如何搭建 Monero 气隙冷存储（Air-Gapped Cold Storage）

2024 年 2 月 Binance 下架 Monero，Kraken 为了符合欧盟 MiCA 法规也对欧洲用户停止了 XMR 交易，几十万持币者在一夜之间学到了同一个教训：把隐私币放在交易所里，靠的不过是别人借给你的时间。交易所唯一冻结不了、下架不掉、也无法应传票交出去的余额，只有你自己保管的那一份——而保管它的黄金标准，就是一台气隙冷钱包：一台从未接触过互联网、将来也永远不会接触的机器。这篇指南会带你从头把它搭好，从校验软件二进制文件，一直到签出你的第一笔离线交易。

对 Monero 而言，气隙的意义比透明链更大。比特币你可以公开一个仅查看地址，靠区块链来显示余额；而 Monero 把"看得到收款"的 View key（查看私钥）和"能授权花费"的 Spend key（花费私钥）在密码学上彻底分开了。正是这种分离，让一次干净利落的冷存储拆分成为可能——也正因如此，花几块钱手续费的功夫，就能换来银行金库级别的安全。如果你打算从零开始往金库里装钱，可以在 MoneroSwapper 上不开户直接换到 XMR，再把它直接发到你离线生成的冷地址上。

为什么 Monero 尤其需要气隙存储

热钱包——手机上、或者联网电脑上的任何钱包——暴露在那台设备的全部攻击面之下：木马、剪贴板劫持程序、恶意浏览器扩展、远程漏洞利用，一个都跑不掉。气隙钱包把"网络"这一项整个从等式里拿掉了，所以一把只在离线环境里生成、也只在离线环境里使用的私钥，根本无法被运行在被入侵联网机器上的代码偷走。

• 密钥分离是天生的：Monero 的钱包模型把 Spend key 和 View key 拆开，于是你可以在联网机器上跑一个仅查看钱包来盯收款，而签名用的私钥始终待在金库里。
• 没有会泄密的地址复用：每一笔付款都落在一个一次性的隐身地址（stealth address）上，所以你把账户地址公开出去收款，并不会向链上的观察者透露你的余额或历史。
• 可替代性能扛住保管失误：因为 RingCT 隐藏了金额、CLSAG 环签名混淆了真正的花费来源，从冷存储里取出的币和任何其他 XMR 都无法区分——不存在"被污染的 UTXO"这种会被继承的标签。
• 助记词就是最终底牌：一组 25 个单词的助记词（Mnemonic seed）能重建整个钱包，所以那台气隙机器本身是可以丢弃的——丢了就在另一台离线设备上恢复。

代价是麻烦。从冷存储里花钱是一套需要刻意完成的多步骤仪式，而不是手指一点。这份麻烦本身就是重点：银行把大部分准备金放进金库而不是柜员抽屉，是同一个道理。对于你很少动用的长期储蓄，这点不便几乎察觉不到；对于日常开销，你就另留一个充了少量币的热钱包，把气隙金库当成你的"国库"来对待。

不妨把气隙到底挡住了哪些威胁说具体些。它能挡住：联网设备上的木马在你输入或显示助记词时把它截走；浏览器扩展或钓鱼页面诱导你把私钥贴进去；远程漏洞利用直接读取内存里的密钥；以及供应链层面被植入后门的联网软件。它挡不住的，是物理胁迫、是你亲手把助记词输进联网设备、是备份本身丢失或损毁——这也是为什么这篇指南反复强调备份纪律和"永不联网"这条铁律。气隙解决的是"远程窃取"这一整类问题，而你要自己负责堵住剩下那些靠流程和习惯才能堵住的口子。

开始之前你需要准备什么

你不需要什么稀奇古怪的硬件。整套环境用一台退役笔记本加几个 U 盘就能凑齐，或者用一台专门的硬件签名器。真正要紧的是：签名环境是真正隔离的，并且你运行的每一份软件都经过了校验。

那台离线机器

主流做法有两种。第一种是一台永久离线的电脑——一台旧笔记本，把 Wi-Fi 网卡和蓝牙模块物理拆掉、或在固件里禁用，装一套干净的 Linux 系统，从此不再连任何路由器。第二种更接地气，就是 Tails：一个你从 U 盘启动的"失忆型"实时操作系统。Tails 关机时会忘掉一切，所以每次开机都是干净状态，而你可以把钱包文件存在一个独立的加密持久卷上，或者第二个 U 盘里。

经过验证的钱包软件

不管你跑什么，都要校验。下载官方的 Monero GUI/CLI 安装包，然后用 getmonero.org 上公布的维护者密钥去核对它的 GPG 签名，并确认 SHA-256 哈希值与签名过的哈希文件一致。就这一步，能挡住现实中最常见的攻击：一个被动过手脚的安装程序，悄悄记录你的助记词。Feather Wallet 是一个轻量级的社区客户端，做冷设置同样出色，而且提供可复现构建（reproducible builds），你可以用同样的方式校验。

跨越气隙的摆渡介质

数据总得以某种方式越过气隙，又不能因此开出一条网络通路。你的选项是：U 盘（简单，但 U 盘控制器严格说来也是个攻击载体）、microSD 卡，或者——最偏执也最稳妥的选择——用摄像头扫描动态二维码，这种方式完全不携带任何可执行负载。对多数人来说,一根专用、只干这一件事的 U 盘，是安全与便利之间合理的折中。

一步步校验你的下载（别跳过这一步）

九成的新手会在这里偷懒，而这恰恰是整套方案里最便宜、回报却最高的一步。一个被替换过的安装包，可以在你生成钱包的那一瞬间就把助记词记下来发走，再花哨的气隙也救不了你。校验的目的，就是用密码学证明你手里的文件，正是 Monero 维护者亲手发布的那一个。

流程分两层。第一层是哈希校验：官方会发布一个名为 hashes.txt 的文件，里面列着每个安装包的 SHA-256 值。你在本地算一遍，比对一致，就说明文件没有损坏或被替换。第二层是签名校验：那个 hashes.txt 本身用维护者的 GPG 私钥签了名，你用公钥验证签名，就能确认这份哈希清单不是攻击者伪造的。两层都过了，才算数。

1. 从 getmonero.org 下载安装包和签名文件，并导入维护者的公钥（首次使用时，请通过多个渠道交叉核对密钥指纹，而不是只信下载页面那一处）。
2. 在联网机器上用 gpg --verify 验证 hashes.txt 的签名，确认它由可信密钥签出。
3. 用 shasum -a 256（macOS）或 sha256sum（Linux）算出安装包的哈希，逐位比对 hashes.txt 里对应的那一行。
4. 把已校验的安装包拷到 U 盘，带到离线机器上，在那里再算一遍哈希。多算这一遍，是为了排除"摆渡介质本身在路上被动了手脚"的可能。

如果你用的是 Feather Wallet，逻辑完全一样，只是密钥和文件名不同。可复现构建意味着：理论上任何人都能从源码独立编译出与官方发布完全一致的二进制文件——这把"信任"从"相信开发者人品"降到了"相信数学"。

把助记词备份做对：新手最常踩的坑

气隙做得再好，助记词备份一旦出错，整套防线就白费了。这一节单独讲，是因为现实里丢币的人，倒在备份环节的远多于倒在黑客手上的。

• 纸是临时方案，钢才是长期方案。纸怕火、怕水、怕褪色、怕被当废纸扔掉。一块几十块钱的钢制备份板，能扛住火灾和水淹，是长期储蓄真正该用的载体。
• 抄完一定要"回测"。抄下 25 个单词后，立刻在同一台离线机器上用这组助记词恢复一次钱包，确认地址一致。绝大多数"恢复失败"的悲剧，都源于当初某个单词抄错或漏抄，却从没验证过。
• 认真考虑 passphrase（第 26 个单词）。Monero 支持在 25 词之外再设一个 passphrase。它相当于给金库加了第二道锁：即便助记词被人看到，没有 passphrase 也打不开钱包。但代价是——这个 passphrase 一旦忘记，谁也救不回来，所以它的备份要和助记词分开存放、同样郑重。
• 地点要分散。把助记词和设备锁在同一个抽屉里，等于没分散风险。理想做法是助记词存在与设备不同的物理地点，比如另一处住所或银行保险箱。

节点与网络隐私：别让仅查看钱包出卖你

很多人忽略了一个细节：你的离线签名做得滴水不漏，但联网那端的仅查看钱包如果连的是别人的远程节点，对方就能看到你的所有进出账请求，并把它们和你的 IP 关联起来。这不会让你丢币，但会泄露你的财务隐私——而隐私正是你选 Monero 的初衷。

两条改善路径。其一，跑你自己的节点：让仅查看钱包只连本机的 monerod，这样你的余额查询和交易广播就不经过任何第三方。修剪节点（pruned node）对存储要求不高，普通笔记本也扛得住。其二，走 Tor：把钱包流量套进 Tor，可以隐藏你的 IP 地址，让远程节点无法把请求和你本人对上号。两者结合——自己的节点 + Tor——是隐私上限最高的组合。广播交易时，Monero 自带的 Dandelion++ 还会在网络层进一步混淆交易的源头。

三种冷存储方案横向对比

不存在唯一的"最佳"方案；适合你的那个，取决于你存多少、以及多久碰一次。下面这张表专门就 Monero 比较三种主流做法。

硬件钱包和气隙笔记本这两条路，理念上并不互相排斥——两者都让 Spend key 不沾互联网。一个硬件设备，本质上就是一台带小屏幕、专门定制的气隙签名器。如果你看重可审计性、手头又正好有闲置硬件，离线笔记本这条路给你最深的掌控权。如果你想要的是揣进兜里、傻瓜都不会出错的东西，那么一个硬件钱包搭配一个仅查看桌面钱包，几乎无可挑剔。

为什么 Monero 的冷存储比比特币多一步

如果你做过比特币冷钱包，会发现 Monero 的流程多了"导出输出、导入密钥镜像"这一环，第一次见容易犯迷糊。原因在于隐私设计：比特币的链是透明的，仅查看钱包看一眼区块链就知道每个 UTXO 还在不在、能不能花。Monero 为了隐藏花费来源，引入了密钥镜像（key image）这个机制——只有持有 Spend key 的冷端，才能算出每个输出对应的密钥镜像，从而判断它有没有被花掉。

这就带来一个分工：仅查看钱包能"看见"币进来（靠 View key 解码隐身地址），却算不出密钥镜像，所以它无法独立判断哪些币还能花。于是花费前要先把联网端的输出（export_outputs）交给冷端，冷端算出密钥镜像再交回联网端（export_key_images / import_key_images），两边的账才对得齐。理解了这一点，前面"构造未签名交易"那一步里那些来回导出导入的操作，就不再是莫名其妙的繁文缛节，而是 Monero 拿隐私换来的必要代价。

好消息是，这套来回只在你要花钱时才需要走一遍；纯收款的话，联网的仅查看钱包独自就能完成，离线机器连开都不用开。换句话说，往金库里存钱可以天天做，从金库里取钱才偶尔启动一次离线签名，平时它就安静地待在抽屉里。

如何动手搭建你的气隙 Monero 金库

整套架构是一个双钱包系统。冷钱包住在离线机器上，同时持有两把密钥——这是你的 Spend key 唯一存在的地方。仅查看钱包住在联网机器上，只持有 View key 加上公开地址，所以它能看到收款、能构造未签名交易，却永远无法授权一次花费。下面是完整的生命周期。

1. 准备并校验离线环境。启动 Tails 或你的气隙笔记本。用 U 盘把已校验的 Monero 二进制文件拷过去，在离线机器上再核对一遍 GPG 签名和 SHA-256 哈希，然后解压。从这一刻起，这台机器再也不要连任何网络。
2. 离线生成冷钱包。运行 monero-wallet-cli 并创建一个新钱包。把 25 个单词的助记词抄在纸上——永远不要拍照，永远不要输入任何联网设备。光凭这组助记词就能恢复整个钱包，所以要像对待它所代表的黄金一样对待这张纸，并且考虑做一份钢板备份，以防火防水。
3. 导出仅查看凭据。在冷钱包里运行 export_view_key（或记下私密 View key 和主地址）。把 View key 和地址存到你的摆渡介质上。这是唯一离开金库的秘密，而且按照设计，它动不了一分钱。
4. 在联网端创建仅查看钱包。在你的日常电脑上，用 monero-wallet-cli --generate-from-view-key（或 GUI 里"从密钥创建钱包"的选项），配合 View key 和地址。让它对一个远程节点同步，或者更好——对你自己的节点同步。这个钱包现在能显示你的余额和进账，却从不持有 Spend key。
5. 收款。把你的主地址或一个新的子地址（Subaddress）分享出去来收 XMR。每一笔付款都到达链上一个唯一的一次性隐身地址；仅查看钱包用 View key 解码它们，你就看着余额一点点往上爬。
6. 在联网端构造未签名交易。当你想花钱时，仅查看钱包先导出它的输出（export_outputs）给离线钱包，让冷端知道自己控制着哪些币，然后构造一笔未签名交易（用 transfer，它会写出一个 unsigned_monero_tx 文件），并导入由此产生的密钥镜像（key images）。
7. 离线签名。把未签名交易带到气隙机器上。加载冷钱包，运行 sign_transfer，在离线屏幕上仔细核对收款地址和金额，生成一个 signed_monero_tx 文件。Spend key 只在这里签名，别的地方一概不签。
8. 在联网端广播。把签名好的文件挪回联网的仅查看钱包，运行 submit_transfer。钱包把它中继进内存池——传输途中由 Dandelion++ 保护——网络会像确认任何其他交易一样确认它。

永远不要为了"就看一眼余额"，把冷钱包的 25 个单词助记词恢复到一台曾经联过网的机器上。绝大多数自托管资产损失，恰恰就是从这一个图省事的捷径开始的。

第一次跑会觉得慢，因为你还在熟悉气隙的节奏。等做过两三笔交易，"导出—签名—提交"这个循环就成了肌肉记忆，到时候你转一笔六位数的余额，会和打开一张电子表格一样从容。

一个真实的搭建案例

设想一位住在欧盟某地的自由职业者，在 2024 年 MiCA 引发的那波下架之后，决定不再把积蓄托付给托管平台。他花了 60 欧元买了一台二手 ThinkPad，拆掉 Wi-Fi 网卡，把 Tails 装进一个 U 盘，并开了加密持久卷来存钱包文件。在用 getmonero.org 的签名密钥校验过 Monero 二进制文件之后，他离线生成了一个冷钱包，把助记词刻到一块钢制备份板上，存放在另一处地点。

在他的日常笔记本上，他用 View key 创建了一个仅查看钱包，并把它指向自己的一个修剪节点（pruned node）。每隔几周，他就给金库充值一次：把欧元买来的 BTC 换成 XMR——比如走 MoneroSwapper 的免开户流程——再直接发到一个新的子地址上。要付一张偶尔来的账单时，他在联网端构造未签名交易，把 U 盘走两步路插到 ThinkPad 上，用 sign_transfer 签名，然后广播。每笔花费的额外成本：大约三分钟，外加 Spend key 零暴露。

这套模式从几百欧元一直扩展到一生的积蓄都不用变。同一套保护自由职业者应急金的流程，也能保护一位记者的"消息源保护预算"，或一个家庭的长期价值储存——威胁模型各不相同，冷存储的纪律却一以贯之。

这个故事在中文世界里其实并不陌生。2017 年国内交易所被叫停、2021 年监管进一步收紧时，许多人也在仓促间补上了同一课：放在平台里的资产，提现通道一关就够不着了。把气隙金库搭起来，本质上就是把"提现按钮"换成一把你自己掌握的私钥。需要提醒的是，加密资产的合规与税务处理因地而异，涉及申报义务时请以国家税务总局等主管部门的规定为准——本文只讲技术上的自我保管，不构成任何投资或税务建议。

如何给金库私密地充值

搭好金库只是第一步，怎么往里装钱同样讲究。如果你在一家要求实名（KYC）的交易所买入 XMR，再提到自己的冷地址，那么这家交易所的台账里就留下了"某身份 → 某地址"的关联记录。气隙保护了私钥的安全，却没能切断这条身份链——而对很多选择 Monero 的人来说，切断这条链恰恰是重点。

一个更干净的做法，是用免开户的兑换服务完成最后一跳。比如先用你已经持有的 BTC 或其他币，通过 MoneroSwapper 这类无需注册的流程换成 XMR，再让它直接发往你离线生成的子地址。这样一来，链上看到的只是一笔普通兑换的产出，落点是一个一次性隐身地址，没有哪个账户体系记着"这串地址属于谁"。配合前面讲的"自己的节点 + Tor"，从买入到入库的整条路径都能保持低关联度。

不论走哪条路，原则不变：让需要暴露身份的环节尽量靠前、靠小，让最终落入冷存储的那一步，发生在一个与你身份不直接挂钩的地址上。

常见问题 FAQ

为了收 Monero，我需要让气隙机器一直开着吗？

不需要。进账记录在区块链上，由你联网的仅查看钱包用 View key 来探测。离线机器只在你想签一笔出账交易时才需要开机。你完全可以把它关掉、塞进抽屉好几个月，等你再开机时余额照样在那儿。

硬件钱包能替代一整台气隙笔记本吗？

对大多数用户来说，可以。一台 Ledger 或 Trezor Model T 把你的 Spend key 关在安全芯片里，从不向连着的电脑暴露它，这达成的核心目标和气隙是一样的。代价是你要信任厂商的闭源固件和供应链。如果你的威胁模型把这个风险也算进去，那么在离线笔记本或 Tails 上跑一套经过校验的开源方案，能给你完整的可审计性。

万一我的离线电脑坏了或被偷了怎么办？

只要你那 25 个单词的助记词还安全，就什么都不会丢。助记词是 Spend key 和 View key 共同的主备份。在任何另一台离线机器上恢复它，你的整个钱包——余额、历史、花费能力——都会原封不动地回来。这正是为什么保护助记词（最好刻在钢板上、存在另一处地点）比保护设备本身更要紧。

暴露 View key 危险吗？

View key 让别人能看到你的进账交易和余额，但它连一个皮纹罗（piconero，XMR 的最小单位）都花不了。暴露它损害的是你的隐私，不是你的资金。把它当作机密对待——别公开发出去——但要明白，哪怕在最坏情况下，一个只拿到你 View key 的攻击者也只是个旁观者，永远当不成贼。

即将到来的协议升级会让我的冷钱包失效吗？

不会。像 FCMP++（全链成员证明）这样的重大升级，以及更长远的 Seraphis/Jamtis 钱包重新设计，改变的是交易如何证明成员身份、地址如何运作，但你的助记词依然是你资金的根。你只需更新钱包软件并重新扫描；由助记词派生出的密钥会跨越硬分叉延续下来。网络升级后交易之前，请务必通过同一个经过校验的渠道更新你的离线二进制文件。

新手该选 Tails 还是专用离线笔记本？

如果你是第一次搭，Tails 通常更友好：从 U 盘启动、关机即失忆，不用自己操心系统卫生，出了问题重启就回到干净状态。专用离线笔记本则适合愿意自己管理系统、追求长期稳定环境的人——它不必每次开机重新校验软件，操作也更接近日常电脑。两者安全目标一致，区别只在便利与掌控的取舍。很多人的折中是：用 Tails 入门，等流程熟了、金额变大，再迁到一台拆掉无线模块的专用笔记本上。

用动态二维码摆渡，比 U 盘真的更安全吗？

在最高威胁模型下，是的。U 盘是一块带控制器的可编程设备，理论上能携带针对 USB 协议栈的恶意固件，构成一条潜在的攻击路径。而摄像头扫描二维码，传过去的只有图像里的数据，没有任何可执行负载，物理上就堵死了"插上去就被感染"这条路。代价是慢、繁琐，遇到较大的交易还要拆成多帧动画。对绝大多数人，一根只用于此用途的专用 U 盘已经足够；只有当你保管的金额足以让国家级对手动心时，二维码方案才值得那份麻烦。

我不是技术人员，也搞得定吗？

能。整套流程里没有一步需要写代码，靠的是耐心和按部就班，而不是技术天赋。最容易卡住的是命令行钱包的几条指令——但你完全可以用图形界面（GUI）替代大部分操作，把要敲的命令降到最少。建议第一次先用一笔很小的金额（比如等值几十块的 XMR）完整走一遍"充值—收款—签名—广播"，把流程跑通、踩过坑，再把大额资金搬进去。这一笔"学费"花得值，远比真出事时手忙脚乱去学要从容得多。

连别人的远程节点会泄露什么？我非得自己跑节点吗？

当你的仅查看钱包连别人的远程节点时，对方虽然看不到你的余额（解码进账要 View key，节点没有），却能看到你的钱包向它发起的查询和交易广播，并把这些请求与你的 IP 关联起来。这不危及资金，但会削弱隐私。不是非得自己跑节点——套一层 Tor 也能把 IP 藏住——但"自己的节点 + Tor"是隐私最稳的组合，对长期持币者很值得一次性投入。

整套搭下来要花多少钱、多少时间？

硬件上，一台二手笔记本几百块、一两根 U 盘几十块、一块钢制助记词备份板几十到一两百块，软件全程免费且开源。时间上，初次搭建（含校验、生成钱包、做备份并回测）大约一两个小时；之后每笔花费的边际成本，也就是走一趟 U 盘、签个名，三五分钟的事。相对它保护的资产规模，这点投入几乎可以忽略——本质上是用一顿饭钱，给一生的积蓄上了一道远程攻击者撬不动的锁。

我可以用同一台离线机器管理多个钱包吗？

可以，而且很常见。子地址（Subaddress）本身就能在一个钱包内做收款隔离；如果你想把不同用途的资金彻底分账，也可以在同一台气隙机器上生成多个独立钱包，各自有各自的助记词。关键是每一组助记词都要单独、妥善地备份——钱包多了，备份的纪律不能松。

金库搭好之后：定期维护与常见误区

气隙金库不是"搭完就扔在那儿不管"的东西，但它需要的维护也确实极少。把下面几条养成习惯，能避开几乎所有可预见的麻烦。

• 每隔半年开机演练一次。把离线机器开起来，确认它还能正常启动、钱包还能加载。早发现硬盘或 U 盘老化，远胜于真要用钱时才发现读不出来。
• 网络硬分叉前先更新离线软件。Monero 大约每半年到一年会有一次计划内的网络升级，旧版钱包在升级后可能无法构造有效交易。每次升级前，按前面讲的校验流程更新一遍离线二进制文件即可。
• 别为省事破坏气隙。最常见的致命误区，就是某天图方便，把离线机器连一下网"装个驱动""同步一下时间"。一旦联过网，这台机器就不再是气隙机器，上面的 Spend key 也不该再被信任——要么彻底重装、要么干脆换新设备重新生成。
• 核对地址要看完整、不要只看头尾。有一类恶意软件专门篡改剪贴板里的地址，而它伪造的假地址往往头尾几位和真地址相像。在离线屏幕上签名时，逐段核对收款地址，是挡住这类攻击的最后一道闸。

结语

气隙 Monero 金库是那种罕见的安全升级：几乎不花什么钱，却几乎改变一切。一台退役笔记本、一根 U 盘、一次经过校验的下载、外加一组刻进钢板的助记词，就给了你一种任何交易所下架、账户冻结或远程漏洞都碰不到的保管方式。"双钱包拆分"——联网放 View key 仅查看，离线封存 Spend key——正是为这件事量身打造的，所以你是在顺着 Monero 的设计走，而不是跟它对着干。

更深一层看，气隙冷存储改变的不只是技术，还有你和这笔钱的关系。当 Spend key 真正只掌握在你手里、任何远程对手都够不着时，下架公告、提现冻结、账户封禁这些过去让人夜不能寐的字眼，对你的储蓄就失去了意义。你不再是某个平台台账上的一行记录，而是这笔资产唯一的、终极的保管人。

先把金库搭好，再按你自己的方式往里装钱。当你准备好在不向托管平台交出身份的前提下添置 XMR 时，可以通过 MoneroSwapper 换成 Monero，再把它直接发到你离线生成的冷地址上——为这套"让积蓄真正属于你自己"的方案，画上一个闭环。