比特幣硬件錢包絕對安全嗎？

之前對硬件錢包一直有些疑問，最近研究了一下，找到了一些答案。

1. 如何避免錢包留有后門問題？

只能依賴代碼開源，trezor 軟硬件都是開源的；ledger 是只軟件開源，硬件不開源(所以你只能相信它不會做手腳）；國內大多硬件錢包都是不開源或者假開源。

以trezor為例，新買來的錢包都是沒有固件的，需要聯網來下載固件，下載固件的時候，硬件錢包會校驗固件的簽名，防止固件被篡改，固件的公鑰是寫死在硬件錢包上的。

代碼開源的好處是讓大家一起幫助錢包公司檢查代碼有沒有漏洞，同時保證自己不會有后門；也有缺點就是黑客可能更有針對性的對錢包進行破解攻擊。

2. 硬件錢包的安全性如何？

硬件錢包使用時也需要輸入一個PIN碼，如果你的錢包丟了，短時間沒有PIN碼也沒有辦法把幣轉走。

存在硬件錢包PIN碼被破解的情況（目前硬件錢包已將漏洞修復），但前提都是攻擊方拿到了硬件錢包實物本身，如果你的硬件錢包沒有丟失，基本不存在私鑰被泄露的問題。

往錢包里打錢是不需要把錢包插到電腦上的，只有從自己的錢包給別人打錢才需要把錢包插到電腦上。

給別人打錢的過程中，錢包的私鑰是絕不會傳輸到電腦的內存中的，所有計算過程都是在錢包自身的硬件芯片中完成的。

錢包即使插在一臺已經中毒或者被掛馬的電腦上使用，私鑰也基本不會泄露。

硬件錢包的本質就是一個在一個離線環境中生成私鑰/公鑰對的工具，和用一臺永不聯網的電腦來生成私鑰/公鑰對，沒有本質的區別。

3. 未來硬件錢包壞了，或者廠商倒閉了怎么辦?

硬件錢包的本質就是幫你生成了一對公私鑰，同時把它轉化成24個英文單詞構成的助記詞。有了助記詞，你就可以用它來還原出你的公私鑰。所以生成助記詞之后，你需要把助記詞好好的保存。

公私鑰和助記詞之間的映射關系是通用的協議，所以即使你的硬件錢包廠商倒閉，錢包硬件壞掉，也不用擔心，只要你有助記詞，完全可以使用另外一個廠商的硬件錢包把公私鑰還原回來。

4. 從哪里買硬件錢包？

決不要買二手錢包（防止別人做手腳),最好從錢包廠商直郵購買，比如trezor 和 ledger都可以從官網直郵購買。國內淘寶好像有一個coinwallet說是授權代理商，不知道是否真實靠譜，最好還是官網自己購買靠譜一些。

5. 買哪個品牌的錢包？

目前好像推薦的只有兩個牌子 trezor 和 ledger

trezor 是最老的錢包廠商，有 trezor One 和 trezor model T 兩個型號，優點就是軟硬件都開源。pc可以使用，好像手機只有安卓才能用。

ledger 公司的歷史比trezor短一些, 有 ledger nano s 和 ledger nano X 兩個型號，ledger X 優點好像是有藍牙功能，這樣可以在ios手機上使用，同時號稱自己的芯片是專業級的。不足一是硬件不開源，二是液晶屏的像素比較低，rn可能會被誤認為是m。

綜合考慮覺得trezor靠譜一些，在美亞下單買了 trezor model T, 1400+元，大概半個月之后收到。