自托管的营销词是一句话:做自己的银行。诚实的版本要长得多。你继承了原本由 custodian 替你承担的责任,假装不是这样,正是人们最终拿着空钱包并以"我以为它有备份"开头讲故事的原因。
这是 Self-Custody Fundamentals 系列的第四篇。上一篇盘点了 custodial 交易所的七种失败模式。这一篇是它诚实的对应:自托管真正放在你肩上的东西。在决定自托管"显然"是对所有事都正确的模型之前先读这一篇——对某些资产和某些用户来说,权衡会翻向另一边。
TL;DR
- 自托管把对手方风险换成你自己的运营风险。风险不会归零;它们只是换了形状。
- 账单分成五个类别:备份、运营安全(opsec)、设备管理、恢复规划、时间与注意力。
- 多数失败并不戏剧化——它们缓慢、平淡,开始于几个月前被跳过的步骤(没写下备份、为方便把 seed 拍了照、从未测试过恢复)。
- 像 SSP 这样的 2-of-2 multisig 能软化其中多个——丢一个设备不致命、密钥被攻破需要两台设备——但不会消除它们。
- 正确的框架不是"自托管很难"。是:你在用自己的纪律替代 custodian 的纪律。诚实地规划这个替代,否则就别做。
类别 1 — 备份
custodian 替你做备份——通过持有他们在数据库里追踪的余额的密钥。你不需要做任何事就处于"已备份"状态。
自托管没有这种角色。恢复材料 就是 钱包——无论是 12/24 词的 seed phrase、2-of-2 的设备对,还是硬件钱包的备份卡。如果该材料丢失或被销毁,资金不可恢复。不是"更难恢复"。是不可恢复。
具体意味着:
- 当钱包要求时,立刻写下 seed。 笔和纸,当场写。不是截图,不是密码管理器里的备注,不是"明天再写"。
- 至少存两份,物理上分开。 火灾、洪水、盗窃或搬家都不应一次抹掉两份。常见模式:一份在家放在防火袋里,一份在亲友处或银行保险箱里。
- 对于有意义的金额,使用金属备份。 如果小心,纸能撑十年。一块金属板能撑过大多数家庭火灾。Steelplate 和 Cryptosteel 是常见产品;seed phrase 最佳实践 一文讨论了选项。
- 在信任恢复之前先测试一次。 在一台干净设备上把 seed 恢复一次,验证地址一致,然后擦除并重新设置。未测试过的备份是希望,不是备份。
对 SSP 来说,2-of-2 模型意味着你的"seed"被切成两半:SSP 浏览器扩展的主助记词,加上 SSP Key 移动端助记词。两者都走相同的备份纪律——而 单独任何一个都不足以 恢复钱包。
类别 2 — 运营安全(opsec)
一旦密钥存在于你的设备上,攻击面就变了。custodian 的 opsec 是他们员工的问题;在自托管里,那是你的问题。
对典型用户来说,现实的威胁不是国家级对手。它们是:
- 恶意软件——在你粘贴时替换目标地址的剪贴板替换器、抓取已解锁 seed 文件的 infostealer、悄悄签署你不打算签的交易的恶意浏览器扩展。
- 网络钓鱼——长得像你信任的钱包的邮件、私信和搜索广告。一旦你输入 seed,就结束了。
- 物理接触——任何能读到你 seed 纸的人、任何捡到未锁手机的人、任何在桌面发现未加密备份的人。
- 社会工程——电话或消息引导你完成"验证"步骤,包括大声读出 seed 或安装远程控制软件。
这要求你:
- 不要把 seed 输入到它会数字化存在的任何地方。 不在邮件里,不在 Notes 里,不在 iCloud 里,不在云密码管理器里。seed 按设计离线。
- 核对你登录的任何钱包站点的 URL。 把规范的 URL 加一次书签。每次访问再核一次。仿冒站很便宜;唯一的防御是书签纪律。
- 如果可以,给加密相关使用单独的用户配置或浏览器。 减少恶意扩展的爆炸半径。
- 在第二台设备上交叉验证目标地址。 SSP 的 2-of-2 模型让这变得自然——SSP Key 移动应用会在你签名前显示地址,所以浏览器端的剪贴板替换器会被抓到。
你不需要军队式的纪律。你需要稳定、无聊的习惯。
类别 3 — 设备管理
custodian 不在乎你从哪个设备登录。他们认证的是 账户,不是设备。自托管反转这一点:设备就是钱包。你现在得像管理员管理服务器那样管理设备。
最低职责:
- 保持系统与钱包软件更新。 旧版本会积累已知漏洞。安全补丁的 24 小时窗口是真实的;关掉它。
- 锁定设备。 手机和笔电的 PIN 或生物识别,搭配较短的自动锁定。钱包自己的密码是最后一道线,不是第一道。
- 了解生命周期。 退役设备时在转售前擦除。设备遗失时,把上面的钱包当作已被攻破,直到完成迁移。
- 不要把 seed 存在运行钱包的同一台设备上。 手机 照片 的加密云备份就是 seed 落到 Apple 或 Google 服务器上的方式。
对 2-of-2 multisig 来说,这份清单要 跑两次——每个设备一次。好处:丢一个设备不再是即刻的灾难。坏处:现在有两个设备要保持最新。
类别 4 — 恢复规划
自托管用户能做、几乎没人做的最高影响力事项是 在你需要恢复之前规划好恢复。
规划恢复意味着以书面方式、并与实际相关的人一起,回答:
- 如果明天我丢了设备会怎样? seed 在哪儿,恢复流程是什么,要多久?
- 如果我失能或去世会怎样? 该找到恢复材料的人能找到吗,他们知道这是干什么的吗,法律/继承面是否对齐(一份提到"加密持仓"但没说密钥在哪里的遗嘱基本无用)?
- 如果 seed 被攻破但我仍控制钱包会怎样? 答案是 立刻把资金转到一个用全新 seed 的新钱包。在压力下被迫做之前,先练一次。
Wallet Recovery Scenarios 系列详细处理继承与紧急访问角度;短版本:藏起来的计划不是计划。需要恢复材料的人必须能找到它,以他们能使用的形式,不需要你引导。
对 SSP 的 2-of-2 配置,这件事比单 seed 钱包更宽容——丢浏览器不丢钱包,v1.38 的 wallet recovery 流程能处理——但继承需要两套备份,不是一套。给两套都做规划。
类别 5 — 时间与注意力
最不显眼的成本,也是会复利累积的那个。custodian 吸收了运行钱包的运营税——他们决定何时轮换密钥、何时打补丁、何时升级链整合。你把注意力交给了他们。
在自托管里你把那份注意力拿回来。对持有有意义金额的用户来说,现实的时间账单:
- 初始设置:做对了 1–2 小时(正确写下 seed、在第二台设备上测试恢复、在两个位置备份)。
- 每月:约 15 分钟家务——钱包更新、系统更新、偶尔检查备份还在你放的位置。
- 每季度:30 分钟——重新验证备份、查看钱包软件的相关通告、复查你新加的任何设备或地址。
- 每年:1–2 小时——完整 opsec 复盘(设备、备份、恢复计划、任何偏离书面计划的东西)。
并不多。但 多于零,而零正是大家通常计划的量。伤到用户的模式是把自托管当成"设了就忘"——因为钱包还在运行,纪律就萎缩,缝隙在第一次出错时显现。
这对你意味着什么
三个诚实的要点:
- 权衡是真实的,但不是无限的。 几小时设置加每月几分钟维护,是典型用户的实际成本。"自托管太难"这种框架通常意味着"我还不知道工作是什么"——一旦你知道,它是可管理的。
- 大多数自托管失败都很平庸。 seed 丢失、seed 被拍照、未测试过的备份、"明天再备份"。戏剧化的事情(国家级攻击者、"$5 wrench"攻击)少见。无聊的事是常态。为无聊的事做规划。
- 2-of-2 multisig 抚平最陡的悬崖。 丢一个设备、一个密钥被攻破、单点 seed 失败——在 2-of-2 配置 中不再是致命的。它们变成 可恢复的事故 而不是 终结性事件。这就是设计意图。
系列下一篇 self-custody without going to cold storage 看的是把资金留在交易所与走到完全 air-gap 之间的中间路线——以及为什么对多数用户来说,正确答案就住在这个中间。
