为什么再做一遍横评
市面上的硬件钱包横评,多数有两个毛病。一是参数表抄了官网就交差,没有半年以上的真实使用记录;二是结论永远是"三款都不错,看个人喜好"——这种话等于没说。
我自己在 2024 年底买了第一台 Ledger Nano X,2025 年春买了 Trezor Safe 3,2025 年夏买了 OneKey Pro。三台设备同时在用,分别绑了不同链上的小额仓位做对照。我也想知道:传得最凶的那些争议,到底有没有影响日常使用?开源到底是道德姿态,还是真能省事?国产做工到底追上来没有?
这篇文章写的是我个人这半年的判断。每一家的优点我会讲,缺点我也敢讲。如果你看完之后觉得有哪个地方判断错了,欢迎写邮件来告诉我,我会更新到正文里。
测评方法 · 我们怎么测的
先把测试条件交代清楚。横评最怕条件不对等,结论就跑偏。
- 购买渠道:三台都从厂家官网下单,不走第三方电商。Ledger 走的是法国官网,Trezor 走的是捷克官网,OneKey 走的是品牌自营商城。包装完整,没有任何二次拆封痕迹(开箱时拍了视频留底)。
- 固件版本:测试期内分别升级到 Ledger 固件 2.3.x、Trezor 固件 2.7.x、OneKey 固件 4.x 系列。新固件出来一周内会跟一次,跟之前会先看官方 changelog。
- 使用周期:连续使用 5 到 7 个月不等,每台设备至少接入主网 30 次以上,签过 10 笔以上交易。
- 测试链:BTC、ETH、SOL、TRON、Polygon 各分配了一小笔资金,每条链在三台钱包上都做过收发。
- 对照环境:MacBook Pro(macOS Sonoma)、ThinkPad(Windows 11)、iPad Air(iPadOS 17)、Android 14 旗舰机一台,各台钱包都至少接入过其中两套环境。
这套条件不能说毫无遗漏,但比"拿出来开个箱、对着官网截图说话"更接近真实使用场景。下面进入正文。
Ledger · 名声最大,争议也最多
Ledger 是这三家里资历最深的。2014 年成立,到 2026 年累计出货量已经报到 700 万台以上。它名声大,但麻烦也最多。
2020 年的那次数据泄露
2020 年 7 月,Ledger 公司一个营销数据库被外泄,约 27 万条客户姓名、邮箱、电话、邮寄地址流出。这件事最直接的后果不是钱被偷 —— 硬件钱包本身没受影响 —— 而是这 27 万人后来收到了大量"Ledger 官方助记词验证"的钓鱼邮件和短信。截至 2026 年初,论坛上仍能找到当年泄露名单里的人,几年后还在被同一波信息骚扰。
这件事 Ledger 公司事后做了道歉和补救,但有一个事实没法挽回:硬件钱包厂家手里的客户清单本身就是高价值靶子,而 Ledger 当年把营销数据和敏感数据混着放在了同一个 SaaS 工具里。我现在依然推荐用一个独立邮箱去注册硬件钱包,原因就是这件事。
2023 年 Recover 服务的争议
2023 年 5 月,Ledger 推出了一项叫 Ledger Recover 的可选服务:用户授权后,设备会把私钥分成三份加密碎片,分别托管在三家第三方机构。社区炸了 —— 因为这意味着固件层面是存在"导出私钥"的路径的,过去 Ledger 一直宣称"私钥不出 Secure Element",这个承诺被部分动摇。
Ledger 的官方解释是:Recover 是选择性开启的可选服务,不开启就完全不影响。但争议的核心从来不是这个 —— 而是"固件层面留了这条路"本身。如果未来某天 Ledger 被政府要求强制开启,怎么办?这个问题 Ledger 官方没有正面回答过。
固件闭源的现实代价
Ledger 的固件至今没有完全开源,Secure Element 部分使用了带 NDA 的芯片。这意味着两件事:第一,社区无法独立验证固件里到底有什么;第二,固件升级出问题时,没有第三方实现可以做对照。
我个人没有因为闭源在日常使用里吃过亏。但每次看到 Ledger 出新固件,我都会先观望一周,看社区有没有翻车反馈。这种"被动等待"的状态,是闭源带来的隐性税。
当前实际安全水平:还可以
说完缺点,得给个公道。Ledger Live 客户端的体验是三家里最成熟的,多链支持广度也是最齐的。Secure Element 芯片本身(CC EAL5+ 认证)抗物理攻击的能力,目前公开记录里没有被破解过。如果你需要的就是一个"日常用着顺手、出厂安全水位不掉队"的硬件钱包,Ledger 仍然在第一梯队。
但我不会把全部仓位都放在它一个上面 —— 这跟它本身关系不大,跟我对任何单一厂家的不信任有关。
Trezor · 全开源,但塑料感劝退过我
Trezor 是这三家里"道德分"最高的。捷克公司 SatoshiLabs 2013 年做出来全球第一台硬件钱包,硬件设计图和固件代码至今完全公开,任何人都能在 GitHub 上看到。
开源到什么程度
Trezor 的开源不是给个 SDK 应付了事。固件、引导程序、PCB 设计、外壳模具尺寸 —— 几乎全公开。社区里有团队基于这套设计自己 DIY 过 Trezor 兼容设备并跑通过主网交易,这是 Ledger 和 OneKey 都做不到的。
开源带来的好处不是"我能看懂代码"(绝大多数人看不懂),而是"出问题时有人能看懂"。2022 年到 2024 年之间,Trezor 固件被研究人员公开报过几次漏洞,每一次都能在公开 issue 里追溯到补丁过程。这种透明,对我这种系统工程师出身的人来说,是真有用的。
Model T 的触摸屏体验
Trezor Safe 3 是这三家里第一个上彩色触摸屏的设备。屏幕 1.54 英寸、240×240 分辨率。输入助记词、确认交易地址都能在屏上直接点,比 Ledger Nano 系列的"两个物理按钮翻字符"舒服很多。
触摸屏带来的一个隐性好处是抗物理键盘记录:你点屏幕的位置每次都不一样(PIN 数字会乱序排列),即便有人在你设备背后偷拍,也很难还原 PIN。
Shamir Backup · 一个被低估的功能
Trezor Safe 3 原生支持 SLIP-39 Shamir Backup,也就是把助记词切成 N 份,需要其中 M 份才能恢复(比如切 5 份,3 份就能恢复)。这跟 Ledger Recover 不同的地方在于:碎片完全由用户自己保管,可以分给家人、放保险箱、埋深山,厂家完全不参与。
这个功能对家庭传承场景特别合适。我自己把一份 Shamir 分片留给了父母(他们不知道这是什么,只知道是我让他们收好的一张纸)。
缺点也得讲
第一是做工。Model T 整机塑料感很重,按键反馈、外壳触感都不如 Ledger 和 OneKey 的金属质感。这不影响安全,但拿在手里就是会怀疑"这玩意儿真值 200 多刀?"
第二是多链支持。原生支持的链比 Ledger 少,部分链需要走第三方钱包(比如 Electrum、MetaMask)做中转,链多了之后体验有点割裂。
第三是 Trezor Suite 客户端的稳定性。我半年里遇到过两次 Suite 卡在"正在同步"界面下不来的情况,最后都是重装解决的。这种小毛病,Ledger Live 上很少出现。
OneKey · 本土化做得最细,生态短板明显
OneKey 是国产品牌,2019 年成立。我接触它比较晚,2025 年夏才买的第一台 OneKey Pro。但用了几个月之后,必须承认它在某些维度上确实做得比海外两家细。
本土化体验
客户端中文翻译质量是三家里最自然的 —— 这不是说翻译"信达雅",而是说它真的考虑了中文用户的使用习惯。Ledger Live 的中文是机翻味很重的"加密资产管理工具",OneKey 直接叫"管理钱包",更接近日常说法。
客服响应也是。Telegram 群里中文提问,国内工作时间内基本 1 小时内会有回应。Ledger 和 Trezor 的官方支持,中文工单往往要等到第二天欧洲时间才有人看。
Air Gap 模式 · 二维码完全离线签名
OneKey 主推的卖点之一是 Air Gap:设备永远不连 USB、永远不连蓝牙,所有交易通过二维码完成。手机端 App 生成未签名交易二维码 → 钱包扫码 → 钱包显示二维码 → 手机扫回 → 广播。私钥从设备出厂到报废,都没有接触过任何有线或无线的网络通道。
这种模式 Keystone 也做,但 OneKey 把它做到了主流产品线里。从风险隔离角度看,这是比"USB 连接的硬件钱包"再高一档的安全水位 —— 代价是签每一笔交易要扫两次码,比插 USB 慢得多。
固件部分开源,部分闭源
OneKey 的态度比 Ledger 透明,比 Trezor 保守。应用层代码在 GitHub 上公开,但 Secure Element 相关部分仍然是闭源的(用的是 Infineon SLE 78 系列)。这意味着 OneKey 的开源程度落在中间档:比 Ledger 好,比 Trezor 差。
缺点也讲清楚
第一是生态。OneKey 的客户端对国内主流链(如 TRON、BNB Chain)支持很到位,但对一些海外冷门链(比如 Cosmos 生态某些项目、Polkadot 平行链)支持不如 Ledger 全。
第二是品牌历史短。2019 年才成立,目前没有经历过一次真正大规模的危机事件考验(不像 Ledger 经历过 2020 数据泄露、Trezor 经历过 2022 钓鱼邮件事件)。"没出过事"不等于"出事时能扛住",这个观察期我个人还想再拉长两三年。
第三是部分用户对国内品牌存在天然的信任门槛。这不是产品本身的问题,但是真实存在的市场反馈。
对比表一 · 硬件配置与价格
以三家当前各自的主力产品做对比:Ledger Nano X、Trezor Safe 3、OneKey Pro。价格按 2026 年 5 月厂家官网定价折算人民币。
| 项目 | Ledger Nano X | Trezor Safe 3 | OneKey Pro |
|---|---|---|---|
| 发布年份 | 2019 | 2018 | 2024(Pro) |
| 安全芯片 | ST33J2M0(EAL5+) | STM32F427(通用 MCU) | Infineon SLE 78(EAL6+) |
| 屏幕 | 0.9 英寸 OLED | 1.54 英寸彩色触屏 | 3.5 英寸彩色触屏 |
| 连接方式 | USB-C / 蓝牙 | USB-C | USB-C / 二维码 Air Gap |
| 电池 | 有(100 mAh) | 无 | 有(可拆卸) |
| Shamir Backup | 不支持 | 原生支持 | 不支持 |
| 开源程度 | 部分开源 | 全开源 | 应用层开源 |
| 多链支持数 | 5500+ 资产 | 1600+ 资产 | 3000+ 资产 |
| 官网价格(人民币) | 约 1300 元 | 约 1450 元 | 约 1700 元 |
这张表只看参数。参数好不等于体验好,下一张表是六维度评分。
对比表二 · 六维度评分
下面这张表是我个人这半年使用下来的主观评分,10 分制。每个维度我都标了打分理由,不是凭印象给数字。
| 维度 | Ledger | Trezor | OneKey | 打分逻辑 |
|---|---|---|---|---|
| 开源程度 | 5 | 10 | 7 | Trezor 全开源,OneKey 应用层开,Ledger 仅 SDK 开 |
| 安全审计 | 8 | 8 | 7 | Ledger SE 经多次第三方审计;Trezor 有公开漏洞修复史;OneKey 公开审计较少 |
| 触摸屏体验 | 3 | 7 | 9 | Ledger Nano X 无触屏;Trezor 屏小;OneKey Pro 屏大且响应灵敏 |
| 多链支持 | 9 | 6 | 8 | Ledger 链最广;OneKey 中文圈主流链覆盖好;Trezor 部分链需第三方 |
| 售后响应 | 6 | 7 | 9 | OneKey 中文客服 1 小时内响应;Trezor 邮件 2-3 天;Ledger 工单流程长 |
| 性价比 | 8 | 7 | 6 | Ledger 价低功能多;OneKey Pro 价偏高但屏好;Trezor Safe 3 中规中矩 |
| 综合 | 6.5 | 7.5 | 7.7 | 差距不大,三家都在 6.5 到 8 分之间 |
看到综合分接近,不要急着下结论。同样是 7.5 分,Trezor 拿在"开源 + 审计透明"上,OneKey 拿在"屏幕 + 售后"上,这是两种完全不同的产品哲学。下一节讲怎么根据自己怕什么来选。
但在那之前,先讲一段真实的翻车记录 —— 这种事光看参数表是看不出来的。
实测段落 · 一次 macOS 上的翻车
2025 年 11 月 14 日下午,我用一台二手 MacBook Pro 接入 Ledger Nano X 准备做一笔小额 ETH 转账。Ledger Live 启动正常,设备解锁正常,但客户端显示 ETH 账户余额为零 —— 而我在区块链浏览器上看链上余额,明明还在。
排查过程拖了大约两小时。先怀疑 Ledger Live 缓存损坏,重装无效;再怀疑设备固件问题,重置后重新导入助记词到一台备用 Trezor 上,链上余额正确显示;最后用 Wireshark 抓包,发现 USB 接口的数据流被系统里一个第三方安全软件(这台二手机器原主人装的 EDR 工具)拦截了 —— 该工具默认对所有 HID 设备的通信做内容审计,把 Ledger 的 APDU 指令当成了可疑流量阻断。
卸载那个 EDR 工具后,Ledger Live 立刻显示正确余额。整个过程没有任何资金风险,但暴露了一个我之前没意识到的问题:硬件钱包在系统层有可疑软件(EDR、网络代理、企业 MDM)的设备上首次接入,可能出现"看起来设备坏了"的假象。从此之后我的建议是:硬件钱包首次接入,永远用一台干净的、自己装系统的设备。二手机器在使用前至少要重装系统。
这件事跟 Ledger 本身没有关系 —— 同样的中间件拦截,换成 Trezor、OneKey 一样会出问题。它说明的是:硬件钱包的安全水位,不止取决于钱包本身,也取决于你接它的那台电脑。
二手电脑、网吧电脑、公司发的带 MDM 的电脑,都不适合做硬件钱包的首次连接。即便交易流程本身是安全的(私钥不出 SE),中间件干扰也会让你怀疑设备出了问题,进而做出错误的应急操作 —— 比如重置设备、重新导入助记词到一台陌生电脑上 —— 这才是真正的风险来源。
怎么选 · 三种用户三种答案
讲完三家的优缺点,到了"那我到底买哪个"的问题。我的回答是 —— 看你最怕什么。
如果你最怕"厂家手里留了后门"
选 Trezor。理由:全开源是这三家里唯一能让你(或社区里懂代码的人)真正去验证"固件里有没有什么我不知道的东西"的产品。Ledger Recover 那种"固件留了一条可选路径"在 Trezor 上不会发生 —— 因为代码摆在那儿,谁都能看。
缺点你要接受:塑料感、客户端偶尔卡顿、多链支持不如另两家全。
如果你最怕"中文客服找不到人、买回来不会用"
选 OneKey。理由:中文文档完整度、客服响应速度、本土主流链支持都是三家里最好的。新手第一台硬件钱包,遇到不懂的能找到人问、能看懂回答,这件事比"开源程度"重要得多。
Air Gap 模式如果你愿意接受签每笔交易扫两次码的麻烦,是这三家里安全水位最高的方案。
缺点你要接受:海外冷门链支持稍弱、品牌历史只有 6 年(相比 Ledger 12 年、Trezor 13 年)。
如果你最怕"我不想折腾,给我个稳的"
选 Ledger。理由:客户端最成熟、多链支持最广、跟主流交易所和 DApp 的兼容性最好。日常使用里你大概率不会遇到任何卡壳。
缺点你要接受:闭源带来的"信任溢价"、2020 数据泄露的历史包袱、Recover 服务带来的固件可疑性。这些事如果你能接受"硬件钱包只是我多重防线里的一环",那 Ledger 仍然好用。
预算允许的话 · 我个人的做法
我自己现在是这样用的:主仓位在 Trezor(搭 Shamir Backup 分给家人),日常小额签名用 Ledger(链多、连得快),新链尝鲜在 OneKey(中文社区更新快)。三台分用,互不重叠。这样做的代价是要管三套助记词、三套备份 —— 不轻,但分散单点故障的好处明显。
如果只买一台,我现在给身边朋友推荐的次序是:技术背景强的选 Trezor,第一次买硬件钱包的选 OneKey,全链需求大的选 Ledger。这个排序我每半年会重新评估一次。
收尾 · 硬件钱包是底线不是上限
写这篇文章的过程里,我反复提醒自己一件事 —— 硬件钱包不是万能的。
它能挡住的,是远程攻击和大多数恶意软件。它挡不住的,是你被骗子诱导亲手签了一笔授权交易、是你把助记词截图发给"客服"、是你在一台被监控的电脑上恢复钱包、是你把硬件钱包丢在出差酒店忘了取走。
三家比来比去,最后能保住钱的不是设备型号,而是使用者的判断力。Ledger 也好、Trezor 也罢、OneKey 也行 —— 任何一台都比"币留在交易所"或"私钥存 iCloud 备忘录"安全一百倍。
所以这篇横评的真实价值,不是帮你挑出"最好的那一台",而是帮你避免在错误的理由下做了错误的决定。比如,因为听人说 Ledger 有"后门"就慌着卖掉再换 Trezor —— 没必要;比如,因为 OneKey 是国产就连看都不看 —— 也没必要。
三家都买不起?买一台 Ledger Nano S Plus 也行(约 600 元)。便宜版本不影响核心安全。最怕的是因为价格纠结半年,钱一直留在交易所 —— 那才是真正的损失。
下一篇我会写《冷钱包 vs 热钱包 · 一张图说清》,把"冷"和"热"的真正含义讲透 —— 你会发现,硬件钱包接上 USB 那一刻,它也可以变成热钱包。