在 Web3 安全领域的激烈角逐中，谁能真正经受住行业资深专家的全面检验？GoPlus —— 专注于 Web3 用户安全的平台 — - 携手六大钱包品牌首创了一场别开生面的硬件钱包测评质询会，SafePal 也作为受邀钱包品牌之一参与了 8 月 12 日晚的 AMA。本次代表 SafePal 出席的是 SafePal 产品一把手 Harry，在 AMA 过程中，Harry 用平实的语言和细致的技术描述带大家深入了解了 SafePal 的产品特点和技术先进性。本文小编将带您详细回顾 SafePal 在这场 AMA 中的精彩发言。

想要直接听语音原版的小伙伴，我们也准备了语音剪辑版，可点此处享用哦！

一：专家质询环节

波动 — — GoPlus 主持人

Harry — — SafePal 产品负责人

波动：那我们就进入到嘉宾自我介绍和项目方的简要介绍的一个阶段。先请我们的 SafePal 的 Harry 来给我们简单介绍一下你和你的产品。

Harry：好的，谢谢主持人。大家好，我是 SafePal 的 Harry。我在 SafePal 负责产品这一块。简单介绍一下 SafePal，SafePal 是 2018 年成立的， 最初 SafePal 开始做的第一款产品就是我们的冷钱包产品。随着冷钱包发布之后，我们陆续又推出了自己的 SafePal APP 软件钱包，还有浏览器插件钱包，包括 TG 的小程序钱包等等不同的钱包产品。

SafePal 在 2018 年，是作为 Binance Labs 第一期被投资孵化的项目之一目前 SafePal 在全球范围内已经有超过 2,000 万的用户。

除了钱包产品，去年我们在 APP 内还推出了离岸瑞士银行开户的功能。用户可以方便地、合规地，把稳定币 USDC 来换成美元、欧元或者离岸人民币等等。同时我们也配合这个银行账户推出了一张 Master 的银行卡，方便用户在全世界各地进行消费。这张卡可以绑定 Apple Pay、Google Pay，也可以绑定国内的微信支付和支付宝等等。简单介绍一下 SafePal，谢谢大家。

波动：好，感谢我们 SafePal 的自我介绍。现在准备进入到我们的核心质询环节。SafePal 请听题。这个问题是，测评显示，你们的 S1 和 S1 Pro 的 Air gap 扫码在复杂的 Defi 中需要多次操作，这个部分被专家认为是牺牲体验去换更高的安全性。我想听听看，Harry，你来怎么回应这个问题。

Harry：首先先简单跟大家分享一下，SafePal 其实目前有三款硬件钱包：SafePal S1、 SafePal S1 Pro 还有 SafePal X1。 S1 和 S1 Pro 都是通过摄像头跟手机互扫二维码来传递这个签名信息的。SafePal X1 是通过蓝牙来传输数据、传递这个签名信息的。

如果用摄像头来扫二维码来传输的话，每一副二维码，可以编码的信息量是固定的，也就意味着，当用户在去做一些链上的，非常复杂的签名逻辑的时候，他签名的内容的信息量就会变得比较大。也就意味着，一副二维码其实是没有办法编码下所有的这些信息并进行传输的。有可能这条信息被拆分成多副二维码。目前我们是进行快速的轮询多副二维码，来方便用户在不移动这个摄像头的情况下连续的扫码，扫到这个信息以后，再组合成一个完整的信息给到硬件钱包来签名。

所以确实是有主持人说的这个问题。我相信所有通过摄像头来扫二维码并传输签名信息内容的硬件钱包，都会存在这样的问题。我觉得这是传输机制带来的这个问题，可能很难通过把它更换成其他传输方式，比如说蓝牙传输方式，去完美地解决这个问题。所以我们在 S1 和 S1 Pro 的这种产品形态下，我们采取的方式就是让多副二维码快速轮询来传输信息。

我个人的建议，如果用户是一个 Holder，是一个钻石手 Diamond hand，不经常做转账或者链上交互的签名的话，通过这个 S1 和 S1 Pro 这种二维码传输的方式，Air gap 的方式是非常好的。这种钱包的这个传输形式，对于这种经常去交互的用户，我们推荐大家去使用 X1 这个型号，因为它是通过蓝牙来传输的，可以实现无论多长的签名内容，都可以秒级的传输，完成这个签名的过程。

波动：这个问题里面，它背后有一个，我觉得也需要回应一下的点。体验丝滑和体验更强的安全性，这两个可能会在现阶段，是有一点点矛盾的两项需求吧。就是在 SafePal 的视角里面，你们会认为哪一项优先级更高？可以来聊两句吗？

Harry：我个人觉得，还是要基于用户自己的需求，我觉得某一部分用户，可能更关注的是，比如说信息传输的安全性。通常大家都会认为，通过射频信号来传输这个签名内容，安全性不如用二维码来传输那么安全。但是实际上，从技术的角度来讲，两种方式都是通过协商加密的方式，硬件钱包和手机 APP 或者是 PC 端先协商出来一个专属于他们双方的一个密钥，再把这个签名的信息进行加密以后传输的，所以从安全等级上，两个都是一样的。

对很多用户来说，大家会觉得射频信号，比如说蓝牙传输，它是在一个开放的环境的，有没有可能会被黑客截获这些信息、去破解。对于这个摄像头二维码传输，大家觉得是一个近距离的，且无论是手机还是硬件钱包，都没有离开我的一个视线范围，大家可能会觉得更加安全一点。

如果一个用户，他是一个不经常去做交互的，那我觉得这样的用户就适合选择这个 S1 。对于有些用户来说，他对技术了解的是比较深入的，他了解这个蓝牙的传输其实安全性上是没有问题的，即使信息被截获，没有两个设备手机和硬件钱包协商，这个密钥也没有办法被解密。对技术了解比较深入的用户，那他签名的频率，硬件钱包的使用频率又比较高，那他就适合去用这个 X1 。

我觉得很难有便捷的操作和安全性上两全其美的方案。我觉得还是需要去找一个比较完美的平衡点。现在 SafePal 钱包帮用户管理的资产已经超过 400 亿美金了。从我们的硬件钱包的销售情况来看，有超过一半的用户，会选择摄像头二维码扫码传输信息的型号。我们也确实在链上看到了很多硬件钱包的用户，他操作这个资金的频率是非常非常低的，那对这部分用户来说，S1 其实是一个不错的选择。

波动：感谢 Harry。那第二个问题我继续给到。那其实你刚提到过你们的这个 X1 型号，在开源性方面呢，我们的测评专家组，有一个特别明显的争议点，所以这个问题是关于这一点的。那 X1 它宣称开源性，但是它的完整度其实是存疑的。那机构的用户为何要信任部分开源的钱包呢，可以来回答一下这个问题吗？

Harry：其实关于开源的完整性这个问题，我们之前就有跟我们社区的用户，尤其是有技术背景的用户深入讨论过。也不妨在这个场合，再次跟大家分享一下。在之前社区里面给我们提问，他们发现我们的业务逻辑其实开源了，但是并没有去开放整个完整的这个构建和编译链。也就是说我们并没有开放，让用户可以快速拿这个源码编译成一个可用的硬件钱包的固件的文档。但是我们所有的业务逻辑和安全相关的逻辑代码都是开源的。也就是说，用户可以根据这些开源的内容验证这些跟安全相关的业务逻辑。

那这里，我们也分享一些思考吧。我们理解的开源文化的核心，不在于完全暴露，而是让一切都可以验证。我相信所有的硬件钱包品牌，它在硬件的底层设计上都已经阻止了外部的固件——无论这个固件是官方的固件还是非官方的固件——在出厂以后再重新被烧录到这个硬件里的能力。也就意味着，即使开放了完整的构建和编译链，让用户可以去直接编译出来一个固件，用户其实也没有办法把这份烧录出来的固件烧录到硬件钱包里去进行验证。

我们之所以没有去开放完整的编译链，就刚才提到了，官方阻止了外部的硬件、固件烧录进去，这个最大的一个作用是防止钓鱼或者植入风险的固件。这是我们一个非常重要的保护用户安全的策略。所以基于上述的这个机制，我觉得并不影响用户对安全逻辑的理解和验证。当然，我们接下来会继续在用户安全代码透明度还有社区协作方面去找到一个更加健康的平衡点。也多提一句，其实不光是 SafePal ，在行业内非常多其他的硬件钱包品牌，也是跟我们一样的策略，比如说 Ledger ，也是这样子的。

波动：感谢 Harry， 刚才这几个问题呢，是来自于专家组的。它更偏向一些技术性，或者需要一定门槛可能才听得懂的一些问题。那下面这个问题就比较特殊了：SafePal 自称是最佳的加密钱包，但是和 Onekey 和 Cool Wallet 相比，你认为哪些具体的功能可以让 SafePal 在就是新人小白用户的视角中脱颖而出？请准备回答这个问题。

Harry：对于一个新人小白用户来说，理解整个钱包的创建逻辑以及完成一个完整的签名流程，是有一些门槛的。相信 99.9% 的用户对传输到硬件签名的内容，跟手机上要去传输的内容是不是一致的这个问题比较关心。

我们做了一个机制，用户在手机端需要去签名的内容，我们会用加密算法把它编码成一个 6 位的数字，用户非常快速能够看懂，当这个信息传到硬件钱包端，硬件钱包端会用相同的一个加密算法，把收到这个信息做一个运算，也会算出来一个 6 位数字。小白用户在看到手机端显示这个数字和硬件钱包端显示这个数字是一样的情况下，就可以放心去签名了。这是我们去做的一些思考。

SafePal 跟其他的硬件钱包也有一点策略上的不一样。我们认为，硬件钱包不应该是一个用户需要花蛮多的钱才能够去拥有的保护自己安全资产安全的产品。而应该是每一个 Crypto User 都有的一个权利。所以 SafePal 的硬件钱包在定价上，其实是非常的亲民的，我们所有的硬件钱包的定价都是 100 美金以内的，甚至我们的 S1 的定价是在 50 美金以内的。

在 SafePal 的 APP 里面经常会看到我们跟其他的项目方去合作赠送硬件钱包的活动。比如说我们跟 Circle 一起送了 15,000 台的钱包；跟 Binance 送了 2,000 台硬件钱包。用户只需要去完成项目方的一些内容，然后自己付一个运费，就可以免费领一个 SafePal 的硬件钱包了。包括最近我们在 APP 里面做的活动，用户只要去完成一个瑞士银行的开户、并且充值 10 美金的 U，就可以来免费领一个 X1 的硬件钱包，只需要去付运费。所以这是我们降低新人去拥有自己的硬件钱包、拥有一个自己可以安全地保管自己资产的权利的思考。

波动：感谢 Harry 的正面回应。我记得测评的时候，有专家对你们一个参数是表示了非常赞同。就是你们的外观低调这件事，所以这个问题同样也问到你，如果要 SafePal 来选的话，你们会倾向于生产长得很像硬件钱包的产品，还是去生产非常的隐蔽的，很像普通卡片的外形的硬件钱包？

Harry：其实坦率的来说，我们的硬件钱包在外观设计的时候，并没有刻意的去把它设计成不那么像硬件钱包。更多的还是从用户的操作交互的便利程度上（去设计）。比如说 X1，就是把所有的数字按键都保留了，原因就是方便用户输密码的时候更快。

有很多 KOL 收到我们的 X1 以后觉得它很像一个老式的计算器这特别有意思。坦率的说，所有的硬件钱包上面都会有自己的 Logo，即使是一个圈外的人，他捡到了一台这样的设备，如果他稍微有心一点拿这个 Logo 上的名字去 Google 一下，相信他也知道这是一个硬件钱包。

二：观众提问环节

观众一：我想问一下 SafePal ，就是刚刚发言嘛，他这个说了一句，他怎么知道 SafePal 用户，这个硬件钱包他用户的使用频率呢？他这个数据是怎么来的呢？这个硬件钱包不是不联网的吗？

Harry：硬件钱包是不联网的，但是手机的 APP 是联网的。硬件钱包在跟这个手机 APP 去配对的过程中，会把公钥传到这个 APP 上，通过这个公钥就可以来去推导出来钱包的地址，所以，有了地址以后，地址在链上的所有的信息是公开的。

观众二：我是想问一下这个几个硬件钱包，关于这个物理的安全性这一块。因为之前我也提过，硬件钱包肯定是希望能够一直使用。比如说在极端的高温，然后在一些，比如说水以及就是磁场的环境下，它是如何保证这个安全性，有没有做过相关的一些测试？另一个问题就是供应链这一块，我想知道各个钱包是如何保证这个供应链，在生产过程中它的安全性的？

Harry：关于第一个问题，我个人觉得还是保管好自己的注记词是重中之重的，即使是这个防护措施再好的一些硬件，遇到一些极端情况下都会出现损坏的情况。硬件钱包坏了没有关系，或者丢了也没有关系，只要你的助记词还在，你的 Pin 码没有泄露，你就可以再买一个硬件钱包用助记词恢复回来。这个是我给到的一些建议。

另外在整个生产的安全上，我这边也分享一个在海外的社区看到的案例。我也不说是哪一个硬件钱包品牌了，就我们看到的，有一些这个作恶者，他买了一些硬件钱包，然后他自己去做了一些硬件钱包的包装盒，重新印了说明书。他把这个硬件钱包拿到以后，去创建一个钱包，设置了密码，然后在这个说明书上印上了这个硬件钱包的密码。这个欺骗性是非常强的。因为对硬件钱包的使用者来说，大概率是他第一次买这个硬件钱包，他是不知道正常这个硬件钱包的包装应该是什么样子。有可能他买到的是这个作恶者或者黑客重新做的一个包装盒，就是伪造的一个包装盒和说明书。

这种攻击下，小白受害者其实挺难去辨别的。SafePal 在这里面去做了几件事。第一件事，是一个激活流程。每一台新的硬件钱包，在连接手机的时候，不光是新的，是只要一台硬件钱包去配对一个手机的话，都会去弹一个提示窗，提示这一台硬件钱包它是否有激活过。如果有激活的话，这台硬件钱包是在什么时间点，几几年几月几号激活的。假设我们的用户遇到这种极端的攻击形式，他一看这个设备在买之前就已经被激活过了，那这个钱包是有问题的。

我们的硬件钱包在出厂给每一台硬件钱包写入 SN 的时候，这个 SN 已经跟这台硬件钱包的指纹信息包括它的加密芯片的 ID 、业务逻辑的 MCU 或者 CPU、独立 ID 、还有它的元器件信息，其实都是绑定过的。当用户收到这台硬件钱包要激活的时候，我们会把这个 SN 和这台硬件上的所有的信息重新比对一下看有没有经过篡改。如果没有被篡改，这台硬件钱包才能够正常被激活，否则是没有办法被激活的。

观众三：我的问题其实跟刚才的提问有一部分有点类似。就是针对硬件钱包这样的一个专用设备，它可能本身就是一个潜在的风险因素。因为从社工角度来说，本来大家不知道你有币，或者说是然后看到你在使用硬件钱包。尤其在币圈，大家都有个共识，就觉得使用硬件钱包的用户资产里面都应该不会少。然后有些人会觉得钱包离开自身也会有点不安全，有的会一直带在身上，然后这一行为有点变相的给自身增加一些额外的风险。比如变成潜在的社工的目标之类的。所以说对这个观点，想问一下各钱包项目方有什么思考？

Harry：确实是有这样的现实问题。首先我觉得用户的安全意识上要有所提升。是否持有一个硬件钱包在很多人那就已经是一个你有没有钱的标签了。我觉得不管是使用硬件钱包还是 APP 钱包还是交易所，都应该尽可能的避免暴露自己的资产保管的地方。不光是不应该去在公共场合场所去炫耀自己的硬件钱包或者资产信息，就是其他的 APP 、软件钱包和交易所的相关的信息也不应该暴露。在中心化交易所，如果你遇到锤子攻击的方式，打开你的手机 APP 看到你交易所有多少钱，让你去转走，其实也没有办法幸免。

观众四：我没有用过这个硬件钱包，然后之前在做交互的时候，因为进过假的官网然后钱包被盗了好多。我想问一下，就各位老板能不能通过这个硬件钱包去解决这个问题的。

Harry：刚才 Onekey 老板分享的这些功能，SafePal 也全部都有。同时，我们还做了一个另外的功能，就是用户在签名之前，让用户提前先去模拟一下，这个签名签完名以后会有一个什么样的后果。这个功能我们现在已经研发差不多了，在测试阶段。过一段时间就会上线，欢迎大家来体验。

观众五：各个官方的硬件钱包是自己生产的还是委托第三方去生产的？比如说委托第三方生产的时候，在那个生产流程中，他会不会被入侵，会不会导致生产的这个设备存在一些这个隐形的一些安全漏洞？

Harry：这个问题非常好。我们其实也深度思考过这个问题。回到刚才提到的社区里面有人问为什么我们的这个完整的编译链并没有开源，只开源了业务和验证的一些逻辑，这也是我们安全方面的考量。如果我们完全开放了，让社区可以自由地去编译一个完整的固件出来，比如说在生产环节，如果有异常的固件被批量烧录到了这个硬件的生产产品里去，是会带来一些系统性风险的。这是其一。

第二呢，刚才也提到了，我们在生产的时候，有一个写 SN 的流程，这个 SN ，其实是跟 SafePal 的后台关联的。在工厂生产的过程中，到了这个环节后，只有拿到 SafePal 后台的许可，他才能往这个硬件钱包里去写一个 SN，同时这个 SN 的码又跟这台硬件的所有硬件指纹信息、各个芯片信息都是一一绑定的。这个环节供应链攻击是没有办法渗透到的。

我们通过这两点，第一，没有办法去编译或者低成本的实现能够写入到 SafePal 硬件里的固件。 第二点是我们在写 SN 的时候，要跟我们的后台的服务器去做很多的一个交互和验证，通过这几个方式来去杜绝在生产环节出问题。

观众六：咱们那个 SafePal ，在用那个蓝牙连接的时候，就是我手机的话，那个把位置信息关闭是用不了的。硬件钱包这么一个私密的东西的话我必须把位置授权给他，然后没有位置授权那是打不开的，我看这个可能就稍微改进一下。

Harry：这个是安卓的硬性限制。你要在开蓝牙去连接外部设备的时候 GPS 必须得打开。所有通过蓝牙连接的硬件钱包，都有这个问题，不光是 SafePal 。这个是安卓的版本的限制。

三：分享感受

波动：最后的最后呢，请嘉宾来用一句话讲一下今天的 Space 的一个感受。

Harry：今天首先特别感谢 Goplus。我觉得在 SafePal 提供的非常多有关安全的保障的产品上其实都有用到 GoPlus 的数据的支持。然后再次感谢今天所有的参与的小伙伴，我觉得无论是对大家学习这个行业的、区块链上的使用经验也好，还是很多听众给了我们钱包厂商非常多特别好的建议，都特别感谢大家。

最后插播一个小广告，今天即使没有领到硬件钱包的小伙伴，如果想要一个免费的硬件钱包，可以下载 SafePal 的 APP，最近我们在做活动，只要你在 APP 里面完成了瑞士银行的开户，做完一个 KYC 并且存 10 U 进来，就可以免费领取一个 SafePal X1 的硬件钱包。

欢迎了解更多关于 SafePal 的信息

SafePal 官方商店：www.safepal.com/zh-cn/store

下载 SafePal App：www.safepal.com/zh-cn/download

SafePal 官方中文 X：https://x.com/SafePalCN

SafePal 网站导航：www.safepal.com/zh-cn/sitemap