Hot/Cold錢包和訪問策略

1）為什麼要分為Hot/Warm/Cold

• Hot-業務存款/結算（T0/T+1）,最小延遲,資產負債表有限。
• Warm是用於熱補充和大量定期付款的中間池。
• 冷庫-長期存儲（儲備/財政部）,與網絡盡可能隔離。

結果：控制曝光的操作風險較小,SLA可預測。

2）參考存儲體系結構

圖層及其作用

Hot（在線、自動化）：在白天限制內簽署中小型付款。保護-HSM/KMS，策略引擎，Alerta。
Warm（部分在線/硬件模塊）：batch付款、熱補貨、提高限額、手動確認。
冷氣（離線/空中）：多人/MDC；手術很少見，通過物理訪問和日誌程序。

技術

hot/warm密鑰和令牌的HSM/KMS；

Warm/cold的m-of-n或MPC多元化；

策略引擎（限制，4眼，允許的地址列表，時間窗口）；

大型交易的專用中繼/MEV保護。

3）訪問政策（訪問政策）

3.1項原則

最小特權（PoLP）：完全按角色和區域（hot/warm/cold）進行訪問。
職責分工（SoD）：不同的人/服務啟動，斷言，簽名，發布。
4眼：關鍵操作（限制，地址列表，warm→hot）至少有兩個獨立的批準。
隔離輪廓：舞臺≠舞臺；網絡ACL，個別憑據。

3.2個角色

運營商（Payments）：在限額內創建付款/蹦床。

Approver（寶藏/風險）： 批準超過閾值,whitelist/hold.

Custodian （Key Owner）：參加warm/cold 的多人遊戲/MRS。
合規性：holds/EDD/SAR，旅行規則/KYT解決方案。
安全：HSM/KMS管理，密鑰輪換，事件。

4）限制和guardrails

Whitelist/Denylist：一本地址簿，帶有TTL，KYT門檻和強制所有權確認（未註冊）。

5）操作流

5.1從戰爭中重新充值

1.監測'hot_balance <threshold' →補充申請。
2.目的地的KUT/制裁 →收集蹦床。
3.雙重認可（4眼），簽名（warm multicig/MDC）。
4.翻譯和寫入聯誼會；改變限制的警報。

5.2熱銷付款

自動在per-tx和per-day限制範圍內。
超出-升級為warm： batch/部分發布+RBA驗證（SoF/KYT/Travel Rule）。

5.3 Rebalance warm↔cold

周期（每周/按閾值）或由財政部決定；離線簽名，兩個獨立的確認渠道，日誌。

6）關鍵安全

生成和存儲：僅在HSM/空插上；拒絕出口私人鑰匙。
輪換：計劃中（N個月），事件時不計劃；記錄在案的召回程序。
備份/碎片管理：不同地點/轄區的加密球（MPC）；定期恢復測試。
網絡外圍：IP allow-list，mTLS，簽名網絡手冊，異常監測。
更改控制：RFC更改策略/限制,更改日誌（immutable）。

7）合規與控制

KUT/制裁：入口/出口前檢查；不同的網絡風險概況。
旅行規則：用於VASP↔VASP-IVMS101、消息副本和交付結果。
澳洲聯儲：限制/確認取決於風險細分和金額。
審計：完整記錄：何人/何時/何人發起/批準/簽署；操作時規則的版本。
GDPR/PII：最小化，ID令牌，與支付PAN分開存儲。

8）可觀察性、邏輯和重構

Leiger：通過網絡/資產映射「invoice/withdrawal ↔ txid ↔ wallet（subaccount）」。
T+0/T+1：金額，傭金，匯率（價格來源，時間表），未密封余額。
監視：熱/warm/cold資產負債表、確認率、fee、異常付款、切換到備份網絡。
Alerts： 超過限制/velocity、白人以外的新地址、對賬差異。

9）事件花花公子

泄漏/危害熱點：立即將限制降至零，將殘留物轉移到warm/cold，輪換鑰匙，調查，向監管機構/合作夥伴報告。
支付異常：freeze batch, KYT重新檢查,SoF請求,部分釋放安全部件。
網絡退化/fee風暴：自動切換到備用網絡/方法,ETA更新到UI。
不可用custody/RPC提供商：failover,手動釋放關鍵付款通過warm,事後分析。
未經授權的策略更改：自動回滾、SecOps/Compliance通知、審計報告。

10）度量和OKR

安全/合規性

資產在cold/warm/hot（目標範圍）中的份額，違反限制的數量。
KYT reject%，制裁命中，SAR轉換（如果適用）。
策略/月更改次數,成功或拒絕了提高限制的要求。

可靠性/操作

Hot/warm路線的Time-to-Payout p50/p95。
補貨頻率，平均補貨量。
汽車付款vs手動，事件/季度的百分比。

經濟/UX

每人獲得費用（通過網絡/資產獲得全部），占金額的百分比。
網絡/memo/標簽錯誤，部分發行次數，延遲計數。

11）反模式

擁擠的熱錢包，沒有硬白天的帽子。
單個Castodial提供商/一個沒有冗余的網絡→ SPOF。
Warm/cold手術缺乏4眼和SoD。
沒有HSM/KMS的密鑰,沒有定期輪換/恢復測試。
輸出前沒有whitelist/TTL和KYT-風險增加。
在沒有RFC/審核的情況下更改「按信使」限制。
在回避中缺乏相容性和反雙打-雙重註銷。

12）實施清單（簡短）

• 圖層矩陣：hot/warm/cold具有每天per-tx限制和資產份額。
• 角色和SoD： Operator/Approver/Custodian/Compliance/Security, 4眼。
• hot/warm的HSM/KMS，warm/cold的multicig/MDC，離線簽名。
• Whitelist/denylist地址與TTL，KYT閾值，所有權確認。
• 流程：熱補充，戰利品支付，重建為冷。
• 可觀察性：觸發器，T+0/T+1重新激活，過量異常。
• 事件花花公子：損害，網絡退化，提供商無法訪問。
• Travel Rule/IVMS101，澳洲聯儲政策，變更審核。
• 相同，反雙打，backoff+jitter；簽名的webhooks。
• 定期進行密鑰恢復測試和事件演習。

13）摘要

適當的hot/warm/cold策略不僅是「三錢包」，而且是風險和訪問管理模式：限制和4眼，HSM/KMS 和多人/MRS，KYT/Travel Rule和RBA，清晰的補充和支付程序，觀察力和花花公子。這樣的回路以最低限度的資產曝光率和事件復原力提供快速的熱量支付，這是iGaming安全和有利可圖的支付基礎設施的基礎。