Hot/Cold钱包和访问策略

1）为什么要分为Hot/Warm/Cold

• Hot-业务存款/结算（T0/T+1）,最小延迟,资产负债表有限。
• Warm是用于热补充和大量定期付款的中间池。
• 冷库-长期存储（储备/财政部）,与网络尽可能隔离。

结果：控制曝光的操作风险较小,SLA可预测。

2）参考存储体系结构

图层及其作用

Hot（在线、自动化）：在白天限制内签署中小型付款。保护-HSM/KMS，策略引擎，Alerta。
Warm（部分在线/硬件模块）：batch付款、热补货、提高限额、手动确认。
冷气（离线/空中）：多人/MDC；手术很少见，通过物理访问和日志程序。

技术

hot/warm密钥和令牌的HSM/KMS；

Warm/cold的m-of-n或MPC多元化；

策略引擎（限制，4眼，允许的地址列表，时间窗口）；

大型交易的专用中继/MEV保护。

3）访问政策（访问政策）

3.1项原则

最小特权（PoLP）：完全按角色和区域（hot/warm/cold）进行访问。
职责分工（SoD）：不同的人/服务启动，断言，签名，发布。
4眼：关键操作（限制，地址列表，warm→hot）至少有两个独立的批准。
隔离轮廓：舞台≠舞台；网络ACL，个别凭据。

3.2个角色

运营商（Payments）：在限额内创建付款/蹦床。

Approver（宝藏/风险）： 批准超过阈值,whitelist/hold.

Custodian （Key Owner）：参加warm/cold 的多人游戏/MRS。
合规性：holds/EDD/SAR，旅行规则/KYT解决方案。
安全：HSM/KMS管理，密钥轮换，事件。

4）限制和guardrails

Whitelist/Denylist：一本地址簿，带有TTL，KYT门槛和强制所有权确认（未注册）。

5）操作流

5.1从战争中重新充值

1.监测'hot_balance <threshold' →补充申请。
2.目的地的KUT/制裁 →收集蹦床。
3.双重认可（4眼），签名（warm multicig/MDC）。
4.翻译和写入联谊会；改变限制的警报。

5.2热销付款

自动在per-tx和per-day限制范围内。
超出-升级为warm： batch/部分发布+RBA验证（SoF/KYT/Travel Rule）。

5.3 Rebalance warm↔cold

周期（每周/按阈值）或由财政部决定；离线签名，两个独立的确认渠道，日志。

6）关键安全

生成和存储：仅在HSM/空插上；拒绝出口私人钥匙。
轮换：计划中（N个月），事件时不计划；记录在桉的召回程序。
备份/碎片管理：不同地点/辖区的加密球（MPC）；定期恢复测试。
网络外围：IP allow-list，mTLS，签名网络手册，异常监测。
更改控制：RFC更改策略/限制,更改日志（immutable）。

7）合规与控制

KUT/制裁：入口/出口前检查；不同的网络风险概况。
旅行规则：用于VASP↔VASP-IVMS101、消息副本和交付结果。
澳洲联储：限制/确认取决于风险细分和金额。
审计：完整记录：何人/何时/何人发起/批准/签署；操作时规则的版本。
GDPR/PII：最小化，ID令牌，与支付PAN分开存储。

8）可观察性、逻辑和重构

Leiger：通过网络/资产映射"invoice/withdrawal ↔ txid ↔ wallet（subaccount）"。
T+0/T+1：金额，佣金，汇率（价格来源，时间表），未密封余额。
监视：热/warm/cold资产负债表、确认率、fee、异常付款、切换到备份网络。
Alerts： 超过限制/velocity、白人以外的新地址、对账差异。

9）事件花花公子

泄漏/危害热点：立即将限制降至零，将残留物转移到warm/cold，轮换钥匙，调查，向监管机构/合作伙伴报告。
支付异常：freeze batch, KYT重新检查,SoF请求,部分释放安全部件。
网络退化/fee风暴：自动切换到备用网络/方法,ETA更新到UI。
不可用custody/RPC提供商：failover,手动释放关键付款通过warm,事后分析。
未经授权的策略更改：自动回滚、SecOps/Compliance通知、审计报告。

10）度量和OKR

安全/合规性

资产在cold/warm/hot（目标范围）中的份额，违反限制的数量。
KYT reject%，制裁命中，SAR转换（如果适用）。
策略/月更改次数,成功或拒绝了提高限制的要求。

可靠性/操作

Hot/warm路线的Time-to-Payout p50/p95。
补货频率，平均补货量。
汽车付款vs手动，事件/季度的百分比。

经济/UX

每人获得费用（通过网络/资产获得全部），占金额的百分比。
网络/memo/标签错误，部分发行次数，延迟计数。

11）反模式

拥挤的热钱包，没有硬白天的帽子。
单个Castodial提供商/一个没有冗余的网络→ SPOF。
Warm/cold手术缺乏4眼和SoD。
没有HSM/KMS的密钥,没有定期轮换/恢复测试。
输出前没有whitelist/TTL和KYT-风险增加。
在没有RFC/审核的情况下更改"按信使"限制。
在回避中缺乏相容性和反双打-双重注销。

12）实施清单（简短）

• 图层矩阵：hot/warm/cold具有每天per-tx限制和资产份额。
• 角色和SoD： Operator/Approver/Custodian/Compliance/Security, 4眼。
• hot/warm的HSM/KMS，warm/cold的multicig/MDC，离线签名。
• Whitelist/denylist地址与TTL，KYT阈值，所有权确认。
• 流程：热补充，战利品支付，重建为冷。
• 可观察性：触发器，T+0/T+1重新激活，过量异常。
• 事件花花公子：损害，网络退化，提供商无法访问。
• Travel Rule/IVMS101，澳洲联储政策，变更审核。
• 相同，反双打，backoff+jitter；签名的webhooks。
• 定期进行密钥恢复测试和事件演习。

13）摘要

适当的hot/warm/cold策略不仅是"三钱包"，而且是风险和访问管理模式：限制和4眼，HSM/KMS 和多人/MRS，KYT/Travel Rule和RBA，清晰的补充和支付程序，观察力和花花公子。这样的回路以最低限度的资产曝光率和事件复原力提供快速的热量支付，这是iGaming安全和有利可图的支付基础设施的基础。