一款没有屏幕、没有电池、也不接收软件更新的加密钱包,真能成为存放数字资产的最安全之地吗?Tangem 首席技术官 Andrey Lazutkin 给出的答案是肯定的。在一次长篇专访中,他系统讲解了公司基于卡片的钱包架构、三卡备份方案、 面向 DeFi 的安全防护,以及 Tangem 在监管合规与量子计算风险上的看法。
无屏 Tangem 钱包的安全观
Lazutkin 负责这家瑞士公司整体工程研发。Tangem 推出的是类似银行卡形态的钱包,通过 NFC 与智能手机配对。 卡本身没有屏幕、电池、USB 接口或蓝牙,也不支持固件在线升级。私钥在通过认证的安全芯片内生成并保存,原则上永不出芯片。
在他看来,安全性并不取决于设备上是否有显示屏。每多一个硬件或软件部件——从按键到更新通道——都会放大潜在攻击面。 他强调:“在安全领域,复杂度往往是敌人。”
Tangem 的固件在工厂一次性写入,随后不可修改,公司也就没有能力向已经出厂的卡推送新代码。Lazutkin 认为, 更新机制本身就是一个长期存在的“代码注入入口”,会在多年时间里把用户锁定在厂商的签名密钥、服务器和运营团队之下。
他提到 Ledger “Recover” 事件:这家竞争对手的客服账号曾在一条后被删除的帖子中,被指承认固件一直具备 开启密钥提取功能的可能性。在 Lazutkin 看来,不可变性则从根本上消除了这种“必须信任厂商不会滥用更新通道”的前提。
延伸阅读:Solana 的 ETF 时刻:Bitwise 新申请案后,忽视变得愈发困难
无助记词备份与 DeFi 使用限额
标准版 Tangem 套装包含三张卡,三张卡在各自独立的安全芯片中保存同一个私钥副本,完全取代传统的纸质助记词。 用户可以保留一张作为日常支出使用,其余两张交由律师或亲属保管,用于资产继承。一旦三张卡全部丢失,资金将无法找回。
Lazutkin 把这种后果形容为“真正自我托管”的代价。他援引区块链分析公司 Chainalysis 的统计称, 数百万枚 Bitcoin (BTC) 已被永久遗失,主要原因就是用户对助记词和私钥管理不当。
Tangem 配套 App 会对交易进行模拟,对智能合约进行风险分析,并对疑似诈骗域名进行拦截检查。但 Lazutkin 并不回避其局限, 他指出,复杂的多跳合约调用和钓鱼式前端页面仍有可能绕过筛查。“绝对安全是不存在的。”
新推出的 Smart Gas 功能基于 EIP-7702 标准,允许用户在部分 EVM 网络上用部分 ERC-20 代币(包括 Tether (USDT) 和 USD Coin (USDC))支付网络手续费。 在这一机制下,私钥依然不会离开卡片本身。
监管环境与量子计算风险
针对“无托管钱包监管趋严”的担忧,Lazutkin 表示,Tangem 卡片本身不内置任何合规控制层,也不会向服务器请求“签名许可”。 Tangem 无法远程冻结设备,也无法远程提取私钥。“卡只负责保护私钥,资金由用户自己掌控。”
他预计,监管机构未来仍将主要集中在交易所、法币出入金通道以及支付机构上,而不会直接下探到签名层。 在他看来,如果对经过审计的合规产品施压过度,反而会把用户推向更不透明的工具。
对量子计算的潜在威胁,Lazutkin 认为迁移必须从区块链协议层开始,因为钱包无法决定 Ethereum (ETH)、Solana (SOL) 或 Bitcoin 接受何种签名算法。 目前尚无后量子密码算法被主流采用为日常签名标准,同样的技术迁移未来也会波及银行支付卡、SIM 卡和身份证件。
Lazutkin 面对的问题,其实是整个钱包行业多年来一直在争论的焦点。围绕“要不要屏幕”“是否应由用户保存助记词” 以及“固件是否应当可更新”的争议,在 2023 年 5 月达到一波高峰——当时 Ledger 因用户强烈反对密钥被远程分片备份的可能性, 被迫推迟可选的 Recover 备份服务。
Tangem 的回应,是做一款出厂后永不改变的硬件卡,再配上一款强化安全的移动端 App。在一个因密钥遗失而导致财富蒸发的市场里, 这种“极简硬件 + 不可恢复风险”的组合,正在成为用户权衡的新选项。





