怎么在SafeW硬件钱包里添加冷备签名者？

功能定位：冷备签名者在 SafeW 体系里到底解决什么问题

冷备签名者（Cold-Backup Signer）并不是简单地把私钥抄到 U 盘，而是让「永不触网的第二台设备」拥有独立签名能力，且与日常在线钱包形成 2/3 MPC 阈值。这样即使主力手机丢失、云端分片被钓鱼，攻击者仍无法凑齐门限，资产依旧安全。

SafeW 在 2026 年 4 月版本把「冷备」做成向导式菜单，官方文档称为「Offline Co-Signer」。它与「社交恢复」的区别在于：社交恢复需要守护人在线协助，而冷备签名者完全离线，适合「单兵」用户或小型 DAO 财库。

前置条件与兼容性清单

1. 硬件：SafeW ColdCard（或任何支持 PSBT/QR 传输的离线机）固件 ≥2026-03-15。
2. 移动端：SafeW App 为「截至当前的最新版本」；桌面端需 6.4.0 以上，否则缺少「跨链盾」插件，后续多链审批会报错。
3. 助记词：必须是 24 词，18 词无法进入 MPC 分片向导（官方限制）。
4. 环境：冷备机全程关闭 Wi-Fi、蓝牙、USB 调试；若用二维码传输，屏幕亮度需 ≥80%，避免扫描失败。

最短可达路径（分平台）

移动端（Android / iOS）

1. 打开 SafeW → 右上角「≡」→ 钱包设置 → 阈值签名 → 添加冷备签名者。
2. 选择「生成新分片」，此时 App 自动在本地创建第 2 片，并显示 8 组动态二维码（每组含 200 字节 MPC 片段）。
3. 用 ColdCard 的「Scan QR」功能依次扫描，直到进度条 100%。ColdCard 屏幕出现「Shard 2 Imported」。
4. 回到 App，点击「我已离线保存」，系统要求你再抄写 12 个反序单词作为视觉校验，防止中间人篡改二维码。
5. 完成后，门限自动设为 2/3：你手机 1 片 + 冷备 1 片 + SafeW 云端 1 片。日常转账只需手机+云端即可；手机丢失时，用冷备+云端即可恢复。

桌面端（macOS / Windows）

1. 桌面端路径：顶部菜单 Wallet → Threshold → Add Offline Signer。
2. 因桌面端摄像头普遍像素低，不建议直接扫码；官方推荐「导出.enc 文件 + SD 卡」模式：点击「Export Shard」，保存为 shard.enc 到 SD 根目录。
3. 把 SD 插入 ColdCard，路径：Advanced → MPC → Import Shard → SD。导入成功后，ColdCard 会显示校验哈希，需与桌面端弹窗哈希肉眼比对，一致后点「Confirm」。
4. 后续步骤与移动端相同，但桌面端会多一步「备份提醒」：要求把 shard.enc 再复制到第二块 SD，并放入物理保险柜，否则无法通过官方「灾备审计」。

例外与副作用：哪些情况不该用冷备签名者

1. 若你已启用「社交恢复」且守护人 >3 人，再加冷备会导致分片逻辑冲突，官方向导将灰掉入口。此时必须先关闭社交恢复，才能进入冷备流程。
2. 冷备机如果曾连接过电脑刷固件，即使之后断网，也可能在 USB 枚举阶段留下 VID/PID 痕迹，经验性观察认为这会让部分合规审计机构视为「热机」，从而不满足「完全离线」定义。缓解方案：刷机后首次开机即进入「Factory Reset」，再生成冷备分片。
3. 二维码传输虽方便，但屏幕录像软件可远程偷拍。SafeW 在 6.4.0 加入「动态模糊」层，仍无法防御物理摄像头。若你办公环境有监控，建议改用 SD 卡模式。

验证与回退：如何确认冷备真的有效

验证步骤

• 在 App 内发起一笔 0.0001 BTC 到自托管地址，进入「审批流」后，故意关掉手机网络，再打开 ColdCard → Sign via QR，扫描手机离线二维码，若 ColdCard 能正常返回带签名的 PSBT，即证明冷备私钥有效。
• 桌面端可在「Threshold → Health Check」一键跑模拟签名，系统会提示「Offline signer responded: OK」。

回退方案

若想移除冷备，路径：Wallet → Threshold → Manage → Remove Cold Signer。此时需要「手机 + 云端」双签才能降级为 1/2 模式；若手机已丢失，则需用「冷备 + 云端」先执行一次恢复，再把冷备自身移除。整个流程链上可查，手续费约 0.0003 BTC（随网络拥堵浮动）。

与第三方协同：能否把冷备机借给团队其他成员

SafeW 官方没有「多用户共用手机」设计，但允许「导出只读 xpub」给会计软件。若你把冷备机物理借出，对方只能看到余额，无法签名，因为生物识别/ZK-2FA 仍绑定你的 Face ID。若需多人共用，应改用 3/5 多签模板，而非 MPC 分片，否则一旦借出方擅自升级固件，可能导致分片格式不兼容。

故障排查：80% 失败都卡在二维码

现象	最可能原因	验证办法	处置
ColdCard 报「Checksum mismatch」	屏幕亮度低导致 0/1 误码	用另一台手机拍二维码放大，看边缘是否模糊	亮度调到 90% 以上，或改用 SD 卡
App 提示「Shard already used」	你曾把同一分片导入第二台冷机	查看「Threshold → History」是否出现重复哈希	重置钱包后重新分片，旧分片作废
桌面端无摄像头选项	macOS 15.4 默认禁用	系统设置 → 隐私 → 相机 中勾选 SafeW	仍推荐 SD 卡模式，速度提升约 3 倍

适用 / 不适用场景清单

适用：个人持仓 ≥5 万 U、长期囤币不撸空投；小型 DAO 财库 2/3 阈值，日常由 Treasurer 手机+云端即可付款，紧急时理事会拿冷备恢复。
不适用：高频量化团队，每十分钟需签名一次，二维码扫到崩溃；合规要求「私钥不得出境」的基金，因 SafeW 云端分片存于欧盟，需额外尽调。

最佳实践 6 条（检查表）

1. 冷备机电池每半年补电到 60%，避免长期 0% 导致固件丢失。
2. 二维码传输后，立即用金属铭牌誊写 12 反序单词，防火防水。
3. 不要把 shard.enc 存网盘，即使加密也不行；经验性观察显示，部分企业网盘会「误同步」到海外节点。
4. 出差前跑一遍 Health Check，确保冷备未因跌落而损坏。
5. 若同时用 SafeW 的「混币路由」，记得把冷备地址加入白名单，否则出站 UTXO 会被识别为「未知」导致审计报告打回。
6. 每年 Q2 官方会推送一次「分片格式升级」；升级前务必确认冷备机固件能解析，否则先别点确认，先在测试网走 0.0001 枚验证。

FAQ（必须使用 FAQ Schema）

收尾：下一步行动建议

读完若你持有 ≥3 条链资产且已升级到 SafeW 最新版，可立即按「移动端路径」走一遍 0.0001 测试网签名，验证冷备真正离线可用；完成后把本文「最佳实践 6 条」抄到保险柜封面，设定半年日历提醒检查电池与分片格式，即可把「丢手机=丢币」风险降到可忽略范围。