如何使用 Keystone 硬件錢包保護 MetaMask 錢包？

了解集成過程

1. MetaMask 本身不支持通過其內置接口直接連接 Ledger 和 Trezor 之外的硬件錢包。 Keystone 的運作方式有所不同，它充當通過 QR 碼掃描進行通信的安全氣隙簽名設備。

2. 用戶必須安裝 Keystone 移動應用程序或桌面配套應用程序才能離線生成和管理加密密鑰。該設備永遠不會將私鑰暴露給任何連接互聯網的系統。

3. 在設置過程中，Keystone 會生成一個 BIP-39 助記詞並將其專門存儲在其防篡改安全元件中。該短語絕不會通過藍牙、USB 或 Wi-Fi 傳輸。

4. 要將 Keystone 與 MetaMask 鏈接，用戶在 MetaMask 的“連接硬件錢包”流程中發起連接請求，並選擇“Keystone”作為提供程序，這會觸發屏幕上顯示 QR 代碼。

5. Keystone 設備使用攝像頭掃描二維碼，在電子墨水屏幕上直觀地驗證交易詳細信息，並在本地對有效負載進行簽名，然後通過另一個二維碼返回簽名。

分步設置工作流程

1. 從 Apple App Store 或 Google Play Store 下載並安裝官方 Keystone 應用程序。驗證從 keystone.im 下載的桌面版本的校驗和。

2. 打開 Keystone 設備電源，按照入門提示操作，然後在隨附的鋼製備份卡上記下 12 或 24 字恢復短語。切勿以數字方式存儲此信息。

3. 在 MetaMask 中，導航至帳戶詳細信息 > 連接硬件錢包 > 選擇 Keystone > 掃描二維碼。確保 MetaMask 設置為正確的網絡（以太坊主網或兼容的 EVM 鏈）。

4. 將 Keystone 的攝像頭對準 MetaMask 中顯示的 QR 碼。在批准之前直接在 Keystone 的物理屏幕上確認網絡、地址派生路徑和交易意圖。

5. 簽名後，MetaMask 接收公鑰並導出相應的以太坊地址。該地址出現在錢包界面中，可以立即收到資金。

交易簽名機制

1. 每次用戶在 MetaMask 中發起發送、交換或合約交互時，完整的交易對象（包括接收者、金額、數據字段和 Gas 參數）都會被編碼到 QR 碼中。

2. Keystone 對二維碼進行解碼，解析各個字段，並單獨顯示以供人工驗證。不對合約邏輯或代幣標準做出任何假設。

3. 如果交易涉及未知的 ERC-20 代幣或自定義合約，Keystone 將顯示原始字節碼哈希並要求明確確認。

4. 批准後，設備使用其內部 ECDSA 引擎對交易進行簽名，並輸出僅包含 R、S 和 V 簽名組件的新 QR。

5. MetaMask 捕獲該響應，重建簽名交易，並將其廣播到網絡，而無需訪問私鑰。

安全最佳實踐

1. 切勿在多個 MetaMask 配置文件或共享環境中使用相同的 Keystone 設備。每個實例都應被視為唯一的信任邊界。

2. 在 Keystone 操作期間禁用主機上的藍牙和 NFC，以防止側信道洩漏或未經授權的配對嘗試。

3. 在更新之前，定期使用 Keystone GitHub 存儲庫上發布的 SHA-256 哈希值驗證固件完整性。

4. 避免將 Keystone 連接到不受信任的計算機 - 即使沒有私鑰離開設備，惡意軟件也可能在生成 QR 之前操縱顯示的交易字段。

5. 保存原包裝，包括全息印章和序列號標籤，作為正品購買和工廠狀況的證明。

常見問題解答

問：我可以將現有的 MetaMask 助記詞導入 Keystone 嗎？不可以。 Keystone 不接受外部助記符。它僅適用於內部生成的密鑰，以保持氣隙安全保證。

問：Keystone 支持 EIP-1559 交易嗎？是的。該設備完全支持動態費用估算，並在簽名前分別顯示基本費用和優先費用值。

問：如果我丟失了 Keystone 但仍然有恢復短語，會發生什麼情況？您可以使用另一個 Keystone 或兼容的 BIP-39 錢包恢復對資金的訪問，但前提是原始派生路徑與 MetaMask 期望的相符 (m/44'/60'/0'/0)。

問：我可以將 Keystone 與 MetaMask Mobile 一起使用嗎？不直接。 MetaMask Mobile 缺乏基於 QR 的硬件錢包集成。請改用 MetaMask Desktop 和受支持的瀏覽器。