关于自托管有一种常见的误读:要"真正做对",你需要一台 air-gapped 硬件钱包放保险柜里,最好还配上一段只在用现金买来的、装有法拉第屏蔽的笔电上才输入的 passphrase。那是一种模型。它不是 那个 模型,而对大多数用户来说是错的模型——对实际威胁水平来说摩擦太大,结果他们永远没把全套配置弄完,资金就一直留在交易所。
这是 Self-Custody Fundamentals 系列的第五篇。上一篇从五个工作类别拆开 自托管真正对你要求什么。这一篇讲的是自托管本身的光谱——以及为什么对多数人来说正确答案住在中间,而不是 cold storage 那一端。
TL;DR
- 自托管不是单一配置。它是一条光谱:从你一整天都在签名的移动热钱包,到打开就要 30 分钟的完全 air-gapped 多签金库。
- 正确的点取决于 威胁模型、交易频率 和 持仓多少。
- "Cold storage" 通常指一台从未接触过联网设备的 air-gapped 硬件钱包。真正的 cold storage 运营负担重,留给 treasury 级别的持仓。
- 对大多数用户来说,正确点是 warm storage ——一只非托管钱包,跑在你每天都用的设备上,密钥被切分到两台设备之间,单独哪台都签不了。SSP 的 2-of-2 就是为曲线上这个点设计的。
- "日常驾驶"型热钱包(单设备、单密钥、移动)适合放零花钱。但不是放大额余额的地方。
真正的光谱
自托管不是二元的。它存在于一条大致如下的连续谱上:
1. Custodial。 不是自托管。交易所持有密钥。见 七种失败模式 一文。
2. 单密钥热钱包。 是自托管,但整套密钥都在一台大部分时间在线的设备上。桌面 MetaMask、手机 Phantom、基础版 Trust Wallet。方便、摩擦低,但整只钱包离被掏空只差一个 bug 或一个恶意扩展。
3. 单密钥冷钱包。 一台硬件钱包(Ledger、Trezor、Coldcard),离线签名、短暂连接以推送交易。密钥永远不接触热机器。比热钱包更强,但在 seed phrase 上仍是单点失败,摩擦也足以让用户在日常支付里放弃使用。
4. 多签热钱包。 两把或更多密钥,但都在准在线设备上。SSP 的 2-of-2 在这里——浏览器扩展上一把密钥、手机上一把。两把签名都需要;任何一台设备单独都不能动钱。两台设备是不同的攻击面,因此其中一台被攻破不会把钱包掏空。
5. 多签带一把冷密钥。 跟 4 一样,但至少有一个签名者是离线硬件设备。对远程攻击更耐打,对日常发送摩擦更大。
6. 完全冷的多签金库。 所有签名者都离线,常常物理上分散。BitGo、Casa、Unchained Capital 卖给机构存储的那种配置。恢复和签名都涉及面对面仪式。每笔交易的运营延迟从几天到几周。
"用 cold storage"的口号默认指向选项 6。对 treasury 是对的。对一个有五位数加密、偶尔想玩玩 DeFi 的个人来说就太过了。
"Cold storage" 到底意味着什么(以及为什么大多数人不需要它)
Cold storage 是一种严格承诺:签名密钥从未接触过联网设备。不是一台关掉 WiFi 的笔电——是一台从未启用过 WiFi 的笔电。后果是:
- Air-gapped 签名。 在一台热机器上构造交易,把它(通过二维码或 microSD)传到冷设备,在那里签名,再把已签名的交易传回来。每一次发送都是一套流程。
- 独立设备。 冷设备不该是你的手机或笔电。是一台专用的硬件钱包,或者一台已经擦掉、放在抽屉里的旧笔电。
- 物理安全。 住在没锁公寓抽屉里的 cold storage 并不算真冷。重点是让远程攻击不可能,这就把物理接触变成了威胁——所以它住在保险柜、保险箱或一个地理上分开的地方。
它是少数特定情境下的正确模型:
- 一个真心打算多年都不碰资金的长期持有者。
- 一个 treasury(个人或公司),持有的金额大到任何运营延迟都能接受,只为把攻击面降到接近零。
- 传承或代际持仓,优化是几十年尺度而非天尺度。
对其他人来说,cold storage 的摩擦抵销了它的安全性。让无数用户翻车的模式:他们买了硬件钱包、装好之后,要么 (a) 留在抽屉里不用,因为流程烦人,资金还在交易所等"哪天终于挪过去";要么 (b) 设备丢了,seed 也没好好备份,因为冷存储纪律从未真正内化。
一只你确实在用的热多签胜过你不用的冷钱包。
Warm storage:多数人应该住的地方
"Warm storage"不是标准术语,但抓住了正确的意思:把密钥放在你真在用的设备上,安全模型够强,能扛住现实的攻击。
定义性质:
- 多把密钥、多台设备。 一台设备被攻破——一个恶意扩展、一台被偷走解锁的手机——不应导致钱包被掏空。2-of-2 模型直接处理这点。
- 每把密钥对应不同的攻击面。 浏览器扩展和移动应用是不同的代码、不同的操作系统、不同的威胁画像。一个攻击者要在同一时刻同时攻破两者,那是非常针对你的特定行动。
- 低交易摩擦。 一笔常规交易不该花 20 分钟和一张 microSD。两台设备上各点一下——五秒的边际开销,不是五分钟。
- 诚实的恢复故事。 丢一台设备,你还能用另一台加上 wallet-recovery 流程恢复。把 seed 完全丢了,你就麻烦了——但 seed-phrase 最佳实践 处理那一层。
对一个持有 $1k–$100k、每周与 DeFi 互动或签交易的个人用户来说,warm storage 就是正确答案。你拿到关键的安全提升——单点设备被攻破不会掏空你——而不必为每笔交易付 air-gap 的税。
何时在上面再加一层 cold storage
没有规则说"warm 取代 cold"。对值得承担运营成本的金额,正确答案是 两者都有:一只 warm 用来日常活动,一套 cold 用来储蓄层。
对持仓认真的用户来说,一个合理的分配:
- 热钱包(一个小型仅手机配置):零花钱、日常 DeFi 互动。把这里的余额当作钱包里的现金——够两周用就好,不是你的全部积蓄。
- 温钱包(你日常设备上的 SSP 2-of-2 或等价多签):运营账户。从几百到低五位数。大多数交易从这里发起。
- 冷钱包(air-gapped 硬件多签,或单个冷签名者):储蓄层。你打算几个月或几年不碰的五位数及以上。恢复程序有书面记录,纳入继承计划,钥匙放在保险箱或亲友处。
这种分层并不武断——这是银行对活期 vs. 储蓄 vs. 定期所用的同一逻辑。活跃使用的资金保持热度,长期存储的资金转冷。每一层接受与其期限相称的摩擦。
对多数用户来说,冷层尚不存在,因为温层已经够用。随着持仓变大,冷层才被加进来。
这对你意味着什么
三点要带走:
- 别让"cold storage"成为你留在交易所的理由。 你今天真在用的温多签,远比你下个月才搞的冷配置安全得多。先把资金挪走,模型以后再精修。
- 让配置匹配威胁模型,而不是匹配营销。 如果你现实中的威胁是恶意浏览器扩展和剪贴板替换器——对几乎所有零售用户都是——浏览器与移动之间的 2-of-2 同时击败两者。地下室的法拉第笼并不会针对你实际面对的威胁给你额外安全。
- 计划随时间培养储蓄层。 持仓增长后,正确答案大概率从"全 warm"挪到"warm + cold"。别第一天就同时上两套;先把 warm 做对,等金额值得承担运营成本时再加上冷层。
系列下一篇也是最后一篇,self-custody checklist for your first $1,000,按顺序走一遍一个自托管新手该做的具体步骤——为你持有的 第一笔 有意义的加密资金而设计,不是第十笔。
