一張冇屏幕、冇電池、冇軟件更新功能的加密錢包,會唔會反而係最安全的「存幣之地」?瑞士冷錢包商 Tangem 的首席技術總監 Andrey Lazutkin 答案係肯定,並在一場深入訪談中,詳細拆解公司卡式設計、三卡備份機制、DeFi 風險防護,以及對監管同量子計算威脅的立場。
Tangem 無屏幕冷錢包的安全思路
Lazutkin 負責領導這間瑞士公司的工程團隊。Tangem 主打信用卡大小的硬件錢包,透過 NFC 與智能手機配對。卡本身冇屏幕、冇電池、冇 USB 介面、冇藍牙,亦冇可遠端更新的韌體。私鑰在通過認證的安全晶片內生成及保存,永遠唔會離開晶片。
佢認為,安全性唔係來自「一定要有屏幕」。每加一個元件——無論係按鈕、通訊模組,定係更新渠道——都擴大攻擊面。「喺資訊保安世界,複雜通常係敵人。」佢咁總結。
Tangem 的韌體只會喺工廠燒錄,一經出廠就無法修改,公司亦冇渠道為已售出的卡推送新代碼。Lazutkin 指出,任何更新機制,本質上都係一條長期存在的「代碼注入通道」,令用戶多年內都綁死喺廠商的簽章金鑰、伺服器同人手操作之上。
佢提到競爭對手 Ledger 的 Recover 事件:當時該公司支援帳號被指曾在已刪除的帖文中承認,韌體其實一直可以開啟私鑰提取功能。Lazutkin 認為,不可變韌體的設計,正正就係要將這種「信任假設」完全移除。
延伸閱讀:Solana ETF 時刻:Bitwise 新申請令市場更難忽視
無助記詞備份與 DeFi 風險控制
標準 Tangem 套裝內有三張卡,三張卡內各自的安全晶片都保存同一組私鑰副本,用嚟完全取代傳統紙本助記詞。用戶可以將一張當作日常用卡,其餘兩張分別交由律師或家人保管,作遺產安排之用。如果三張卡全部遺失,資產將無法恢復。
Lazutkin 形容,呢個結果係「真正自託管」要付出的代價。佢引用鏈上分析公司 Chainalysis 的估算指,已有數百萬枚 比特幣 (BTC) 永久消失,主要就係因為助記詞同私鑰處理失當。
Tangem 的手機配套應用程式,會做交易模擬、智能合約風險分析同釣魚網域檢測,但佢亦強調,呢啲工具絕稱唔上「萬無一失」。複雜的多跳合約路由,或者設計巧妙的釣魚前端介面,依然可能逃過偵測。「絕對安全係唔存在。」佢直言。
新推出的 Smart Gas 功能,利用 EIP-7702 標準,容許用戶喺支援的 EVM 網絡上,用部分 ERC-20 代幣——包括 Tether (USDT) 同 USD Coin (USDC)——直接支付網絡手續費。Lazutkin 強調,即使用上這類機制,私鑰始終唔會離開卡片。
監管壓力與量子風險
對於愈來愈嚴的「非託管錢包」(unhosted wallets)監管趨勢,Lazutkin 表示,Tangem 卡本身並沒有任何合規控制層,也唔會向伺服器請求「簽名許可」。Tangem 既不能凍結任何裝置,亦唔可以遠端取出用戶私鑰。「卡只係保護私鑰,資金始終由用戶話事。」
佢預期,監管機構主力仍會集中喺交易所、法幣入金通道同支付服務,而唔會直接針對簽名層。佢的推論係:愈係高壓審計同合規要求的產品,愈可能將部分用戶「推向」監管陰影下的工具。
至於量子計算威脅,Lazutkin 指真正的遷移工作必須由底層協議開始,因為決定接受咩簽名算法的,係 以太坊 (ETH)、Solana (SOL) 或比特幣等網絡本身,而唔係錢包。現階段,仍未有後量子簽名算法被採用作日常鏈上簽名標準;一旦遷移啟動,銀行卡、SIM 卡甚至身份證件都會一併受影響。
Lazutkin 被問到的,其實都係硬件錢包圈多年爭論的老問題。關於是否必須有屏幕、是否應該用助記詞、韌體可否更新等爭議,在 2023 年 5 月 Ledger 將其 Recover 備份服務押後推出之後再度升溫——當時用戶強烈反對任何「理論上可提取私鑰」的設計。
Tangem 給出的答案,是一款「出廠後永不改變」的卡式錢包,再配上一個高度加固的手機應用程式。在一個已因私鑰遺失而抹去無數財富的市場裏,這種極端簡化、拒絕更新的設計,就是用戶而家要衡量的取捨。





