工作原理
Monerujo 是一款面向 Monero(XMR)的非托管 Android 钱包。应用在本地运行 Monero 钱包代码;私有花费密钥和查看密钥都在设备上生成,从不离开设备。它通过远端 Monero 守护进程同步——用户可以选择内置的默认节点或自托管节点——这样设备无需同步整条区块链。安装包通过 Google Play 以及项目自有的 F-Droid 仓库 f-droid.monerujo.io 分发。代码库 m2049r/xmrwallet 采用 Apache-2.0 许可,自 2017 年起在 GitHub 上持续维护。当前版本为 v4.1.7 "Exolix"(2025 年 6 月),内置 Monero Core v0.18.3.4 和应用内兑换集成。值得一提的附加功能包括 Sidekick(v4.0.7 加入的独立手机签名方案)、Ledger Nano S 硬件钱包支持、CrAzYpass 偏移口令以及 OpenAlias 解析。
KYC 与隐私
钱包本身什么都不要。没有邮箱、没有手机号、没有注册、没有账户。密钥、助记词和交易记录都驻留在设备上;备份就是用户从手机里拷出来的一个本地文件。节点连接会暴露常规的远端节点元数据(守护进程能看到某个 IP 查询了哪些 output),因此重视隐私的用户会通过 Orbot 把 Monerujo 走 Tor,或者自己跑节点。内置的 Exolix 兑换被宣传为 "无 KYC",但 Exolix 自身的 AML 逻辑可能会标记某些兑换——这个风险归 Exolix,不归钱包。有一个功能值得脚注说明:PocketChange,它会把一次入账的 output 拆成十份 enote 以便后续花费。Moonstone Research 在 2023 年 9 月 Monero CCS 被盗事件的事后分析 中得出结论,攻击者很可能是启用了 PocketChange 的 Monerujo 用户,因为带十一个 output 的交易特征在网络上很罕见。该功能默认关闭,可以选择不开。
优势与局限
Monerujo 最有力的论据是工程意义上的无聊。八年的发布历史、公开的更新日志、每个周期都积极跟进的 Monero Core,以及一位仍以同一个化名(m2049r)持续提交补丁的维护者。Apache-2.0 意味着如果项目某天停摆,任何人都可以 fork 接手。Sidekick 是一个低调而巧妙的设计:另一台离线手机持有私钥,在线手机仅作为中继。局限也很明显。没有 iOS 版本、没有桌面端、没有浏览器扩展。硬件支持仅限 Ledger Nano S——更新的 Ledger 型号和其他签名硬件并不在列。该应用从未接受过具名第三方安全审计。PocketChange 这件事也说明,即便是出于好意的 UX 捷径,也可能在网络上留下可见的指纹。
总结
2026 年的纯 Android Monero 钱包应该长成的样子,Monerujo 就是范本:表面小、没有服务器问你姓名、通过 F-Droid 升级路径清晰、还有一位仍在持续发版的维护者。隐私上限由 Monero 协议决定,再扣掉几个用户自己选择启用的可选功能。请在 Android 上使用,如果从公开已知地址花费就关掉 PocketChange,并把守护进程走 Tor。评分:A- (8.8/10)。信任:TRUSTED。
八年来由同一个化名维护者持续进行的开源维护,无注册、无托管——那些小瑕疵(没有 iOS、没有正式审计、PocketChange 留下的指纹)更像是诚实而保守的工程取舍,而不是疏忽。如果你把 XMR 放在 Android 手机上,Monerujo 仍是默认之选。评分:A- (8.8/10)。信任:TRUSTED。
