадея в подвале не покупает тебе больше безопасности против реальных угроз.
  3. Планируй наращивать слой сбережений со временем. По мере роста активов правильный ответ, вероятно, смещается с "всё warm" к "warm + cold". Не пытайся делать оба в первый день; сначала правильно сделай warm, а cold-слой добавь, когда сумма оправдает операционные затраты.

Следующая и последняя статья серии, self-custody checklist for your first $1,000, проходит по конкретным шагам, которые новый self-custody-пользователь должен сделать по порядку — рассчитанным на первую значимую сумму крипты, которую ты держишь, не десятую.

Поделиться статьёй

Похожие статьи

Тёмно-синяя обложка SSP для Чеклист self-custody для первых $1,000, с иконками кошелька, ключа, щита и отпечатка пальца на тёмном градиенте

Чеклист self-custody для первых $1,000 — конкретный стартовый плейбук

Восемь упорядоченных шагов: настроить SSP 2-из-2, записать обе seed, протестировать recovery и вывести первые $1,000 с биржи за один вечер.

8 min read
Тёмно-синяя обложка SSP для Что self-custody на самом деле от тебя требует, с иконками ключа, щита, отпечатка пальца и процессора на тёмном градиенте

Что self-custody на самом деле от тебя требует — честный список

Бэкапы, opsec, управление устройствами, план recovery, время и внимание: пятикатегорный счёт, который self-custody на тебя кладёт.

8 min read
Тёмно-синяя обложка SSP для Семь режимов отказа, которые может пережить биржа, с иконками щита, замка, скрытого глаза и молнии на тёмном градиенте

Семь режимов отказа, которые может пережить биржа (и как выглядит каждый)

Неплатёжеспособность, взломы, заморозки, exit scam, санкции, блокировки KYC, остановки выводов — семь способов, как уйти деньгам.

9 min read