之前对硬件钱包一直有些疑问,最近研究了一下,找到了一些答案。

1. 如何避免钱包留有后门问题?

只能依赖代码开源,trezor 软硬件都是开源的;ledger 是只软件开源,硬件不开源(所以你只能相信它不会做手脚);国内大多硬件钱包都是不开源或者假开源。

以trezor为例,新买来的钱包都是没有固件的,需要联网来下载固件,下载固件的时候,硬件钱包会校验固件的签名,防止固件被篡改,固件的公钥是写死在硬件钱包上的。

代码开源的好处是让大家一起帮助钱包公司检查代码有没有漏洞,同时保证自己不会有后门;也有缺点就是黑客可能更有针对性的对钱包进行破解攻击。

2. 硬件钱包的安全性如何?

硬件钱包使用时也需要输入一个PIN码,如果你的钱包丢了,短时间没有PIN码也没有办法把币转走。

存在硬件钱包PIN码被破解的情况(目前硬件钱包已将漏洞修复),但前提都是攻击方拿到了硬件钱包实物本身,如果你的硬件钱包没有丢失,基本不存在私钥被泄露的问题。

往钱包里打钱是不需要把钱包插到电脑上的,只有从自己的钱包给别人打钱才需要把钱包插到电脑上。

给别人打钱的过程中,钱包的私钥是绝不会传输到电脑的内存中的,所有计算过程都是在钱包自身的硬件芯片中完成的。

钱包即使插在一台已经中毒或者被挂马的电脑上使用,私钥也基本不会泄露。

硬件钱包的本质就是一个在一个离线环境中生成私钥/公钥对的工具,和用一台永不联网的电脑来生成私钥/公钥对,没有本质的区别。

3. 未来硬件钱包坏了,或者厂商倒闭了怎么办?

硬件钱包的本质就是帮你生成了一对公私钥,同时把它转化成24个英文单词构成的助记词。有了助记词,你就可以用它来还原出你的公私钥。所以生成助记词之后,你需要把助记词好好的保存。

公私钥和助记词之间的映射关系是通用的协议,所以即使你的硬件钱包厂商倒闭,钱包硬件坏掉,也不用担心,只要你有助记词,完全可以使用另外一个厂商的硬件钱包把公私钥还原回来。

4. 从哪里买硬件钱包?

决不要买二手钱包(防止别人做手脚),最好从钱包厂商直邮购买,比如trezor 和 ledger都可以从官网直邮购买。国内淘宝好像有一个coinwallet说是授权代理商,不知道是否真实靠谱,最好还是官网自己购买靠谱一些。

5. 买哪个品牌的钱包?

目前好像推荐的只有两个牌子 trezor 和 ledger

trezor 是最老的钱包厂商,有 trezor One 和 trezor model T 两个型号,优点就是软硬件都开源。pc可以使用,好像手机只有安卓才能用。

ledger 公司的历史比trezor短一些, 有 ledger nano s 和 ledger nano X 两个型号,ledger X 优点好像是有蓝牙功能,这样可以在ios手机上使用,同时号称自己的芯片是专业级的。不足一是硬件不开源,二是液晶屏的像素比较低,rn可能会被误认为是m。

综合考虑觉得trezor靠谱一些,在美亚下单买了 trezor model T, 1400+元,大概半个月之后收到。