Paano Mag-Set Up ng Air-Gapped Monero Cold Wallet

Noong tinanggal ng Binance ang Monero sa kanilang order books noong Pebrero 2024, at sumunod naman ang Kraken para sa mga customer sa EU at UK sa ilalim ng MiCA paglaon ng taon, libu-libong holders ang natutunan ang isang masakit na aral: ang pag-iiwan ng XMR sa isang exchange ay parang pagtitiwala sa isang taong puwedeng mag-delist, mag-freeze, o sumamsam nito sa isang gabi lang. Ang natural na sagot dito ay isang malakas na paglipat patungo sa self-custody, at ang pinaka-maingat na bahagi ng migration na iyon ay napuntang lahat sa isang ideya — itago ang keys sa isang device na hindi pa kailanman nakakonekta sa network. Ang air-gapped cold wallet ay eksakto iyon: isang makina na nag-sa-sign ng mga Monero transactions sa kumpletong paghihiwalay, kaya kahit ganap na kontrolado ng kalaban ang iyong internet connection, hindi pa rin nito kailanman maaabot ang iyong spend key.

Ipapakita ng gabay na ito kung paano gagawin ito mula sa simula, gamit ang hot/cold split na natibong sinusuportahan ng Monero simula 2017. Sa huli, magkakaroon ka ng dalawang wallets — isang online na "watch-only" view na sumusubaybay sa iyong balance, at isang offline na vault na may hawak ng mga sikreto. Kung pri-pribadong pinopondohan mo ang vault na iyon sa una pa lang, ang pag-swap papuntang XMR sa pamamagitan ng walang-log na serbisyo tulad ng MoneroSwapper ay iniiwasan ang exchange paper trail na sinusubukan mismong protektahan ng air-gapping. Tara na, buuin natin ito ng maayos.

Bakit Mahalaga ang Air Gap Partikular para sa Monero

Itinatago na ng Monero ang iyong transaction graph sa antas ng protocol. Itinatago ng RingCT ang mga halaga, kinukubli ng stealth address technology ang receiver, at sinasanggalang ng ring signatures (na malapit nang palitan ng FCMP++) ang tunay na ginastos sa gitna ng mga decoys. Ngunit walang isa man dito ang nagpoprotekta sa private keys na nakaupo sa isang daily-driver laptop na nagpapatakbo rin ng browser, torrent client, at ng kahina-hinalang PDF noong nakaraang linggo.

Ang banta ay nasa endpoint, hindi sa chain. Ang mga clipboard hijackers, infostealer malware tulad ng Lumma at RedLine, at malicious wallet clones ay nakapag-ani ng daan-daang milyong dolyar sa crypto sa kabuuan ng 2024–2025. Inaalis ng isang air gap ang buong remote-attack surface dahil ang signing device ay walang daanang puwedeng abutin ng isang attacker.

• Key isolation: Ang iyong spend key at mnemonic seed ay hindi kailanman umiiral sa isang internet-connected machine, kaya hindi sila puwedeng ma-exfiltrate ng remote malware.
• Tamper-evident signing: Sinisiyasat mo ang destination at halaga ng bawat papalabas na transaction sa offline device bago ito mai-sign, na pumipigil sa clipboard-swap attacks.
• Regulatory resilience: Habang bumibilis ang delistings sa ilalim ng MiCA at sa presyur ng FATF travel-rule, ang self-custody na lang ang matibay na paraan para magkaroon ng XMR — at ang cold storage ang pinakamatatag nitong anyo.
• Napreserba ang fungibility: Ang mga coins na direkta mong kontrolado ay pinapanatili ang fungibility ng Monero, walang tatak ng "tainted" na sinusundan sa kanila mula sa exchange.

Ano ang Kailangan Mo Bago Magsimula

Ang isang air-gapped setup ay nangangailangan ng dalawang devices at isang one-way na paraan ng paglipat ng files sa pagitan nila. Ang online machine ang nakikipag-usap sa Monero network; ang offline machine naman ay hindi kailanman. Kapag tama ang pagkakahati na ito, mekanikal na lang ang lahat ng natitira.

Pagpili ng Offline Device

Ang pinakamurang maasahang option ay isang lumang laptop kung saan pisikal na tinanggal o dinisable ang Wi-Fi card, at iniwang nakadiskonekta ang Ethernet port. Puwede rin ang Raspberry Pi na walang networking peripherals, gayundin ang isang dedikadong makina na nagbu-boot ng Tails mula sa USB. Ang Tails ay amnesic by default — nakakalimutan nito ang lahat pagka-shutdown — kaya kailangan mong i-pair ito sa persistent encrypted storage para lamang sa wallet files, o magre-restore ka mula sa iyong seed kada session.

Kung ano mang piliin mo, ang panuntunan ay absoluto: ang device na iyon ay hindi na kakonekta sa anumang network kailanman, sa buong natitira nitong buhay. Sa sandaling magkonekta ito, basag na ang air gap at kailangan mong tratuhin ang keys bilang potensyal na exposed na.

Mga Software Options

May tatlong Monero clients na maayos na nakakapag-handle ng cold signing. Ang opisyal na Monero GUI at CLI ay may kasamang kumpletong cold-wallet workflow. Ang Feather Wallet, isang magaang community client, ay nagdadagdag ng pinakintab na offline-signing flow at napakaganda para sa mga user na ayaw mag-run ng buong node. Lahat sila ay open source at reproducible.

Sa natitirang bahagi ng gabay na ito, ipapalagay ko ang DIY air-gapped approach gamit ang official client, dahil tinuturo nito ang underlying model na inaabstract ng bawat ibang method. Sa sandaling maintindihan mo ang hot/cold split, pareho lang ang ideya sa hardware-wallet flow — nakaselyo lamang ang mga sikreto sa isang chip.

Paano Talaga Gumagana ang Hot/Cold Split

Hinihiwalay ng cold-signing design ng Monero ang kakayahang makita ang pondo mula sa kakayahang gastusin ito. Mapped ito nang direkta sa dalawang keys na nakukuha ng bawat Monero wallet mula sa mnemonic seed nito: ang view key, na nagpapahintulot sa software na malaman ang mga papasok na outputs na sa iyo, at ang spend key, na kailangan para magpahintulot na gastusin ang mga ito.

Hawak ng online machine ang isang watch-only wallet na binuo mula sa iyong address at private view key lamang. Ina-scan nito ang blockchain, kinikilala ang iyong stealth address outputs, at ipinapakita ang iyong balance — ngunit pisikal na hindi nito kayang ilipat ang isang coin. Hawak ng offline machine ang kumpletong wallet, kasama ang spend key, at ito lamang ang nakakagawa ng valid na signature.

Kung makompromiso man ang iyong watch-only wallet, malalaman ng attacker ang iyong balance at incoming transactions — pero hindi nila kailanman magagastos kahit isang piConero, dahil hindi umalis sa air-gapped device ang spend key.

Ang paggastos kung gayon ay nagiging isang relay sa pagitan ng dalawa. Nagdi-draft ang online wallet ng isang unsigned transaction, sinisiyasat at pinipirmahan ito ng offline wallet, at sina-broadcast ng online wallet ang signed result papunta sa mempool. Ang key images — ang mga cryptographic markers na pumipigil sa double-spends — ay kinukwenta offline at ibinabalik sa online side para malaman ng watch-only wallet kung aling outputs ang nagastos na. Walang sikreto ang tumatawid sa gap; mga transaction artifacts lamang.

Hakbang-Hakbang: Paggawa ng Iyong Air-Gapped Cold Wallet

Magtabi ng isang oras para sa iyong unang pagsubok. Magtrabaho nang dahan-dahan — bawat pagkakamali dito ay nababawi maliban sa isang nalubot na seed o isang nasirang air gap. Maghanda ng isang malinis na USB stick (o isang QR-capable webcam sa bawat device) para sa mga transfers.

1. I-verify ang iyong binaries. Sa online machine, i-download ang Monero client mula sa getmonero.org, pagkatapos ay i-check ang SHA-256 hashes at i-verify ang GPG signature laban sa key ng maintainer. Ang reproducible builds ay nangangahulugang dapat tumugma ang binary sa kung ano ang independyenteng compiled ng community. Huwag laktawan ito — natatanggal ng isang backdoored wallet ang lahat ng iba pang hakbang.
2. Gumawa ng wallet offline. Ilipat ang na-verify na binary sa air-gapped device gamit ang USB. Lumikha ng bagong wallet doon gamit ang monero-wallet-cli. Isulat ang 25-word mnemonic seed sa papel — hindi sa larawan, hindi sa text file. Hawak ng offline wallet na ito ang spend key at view key nang sabay.
3. I-export ang view-only credentials. Sa offline wallet, isulat ang primary address at patakbuhin ang command para ipakita ang private view key. Ang dalawang halagang ito lang ang kakailanganin ng online side kailanman.
4. Buuin ang watch-only wallet online. Sa internet-connected machine, piliin ang "Create wallet from keys" (view-only) at i-enter ang address, private view key, at isang restore height na tumutugma sa kung kailan ginawa ang wallet. Hayaan itong mag-sync laban sa iyong sariling node o sa isang pinagkakatiwalaang remote node sa pamamagitan ng Tor.
5. Pondohan ito at kumpirmahin. Magpadala ng XMR sa iyong bagong address. Mahuhuli ng watch-only wallet ang papasok na output sa sandaling ma-confirm ito. Kung pribadong kinukuha mo ang Monero, irout ang pagbili sa pamamagitan ng no-KYC swap para walang identity link na dala ang funding transaction.
6. Mag-sync ng outputs at key images. Para makapag-gastos, i-export ang outputs mula sa watch-only wallet, dalhin ang file sa offline device, i-import ang mga ito, pagkatapos ay i-export ang key images pabalik sa online side at i-import iyon. Ginagawa nitong tumpak at spendable-aware ang watch-only balance.
7. Mag-draft, mag-sign, at mag-broadcast. Sa online wallet, gumawa ng isang unsigned transaction papunta sa iyong destination. Ilipat ang unsigned_monero_tx file sa offline device, repasuhin ang recipient at halaga sa screen, at i-sign ito. Dalhin ang resultang signed_monero_tx pabalik at i-submit ito sa network.

Para sa maliliit at madalas na gastos, puwede mong palitan ang USB shuttle ng animated QR codes — kaya parehong i-encode ng Feather at GUI ang unsigned at signed transactions bilang QR sequences na sinusulit ng camera ng bawat device, kaya ganap na walang ports ang offline machine.

Praktikal na Halimbawa: Tamang Long-Term Holding

Isipin ang isang OFW na nasa Saudi Arabia na nag-iimpok ng XMR bilang privacy reserve para sa pamilya niya sa Pilipinas. Maliliit na batches ang binibili niya sa loob ng ilang buwan, at sa bawat pagkakataon ay sina-swap niya ang BTC o USDT papuntang Monero at ipinapadala ito nang diretso sa address ng kanyang air-gapped cold wallet. Sinusubaybayan ng online watch-only wallet ang lumalagong balance; ang seed naman ay nakatago sa isang fireproof safe, na may steel backup sa kabilang lokasyon — bahay ng magulang niya sa probinsiya.

Hindi magkasalungat ang tax compliance at privacy dito. Ang BIR (Bureau of Internal Revenue) ay nagtuturing sa crypto bilang asset na napapailalim sa income at capital gains rules, at hindi ka inialis ng self-custody sa obligasyong mag-report ng mga disposals — pero ang paghawak sa cold storage ay nangangahulugang walang third-party custodian at walang exchange na puwedeng masubpoena para sa kumpletong history ng wallet. Hindi rin nawawalang ang BSP (Bangko Sentral ng Pilipinas) ay regular na nag-iisyu ng advisories ukol sa Virtual Asset Service Providers, kaya ang sariling custody ang pinakamalinis na linya kapag lalo pang humihigpit ang local rules. Kapag eventually na ginagastos ng holder, mag-sa-sign siya offline, mag-bo-broadcast sa pamamagitan ng Tor-routed node, at lilihisin ng Dandelion++ propagation layer kung aling node ang unang nag-relay ng transaction.

Kung iniwan ng holder na iyon ang stack sa isang centralized exchange, ang isang MiCA-driven delisting ay puwedeng magtulak ng fire-sale o naka-freeze na withdrawal. Pinalitan ng air gap ang isang custodial liability papuntang isang pribado at soberanong reserve — at iyon mismo ang buong punto.

Mga Karaniwang Katanungan (FAQ)

Sobra ba ang air-gapped wallet para sa maliit na halaga ng Monero?

Para sa pocket-money na halagang ginagastos linggu-linggo, okay lang ang isang hot mobile wallet at mas convenient pa. Pinapabigatan ng air-gapped approach ang halaga nito kapag nagtatabi ka na ng halagang talagang ayaw mong mawala sa malware. Maraming nagpapatakbo ng pareho: isang hot wallet para sa gastos at isang air-gapped vault para sa savings.

Ano ang mangyayari kung mamatay ang aking offline device?

Walang mawawala, dahil nakatira ang wallet sa 25-word mnemonic seed, hindi sa hardware. I-restore ito sa kahit anong bagong offline machine at mababawi mo ang buong kontrol ng spend key. Kaya nga mas mahalaga ang seed backup kaysa sa device mismo — ingatan ang mga salita, palitan nang malaya ang hardware.

Puwede ko bang gamitin ang hardware wallet sa halip na gumawa ng ganito?

Oo. Hawak ng isang Ledger ang iyong spend key sa loob ng isang secure element at nag-sa-sign ng transactions habang hindi kailanman umaalis ang keys sa chip, na umaabot ng katulad na isolation goal nang mas kaunti ang manu-manong trabaho. Ang trade-offs ay closed firmware, vendor dependency, at historically na mas mabagal na suporta para sa Monero-specific features, kaya mas pinipili ng power users ang DIY air gap para sa kumpletong transparency.

Kailangan ko bang magpatakbo ng sarili kong node para sa online wallet?

Hindi naman talagang kailangan, pero ito ang pinaka-pribadong option. Ang pagkonekta ng iyong watch-only wallet sa isang public remote node ay nag-le-leak ng iyong view key activity at IP sa node operator na iyon maliban kung mag-route ka sa Tor o I2P. Ang pagpapatakbo ng sarili mong node — o sa pinakamababa, ang paggamit ng trusted node sa likod ng Tor — ay nagpapanatili ng metadata na iyon sa iyong mga kamay.

Babaguhin ba ng FCMP++ kung paano gumagana ang cold wallets?

Pinapalitan ng upgrade ang ring signatures ng Full-Chain Membership Proofs++ para sa isang sobrang mas malaking anonymity set, kasabay ng Seraphis at Jamtis address overhaul sa roadmap. Ang hot/cold signing model mismo ay mananatiling pareho — magdi-draft ka pa rin online at magpipirma offline — kaya ang isang air-gapped setup na ginawa ngayon ay dadalhin nang malinis sa hinaharap.

Konklusyon

Ang isang air-gapped Monero cold wallet ay ang pagkakaiba sa pagitan ng pagmamay-ari ng iyong privacy at pag-rerenta nito mula sa kung sinong may hawak ng iyong keys. Ang setup ay nagcocost ng isang hapon at isang lumang laptop, at bilang kapalit ay nakakakuha ka ng isang vault na hindi kayang abutin ng remote attackers — naka-isolate ang spend key, sinisiyasat ang bawat transaction bago mag-sign, at protektado ang iyong XMR mula sa susunod na alon ng delistings. I-pair ito sa verified binaries, isang steel seed backup, at isang Tor-routed node, at magkakaroon ka ng storage na nakakatapat sa kahit ano mang ino-offer ng kahit anong custodian, nang walang custodian.

Ang huling piraso ay ang pagpopondo nito nang hindi muling pinapasok ang pagmamatyag na pinanganak na lang mo namang inalis. Kunin ang iyong Monero sa pamamagitan ng no-log, no-KYC swap para makarating ang coins sa cold storage na may malinis na history — puwede kang bumili ng Monero nang anonymously gamit ang MoneroSwapper at ipadala ito nang diretso sa iyong air-gapped address. Buuin muna ang wallet, pondohan nang pribado pangalawa, at mananatiling sa iyo ang iyong keys.