定义:热钱包(Hot Wallet)指私钥所在的设备处于联网状态的钱包。浏览器扩展钱包(MetaMask、Phantom、Rabby),手机端钱包(Trust Wallet、imToken、OKX Web3 Wallet),以及交易所账户里那部分余额,都属于这一类。它的"热"不是温度,是"在线、随时可签"的意思。
对应的概念是 冷钱包——后者把私钥锁在断网环境里,签名时才短暂联系链上。两者不是替代关系,是分仓关系。
为什么需要热钱包
因为链上很多动作必须在线完成。打开一个 DEX、参与一次铸造、给某个 NFT 出价、和某个 dApp 交互——这些都需要钱包能在几秒内弹出窗口、签名、广播。让你每次都把硬件钱包接到电脑上,体验上撑不住。所以现实是大多数活跃用户都同时有热钱包和冷钱包,热的少放点流动资金、冷的放大头。
风险边界在哪
热钱包的最大风险不是"被黑客攻破"——而是被你自己签错。钓鱼网站让你 Approve 一个无限额度,被冒充客服的人骗去签了一笔授权转账,复制粘贴地址时被恶意剪贴板替换。这类损失占了所有热钱包事故的绝大多数,参见 《MetaMask 安全设置 12 条》。
真正的"私钥被偷"反而是少数派情况,多见于:浏览器装了恶意插件、系统中了带键盘记录的木马、或者你把助记词截图发到了云相册(这条参见 《助记词截图为什么是高危操作》)。
我自己的分仓做法
我用三个层级:交易所账户放当周可能交易的部分;MetaMask 热钱包放小额日常交互资金(通常不超过总仓位的 5%);剩下的全部走 硬件钱包 + 单独的助记词备份。任何打算长期持有的资产,从来不留在热钱包里过夜。完整的钱包配置思路写在 《钱包完整图谱》。
一个反直觉的小提醒:交易所账户也是"热钱包"——只不过私钥在交易所手里,不在你手里。它的风险结构和自托管热钱包不一样(多了平台风险、少了签名钓鱼风险),但安全感不是免费的。