定义:硬件钱包是一类专门用于保管加密资产私钥的物理设备。它的核心安全承诺是——私钥在设备内部生成、在设备内部存储、签名也在设备内部完成,私钥从不以明文形式离开设备。当你需要签一笔交易,主机(电脑/手机)把交易内容传进设备,设备屏幕上显示给你确认,你按下物理按键,设备把签好的交易传回主机,再由主机广播到链上。
它属于 冷钱包 范畴——尽管使用时短暂连接联网主机,但签名的核心动作隔离在专用硬件内。
SE vs MCU 之争
硬件钱包内部芯片大致分两派:SE 派(Secure Element,专门的安全芯片,参见 安全芯片),代表是 Ledger 全系、Keystone Pro;MCU 派(普通通用微控制器+固件防护),代表是早期 Trezor 全系、目前的 Trezor One/Model T。
SE 的优势是抗物理攻击能力强,闪存里直接读取私钥几乎做不到;劣势是固件部分闭源,你只能"信任"Ledger 的实现没有后门。MCU 的优势是固件全开源、社区可审计;劣势是物理拿到设备的攻击者,理论上可以通过侧信道甚至打磨芯片表层读取闪存内容(学术界已有论文证明过)。
哪派更好?看你的威胁模型。如果你担心的是国家级对手物理拿到设备——选 SE;如果你担心的是闭源固件里藏后门——选 MCU。普通用户两个方向的实际损失概率都远低于"输错地址"和"在钓鱼网站签错字",所以选哪派其实差别不大。
我的选购原则
不展开横评(专门写在 《硬件钱包横评》),三条决策原则:第一,看屏幕——签交易时屏幕能不能完整显示收款地址、金额、合约 method,比品牌更重要;第二,看 Air Gap 支持——能用二维码完全断开 USB/蓝牙的方案,比有线方案安全等级高一档;第三,看品牌的官网订购流程——只从官网订购、只接收官方发货、绝对不买二手不买拆封过的(中间人攻击的入口)。
价格倒是其次。把 Ledger Nano S Plus 和 Keystone Pro 拉开看,价差不到一千块,但你要保管的资产很可能是它的几十甚至几百倍。这种事不省。