Ledger 与 Trezor：哪种硬件钱包是最终选择？ （详细比较）

安全架构差异

1. Ledger 设备采用经过 Common Criteria EAL5+ 标准认证的安全元件 (SE) 芯片，将私钥操作与主微控制器隔离。

2. Trezor 使用在通用 ARM Cortex-M4 微控制器上运行的开源固件，无需专用 SE，而是依赖于软件级隔离和内存保护单元。

3. Ledger 的引导加载程序被锁定并由 Ledger 的私钥签名，防止未经授权的固件安装，除非用户明确启用开发人员模式。

4. Trezor 允许通过引导加载程序模式刷新未签名的固件，从而授予高级用户完全控制权，但会增加供应链或物理篡改风险。

5. 两个平台均经过第三方审核；然而，Ledger 基于 SE 的架构引入了硬件强制边界，而 Trezor 的设计无法在芯片级复制。

支持的加密货币和令牌兼容性

1. Ledger Live 支持 28 个区块链的 5,500 多种资产，包括以太坊、Solana、Cardano、Polkadot 以及所有主要的 ERC-20、BEP-20 和 SPL 代币。

2. Trezor Suite 正式支持 12 个网络中的约 1,800 种货币和代币，对 Aptos、Sui 或 TON 等较新的生态系统的本机支持有限。

3. Ledger 通过其内置仪表板支持 Tezos、Cosmos、Polkadot 和以太坊的直接质押——Trezor 需要外部集成来实现大多数质押功能。

4. Trezor 的开源固件允许社区为利基链开发应用程序，但这些应用程序缺乏官方安全验证，并且被排除在 Trezor Suite 的默认界面之外。

5. Ledger 的专有应用程序商店对每个应用程序强制执行代码签名和沙箱，减少在某些社区 Trezor 端口中观察到的跨应用程序泄漏向量。

用户界面和设备上交互

1. Ledger Nano X 配备蓝牙无线电和带有触觉按钮的 OLED 触摸屏，无需依赖计算机即可进行导航来确认交易。

2. Trezor Model T 采用电容式彩色触摸屏，具有滑动手势和屏幕键盘输入功能，支持直接在设备上输入密码。

3. Ledger Nano S+ 用单个高分辨率单色显示屏和单个确认/取消摇杆开关取代了传统的两按钮界面，简化了验证，同时消除了视觉模糊性。

4. Trezor One 仅依赖于物理按钮按下，没有屏幕渲染——用户在签名之前必须完全依赖主机软件进行数据解释。

5. Ledger Nano X 和 Trezor Model T 都支持 Shamir Backup，但 Ledger 需要自己的专有实现 (SLIP-39)，而 Trezor 原生集成了 SLIP-39，具有更广泛的工具兼容性。

固件透明度和开发模型

1. Trezor 在 MIT 许可证下发布所有固件源代码，允许根据发布的哈希值独立编译和验证二进制文件。

2. Ledger 在限制重新分发和修改的自定义许可证下发布部分固件源——核心加密模块和引导加载程序保持关闭。

3. Trezor 的构建环境可以使用公共存储库中记录的 Docker 容器完全重现。

4. Ledger 的固件签名密钥仅由内部团队持有，不存在供用户从源生成可验证真实二进制文件的公共机制。

5. 社区对 Trezor 固件的贡献经过 GitHub 公开审查； Ledger 不接受外部固件拉取请求，并维护严格的内部 QA 管道。

常见问题解答

问：我可以在不暴露私钥的情况下将 Ledger 设备与 MetaMask 一起使用吗？答：是的。 Ledger 通过 WebUSB 或 Ledger Live Bridge 直接与 MetaMask 集成。在交易签名期间，私钥永远不会离开安全元件。

问：Trezor 是否支持 Bitcoin 的多重签名设置？答：是的。 Trezor Suite 支持本机 P2WSH 和 P2SH-P2WSH 多重签名配置，最多可有 16 个签名者中的 16 个使用 SLIP-39 或 BIP-39 种子。

问：如果 Ledger 停止对特定代币的支持会发生什么？答：即使从 Ledger Live 中删除后，旧版应用程序仍可在设备上正常运行。用户仍然可以使用 Ledger 的开放 SDK 和自定义集成为不受支持的资产签署交易。

问：通过 USB 更新 Trezor 固件安全吗？答：是的。固件更新由 SatoshiLabs 进行加密签名，并在安装前在设备上进行验证。任何主机系统都不能覆盖签名检查。