лучшее холодное хранилище это private key, записанный на листочке.
Есть такая замечательная хрень как hierarchical determinstic wallets, поэтому хранить private key на листоче - это не самый удобный и не безопасный вариант. Либо надо хранить множество ключей, либо пренебрегать приватностью и все кидать на единственный адрес.
Посмотрите на BIP-0039 / BIP-0044.
Изящно и гениально.
Seed + password - это ваш master key с возможностью генерации множества адресов.
Приведу пример, как можно одним бекапом сохранить сколько угодно "кошельков" с неограниченным количеством адресов в каждом.
Генерируете сид 24 слова.
Придумываете какой-нибудь мастер-пароль и свой алгоритм иерархии.
Например:
"sha256(Мой-мастер-пароль-который-я-всегда-помню@кошелёк001)"
"sha256(Мой-мастер-пароль-который-я-всегда-помню@кошелек002)"
...
"sha256(Мой-мастер-пароль-который-я-всегда-помню@кошелек046)"
Генерируете sha256 любой оффлайн утилитой, полученный хеш и используете в качестве пароля (25-ое слово к сиду).
HD с этим паролем тоже генерируете оффлайн, таких утилиток тоже куча, вот например
https://iancoleman.github.io/bip39/, можно скачать код.
Сохраняете xPub и используете его в любом кошельке, с поддержкой импорта xPub.
Можете генерировать новый адрес для каждой входящей транзы, мониторить баланс, без риска, на любом девайсе.
Для приватности, для разных дел / онлайн-персонажей используете разные кошельки (и разные xPub) и не будет риска связать их при помощи close output addresses. И если вы на скомпрометированном девайсе-сайте введёте сид и пароль, то риска для других кошельков нет.
Пароль первого кошелька из моего примера будет
0c5c7d5181ec0d8a50eafc8afbd2fb2d31533419bb979cfe8eb43381a5266c03
А второго
e9752dffc3beb1a6845c6a616a16e4d1494a10b435d26b37d08afee1ab22f853
Хотя вы изменили всего один символ
Сам сид можно хоть в Инстаграмм выставить или на лбу написать. Он не даёт возможности доступа, если не скомпрометирован ваш алгоритм иерархии и пароль.
Все тоже самое, только проще, делается, используя Trezor