Paano Mag-Setup ng Monero Air-Gapped Cold Storage

Nang i-delist ng Binance ang Monero noong Pebrero 2024 at tinanggal ng Kraken ang XMR para sa mga European user para sumunod sa MiCA, sabay-sabay na natuto ng aral ang daan-daang libong holders: ang pag-iiwan ng privacy coin sa isang exchange ay hiram na panahon lamang. Ang tanging balanse na hindi kayang i-freeze, i-delist, o ibigay sa subpoena ng isang exchange ay 'yung hawak mo mismo — at ang pinaka-matibay na paraan ng paghawak nito ay ang air-gapped cold wallet, isang makina na hindi pa kailanman nakahawak sa internet at hindi na hahawak pa. Tatalakayin ng gabay na ito kung paano ito buuin nang tama, mula sa pag-verify ng binaries hanggang sa pag-sign ng iyong unang offline na transaksyon.

Mas mahalaga ang air-gapping para sa Monero kaysa sa mga transparent na chain. Sa Bitcoin, pwede kang mag-publish ng watch-only address at magtiwala sa blockchain para ipakita ang balanse mo; sa Monero, ang View key na nagbibigay-daan para makita ang papasok na pondo at ang Spend key na nagpapahintulot sa palabas na pondo ay magkaiba nang cryptographically. Ang paghihiwalay na 'yan mismo ang nagpapaposible ng malinis na cold-storage split — at 'yan ang dahilan kung bakit ang ilang libong sats na halaga ng effort ay nagbibigay sa'yo ng seguridad na parang bank vault. Kung pupunduhan mo ang vault mula sa wala, pwede kang kumuha ng XMR nang walang account sa MoneroSwapper at direkta itong ipadala sa cold address na ginawa mo offline.

Bakit Mahalaga ang Air-Gapped Storage para sa Monero

Ang mga hot wallet — kahit anong nasa telepono o sa desktop na nakakabit sa internet — ay nakalantad sa buong attack surface ng device na 'yon: malware, clipboard hijackers, malicious browser extensions, at remote exploits. Inaalis ng air-gapped wallet ang network nang buo sa ekwasyon, kaya't ang private key na ginawa at ginamit lang nang offline ay hindi makukuha ng code na tumatakbo sa isang kompromisadong online na makina.

• Built-in ang key separation: Hinahati ng wallet model ng Monero ang Spend key sa View key, kaya pwede kang magpatakbo ng watch-only wallet online para subaybayan ang mga deposito habang nananatili sa vault ang signing key.
• Walang address reuse na maleak: bawat bayad ay napupunta sa isang one-time stealth address, kaya't ang pag-publish ng account address mo para tumanggap ng pondo ay walang ibinubunyag tungkol sa balanse o history mo sa isang online observer.
• Nananatili ang fungibility kahit may pagkakamali sa custody: dahil itinatago ng RingCT ang mga halaga at ikinukubli ng CLSAG ring signatures ang totoong spend, ang mga coins na kinuha mula sa cold storage ay hindi makikilala mula sa ibang XMR — walang "tainted UTXO" na label na mamana.
• Finality ng seed phrase: ang 25-word na Mnemonic seed ay muling bumubuo sa buong wallet, kaya't ang air-gapped na makina mismo ay disposable — mawala man ito, ire-restore mo lang sa ibang offline na device.

Ang trade-off ay friction. Ang paggastos mula sa cold storage ay isang sinadya, maraming-hakbang na ritwal — hindi basta tapik lang. Ang friction na 'yan ang mismong punto: ito rin ang dahilan kung bakit iniingatan ng mga bangko ang karamihan ng reserba sa vault sa halip na sa drawer ng teller. Para sa pangmatagalang ipon na bihira mong igalaw, hindi mo na mararamdaman ang abala; para sa pang-araw-araw na gastusin, magpanatili ka ng maliit na hot wallet at ituring ang air-gapped vault bilang iyong treasury.

Ano ang Kailangan Mo Bago Magsimula

Hindi mo kailangan ng eksotikong hardware. Pwede mong buuin ang buong setup mula sa isang retiradong laptop at ilang USB stick, o mula sa dedikadong hardware signer. Ang mahalaga ay tunay na nakahiwalay ang signing environment at na-verify na ang bawat piraso ng software na pinapatakbo mo.

Ang offline na makina

Dalawang approach ang pinaka-laganap. Una, ang permanenteng offline na kompyuter — isang lumang laptop na pisikal nang tinanggal o ni-disable sa firmware ang Wi-Fi card at Bluetooth module, na nagpapatakbo ng malinis na Linux install na hindi kailanman kumokonekta sa router. Pangalawa, at mas accessible, ang Tails: isang amnesiac na live operating system na bino-boot mo mula sa USB stick. Nakakalimutan ng Tails ang lahat sa pag-shutdown, kaya malinis ang simula ng bawat session, at pwede mong itago ang wallet files sa hiwalay na encrypted persistent volume o sa pangalawang USB drive.

Na-verify na wallet software

Anuman ang patakbuhin mo, i-verify ito. I-download ang opisyal na Monero GUI/CLI bundle, pagkatapos ay i-check ang GPG signature nito laban sa maintainer key na nakapaskil sa getmonero.org at kumpirmahin na tugma ang SHA-256 hash sa signed hashes file. Ang isang hakbang na ito ay tumatalo sa pinaka-karaniwang totoong atake: isang na-tamper na installer na tahimik na nagri-record ng iyong seed. Ang Feather Wallet, isang magaan na community client, ay mahusay din para sa cold setups at may reproducible builds na pwede mong i-verify sa parehong paraan.

Isang transfer medium

Kailangang tumawid ang data sa air gap nang hindi nagbubukas ng network path. Ang mga opsyon mo ay USB drive (simple, pero ang USB controller ay technically isang attack vector), microSD card, o — ang pinaka-paranoid na pili — animated QR codes na ini-scan ng camera, na walang dalang executable payload. Para sa karamihan, ang dedikadong USB stick na ginagamit lang para dito ay makatwirang balanse ng kaligtasan at kombenyensya.

Paghahambing ng mga Opsyon sa Cold Storage

Walang iisang "pinakamahusay" na setup; ang tamang isa ay nakadepende sa kung gaano karami ang iniimbak mo at kung gaano kadalas mo itong hahawakan. Inihahambing ng talahanayan sa baba ang tatlong pangunahing approach para sa Monero mismo.

Ang hardware wallets at ang air-gapped-laptop na approach ay hindi magkasalungat na pilosopiya — pareho nilang pinapanatili ang Spend key sa labas ng internet. Ang hardware device ay esensyal na isang purpose-built na air-gapped signer na may maliit na screen. Kung pinapahalagahan mo ang auditability at may ekstrang hardware ka na, ang offline-laptop na ruta ang nagbibigay ng pinaka-malalim na kontrol. Kung gusto mo ng madaladala at di-makakalituhan, ang hardware wallet na ikinakabit sa watch-only desktop wallet ay mahirap matalo.

Paano Buuin ang Iyong Air-Gapped Monero Vault

Ang arkitektura ay isang two-wallet system. Ang cold wallet ay nakatira sa offline na makina at hawak ang parehong key — ito lang ang lugar kung saan umiiral ang iyong Spend key. Ang watch-only wallet ay nakatira sa makinang nakakabit sa internet at hawak lamang ang View key kasama ang public address, kaya nakikita nito ang mga deposito at nakakabuo ng unsigned na transaksyon pero hindi nito kayang pahintulutan ang isang spend. Narito ang buong lifecycle.

1. Ihanda at i-verify ang offline environment. I-boot ang Tails o ang air-gapped laptop mo. Kopyahin ang na-verify na Monero binaries gamit ang USB, kumpirmahin ang GPG signature at SHA-256 hash isa pang beses sa offline na makina, pagkatapos ay i-extract ang mga ito. Huwag ikonekta ang makinang ito sa kahit anong network mula sa puntong ito pasulong.
2. Gawin ang cold wallet offline. Patakbuhin ang monero-wallet-cli at gumawa ng bagong wallet. Isulat sa papel ang 25-word na Mnemonic seed — huwag itong kunan ng litrato, huwag itong i-type sa online na device. Ang seed na ito lang ang nagre-restore ng buong wallet, kaya ituring ang papel na parang ginto na kinakatawan nito at mag-isip ng steel backup para sa resistensya sa apoy at tubig.
3. I-export ang view-only credentials. Sa cold wallet, patakbuhin ang export_view_key (o itala ang secret View key at primary address). I-save ang View key at address sa iyong transfer medium. Ito lang ang sekretong umaalis sa vault, at by design hindi nito kayang igalaw ang pondo.
4. Gumawa ng watch-only wallet online. Sa pang-araw-araw mong kompyuter, gamitin ang monero-wallet-cli --generate-from-view-key (o ang "Create wallet from keys" na opsyon ng GUI) gamit ang View key at address. Hayaan itong mag-sync laban sa remote node o, mas mabuti, sa sarili mong node. Ipinapakita na ng wallet na ito ang balanse at papasok na bayad nang hindi kailanman humahawak ng Spend key.
5. Tumanggap ng pondo. Ibahagi ang primary address mo o isang bagong Subaddress para tumanggap ng XMR. Bawat bayad ay dumarating sa natatanging one-time stealth address sa chain; dino-decode ito ng watch-only wallet gamit ang View key at ipinapakita ang umaakyat na balanse.
6. Buuin ang unsigned transaction online. Kapag gusto mong gumastos, ine-export muna ng watch-only wallet ang outputs nito (export_outputs) sa offline wallet para malaman ng cold side kung ano ang kontrolado nito, pagkatapos ay gagawa ito ng unsigned transaction (transfer, na sumusulat ng unsigned_monero_tx file) at ini-import ang resultang key images.
7. Mag-sign offline. Dalhin ang unsigned transaction sa air-gapped na makina. I-load ang cold wallet, patakbuhin ang sign_transfer, maingat na suriin ang destinasyon at halaga sa offline na screen, at gumawa ng signed_monero_tx file. Dito lang at wala nang iba pumipirma ang Spend key.
8. I-broadcast online. Ibalik ang naka-sign na file sa online na watch-only wallet at patakbuhin ang submit_transfer. Ipinapasa ito ng wallet sa mempool — protektado habang naglalakbay ng Dandelion++ — at kinukumpirma ito ng network tulad ng kahit anong transaksyon.

Huwag i-restore ang 25-word na seed ng cold wallet mo sa makinang nakapag-online na kahit minsan "para lang tingnan ang balanse." Ang isang shortcut na 'yan ang dahilan kung paano talaga nangyayari ang karamihan ng pagkawala sa self-custody.

Pakiramdam mabagal ang unang takbo dahil pinag-aaralan mo pa ang ritmo ng air gap. Pagkatapos ng dalawa o tatlong transaksyon, magiging muscle memory na ang export-sign-submit loop, at maililipat mo na ang anim na digito na balanse nang may parehong kalmado tulad ng pagbubukas mo ng spreadsheet.

Halimbawa ng Setup sa Totoong Buhay

Isipin ang isang Pinoy freelancer na, pagkatapos ng 2024 MiCA-driven na mga delisting at habang pinaiigting ng BSP ang mga panuntunan sa Virtual Asset Service Providers dito sa Pilipinas, ay nagpasyang itigil ang pagtitiwala sa custodial platforms para sa ipon. Bumili siya ng ₱3,500 na segunda-manong ThinkPad sa Carousell, tinanggal ang Wi-Fi card, at nag-install ng Tails sa USB stick na may encrypted persistent volume para sa wallet files. Pagkatapos i-verify ang Monero binaries laban sa getmonero.org signing key, gumawa siya ng cold wallet offline at iniukit ang seed sa steel backup plate na itinago sa hiwalay na lokasyon.

Sa kanyang pang-araw-araw na laptop, gumawa siya ng watch-only wallet mula sa View key at itinuro ito sa sarili niyang pruned node. Tuwing ilang linggo, dinadagdagan niya ang vault sa pamamagitan ng pag-swap ng BTC na pinunduhan ng peso patungong XMR — halimbawa sa pamamagitan ng no-account flow ng MoneroSwapper — at direkta itong ipinapadala sa bagong Subaddress. Para magbayad ng paminsanang invoice, binubuo niya ang unsigned transaction online, nilalakad ang USB stick papunta sa ThinkPad, pumipirma gamit ang sign_transfer, at nagbo-broadcast. Kabuuang marginal na gastos kada spend: mga tatlong minuto at zero exposure ng Spend key.

Ang pattern na ito ay umaangkop mula sa ilang daang piso hanggang sa ipon ng buong buhay nang hindi nagbabago. Ang parehong workflow na nagpoprotekta sa emergency fund ng freelancer ay nagpoprotekta rin sa source-protection budget ng isang mamamahayag o sa pangmatagalang store of value ng isang pamilya — magkaiba ang threat model, pero pareho ang disiplina sa cold storage.

Konteksto para sa mga Pinoy Holder

Sa Pilipinas, regulado ng BSP ang mga lokal na crypto platform tulad ng PDAX, Coins.ph, at Maya bilang Virtual Asset Service Providers, kaya napapailalim ang mga ito sa AML at KYC na obligasyon. Ang ibig sabihin nito ay ang account mo doon ay pwedeng i-freeze o suriin sa ilalim ng utos ng regulator — kaya nga ang cold storage ay hindi laban sa batas kundi simpleng pag-iingat sa sarili mong pondo. Ang BIR naman ang nagpapatupad sa anumang buwis na may kaugnayan sa kita mula sa crypto, kaya panatilihing maayos ang iyong mga record kahit nasa cold storage ang mga coins.

Isa pang praktikal na punto para sa lokal na konteksto: maraming Pinoy ang nag-iipon ng XMR mula sa remote work at freelancing na binabayaran sa labas ng bansa. Ang air-gapped na setup ay perpekto rito dahil hindi mo kailangang ipasa ang iyong ipon sa isang exchange na pwedeng biglang mag-pull ng XMR support, tulad ng nangyari sa ilang internasyonal na platform. Magpanatili ka ng maliit na hot wallet para sa pang-araw-araw na gastusin sa Maya o GCash conversion, at itago ang malaking bahagi sa vault.

FAQ

Kailangan ko bang tumakbo ang air-gapped kong makina para tumanggap ng Monero?

Hindi. Ang mga papasok na bayad ay naitatala sa blockchain at natutukoy ng iyong online watch-only wallet gamit ang View key. Kailangan lang naka-on ang offline na makina kapag gusto mong pumirma ng palabas na transaksyon. Pwede mo itong iwanang naka-off sa drawer ng ilang buwan, at naroroon pa rin ang balanse mo kapag bino-boot mo ito.

Pwede bang palitan ng hardware wallet ang buong air-gapped laptop?

Para sa karamihan ng user, oo. Ang Ledger o Trezor Model T ay pinapanatili ang iyong Spend key sa loob ng secure element na hindi kailanman naglalantad nito sa nakakonektang kompyuter, na nakakamit ng parehong pangunahing layunin ng air gap. Ang trade-off ay nagtitiwala ka sa closed firmware at supply chain ng vendor. Kung kasama sa threat model mo ang panganib na 'yan, ang na-verify na open-source na setup sa offline laptop o Tails ang nagbibigay sa'yo ng buong auditability.

Ano ang mangyayari kung mamatay o manakaw ang offline kong kompyuter?

Walang mawawala basta ligtas ang 25-word mong Mnemonic seed. Ang seed ang master backup para sa parehong Spend key at View key. I-restore ito sa kahit anong ibang offline na makina at babalik ang buong wallet mo — balanse, history, at kakayahang gumastos — eksakto sa dati nitong anyo. Ito ang dahilan kung bakit mas mahalaga ang pagprotekta sa seed (mas mabuti sa steel, sa hiwalay na lokasyon) kaysa sa pagprotekta sa device mismo.

Mapanganib bang ilantad ang View key?

Pinapayagan ng View key ang isang tao na makita ang iyong papasok na transaksyon at balanse, pero hindi nito kayang gastusin kahit isang piconero. Ang paglantad nito ay nakakasama sa iyong privacy, hindi sa iyong pondo. Ituring itong kompidensyal — huwag itong i-post nang pampubliko — pero unawain na kahit sa pinakamasamang sitwasyon, ang attacker na may View key mo lamang ay manonood lang, hindi magnanakaw.

Masisira ba ng paparating na protocol upgrades ang cold wallet ko?

Hindi. Ang mga malalaking upgrade tulad ng FCMP++ (Full-Chain Membership Proofs) at ang pangmatagalang Seraphis/Jamtis na wallet redesign ay nagbabago kung paano pinapatunayan ng mga transaksyon ang membership at kung paano gumagana ang mga address, pero nananatili ang seed mo bilang ugat ng iyong pondo. Ia-update mo lang ang wallet software at magre-rescan; ang mga seed-derived na key mo ay dumadaan sa mga hard fork. Palaging i-update ang offline binaries mo sa parehong na-verify na channel bago mag-transact pagkatapos ng network upgrade.

Konklusyon

Ang air-gapped Monero vault ay ang bihirang security upgrade na halos walang gastos pero nagbabago ng halos lahat: isang retiradong laptop, isang USB stick, isang na-verify na download, at isang steel-stamped na seed ay nagbibigay sa'yo ng custody na hindi maaabot ng kahit anong exchange delisting, account freeze, o remote exploit. Ang two-wallet split — isang watch-only View key online, ang Spend key nakasara offline — ay purpose-built para mismo dito, kaya kasabay mo ang disenyo ng Monero sa halip na laban dito.

Buuin muna ang vault, pagkatapos ay pundohan ito sa sarili mong mga termino. Kapag handa ka nang magdagdag ng XMR nang hindi ibinibigay ang iyong pagkakakilanlan sa isang custodial platform, pwede kang mag-swap papuntang Monero sa pamamagitan ng MoneroSwapper at direkta itong ipadala sa cold address na ginawa mo offline — sinasara ang loop ng setup na nagpapanatiling tunay na sa'yo ang iyong ipon.