作者手记
我曾把九款硬件钱包堆在桌面,几乎放不下。感谢 Wallet Scrutiny、@pcaversaccio、@officer_cia 与 @0xMidnight 提供的无私帮助。下文所有结论均基于实测数据,你可以直接跳到结尾查看最终推荐的快速清单。
为什么另一篇硬件钱包评测仍值得读
过去一年,Radiant Capital 与 Bybit 合计 15 亿美元的黑客事件,都源于签名人未验证究竟「签署了什么」。区块链安全研究员每天都在与高额多签打交道,普通投资者也在用冷钱包保护全部身家。硬件钱包的核心任务只有两个:保密钥、让你看清要签的内容。 任何钱包只要在这两点上掉链子,我们就可以直接淘汰。
到底怎样算一款合格的硬件钱包?
我把评判标准分为「硬杠杠」与「加分项」:
| 必须做到 |
|---|
| 1. 离线保存私钥 |
| 2. 能完整、清晰显示交易 calldata 与消息签名内容 |
| 3. 对于安全研究者:核心代码开源且可复现编译 |
| 有了更好 |
|---|
| 4. 安全芯片等级 ≥ EAL6+ |
| 5. Testnet 支持 |
| 6. haptic 反馈与直观交互,拒绝「按钮疲劳」 |
通用测试方法
所有设备统一:
- 通过 Safe Wallet UI → MetaMask 连接
- 执行一次典型交易
- 签署一份 EIP-712 结构化消息
并记录:是否显示原始 calldata、是否解码参数、哈希字段是否可见、界面交互易用性等。
九大钱包逐一点评
Tangem — 1/10 星
一句话:刷门禁卡式的酷,却看不到要签的内容。
- 优点:便携、即刷即付
- 缺点:闭源、无 testnet、完全不展示 calldata
- 适用:只放几百美元「零食钱」的轻度用户
Cypherock — 3/10 星
一句话:开源加分,但摇杆导航劝退。
- 优点:开源可复现、EAL6+ 安全芯片
- 缺点:无 calldata、摇杆操控容易「点太快」
- 结论:安全研究员请直接跳过
Keystone 3 Pro — 4/10 星
一句话:屏幕够大,却处处缺字段。
- 优点:屏幕触控、二维码离线签名
- 缺点:calldata 断续缺失、无法切到原始字节
- 插件作者已反馈,固件仍在修复中
Trezor Model T — 5/10 星
一句话:经典框架,但安全芯片缺席。
- 优点:开源、显示完整 calldata、支持 testnet
- 缺点:无安全芯片、raw calldata 不易读
- 建议:新用户直接选 Safe 5
Trezor Safe 5 — 7/10 星
一句话:Model T 全面升级版。
- 优点:EAL6+ 芯片、大屏带振动
- 缺点:calldata 无解码、查看起来略绕
- 结论:开源爱好者的首选,尽管验证流程多两步
Ledger Nano X — 6/10 星
一句话:签名哈希出色,calldata 一塌糊涂。
- 优点:显示 domain hash & message hash
- 缺点:双键盲签、闭源、calldata 格式奇葩
- 快闪提醒:Ledger Flex 已全方面超越它
Ledger Flex — 7/10 星
一句话:Nano X 的「大屏 relief」,签名验证更直观。
- 优点:大屏能完整显示哈希、手感出色
- 缺点:calldata 仍使用 Nano X 的「debug contracts」格式
- 建议:如果你能接受闭源,它是 Ledger 家的最优解
Onekey Pro — 7/10 星
一句话:硬件 90 分,开源身份成疑。
- 优点:振动反馈、空口隔离模式、EAL6+
- 缺点:Wallet Scrutiny 未能复现编译、无哈希摘要
- 小结:安全芯片、用户体验无可挑剔;是否闭源看你底线
Grid Lattice Plus — 8/10 星
一句话:最强 calldata 解码,可惜闭源。
- 优点:超大屏、支持嵌套交易、自动解码函数参数
- 缺点:体积大、仅闭源固件、无法查看原始字节
- 应用场景:为家人或同事配备——最不容易「误签」的一款
选购速读指南
| 如果你… | 推荐顺序 |
|---|---|
| 开源洁癖+会看十六进制 | Trezor Safe 5 → Trezor Model T |
| 否认闭源=原罪,但希望易读 | Grid Lattice Plus → Ledger Flex |
| 送礼给父母/女友/合伙人 | Grid Lattice Plus > Ledger Flex |
| 学生党预算卡死 | Trezor Safe 5(一步到位) |
👉 想第一时间收到新款硬件钱包空投和安全研究更新?点此订阅零广告零推销的资讯站。
常见问题 FAQ
Q1:硬件钱包是否真的比手机钱包安全?
A:只要私钥任何时候都不离开物理设备,且你能看到完整 calldata,就远超手机钱包。盲签才是最大风险。
Q2:助记词纸质备份会不会也被盗?
A:用钢板冲孔或钛合金防火盒离线存放,高于纸质防水、防火、防老化等级即可。
Q3:testnet 支持有什么用?
A:允许你在零成本环境中做完整流程演练,确认固件与前端都正常工作,避免主网上点错即万劫不复。
Q4:安全芯片等级越高越好吗?
A:EAL6+ 已能抵御物理侵入,但如果固件闭源,芯片再好也不足以弥补验证盲区。
Q5:二维码离线签名安全吗?
A:只要在始终把硬件钱包处于离线状态,仅通过可见二维码传输待签数据,即可切断网络攻击面。
Q6:万一钱包厂商跑路怎么办?
A:所有主流钱包均支持 BIP-39/44/32 通用助记词,私钥不会与厂商绑定,你可随时把助记词导入其他兼容钱包。
结语:看清你点的每一次「确认」
· 没有完美的硬件钱包,只有与你需求最匹配的方案。
· 盲签≈裸奔,看清你要签的内容才有资格继续下一步。
未来若有新版本固件更正上述缺陷,我会同步更新数据进行下一轮测试。安全是一场马拉松,唯求每一步都算数。