safety / 物理隔离的安全边界
硬件钱包深度测评
硬件钱包的本质
硬件钱包不是”更安全的软件钱包”。它的核心设计目标只有一个:确保私钥从未离开过安全芯片的物理边界。
所有交易签名操作均在设备内部完成,电脑或手机只负责传递待签名的交易数据,永远无法接触私钥本身。
主流方案对比
| 品牌 | 安全芯片 | 开源程度 | 支持链数 | 供应链验证 | 价格区间 |
|---|---|---|---|---|---|
| Ledger | CC EAL5+ | 闭源固件 | 5500+ | 官方渠道 | $79-$279 |
| Trezor | 无专用芯片 | 全开源 | 1450+ | 官方渠道 | $69-$179 |
| Keystone | EAL5+ | 开源核心 | 55+ | 官网/授权商 | $119-$479 |
| OneKey | SE + CC EAL6+ | 开源 | 70+ | 官网/授权商 | $58-$249 |
核心安全机制
安全元件(Secure Element)
- 独立的安全芯片,与主处理器物理隔离
- 私钥存储于加密存储区,外部无法直接读取
- 具备侧信道攻击防护与故障注入检测
可信显示
- 交易金额、接收地址必须在设备屏幕上人工确认
- 任何要求你在电脑屏幕上”确认”签名的流程都是可疑的
- 钓鱼攻击的核心手段:诱导用户在未核对真实交易数据的情况下签名
恢复流程
- 设备丢失或损坏不影响资产安全
- 使用助记词可在任何兼容设备上恢复钱包
- 恢复过程本身也是攻击面:确保在安全环境中操作
供应链风险
验证清单
- 外包装无拆封痕迹,防伪标签完整
- 首次开机显示官方初始化界面,而非”已预设 PIN 码”
- 设备固件版本与官网最新版本一致
- 恢复助记词时,设备生成的词序与 BIP-39 词库匹配
绝对禁止
- 从第三方卖家购买”已激活”设备
- 使用他人预装的固件
- 将设备连接至不可信电脑进行初始化
使用边界
硬件钱包保护的是私钥不泄露,但它无法保护你:
- 签署恶意合约(你仍然需要自行验证交易内容)
- 被钓鱼网站诱导至错误地址(屏幕显示的是你将要确认的地址)
- 物理胁迫下的操作($5 扳手攻击没有技术解)
结论:硬件钱包是安全架构的必要组件,但不是充分条件。它消除了”私钥被恶意软件窃取”的风险,但将”人为操作失误”的风险暴露得更为彻底。