کیف پول سرد چیست؟ فضای ذخیره‌سازی آفلاین کریپتو که کلیدهای شما را ایمن نگه می‌دارد

من در سال ۲۰۲۱، ۲۴۰۰ دلار ارز دیجیتال از دست دادم، چون همه چیز را در یک کیف پول آنلاین متامسک نگه داشته بودم و روی یک تاییدیه مخرب در سایتی که شبیه یک سایت ایردراپ قانونی بود، کلیک کردم. این تراکنش تمام توکن‌های ERC-20 که تایید کرده بودم را خالی کرد. در عرض ۳۰ ثانیه از بین رفت. من آنجا نشسته بودم و به صفحه Etherscan نگاه می‌کردم، در حالی که USDC، LINK و UNI من یکی پس از دیگری از کیف پولم خارج می‌شدند. کلید خصوصی دزدیده نشده بود. من هرگز عبارت بازیابی‌ام را به کسی نداده بودم. اما کیف پول آنلاین آنلاین بود، تاییدیه نامحدود بود و قرارداد مهاجم دقیقاً همان کاری را انجام می‌داد که من ناخواسته به آن اجازه داده بودم.

روز بعد یک لجر نانو ایکس خریدم. هر چیزی را که به طور فعال معامله نمی‌شد به فضای ذخیره‌سازی سرد منتقل کردم. این مربوط به سه سال پیش است. از آن زمان تاکنون حتی یک توکن هم از دست نداده‌ام. نه به این دلیل که در کلیک کردن روی لینک‌ها باهوش‌تر شده‌ام. چون کلیدهای خصوصی من اکنون روی دستگاهی هستند که به اینترنت متصل نیست و هیچ وب‌سایت مخربی نمی‌تواند به آنها دسترسی پیدا کند.

این کل استدلال برای کیف پول‌های سرد در دو پاراگراف است. کلید خصوصی شما تنها چیزی است که ارز دیجیتال شما را کنترل می‌کند. اگر آنلاین باشد، می‌توان آن را دزدید یا برای تأیید تراکنش‌های بد فریب داد. اگر آفلاین باشد، مهاجمان نمی‌توانند بدون اینکه به صورت فیزیکی به دستگاه شما دسترسی پیدا کنند، به آن دسترسی پیدا کنند. بقیه چیزها جزئیات هستند.

نحوه کار کیف پول‌های سرد: کلید خصوصی آفلاین می‌ماند

بگذارید این موضوع را با یک تشبیه که هنگام توضیح آن برای دوستانی که در حوزه کریپتو نیستند استفاده می‌کنم، ساده کنم.

کلید خصوصی شما مانند مهر امضا روی حساب بانکی است. هر کسی که مهر را داشته باشد می‌تواند پول را برداشت کند. یک کیف پول گرم مانند نگه داشتن آن مهر در کشوی میز کار شماست. راحت. وقتی به آن نیاز دارید آن را برمی‌دارید. اما از نظر تئوری، هر کسی که از کنار میز شما رد می‌شود نیز می‌تواند آن را بردارد. رایانه شما، مرورگر شما، افزونه‌های تلفن شما، هر وب‌سایتی که هنگام باز بودن قفل متامسک بازدید می‌کنید، همه آنها به آن مهر دسترسی دارند.

کیف پول سرد مانند نگه داشتن تمبر در یک گاوصندوق قفل شده در خانه است. وقتی نیاز به امضا دارید، به خانه می‌روید، گاوصندوق را باز می‌کنید، سند را مهر می‌کنید، گاوصندوق را دوباره قفل می‌کنید و سند امضا شده را به بانک می‌آورید. تمبر هرگز از خانه خارج نمی‌شود. هیچ کس در دفتر هرگز آن را نمی‌بیند.

به زبان فنی: متامسک، تراست والت، کوین‌بیس والت، فانتوم، اینها کیف پول‌های گرم هستند. کلید خصوصی شما روی دستگاهی قرار می‌گیرد که 24 ساعته و 7 روز هفته آنلاین است. یک کیف پول سرد آن کلید را روی دستگاهی ذخیره می‌کند که از نظر فیزیکی نمی‌تواند به اینترنت متصل شود (یا فقط برای مدت کوتاهی برای انتقال یک تراکنش امضا شده متصل می‌شود). کلید روی دستگاه باقی می‌ماند. آنچه به بلاکچین ارسال می‌شود، خروجی امضا شده است، نه خود کلید.

برای اینکه یک مهاجم بتواند از یک کیف پول سرد (یا آفلاین) سرقت کند، به دستگاه فیزیکی شما، پین کد شما و نسخه پشتیبان عبارت بازیابی شما نیاز دارد. برای یک کیف پول گرم، یک افزونه مرورگر مخرب کافی است. من این را به روشی پرهزینه یاد گرفتم.

انواع کیف پول‌های سرد: سخت‌افزاری، کاغذی و ایرگپد

«کیف پول سرد» همیشه به معنای یک دستگاه کوچک شبیه USB از شرکت لجر نیست. بلکه به معنای هر چیزی است که کلید خصوصی شما را از اینترنت دور نگه می‌دارد. در عمل سه نوع کیف پول سرد وجود دارد و فقط یکی از آنها برای اکثر مردم منطقی است.

کیف پول‌های سخت‌افزاری انتخاب بدیهی هستند و منظور ۹۵٪ مردم از «کیف پول سرد» همین است. لجر، ترزور، کی‌استون، تانگم. دستگاه‌های کوچک با تراشه‌های امن که کلید شما را ذخیره می‌کنند و با فشار دادن یک دکمه فیزیکی، تراکنش‌ها را امضا می‌کنند. هزینه: ۵۰ تا ۲۵۰ دلار، بسته به مدل و میزان زیبایی صفحه نمایش مورد نظر شما.

وسیله‌ی روزمره‌ی من یک لجر نانو ایکس است. بلوتوث برای گوشی، USB-C برای لپ‌تاپ. وقتی از طریق متامسک کاری را در دیفای انجام می‌دهم، صفحه‌ی لجر دقیقاً همان چیزی را که قرار است تأیید کنم به من نشان می‌دهد. «۵۰۰ USDC به ۰x۷a۳b ارسال کن...» آن را می‌خوانم، تأیید می‌کنم که با آنچه انتظار دارم مطابقت دارد، هر دو دکمه را فشار می‌دهم. اگر یک سایت فیشینگ سعی کند آدرس گیرنده‌ی متفاوتی را پنهان کند، صفحه‌ی لجر مقصد واقعی را نشان می‌دهد و من آن را پیدا می‌کنم. آن صفحه‌ی کوچک بارها و بارها مرا نجات داد، بیش از آنچه که بخواهم اعتراف کنم. کیف پول‌های داغ آنچه را که وب‌سایت به آنها می‌گوید نشان می‌دهند. لجر آنچه را که قرارداد هوشمند واقعاً می‌گوید به شما نشان می‌دهد.

کیف پول‌های کاغذی معادل رمزنگاری شده‌ی نوشتن رمز عبور روی یک برگه یادداشت هستند. عبارت بازیابی یا کلید خصوصی شما، که روی کاغذ چاپ شده است، در جایی امن ذخیره می‌شود. رایگان. آفلاین. همچنین یک آتش‌سوزی خانه، یک قهوه ریخته شده یا یک مهمان کنجکاو خانه از فاجعه دور است. کیف پول‌های کاغذی در سال ۲۰۱۵ منطقی بودند، زمانی که یک دفتر کل ۱۰۰ دلار قیمت داشت و اکثر مردم ۲۰۰ دلار بیت کوین داشتند. در سال ۲۰۲۶، قیمت کیف پول‌های سخت‌افزاری از ۵۵ دلار شروع می‌شود. دیگر دلیلی برای استفاده از کاغذ به عنوان ذخیره‌سازی سرد اولیه وجود ندارد. صفحات فولادی (Cryptosteel، Billfodl) نسخه مدرن هستند: عبارت بازیابی شما روی فلز ضد آتش و ضد آب مهر می‌شود. اما اینها حافظه پشتیبان برای عبارت بازیابی شما هستند، نه جایگزینی برای کیف پول سخت‌افزاری.

دستگاه‌های Air-gapped برای افرادی هستند که فکر می‌کنند بلوتوث و USB سطوح حمله هستند (که از نظر فنی هستند). تلفن یا تبلتی که هرگز به هیچ شبکه‌ای متصل نشده است. کلیدهای تولید شده در دستگاه، تراکنش‌ها از طریق اسکن کد QR امضا شده‌اند. Keystone 3 Pro کل محصول خود را بر اساس این ایده ساخته است. بدون پورت USB. بدون رادیو بلوتوث. بدون تراشه WiFi. شما یک کد QR را در Keystone می‌بینید، آن را با دوربین تلفن خود اسکن می‌کنید و تراکنش امضا شده به بلاکچین وارد می‌شود. خود دستگاه هیچ مسیر الکترونیکی به اینترنت ندارد. اگر این سطح از پارانویا شما را به وجد می‌آورد، Keystone همان چیزی است که می‌خواهید.

برترین کیف پول‌های سرد در سال ۲۰۲۶

من شخصاً از سه کیف پول سخت‌افزاری استفاده کرده‌ام و دو مورد دیگر را نیز آزمایش کرده‌ام. بازار به این شکل است.

لجر از نظر فروش واحد، بر بازار تسلط دارد. اپلیکیشن لجر لایو آنها بهترین نرم‌افزار همراه در این حوزه است. جنجال: در ماه مه 2023، لجر از «Ledger Recover» رونمایی کرد، یک ویژگی اختیاری که عبارت بازیابی شما را خرد کرده و قطعات رمزگذاری شده را با متولیان شخص ثالث ذخیره می‌کند. جامعه کریپتو به شدت عصبانی شد. کل نکته یک کیف پول سخت‌افزاری این است که هیچ کس دیگری کلید شما را در اختیار ندارد. پیشنهاد تقسیم آن بین متولیان، خیانت به ارزش اصلی تلقی می‌شد. لجر این ویژگی را حفظ کرد اما آن را به صورت اختیاری ارائه داد. فروش موقتاً کاهش یافت. اما بهبود یافت. اما آسیب اعتماد در بین کاربران متمرکز بر امنیت باقی ماند.

Trezor جایگزین متن‌باز است. تمام فریمورها عمومی، قابل حسابرسی و قابل تکثیر هستند. Trezor Safe 5 پشتیبان Shamir را اضافه کرد که عبارت بازیابی شما را به چندین سهم تقسیم می‌کند که در آن برای بازیابی کیف پول به حداقل تعداد سهم (مثلاً ۳ از ۵) نیاز دارید. اگر یک نسخه پشتیبان دزدیده شود، بدون بقیه بی‌فایده است. من یک Trezor را به عنوان دستگاه پشتیبان خود نگه می‌دارم.

کیستون ۳ پرو برای افراد بدبین است (با احترام این را می‌گویم). بدون USB. بدون بلوتوث. بدون وای‌فای. تراکنش‌ها از طریق کدهای QR انجام می‌شوند. دستگاه یک کد QR را نمایش می‌دهد، تلفن شما آن را اسکن می‌کند و تراکنش امضا شده پخش می‌شود. هیچ اتصال الکترونیکی به اینترنت، هرگز.

تانجم یک کارت ویزیت جادویی است. کارت‌های NFC به اندازه کارت اعتباری. برای امضا باید روی گوشی خود ضربه بزنید. هیچ صفحه نمایشی روی دستگاه وجود ندارد، که یک معامله امنیتی است (شما نمی‌توانید جزئیات تراکنش را روی خود کارت تأیید کنید). اما سادگی بی‌نظیر است. مادرم می‌تواند از تانجم استفاده کند. او نمی‌تواند بدون تماس با من از لجر استفاده کند.

نقض داده‌های لجر: چرا حتی کیف پول‌های سرد هم نیاز به احتیاط دارند

دسامبر ۲۰۲۰. هکرها به پایگاه داده بازاریابی لجر نفوذ کردند و با نام، ایمیل، شماره تلفن و آدرس منزل ۲۷۰،۰۰۰ مشتری خارج شدند. کلیدهای خصوصی را نداشتند. دستگاه‌ها خوب کار می‌کردند. اما اتفاقی که بعد افتاد زشت بود.

مهاجمان از آدرس‌های فاش‌شده برای ارسال ایمیل‌های فیشینگ که دقیقاً شبیه پیام‌های پشتیبانی لجر بودند، استفاده کردند. "دستگاه شما در معرض خطر است. برای ایمن‌سازی وجوه خود، عبارت بازیابی خود را اینجا وارد کنید." برخی از مشتریان نامه‌های فیزیکی را در خانه‌های خود دریافت کردند که روی سربرگ جعلی لجر چاپ شده بود. من حداقل دو نفر را از یک سرور Discord می‌شناسم که فریب نسخه ایمیل را خوردند و هر کدام پنج رقم از دست دادند. آنها 24 کلمه خود را در یک صفحه فیشینگ تایپ کردند. همه چیز در عرض چند دقیقه از بین رفت.

کیف پول سرد کار خود را به طور کامل انجام داد. تراشه کلید را ایمن نگه می‌داشت. سیستم عامل هیچ آسیب‌پذیری نداشت. اما یک انسان یک ایمیل جعلی را خواند، وحشت کرد و داوطلبانه کلید اصلی را داد. هیچ سخت‌افزاری روی زمین در برابر آن محافظت نمی‌کند.

من عبارت بازیابی‌ام را روی یک صفحه فولادی مهر می‌کنم. این عبارت در یک گاوصندوق ضد حریق در مکانی که در اینترنت توصیف نمی‌کنم، نگهداری می‌شود. من هرگز آن ۲۴ کلمه را در هیچ دستگاهی که به شبکه متصل است تایپ نکرده‌ام. پشتیبانی لجر هرگز از شما عبارت بازیابی‌تان را نمی‌پرسد. پشتیبانی ترزور هم هرگز این را نمی‌پرسد. اگر کسی این را بپرسد، سعی دارد شما را بدزدد. تمام.

استفاده از کیف پول‌های سرد با DeFi: این یا آن نیست

یک تصور غلط رایج: اگر از کیف پول سرد استفاده کنم، نمی‌توانم از DeFi استفاده کنم. اشتباه است. شما می‌توانید هر پروتکل DeFi را از طریق یک کیف پول سخت‌افزاری اجرا کنید. گردش کار کمی متفاوت است، اما ارتقاء امنیت ارزشش را دارد.

این تنظیمات من است. لجر نانو ایکس از طریق USB به لپ‌تاپم وصل شد. متامسک در کروم با حساب لجر انتخاب شده باز شد. به یونی‌سواپ رفتم. روی «مبادله ۵۰۰ دلار آمریکا با اتریوم» کلیک کردم. متامسک درخواست را به لجر من ارسال کرد. صفحه لجر روشن شد: «بررسی تراکنش. ۵۰۰ دلار آمریکا مبادله کنید...» آن را خواندم. درست به نظر می‌رسید. هر دو دکمه را فشار دهید. تراکنش امضا شد، منتشر شد، تأیید شد. کلید من هرگز لجر را ترک نکرد. کل ماجرا در مقایسه با یک کیف پول نرم‌افزاری شاید ۱۵ ثانیه طول کشید.

برای موبایل، WalletConnect این کار را انجام می‌دهد. یک برنامه DeFi را روی گوشی خود باز کنید، کد QR را با Ledger Live اسکن کنید، روی دستگاه تأیید کنید. من وقتی پشت میز کارم نیستم از این برای رأی‌گیری سریع در مورد مدیریت استفاده می‌کنم. با Aave، Lido و اکثر پروتکل‌های اصلی کار می‌کند.

یک هشدار از تجربه شخصی در مورد DeFi با کیف پول‌های سخت‌افزاری: امضای کورکورانه. من در اولین هفته‌ای که Ledger خود را به MetaMask متصل کردم، با این مشکل مواجه شدم. برخی از قراردادهای هوشمند داده‌هایی را ارسال می‌کنند که صفحه نمایش Ledger نمی‌تواند به طور کامل آنها را تجزیه کند. به جای نمایش "ارسال 100 USDC به 0xABC..."، دیواری از کاراکترهای هگز را نشان می‌دهد و از شما می‌خواهد که "این داده‌ها را تأیید کنید". این کل نکته را زیر سوال می‌برد. شما دوباره به صفحه نمایش رایانه خود اعتماد می‌کنید، که دقیقاً همان سناریویی است که برای جلوگیری از آن یک کیف پول سرد خریداری کرده‌اید.

لجر و ترزور در تجزیه و تحلیل قراردادهای رایج دیفای بهتر شده‌اند. سواپ‌های یونی‌سواپ، سپرده‌های Aave، انتقال‌های پایه ERC-20، اکنون همگی جزئیات قابل خواندنی را نشان می‌دهند. اما پروتکل‌های عجیب و غریب، قراردادهای جدید و هر چیزی که از فراخوانی‌های تابع غیرمعمول استفاده می‌کند، هنوز هگز خام را نشان می‌دهند. قانون من: اگر لجر نتواند به صورت متن ساده به من بگوید که چه چیزی را امضا می‌کنم، آن را امضا نمی‌کنم. من به صورت دستی داده‌های تراکنش را در Etherscan بررسی می‌کنم. یک دقیقه بیشتر طول می‌کشد. این یک دقیقه من را از حداقل دو تأیید ناقص نجات داده است که می‌توانستم کورکورانه فقط در MetaMask تأیید کنم.

بازار کیف پول سخت‌افزاری همچنان در حال رشد است. فروش جهانی در سال ۲۰۲۵ از ۵۰۰ میلیون دلار عبور کرد، که نسبت به تقریباً ۳۵۰ میلیون دلار در سال ۲۰۲۳ افزایش یافته است. هر هک بزرگ صرافی، هر سوءاستفاده از DeFi، هر تخلیه کیف پول مشهور، موج دیگری از مردم را از کیف پول‌های گرم به سمت ذخیره‌سازی سرد سوق می‌دهد. روند واضح است: هرچه مردم پول بیشتری را در حملات آنلاین از دست بدهند، کیف پول‌های سخت‌افزاری بیشتری می‌خرند. این صنعت با صفحات نمایش بهتر، تجزیه بهتر، برنامه‌های همراه بهتر و قیمت‌های ورودی پایین‌تر به این موضوع واکنش نشان می‌دهد.

Marco Lucchetti

Marco Lucchetti is a senior content strategist and blockchain analyst at Plisio. With over 7 years of experience in cryptocurrency research, DeFi protocols, and payment technologies, Marco specializes in creating clear, data-driven content for a global crypto audience. His work focuses on transaction tracing, crypto compliance, and the future of blockchain infrastructure.