硬件钱包的工作原理：保护力与边界

核心思想一句话讲完：私钥在安全芯片内部生成，且永不离开。当你发送比特币时，电脑准备好未签名的交易递给设备；设备在内部完成签名，只把签名递回来。键盘记录器可以录下你敲的每个键，木马可以读走每个文件——都无所谓，因为它们要找的秘密根本不在电脑上。这就是这类设备存在的全部理由，也是任何『丢了会心痛』的仓位的标准配置。

第二根支柱是设备自带的屏幕。电脑上的恶意软件可以显示一个地址、实际替换成另一个——所以钱包会在自己的屏幕上展示真实的收款地址和金额，由你亲手确认。这个习惯是承重墙：在设备上核对，而不是在显示器上。只从原厂或授权渠道购买（被动过手脚的二手设备是有案可查的攻击方式），并设置 PIN——让被偷的设备变成一块镇纸。

接下来是诚实的边界，因为虚假的无敌感本身就是风险。设备保护的是私钥，不是你的判断：如果你批准了一笔恶意交易——比如某个假『空投』的掏空合约——它会尽职尽责地签下去。它也保护不了被你拍过照或在哪里输入过的助记词；那份备份此刻成了最薄弱的一环，现实世界的损失大多发生在那里。它更不会替你隐藏持仓——那是操作纪律的事。硬件钱包 + 只存在于纸上的助记词 + 设备端核对的习惯，三者合起来才覆盖现实的威胁清单；任何单独一项都不够。