Coldcard 把每一台计算机都视为敌对的——包括你选择信任的那一台。

工作原理

Coldcard 是一台仅支持比特币的硬件签名设备，由位于多伦多的 Coinkite 公司制造，该产品自 2017 年起销售。它只做一件事：生成并守护比特币钱包的私钥，然后在签署交易时从不通过可信数据链路连接到计算机。

整个流程是刻意迂回的。计算机或手机上的只读钱包——Sparrow、Electrum 或 Coldcard 自带的工具——构建一笔 PSBT 格式的未签名交易。该文件通过 microSD 卡、二维码，或在更大的 Coldcard Q 上通过 NFC 传送到 Coldcard。设备在自己的屏幕上显示收款地址和金额，用户用 PIN 码确认，已签名的交易再沿原路返回。主机负责广播，但从不接触助记词。

私钥存放在两枚安全芯片之后，这两枚芯片来自不同厂商，因此攻破一枚芯片并不等于攻破钱包。外壳特意做成透明，以便让物理篡改一望可知。

KYC 与隐私

这里没有账户、没有注册、没有电子邮件，也没有配套的云服务。Coldcard 是一件实物，而非托管服务：一旦到手，没有任何服务器知道它的存在，也没有任何东西可供传唤、冻结或记入日志。设备根本不连接互联网，因此不发送任何遥测数据。

此后，隐私取决于设备如何配对。Coldcard 负责签名；它不决定桌面钱包如何查询网络。把只读钱包指向陌生人 Electrum 服务器的用户，会把自己的地址暴露给那台服务器。把 Coldcard 与自己的比特币节点配对，则能堵上这个缺口。设备本身不收集任何信息；地址隐私的得失，取决于周围的配置。

优势与局限

支持 Coldcard 的最有力理由，是它所假定的威胁模型：每一台计算机都是敌对的，包括拥有者自己的那一台。网络隔离签名、设备上验证以及两枚安全芯片，使远程入侵变得困难，使无声入侵变得可见。在同一家公司之下运营八年，漏洞被公开披露并修复而非掩埋，这是一份有分量的记录。

局限是实实在在的。固件已公开且可复现构建，但以 Commons Clause 许可证分发——可供查阅检视，却并非严格意义上的开源，隐私社区经常提出这一点。过往的披露——2020 年的测试网显示绕过、2020 至 2021 年的多签 xpub 注册缺陷（已在固件 3.2.1 中修复），以及早已停产的 Mk2 上的 PIN 码提取弱点——都已解决，但它们表明这台设备并非无可挑剔。它还只支持比特币，并且比起一挥手即可签名的手机钱包，需要更多的谨慎。

结论

Coldcard 适合把密钥管理当作一门纪律而非一种便利的用户，而会让任何想在几秒内转移资金的人感到沮丧。Commons Clause 许可证和一连串已披露的漏洞是实实在在的保留意见，但没有一项能动摇这台设备的核心承诺——让助记词远离任何联网的机器——而这一承诺已兑现八年。评分: A (9.4/10). 信任: TRUSTED.