كيفية إعداد محفظة Monero باردة معزولة عن الإنترنت

عندما رفعت Binance زوج Monero من دفاتر طلباتها في فبراير 2024، وتبعتها Kraken لاحقاً بالنسبة لعملاء الاتحاد الأوروبي والمملكة المتحدة تحت لائحة MiCA، تعلّم آلاف الحاملين درساً موجعاً: ترك XMR على منصة تداول يعني الاعتماد على طرف قادر على شطبه أو تجميده أو الاستيلاء عليه بين عشية وضحاها. كان الردّ الطبيعي هو الاتجاه نحو الحفظ الذاتي، واستقرّت أكثر الزوايا حذراً في تلك الموجة على فكرة واحدة: إبقاء المفاتيح على جهاز لم يلامس شبكة قطّ. المحفظة الباردة المعزولة عن الإنترنت (air-gapped) هي تماماً ذلك: جهاز يوقّع معاملات Monero في عزلة كاملة، فلا يستطيع أيّ اتصال إنترنت مهما كان مخترقاً أن يصل إلى مفتاح الإنفاق الخاص بك.

يشرح هذا الدليل بناء هذا النظام من الصفر، باستخدام تقسيم الساخن/البارد (hot/cold) الذي تدعمه Monero أصلاً منذ 2017. في النهاية ستملك محفظتين: محفظة "للعرض فقط" متصلة بالإنترنت تتتبّع رصيدك، وخزينة غير متّصلة تحتفظ بالأسرار. وإذا كنت تموّل هذه الخزينة بطريقة خاصة من الأساس، فإنّ التبديل إلى XMR عبر خدمة لا تحفظ السجلات مثل MoneroSwapper يجنّبك الأثر الورقي الذي تتركه منصات التداول، وهو بالضبط ما وُجد العزل لحمايتك منه. لنبنِه بإتقان.

لماذا يهمّ العزل عن الإنترنت بالذات في Monero

تُخفي Monero أصلاً مخطّط معاملاتك على مستوى البروتوكول. تُغطّي تقنية RingCT المبالغ، وتُخفي عناوين الـ stealth address هويّة المتلقّي، وتُموّه توقيعات الـ ring signatures (التي ستحلّ محلّها قريباً FCMP++) الإنفاق الحقيقي وسط مجموعة وهميّة من الـ decoys. لكن لا شيء من هذا يحمي المفاتيح الخاصة الموجودة على حاسوب يومي يشغّل متصفّحاً وعميل تورنت وملف PDF مشبوهاً نزّلته الأسبوع الماضي.

التهديد يقع على الطرف، لا على السلسلة. سرقت برمجيّات اختطاف الحافظة، وبرامج سرقة المعلومات مثل Lumma وRedLine، ونسخ المحافظ المزيّفة، مئات الملايين من العملات الرقمية خلال 2024–2025. يُلغي العزل عن الإنترنت كامل سطح الهجوم عن بُعد، لأنّ جهاز التوقيع ببساطة لا يملك أيّ مسار يصل إليه المهاجم.

• عزل المفاتيح: مفتاح الإنفاق وعبارة الاسترداد لا يوجدان أبداً على جهاز متّصل بالإنترنت، فلا يمكن تسريبهما بواسطة برمجية خبيثة عن بُعد.
• توقيع قابل للتحقّق: تفحص وجهة كلّ معاملة صادرة ومبلغها على الجهاز غير المتّصل قبل توقيعها، مما يُحبط هجمات تبديل الحافظة (clipboard-swap).
• صمود تنظيمي: مع تسارع عمليات الشطب تحت MiCA وضغوط قاعدة السفر التابعة لـ FATF، يبقى الحفظ الذاتي السبيل الوحيد المستدام لامتلاك XMR، والتخزين البارد هو أقوى صوره.
• الحفاظ على القابلية للاستبدال: العملات التي تتحكّم بها مباشرة تحافظ على قابلية Monero للاستبدال (fungibility) كاملةً، دون أن تطاردها وسوم "ملوّثة" تفرضها منصات التداول.

ما تحتاجه قبل أن تبدأ

يحتاج الإعداد المعزول إلى جهازين وطريقة نقل ملفات أحاديّة الاتجاه بينهما. الجهاز المتّصل بالإنترنت يتحدّث مع شبكة Monero، والجهاز غير المتّصل لا يفعل ذلك أبداً. اضبط هذا التقسيم بشكل صحيح، ويصبح كلّ ما بعده ميكانيكياً.

اختيار الجهاز غير المتّصل

الخيار الموثوق الأرخص هو حاسوب محمول قديم مع إزالة بطاقة الـ Wi-Fi فيزيائياً أو تعطيلها، وترك منفذ الإيثرنت غير موصول. يصلح أيضاً جهاز Raspberry Pi دون أيّ ملحقات شبكيّة، أو جهاز مخصّص يُقلَع بنظام Tails من فلاشة USB. نظام Tails فاقد للذاكرة افتراضياً — أي ينسى كلّ شيء عند الإيقاف — فتقرنه إمّا بتخزين دائم مشفّر لملفات المحفظة فقط، أو تُعيد الاستعادة من العبارة في كلّ جلسة.

مهما اخترت، القاعدة قاطعة: ذلك الجهاز لا يتّصل بأيّ شبكة، أبداً، ما بقي. لحظة اتّصاله ينكسر العزل، وعليك التعامل مع المفاتيح كأنّها مكشوفة محتملاً.

خيارات البرمجيات

ثلاثة عملاء Monero يتعاملون مع التوقيع البارد بكفاءة. واجهة Monero الرسمية (GUI) وسطر الأوامر (CLI) تأتيان مع تدفّق المحفظة الباردة كاملاً. أمّا Feather Wallet، وهي محفظة مجتمعية خفيفة، فتُضيف واجهة توقيع غير متّصل أنيقة وممتازة لمن لا يرغب في تشغيل عقدة كاملة. جميع الثلاثة مفتوحة المصدر وقابلة للبناء التكراري (reproducible).

بقيّة هذا الدليل تفترض الأسلوب اليدوي مع العميل الرسمي، لأنّه يُعلّم النموذج الأساسيّ الذي تخفيه كلّ الطرق الأخرى. بمجرّد فهمك تقسيم الساخن/البارد، يصبح تدفّق محفظة العتاد ذا الفكرة نفسها مع وضع الأسرار داخل شريحة محكمة.

كيف يعمل تقسيم الساخن/البارد فعلياً

تفصل بنية التوقيع البارد في Monero بين القدرة على رؤية الأموال والقدرة على إنفاقها. وهذا يقابل مباشرة المفتاحين اللذين تشتقّهما كلّ محفظة Monero من عبارة الاسترداد: مفتاح المشاهدة (view key) الذي يسمح للبرنامج باكتشاف المدخلات الواردة لك، ومفتاح الإنفاق (spend key) المطلوب للإذن بصرفها.

الجهاز المتّصل يحتفظ بمحفظة للعرض فقط مبنيّة من عنوانك ومفتاح المشاهدة الخاصّ فقط. يفحص هذا الجهاز سلسلة الكتل، ويتعرّف على مخرجات عنوان stealth الخاصّة بك، ويعرض رصيدك — لكنّه فيزيائياً غير قادر على تحريك أيّ عملة. الجهاز غير المتّصل يحتفظ بالمحفظة الكاملة، بما فيها مفتاح الإنفاق، وهو الوحيد القادر على إنتاج توقيع صالح.

إذا تعرّضت محفظتك للعرض فقط للاختراق يوماً، سيعرف المهاجم رصيدك ومعاملاتك الواردة — لكنّه لن يستطيع إنفاق ولو piConero واحد، لأنّ مفتاح الإنفاق لم يغادر الجهاز المعزول قطّ.

يصبح الإنفاق حينها تبادلاً بين الجهازين. تُعدّ المحفظة المتّصلة مسوّدة معاملة غير موقّعة، تفحصها المحفظة المعزولة وتوقّعها، ثمّ تبثّ المحفظة المتّصلة النتيجة الموقّعة إلى الـ mempool. تُحسب صور المفاتيح (key images) — العلامات التشفيريّة التي تمنع الإنفاق المزدوج — في الوضع غير المتّصل، وتُزامن للخلف ليعرف برنامج العرض أيّ المخرجات قد أُنفقت بالفعل. لا يعبر أيّ سرّ الفجوة بين الجهازين، فقط أجزاء من المعاملة تعبر.

خطوة بخطوة: بناء محفظتك الباردة المعزولة

خصّص ساعة لتجربتك الأولى. اعمل ببطء، فكلّ خطأ هنا قابل للاسترداد إلاّ تسريب العبارة أو كسر العزل. جهّز فلاشة USB نظيفة (أو كاميرا ويب قادرة على قراءة QR على كلّ جهاز) للنقل.

1. تحقّق من الثنائيّات. على الجهاز المتّصل، نزّل عميل Monero من getmonero.org، ثمّ تحقّق من بصمات SHA-256 وراجع توقيع GPG مقابل مفتاح المُشرف. البناء القابل للتكرار يعني أنّ الثنائي يجب أن يطابق ما يبنيه المجتمع باستقلال. لا تتجاوز هذه الخطوة أبداً — محفظة مزروعة بباب خلفيّ تُلغي كلّ الخطوات الأخرى.
2. أنشئ المحفظة في الوضع غير المتّصل. انقل الثنائي المتحقّق منه إلى الجهاز المعزول عبر USB. ولّد محفظة جديدة كلّياً هناك بأمر monero-wallet-cli. اكتب عبارة الاسترداد المؤلّفة من 25 كلمة على ورق، لا صورة أبداً ولا ملفّ نصّي. هذه المحفظة غير المتّصلة تحتفظ بمفتاحَي الإنفاق والمشاهدة معاً.
3. صدّر بيانات اعتماد العرض فقط. على المحفظة غير المتّصلة، دوّن العنوان الرئيسي وشغّل الأمر الذي يكشف مفتاح المشاهدة الخاصّ. هاتان القيمتان كافيتان للجانب المتّصل.
4. ابنِ محفظة العرض فقط في الوضع المتّصل. على الجهاز المتّصل بالإنترنت، اختر "إنشاء محفظة من المفاتيح" (عرض فقط) وأدخل العنوان ومفتاح المشاهدة الخاصّ وارتفاع استعادة (restore height) يطابق وقت إنشاء المحفظة. اتركها تتزامن مع عقدتك الخاصّة أو عقدة موثوقة بعيدة عبر Tor.
5. موّلها وأكّد. أرسل XMR إلى عنوانك الجديد. ستكتشف محفظة العرض فقط المدخل الوارد بعد التأكيد. إن كنت تحصل على Monero بشكل خاصّ، مرّر الشراء عبر تبديل بلا KYC حتى لا تحمل معاملة التمويل أيّ رابط للهويّة.
6. زامِن المخرجات وصور المفاتيح. للإنفاق، صدّر المخرجات من محفظة العرض فقط، احمل الملفّ إلى الجهاز المعزول، استورده، ثمّ صدّر صور المفاتيح عائداً إلى الجانب المتّصل واستوردها. هذا يجعل رصيد محفظة العرض فقط دقيقاً وواعياً بما يمكن صرفه.
7. صُغ، وقّع، وابثّ. على المحفظة المتّصلة، أنشئ معاملة غير موقّعة إلى وجهتك. انقل ملف unsigned_monero_tx إلى الجهاز المعزول، راجع المتلقّي والمبلغ على الشاشة، ووقّع. احمل ملف signed_monero_tx الناتج عائداً وبثّه إلى الشبكة.

للنفقات الصغيرة المتكرّرة يمكن استبدال نقل USB بسلاسل QR متحرّكة — تستطيع Feather وواجهة Monero الرسمية تشفير المعاملات غير الموقّعة والموقّعة كسلاسل QR تقرؤها كاميرا كلّ جهاز، مما يُبقي الجهاز المعزول بلا أيّ منفذ مفتوح إطلاقاً.

مثال عمليّ: حفظ طويل الأجل بإتقان

تخيّل حاملاً مقيماً في دولة خليجية يجمع XMR كاحتياطي خصوصيّة. يشتري على دفعات صغيرة عبر عدّة أشهر، يبدّل في كلّ مرّة BTC أو USDT إلى Monero ويرسلها مباشرة إلى عنوان محفظته الباردة المعزولة. محفظة العرض فقط المتّصلة بالإنترنت تتتبّع الرصيد المتنامي، أمّا العبارة فمحفوظة في خزينة مقاومة للحريق، مع نسخة احتياطيّة من الفولاذ في موقع جغرافي ثانٍ.

الامتثال التنظيمي والخصوصيّة ليسا متناقضين هنا. في معظم دول الخليج لا توجد ضريبة دخل فردية على الأرباح الرأسماليّة للأصول الرقميّة، لكنّ هيئات تنظيميّة كهيئة الأوراق المالية والسلع الإماراتية (SCA) وهيئة السوق المالية السعودية (CMA) تُخضع المنصّات لقواعد AML وKYC صارمة. الحفظ الذاتي البارد ببساطة يعني أنّه لا يوجد طرف وصيّ ثالث ولا منصّة تداول يمكن مخاطبتها لتسلّم تاريخ المحفظة الكامل. وعندما يُنفق الحامل في النهاية، يوقّع في الوضع غير المتّصل، ويبثّ عبر عقدة موجّهة عبر Tor، وتُموّه طبقة انتشار Dandelion++ أيّ عقدة نقلت المعاملة أوّلاً إلى الشبكة.

لو ترك هذا الحامل رصيده على منصّة مركزيّة، لكان شطب واحد بدفع من MiCA أو من قرار تنظيمي محلّي كافياً لإجباره على بيع الذعر أو تجميد سحوبه. حوّل العزل عن الإنترنت التزاماً أمانياً إلى احتياطي سيادي خاصّ — وهذا هو جوهر الفكرة كاملاً.

أسئلة متكرّرة

هل المحفظة المعزولة مبالغة لمبالغ صغيرة من Monero؟

للمبالغ الجيبيّة التي تُنفقها أسبوعياً، محفظة هاتف ساخنة مناسبة وأكثر راحة بكثير. الأسلوب المعزول يستحقّ تعقيده عندما تخزّن مبلغاً ستكره فعلاً أن تفقده لبرمجيّة خبيثة. كثيرون يشغّلون الاثنين معاً: محفظة ساخنة للإنفاق اليومي وخزينة معزولة للادّخار طويل الأمد.

ماذا يحدث إن تعطّل جهازي غير المتّصل؟

لا شيء يُفقد، لأنّ المحفظة تعيش في عبارة الاسترداد ذات الـ 25 كلمة، لا في العتاد. استرجعها على أيّ جهاز جديد غير متّصل وتستعيد التحكّم الكامل بمفتاح الإنفاق. هذا بالضبط سبب أنّ نسخ العبارة الاحتياطيّة أهمّ من الجهاز نفسه — احرس الكلمات، واستبدل العتاد بحرية تامّة.

هل يمكنني استخدام محفظة عتاد بدلاً من بناء هذا؟

نعم. تحفظ Ledger مفتاح الإنفاق في عنصر آمن وتوقّع المعاملات دون أن تغادر المفاتيح الشريحة، مما يحقّق هدف عزل مماثلاً بعمل يدويّ أقلّ. المقايضات هي برمجيّات داخليّة مغلقة، وتبعيّة للمزوّد، ودعم تاريخياً أبطأ لمزايا Monero الخاصّة، لذا يُفضّل المستخدمون المتقدّمون العزل اليدوي للشفافيّة الكاملة.

هل أحتاج لتشغيل عقدتي الخاصّة للمحفظة المتّصلة؟

ليس ضرورياً، لكنّه الخيار الأكثر خصوصيّة. ربط محفظة العرض فقط بعقدة عامّة بعيدة يسرّب نشاط مفتاح المشاهدة وعنوان IP إلى مشغّل تلك العقدة ما لم تمرّر عبر Tor أو I2P. تشغيل عقدتك — أو على الأقلّ استخدام عقدة موثوقة خلف Tor — يُبقي تلك البيانات الوصفية بين يديك.

هل ستغيّر FCMP++ كيفية عمل المحافظ الباردة؟

الترقية تستبدل توقيعات الـ ring signatures بـ Full-Chain Membership Proofs++ لمجموعة هويّة (anonymity set) أكبر بكثير، إلى جانب تحديث Seraphis وJamtis لنموذج العناوين على خارطة الطريق. نموذج التوقيع الساخن/البارد نفسه يبقى على حاله — ستظلّ تُسوّد المسودّات متّصلاً وتوقّع غير متّصل — فإعدادك المعزول اليوم سينتقل بسلاسة إلى ما بعد الترقية.

الخلاصة

المحفظة الباردة المعزولة لـ Monero هي الفرق بين امتلاك خصوصيّتك وبين استئجارها ممّن يحتفظ بمفاتيحك. الإعداد يكلّفك عصراً وحاسوباً محمولاً قديماً، ومقابلها تحصل على خزينة لا يستطيع المهاجمون عن بُعد ببساطة الوصول إليها: مفتاح إنفاقك معزول، كلّ معاملة تُفحص قبل توقيعها، وعملاتك XMR محصّنة ضدّ الموجة القادمة من عمليات الشطب. اقرنها بثنائيّات متحقّق منها، ونسخة فولاذيّة للعبارة، وعقدة موجّهة عبر Tor، وتحصل على تخزين يضاهي ما يقدّمه أيّ وصيّ، بلا الوصيّ.

القطعة الأخيرة هي تمويلها دون إعادة إدخال المراقبة التي صمّمت للتخلّص منها. احصل على Monero عبر تبديل بلا سجلّات وبلا KYC حتى تهبط العملات في التخزين البارد بتاريخ نظيف — يمكنك شراء Monero بشكل مجهول عبر MoneroSwapper وإرسالها مباشرة إلى عنوانك المعزول. ابنِ المحفظة أوّلاً، موّلها بخصوصيّة ثانياً، وتبقى مفاتيحك مفاتيحك.