硬件钱包是加密货币最接近保险库的东西。它将您的私钥保存在一个专用设备上,该设备从不将其暴露给互联网连接的计算机,这消除了持有大量Bitcoin BTC$71,883BTC$71,88324h+1.12%7d+7.44%30d+2.75%1y-12.96%via Statility或Ethereum ETH$2,200ETH$2,20024h+0.46%7d+6.96%30d+8.02%1y+31.82%via Statility的最大攻击面。但市场已经成熟到不再是任何冷存储设备都可以的程度。领先的钱包现在在安全架构、透明度和用户群体方面做出了截然不同的选择。选择一个钱包不再是关于品牌忠诚度,而是关于理解这些权衡。
这是对设备本身的比较,而不是关于如何保持安全的一般入门指南。如果您想要了解种子短语、钓鱼和运营卫生的更广泛的方法,加密钱包安全指南涵盖了这些内容。这里的重点更窄:安全元素与开源、币种支持、伴生应用体验、Ledger Recover争议以及每个设备的实际价值。
核心架构划分:安全元素与开源
每个硬件钱包都必须解决同一个问题,即在保持私钥机密的同时,让您能够用它签署交易。两种主导哲学对如何做到这一点有不同看法。
第一阵营依赖于安全元素(SE),这是在护照、SIM卡和支付卡中使用的同一类防篡改芯片。它被设计为能够抵抗物理提取、侧通道攻击和故障注入。问题在于安全元素芯片是专有的。其固件受芯片制造商保密协议保护,因此设备最敏感的部分无法完全开源。Ledger 围绕这种方法构建了其整个产品线,将SE与其自有的BOLOS操作系统配对。
第二阵营优先考虑开源可验证性。论点是通过可审计性实现的安全性胜过通过模糊性实现的安全性,而且您无法完全检查的设备是您必须凭信心信任的设备。Trezor 以硬件和固件可以由研究人员逐行阅读的立场开创了这一态度。权衡历来是更弱的物理保护:在记录在案的实验室条件下,被盗的Trezor Model One可以通过电压故障提取其种子。Trezor的较新Safe系列通过添加安全元素同时保持其余堆栈开放来回应这一点,这是一种折中的混合方案。
第三阵营进一步走向比特币专用和彻底的透明度。Coldcard 在设计上是气隙隔离的,通过microSD卡而不是USB进行交易签署,受到将任何数据线视为攻击向量的比特币爱好者的青睐。BitBox 来自瑞士制造商Shift Crypto,处于中间位置:双芯片设计具有安全元素、完全开放的固件和刻意最小化的功能集。
领先设备的比较
下面的规格涵盖了四个最讨论的选项。币种支持和价格会随时间变化,因此应将这些作为快照而不是金科玉律来对待,并在购买前针对每个制造商的文档确认当前数据。
硬件钱包比较:架构、支持和定位
| Device | Secure Element | Fully Open Source | Coin Support | Price (approx) | Best For |
|---|---|---|---|---|---|
| Ledger Nano X | Yes (proprietary) | No (firmware closed) | 5,500+ assets | $149 | Multi-chain users, DeFi, mobile |
| Trezor Safe 5 | Yes (open SE) | Mostly | 8,000+ assets | $169 | Transparency-first holders |
| Coldcard Mk4 | Yes (proprietary) | Yes (firmware) | Bitcoin only | $158 | Bitcoin maximalists, air-gap |
| BitBox02 | Yes | Yes | 1,500+ assets | $149 | Minimalists, Swiss-made |
主要差异在于覆盖范围和理念。Ledger和Trezor是支持数千个代币并与DeFi前端和质押集成的通用多链钱包。Coldcard毫不掩饰地是比特币专用的,这对其受众来说是一个特点:代码路径更少意味着攻击面更小。BitBox有意缩短其支持的资产列表,押注大多数持有者只需要少数几条链做得很好。
伴生应用和日常使用
设备只是产品的一半。伴生软件是大多数人实际花费时间的地方,体验差异很大。
Ledger Live是该组中最抛光的。它在桌面和移动设备上跨越投资组合跟踪、购买、交换、质押和NFT显示的所有内容,Nano X的蓝牙让它可以与手机配对而无需线缆。这种广度的代价是表面面积:更多集成和更多通过一个应用路由的第三方服务。Trezor Suite采取更精简、隐私优先的路线,具有可选的Tor路由和吸引关心链上隐私用户的币种控制功能。Coldcard的工作流程是最刻意的,也是最不便利的设计,因为签署离线进行,交易通过microSD卡移动。BitBox的应用镜像其硬件:精简、快速、少量额外功能。
对于任何涉及DeFi借贷或活跃代币头寸的持有者,应用集成比原始规格表更重要。与您日常使用的协议干净地签署的钱包将比赢得安全基准但与您在每笔交易上争执的钱包看到更多使用。未使用的便利不是安全。
Ledger Recover争议
没有硬件钱包比较是诚实的,不涉及2023年5月Ledger发生的事情。该公司宣布了Ledger Recover,这是一项可选的订阅服务,通过将用户的种子短语分割成由三个独立托管人持有的加密碎片来备份,可以用政府ID恢复。
反对意见立即而严重。多年来,Ledger的文档一直声称种子永远不会离开安全元素。Recover证明了设备的固件可以在用户同意的情况下以某种形式提取和传输种子。批评人士辩称,这证明了闭源固件总是具有渗漏的能力,用户无法独立验证在没有同意的情况下不会发生这种情况,正好是因为固件不是开源的。Ledger声称Recover是可选的,碎片是加密的,并且对于从不注册的用户没有任何改变。
两件事都可能是真的。Recover确实是可选的,它也证实了开源倡导者多年来提出的结构性批评:对于闭源固件,您相信制造商关于设备可以和不能做什么的说法。这一事件是支持可验证固件阵营的最有力论点,它重塑了市场对可审计性的严肃态度。
Recover事件没有破坏Ledger的安全性。它暴露了一直在其下面的信任假设。
价格、价值以及您支付的对象
这些设备聚集在一个狭窄的范围内,根据型号和层级大约在80至180美元之间。在这个范围内,价格不应该是任何保护价值数倍于硬件的投资组合的人的决定因素。相关的问题是价值:额外支出能买什么。
更大的屏幕,如Trezor Safe 5或Ledger Stax上的屏幕,实质上改进了交易验证,因为您可以在设备上读取完整的目标地址,而不是眯着眼睛看截断的字符串。Nano X上的蓝牙为移动便利购买了无线攻击面,纯粹主义者避免这种。Coldcard的溢价用于气隙隔离签署和比特币特定的功能,如胁迫PIN和砖块模式。这些都不是普遍值得的;每个都映射到特定的威胁模型。
不值得省钱的是出处。从二手或未授权经销商处购买任何这些设备会引发供应链攻击,其中被篡改的设备会在您为其融资的那一刻将您的资金交给攻击者。每个制造商都说同样的话:直接订购或从授权卖家处订购,并在首次启动时验证设备是否真实。
每个设备适合谁
- Ledger适合持有广泛代币、与DeFi交互并重视单个抛光应用的多链用户,前提是他们在权衡Recover历史后对闭源固件感到满意。
- Trezor适合首先将透明度放在首位并希望固件可由他们或社区审计的持有者,Safe系列缩小了旧的物理安全差距。
- Coldcard适合想要最大隔离、气隙隔离签署和最小受信代码占用的仅比特币持有者。
- BitBox02吸引了想要开源硬件、干净应用和瑞士制造但没有庞大功能集的极简主义者。
没有单一的赢家,任何声称相反的评论都在推销什么东西。正确的设备是其权衡与您实际持有和移动加密货币的方式相匹配的设备。一个堆积比特币十年的极端主义者和跨越十几条链轮换的DeFi强国用户解决的是不同的问题,同样的硬件不会对两者都最优。
底线
硬件钱包在同一目标上聚集,在如何实现该目标上分散。安全元素以完全透明为代价购买物理弹性。开源设计购买可验证性,越来越不放弃他们曾经缺乏的芯片级保护。Ledger Recover事件清楚地表明固件问题不是学术性的。无论您选择哪个设备,安全模型只有在您控制种子短语、从受信任的来源购买并验证设备自己屏幕上的每个地址时才能维持。
最好的硬件钱包不是规格表最长的。它是那个您理解并接受其信任假设的钱包。
