Über das grundlegende Offline-Prinzip hinaus funktioniert eine Cold Wallet, indem sie die Private Keys, die Krypto-Assets kontrollieren, auf einem Gerät oder sogar einem physischen Gegenstand aufbewahrt, der im normalen Gebrauch nie mit dem Internet verbunden ist. Das steht im direkten Gegensatz zu einer Hot Wallet, die aus Bequemlichkeit online bleibt, dadurch aber ständig Angriffen aus der Ferne ausgesetzt ist.
Die gängigsten Cold Wallets sind spezielle Hardware-Geräte von Herstellern wie Ledger, Trezor und Coldcard, die Keys in einem gesicherten Chip erzeugen und speichern. Um Guthaben zu senden, wird die Transaktion auf einem internetverbundenen Computer oder Smartphone vorbereitet, dann per USB, Bluetooth oder QR-Code an das Gerät übergeben, dort intern signiert und zum Broadcasten zurückgeschickt. Da das Schlüsselmaterial das Gerät nie verlässt, kann Malware auf dem verbundenen Rechner es nicht direkt stehlen. Manche Designs gehen mit vollständigem "Air Gapping" noch weiter: Daten werden ausschließlich über QR-Codes oder microSD-Karten übertragen, ganz ohne Kabel oder Funkverbindung.
Cold Storage umfasst auch einfachere Optionen wie eingravierte Metallplatten oder eine handschriftlich notierte Seed Phrase, die in einem Safe aufbewahrt wird, denn diese Methoden teilen dieselbe zentrale Eigenschaft: keine digitale Exposition. Zu den Nachteilen zählen weniger Komfort bei häufigen Transaktionen, das Risiko, das physische Gerät zu verlieren oder zu beschädigen, sowie die Verantwortung des Nutzers, Wiederherstellungsdaten sicher zu sichern.
Branchendaten zeigen durchgängig, dass die meisten großen Exchange-Hacks und Vorfälle mit gestohlenen Geldern Hot Wallets oder Online-Signiersysteme betreffen, kaum je eine korrekt genutzte Cold Wallet. Diese Bilanz erklärt, warum Exchanges, Custodians und langfristige Halter den Großteil ihrer Reserven üblicherweise cold aufbewahren und nur einen kleinen Betriebssaldo hot für den täglichen Gebrauch halten.