ホット/コールドウォレットとアクセスポリシー

1）ホット/ウォーム/コールドに分割する理由

• ホット-運用預金/出金（T0/T+1）、最小遅延、限られた残高。
• 暖かい-ホット補充と大規模な定期的な支払いのための中間プール。
• 可能な限りネットワークから隔離された低温長期保管（埋蔵量/財務省）。

その結果、制御された露出時の運用リスクと予測可能なSLAが減少しました。

2）ストレージ・リファレンス・アーキテクチャ

レイヤーとその役割

ホット（オンライン、自動化）：毎日の制限内で中小規模の支払いに署名します。保護-HSM/KMS、ポリシーエンジン、アラート。
暖かい（部分的にオンライン/ハードウェアモジュール）：バッチ決済、ホット補充、制限の増加、手動確認。
冷たい（オフライン/エアギャップ）：multisig/MRS；物理的なアクセスとジャーナルの手順によると、操作はまれです。

Technologies（テクノロジー）

熱い/暖かいキーおよびトークンのためのHSM/KMS；

m-of-nマルチシグまたはMPC（暖かい/冷たいため）；

ポリシーエンジン（制限、4目、許可されたアドレスのリスト、タイムウィンドウ）；

大規模な取引のためのプライベートリレー/MEV保護。

3）アクセスポリシー

3.1原則

最小権限（PoLP）：アクセスは正確に役割とゾーン（ホット/ウォーム/コールド）によって行われます。
職務の分離（SoD）：異なる人々/サービスが開始、承認、署名、リリース。
4-eye：重要な操作のための少なくとも2つの独立した承認（制限、アドレスリスト、ウォーム→ホット）。
パスの分離：prod ≠ stage；ネットワークACL、個々の資格情報。

3.2つの役割

オペレータ（支払い）-限度内の支払い/バッチを作成します。
承認者（財務省/リスク）：しきい値に対する承認、ホワイトリスト/ホールド。
Custodian （Key Owner）： マルチゲーム/MRSへの参加。
コンプライアンス：hold/EDD/SAR、 Travel Rule/KYTソリューション。
セキュリティ：HSM/KMS管理、キー回転、インシデント。

4）限界およびガードレール

ホワイトリスト/デニリスト：TTL、 KYTしきい値、および必須の所有権の証明を含むアドレス帳（未保存の場合）。

5）動作フロー

5.1暖かいからの補充の熱い

1.'hot_balance <threshold'→補充要求を監視します。
2.宛先アドレスによるTAC/制裁→バッチコレクション。
3.二重承認（4-eye）、署名（暖かいmultisig/MRS）。
4.台帳の翻訳と記録。制限の変更について警告します。

5.2ホットからの支払い

TXおよび1日あたりの制限内で自動的に。
超過するには-暖かいエスカレーション：バッチ/部分リリース+RBAチェック（SoF/KYT/トラベルルール）。

5.3リバランスのwarm↔cold

定期的（毎週/しきい値による）または財務省の決定による。オフライン署名、2つの独立した確認チャンネル、ログ。

6）主要な保証

生成および貯蔵：HSM/空気ギャップでだけ；秘密鍵のエクスポートを拒否します。
ローテーション：予定（Nヶ月）、インシデントで予定外；記録されたリコール手順。
バックアップ/シャード管理：異なる場所/管轄にある暗号化されたボール（MPC）；定期的な回復テスト。
ネットワーク境界：IP allow-list、 mTLS、署名されたwebhook、異常監視。
変更制御：ポリシー/制限を変更するためのRFC、不変。

7）コンプライアンスと管理

KUT/制裁：入国/出口の事前チェック。ネットワーク間で異なるリスクプロファイル。
旅行ルール：VASP↔VASP-IVMS101、メッセージのレプリカ、配信結果。
RBA：リスクセグメントと金額によって制限/確認が異なります。
監査：フルトレイル：who/when/what initiated/approved/signed；操作時のルールバージョン。
GDPR/PII：最小化、IDトークン化、決済PANとは別のストレージ。

8）観察可能性、ログおよび再現

Lager：ネットワーク/アセットによって'invoice/in ↔ txid ↔ wallet （subaccount）'をマッピングします。
T+0/T+1和解：金額、手数料、レート（価格ソース、タイムスタンプ）、オープンバランス。
モニタリング：ホット/ウォーム/コールドバランス、確認速度、手数料、異常な支払い、バックアップネットワークへの切り替え。
アラート：上限/速度、ホワイトリスト外の新しいアドレス、和解の矛盾。

9）インシデントプレイブック

リーク/妥協ホット：ゼロへの制限の即時削除、暖かい/寒さへのバランスの転送、キーの回転、調査、規制当局/パートナーへの報告。
支払の異常：凍結バッチ、KYTの再チェック、SoFの要求、安全な部品の部分的な解放。
Network/fee storm degradation：スタンバイネットワーク/メソッドへの自動切り替え、UIでのETAアップデート。
親権/RPCプロバイダのアクセス不能：feilover、 warm、 post-incident analysisによる重要な支払いの手動リリース。
許可されていないポリシー変更：自動ロールバック、SecOps/コンプライアンス通知、監査レポート。

10）メトリクスとOKR

セキュリティ/コンプライアンス

コールド/ウォーム/ホット（ターゲット範囲）の資産のシェア、制限違反の数。
KYTは％、認可されたヒット、SAR変換を拒否します（該当する場合）。
ポリシーの変更数/月、成功/拒否されたリミットエスカレーションリクエスト。

信頼性/運用

熱い/暖かいルートのための支払いまでの時間p50/p95。
補充頻度ホット、平均補充サイズ。
自動支払いの割合とマニュアル、インシデント/四半期。

経済学/UX

承認された（ネットワーク/資産によるオールイン）あたりのコスト、金額の手数料パーセンテージ。
ネットワーク/メモ/タグエラー、部分リリース数、レイテンシーチケット。

11）アンチパターン

ハード昼間のマウスガードなしで溢れるホットウォレット。
SPOF→reserveのない1つのcustodial プロバイダ/1つのネットワーク。
暖かい/冷たい外科の4目そしてSoD無し。
HSM/KMSのないキー、規則的な回転/回復テスト無し。
引き出し前のホワイトリスト/TTLおよびKYTなし-リスクの増加。
RFC/監査なしで「メッセンジャーによる」制限を変更します。
リトレイにおけるidempotencyとアンチダブルの欠如-二重書き込みオフ。

12）実装チェックリスト（短い）

• レイヤーマトリックス：ホット/ウォーム/コールド、tx/1日あたりの制限と資産シェア。
• 役割とSoD：オペレーター/承認者/カストディアン/コンプライアンス/セキュリティ、4-eye。
• ホット/ウォーム用HSM/KMS、ウォーム/コールド用マルチシグ/MRS、オフライン署名。
• TTL、 KYTしきい値、所有権の証明を持つホワイトリスト/デニリストのアドレス。
• プロセス：熱い補充、暖かいからのバッチ支払、冷たいへのリバランス。
• 観測可能性：ラガー、T+0/T+1再構成、過剰アラート。
• インシデントプレイブック：妥協、ネットワークの劣化、プロバイダの利用不能。
• 旅行Rule/IVMS101、 RBAポリシー、監査の変更。
• Idempotency、反テイク、backoff+jitter；署名されたwebhooks。
• 定期的なキーリカバリテストとインシデントドリル。

13）概要

正しいホット/ウォーム/コールド戦略は3つのウォレットだけでなく、リミットと4-eyes、 HSM/KMSとmultisig/MRS、 KYT/Travel RuleとRBA、明確な補充と支払い手順、観察とプレイブックというリスクとアクセス管理モードです。この回路は、iGamingの安全で収益性の高い支払いインフラストラクチャの基礎である、最低限の資産露出とインシデントの回復力を備えたホットからの迅速な支払いを提供します。