硬件钱包设置指南:Ledger、Trezor 及更多
硬件钱包是专门打造的设备,用于在隔离且防篡改的环境中存储加密货币私钥。它们被广泛认为是个人加密货币持有者的最佳安全方案,在对抗数字威胁方面提供强力保护,同时保持相对易用。无论你持有 Bitcoin、Ethereum,还是多样化的数字资产组合,硬件钱包都应是你安全策略的核心组成部分。
本指南将全面对比 2026 年可用的主流硬件钱包,解释其底层技术,并提供通用的设置与安全建议。
硬件钱包如何保护你的加密资产
理解硬件钱包背后的技术,有助于你理解为什么它比软件方案安全得多。
安全元件芯片
大多数现代硬件钱包都集成了 secure element(安全元件)——一种专门设计用于抵御物理与软件攻击的微处理器。安全元件也是信用卡、护照和 SIM 卡所使用的同类技术。
安全元件的关键特性:
- 防篡改:对芯片进行物理检查或探测会破坏已存储的数据
- 侧信道攻击防护:可抵御功耗分析、时序攻击和电磁泄漏攻击
- 认证安全性:许多产品通过 Common Criteria EAL5+ 或 EAL6+ 认证
- 隔离执行:加密操作在安全元件内部完成,防止主机设备访问原始密钥
| Device | Secure Element | Certification |
|---|---|---|
| Ledger Nano S Plus / X | ST33J2M0 | CC EAL5+ |
| Ledger Stax / Flex | ST33K1M5 | CC EAL6+ |
| Trezor Safe 3 / Safe 5 | Infineon Optiga Trust M | CC EAL6+ |
| Coldcard Mk4 | Microchip ATECC608B | Not CC certified |
| D'CENT Biometric | Proprietary | CC EAL5+ |
| Keystone 3 Pro | Microchip ATECC608B | Not CC certified |
注意:早期的 Trezor Model One 和 Model T 并未配备安全元件,而是依赖通用微控制器。较新的 Safe 3 和 Safe 5 型号通过加入 Infineon Optiga 芯片解决了这一点。
交易签名流程
硬件钱包的核心安全模型很直接:
- 配套软件(Ledger Live、Trezor Suite 等)在你的电脑或手机上构建未签名交易
- 未签名交易通过 USB、Bluetooth 或二维码发送到硬件钱包
- 硬件钱包会在其自有可信屏幕上显示交易详情——收款地址、金额、手续费
- 你在设备屏幕上进行物理核验并按键确认
- 安全元件在内部完成交易签名
- 返回给配套软件的只有已签名交易(不是私钥)
- 配套软件将已签名交易广播到网络
该流程确保即使你的电脑已完全被恶意软件攻陷,攻击者也无法:
- 提取你的私钥(私钥从不离开安全元件)
- 在你不知情时篡改交易(你会在设备可信屏幕上核验)
- 在你不在场时签署交易(必须实体按键)
固件与软件架构
硬件钱包运行的是专用固件——为单一目的设计的最小化软件。相比通用设备,这种更小的攻击面是重要优势:
- Ledger:使用名为 BOLOS(Blockchain Open Ledger Operating System)的定制操作系统,运行在安全元件上。不同加密货币应用彼此隔离。
- Trezor:运行开源固件。完整代码库可在 GitHub 公开审计。
- Coldcard:运行专为 Bitcoin 设计的开源固件,基于 MicroPython。
- Keystone:开源固件,重点采用二维码通信。
硬件钱包对比
Ledger 产品线
Ledger 总部位于法国巴黎,按市场份额计算是最大的硬件钱包制造商。
Ledger Nano S Plus($79)
- 仅支持 USB-C 连接(无无线)
- 小尺寸 OLED 屏幕,双按键导航
- 支持 5,500+ 代币
- 应用存储空间 1.5 MB
- 适合:预算有限、希望以最低价格获得 Ledger 安全性的用户
Ledger Nano X($149)
- USB-C + Bluetooth 连接
- 小尺寸 OLED 屏幕,双按键导航
- 支持 5,500+ 代币
- 应用存储空间 2 MB
- 内置电池,可无线使用
- 适合:希望通过 Bluetooth 连接移动设备的用户
Ledger Stax($399)
- 大尺寸弧面 E Ink 触控屏
- USB-C + Bluetooth
- 可自定义锁屏(显示 NFT、图片)
- 高端做工,带磁吸可堆叠
- 适合:追求高端、现代体验的用户
Ledger Flex($249)
- 大尺寸 E Ink 触控屏(比 Stax 小)
- USB-C + Bluetooth
- 以更低价格提供与 Stax 类似功能
- 适合:希望以中等价格获得触控体验的用户
查看分步设置说明,请见我们的 Ledger Setup Guide。
Trezor 产品线
Trezor 于 2014 年开创了硬件钱包品类,总部位于捷克布拉格,并持续坚持开源开发。
Trezor Safe 3($79)
- USB-C 连接
- 小尺寸 OLED 屏幕,双按键
- Infineon Optiga Trust M 安全元件
- 支持 9,000+ 代币
- 开源固件
- 适合:重视开源透明性,同时需要安全元件防护的用户
Trezor Safe 5($169)
- USB-C 连接
- 彩色触控显示屏
- Infineon Optiga Trust M 安全元件
- 触觉反馈
- 支持 9,000+ 代币
- 开源固件
- 适合:希望兼顾 Trezor 开源理念与高端触控体验的用户
Trezor Model One($69)(旧款)
- Micro-USB 连接
- 小尺寸 OLED 屏幕,双按键
- 无安全元件
- 仍受支持,但不建议新购
Trezor Model T($219)(旧款)
- USB-C,彩色触控屏
- 无安全元件(依赖口令保护)
- 仍受支持,但已被 Safe 5 取代
查看分步设置说明,请见我们的 Trezor Setup Guide。
Coldcard Mk4
Coldcard 是由加拿大 Coinkite 打造的 Bitcoin 专用硬件钱包。其毫不妥协的 Bitcoin 定位,深受 Bitcoin 极简主义者和隐私倡导者欢迎。
核心特性:
- 双安全元件(主芯片 ATECC608B + 次级 SE2)
- 通过 microSD 卡实现空气隔离操作(无需 USB 数据)
- 完整 NFC 支持用于 PSBT(Partially Signed Bitcoin Transactions)
- 胁迫 PIN(在物理胁迫下加载诱饵钱包)
- Brick Me PIN(永久销毁设备)
- 登录倒计时与诱导 PIN
- USB 连接可选(可完全空气隔离运行)
- 全开源固件
**适合:**仅持有 Bitcoin,且需要最高安全性、空气隔离及高级隐私功能的用户。
Keystone 3 Pro
Keystone(前身 Cobo Vault)是一款完全空气隔离的硬件钱包,仅通过二维码通信,不提供 USB、Bluetooth 或 NFC 数据连接。
核心特性:
- 4 英寸触控屏
- 仅通过动态二维码通信
- 三重安全元件芯片
- 开源固件
- 支持 Bitcoin、Ethereum 及多条其他链
- 支持 Shamir Backup(SLIP39)
- PCI 防篡改特性
**适合:**希望获得完全空气隔离、无任何电子通信通道的用户。
D'CENT Biometric Wallet
D'CENT 是韩国硬件钱包制造商,提供生物识别认证。
核心特性:
- 内置指纹传感器(无需 PIN)
- Bluetooth 连接,便于移动端使用
- OLED 显示屏
- EAL5+ 认证安全元件
- 支持多条区块链
- 冷钱包 + 应用钱包双模式
完整指南请见 D'CENT Wallet Guide。
**适合:**偏好生物识别而非 PIN,并希望通过 Bluetooth 在移动端使用的用户。
通用硬件钱包设置步骤
无论你选择哪款硬件钱包,设置流程都遵循相同的基础步骤。
第 1 步:从官方渠道购买
仅从以下渠道购买硬件钱包:
- 制造商官网
- 制造商官网列出的授权经销商
不要从 Amazon 第三方卖家、eBay 或其他二级市场购买。被篡改的设备可能看似原厂封装,但内置了攻击者已知的助记词。
第 2 步:验证包装完整性
设备到手后:
- 检查防拆封标识(全息贴纸、密封包装)
- 使用制造商验证工具核对设备序列号或真伪码
- 设备应处于出厂重置状态;如果盒内卡片上已有预配置助记词,说明设备已被篡改
第 3 步:安装配套软件
下载官方配套软件:
- Ledger:从 ledger.com 下载 Ledger Live
- Trezor:从 trezor.io 下载 Trezor Suite
- Coldcard:Sparrow Wallet 或 Electrum
- Keystone:MetaMask、Sparrow 或 Keystone 配套应用
- D'CENT:从官方应用商店下载 D'CENT 应用
在可用时请校验下载校验和,确保软件未被篡改。
第 4 步:初始化设备
连接设备并按照屏幕提示操作:
- 设置 PIN 码(选择唯一且不与其他服务复用的 PIN)
- 设备生成新的助记词(12 或 24 个单词)
- 将助记词认真抄写到附带卡片上
第 5 步:安全记录助记词
这是最关键的一步:
- 写在纸上或官方助记词卡上,绝不要数字化存储
- 字迹清晰并逐词核对
- 设备会要求你确认特定单词,以验证记录正确
- 将助记词存放在安全位置,并与硬件钱包分开保管
第 6 步:创建金属备份
将助记词转录到金属备份(钢板、钛胶囊):
- 可防火灾、洪水和物理老化
- 核对金属备份每个单词与纸质备份完全一致
- 金属备份与纸质备份分开存放在不同地点
第 7 步:测试你的设置
在存入大额资金前:
- 先接收一笔小额测试转账
- 再发送一笔小额测试转账
- 可选:执行完整恢复测试(重置设备、用助记词恢复、验证生成相同地址)
使用 SafeSeed 的 Address Generator 独立验证你的硬件钱包是否从助记词推导出了正确地址。该交叉验证可确保设备固件运行正常。
硬件钱包安全最佳实践
PIN 保护
- 设置强 PIN(不要生日,不要 1234)
- 不同设备支持的 PIN 长度不同(Ledger:4-8 位,Trezor:最多 50 位,Coldcard:4-12 位)
- 多次输入错误后,大多数设备会清除数据或引入逐步增加的等待时间
Passphrase(第 25 个单词)
大多数硬件钱包支持可选 passphrase,可作为加入助记词的“第 25 个单词”。同一助记词配合不同 passphrase,会生成完全不同的钱包。
优势:
- 合理否认:仅助记词可打开资金很少的诱饵钱包
- 防助记词被盗:攻击者还需要 passphrase
- 一套助记词可派生多个隐藏钱包
风险:
- 忘记 passphrase 意味着该钱包资金永久丢失
- passphrase 无法恢复,不会存储在任何地方
- 会增加备份与恢复流程复杂度
固件更新
保持设备固件为最新:
- 更新会修补已知安全漏洞
- 始终通过官方配套软件更新
- 验证固件来源(Ledger 和 Trezor 在更新流程中会验证固件真实性)
- 固件更新通常不会影响助记词,但更新前务必确认你有最新备份
物理安全
- 将设备存放在安全地点(抽屉、保险箱、上锁柜)
- 不要让设备在连接电脑时无人看管
- 在公共场所使用设备时注意周边环境
- 可考虑使用防篡改封袋存放,以便发现设备是否被他人接触
在设备屏幕上核验
设备屏幕是你的可信显示器。请始终:
- 在设备屏幕上核对收款地址,而不是在电脑上
- 在设备屏幕上核对交易金额
- 如果设备屏幕上的地址与你预期不一致,立即拒绝交易
该做法可防御地址替换型恶意软件在配套软件中篡改交易。
硬件钱包对比表
| Feature | Ledger Nano S Plus | Trezor Safe 3 | Coldcard Mk4 | Keystone 3 Pro | D'CENT Bio |
|---|---|---|---|---|---|
| Price | $79 | $79 | $148 | $149 | $119 |
| Secure Element | Yes | Yes | Yes (dual) | Yes (triple) | Yes |
| Open Source | Partial | Yes | Yes | Yes | No |
| Air Gap Option | No | No | Yes (microSD) | Yes (QR only) | No |
| Bluetooth | No | No | No | No | Yes |
| Touchscreen | No | No | No | Yes | No |
| Biometric | No | No | No | Fingerprint (optional) | Yes |
| Bitcoin Only | No | No | Yes | No | No |
| Multi-chain | Yes (5,500+) | Yes (9,000+) | No | Yes (multiple) | Yes (multiple) |
| Mobile Support | Via Nano X/Stax | Via OTG | Limited | QR via app | Bluetooth app |
| Duress Features | No | No | Yes | No | No |
| Shamir Backup | No | Yes | No | Yes | No |
常见硬件钱包错误
错误 1:在电脑上输入助记词
助记词只应在恢复时输入到硬件钱包设备本身。绝不要在电脑、手机、网站或任何软件中输入。凡是在设备之外索要助记词的请求,都是诈骗。
错误 2:忽视设备屏幕
有些用户会习惯性地不看屏幕就确认设备上的交易。这会让可信显示器机制失去意义。务必核对每一笔交易细节。
错误 3:仅使用一个备份位置
把助记词备份放在硬件钱包旁边,意味着一次盗窃、火灾或洪水就能同时毁掉两者。请在多个物理地点保管备份。
错误 4:共享你的 PIN
如果设备被他人物理接触,PIN 是最后防线。不要共享 PIN,即使是家人也不应共享。若出于继承需要,应用密封法律文件单独记录 PIN。
错误 5:不测试恢复流程
许多用户从未测试过通过助记词恢复钱包。这是严重失误。你不希望第一次恢复尝试发生在主设备损坏、且你急需资金的时候。
错误 6:购买非官方设备
非官方卖家的设备可能被预置已知助记词、篡改固件,或植入硬件后门。请始终从制造商或授权经销商购买。
硬件钱包与 DeFi
使用硬件钱包并不意味着你不能参与 DeFi。多数浏览器扩展钱包支持硬件钱包签名:
- 将硬件钱包连接到 MetaMask、Rabby 或类似扩展
- 扩展负责 dApp 连接并构建交易
- 每笔交易都会发送到硬件钱包进行核验与签名
- 你在设备屏幕确认并按键
这样你既能获得基于浏览器的 DeFi 交互便利,又能保留硬件签名安全性。私钥始终不会接触你的电脑。
支持组合:
- Ledger + MetaMask、Rabby 或 Frame
- Trezor + MetaMask、Rabby 或 Trezor Suite 内置 dApp 浏览器
- Keystone + MetaMask(通过二维码)
- Coldcard + Sparrow(Bitcoin-only DeFi,如 Lightning)
FAQ
新手应该买哪款硬件钱包?
对于新手,Ledger Nano S Plus 或 Trezor Safe 3 都是非常好的 $79 选择。两者都具备安全元件防护、广泛的加密货币支持和易用的配套软件。最终通常取决于偏好:Ledger 市场份额更高、集成更多;Trezor 提供完全开源固件。
2023 年数据事件后 Ledger 还安全吗?
2023 年 Ledger Connect Kit 事件影响的是第三方 dApp 使用的 JavaScript 库,而不是 Ledger 设备本身。硬件钱包的安全模型并未被攻破。不过,Ledger 在 2020 年发生的客户数据泄露暴露了用户邮箱和住址,导致定向钓鱼活动增加。设备依然安全;争议点主要在于 Ledger 对客户数据的运营安全。如果你在意这点,可优先考虑 Trezor 的全开源方案或 Coldcard 的最小化数据收集策略。
我需要一直插着硬件钱包吗?
不需要。只有在你主动签名交易或管理账户时才需要连接硬件钱包。你的加密货币存在于区块链上,不在设备里。设备只是保存用于授权交易的密钥。
一台硬件钱包可以管理多种加密货币吗?
可以。现代硬件钱包可通过同一助记词支持数千种加密货币。每种加密货币使用各自的派生路径(BIP-44),因此 Bitcoin、Ethereum 及其他链的私钥都从同一主种子独立派生。例外是 Coldcard,它按设计仅支持 Bitcoin。
如果硬件钱包厂商倒闭怎么办?
你的资金依然安全,因为资金在区块链上,不在设备里。你的助记词遵循 BIP-39 标准,可跨硬件钱包品牌通用。你可以在任何兼容 BIP-39 的设备或软件钱包中恢复钱包。这也是开放标准在加密生态中如此重要的原因之一。
如何更新硬件钱包固件?
将设备连接到其官方配套软件(Ledger Live、Trezor Suite 等),软件会提示可用更新。按屏幕指引操作即可。更新前先确认助记词已备份,尽管更新通常不会影响密钥。配套软件会在更新过程中验证固件真实性。
硬件钱包在被物理接触后会被攻破吗?
在长时间物理接触并配合高级设备的情况下,理论上可对某些硬件钱包型号发起攻击(尤其是不含安全元件的旧型号)。但这需要专业实验室设备、专业知识和大量时间。对绝大多数用户来说,PIN 防护与失败后清除等特性已足以应对物理攻击。若你担心国家级别攻击,请选择具备认证安全元件的设备。
我应该买两台硬件钱包吗?
拥有备用硬件钱包属于便利而非必需,因为助记词可在任意兼容设备上恢复钱包。不过,两台钱包在以下场景很有价值:多重签名设置、主设备故障时可快速接管、或按用途隔离不同钱包。
相关指南
- Ledger Nano Setup Guide — Ledger 分步设置教程
- Trezor Wallet Setup Guide — Trezor 完整设置指南
- D'CENT Wallet Guide — 生物识别硬件钱包深度解析
- Cold Wallet Complete Guide — 更广泛的冷存储策略
- How to Backup Your Crypto Wallet — 助记词备份最佳实践