Trust Wallet:自托管加密货币和比特币钱包指南
根据 Trust Wallet 2025 年 12 月的年终报告,目前有 2.2 亿用户在使用 Trust Wallet,这将使其成为有史以来用户量最大的非托管加密钱包。然而,该产品也曾经历过一次事件:2023 年,其新推出的浏览器扩展程序使用存在缺陷的随机数生成器生成私钥,导致用户在 10 天内损失了约 25.8 万美元的资金。以上两点均属实,任何客观公正的评测都应包含这两点。
本文解释了Trust Wallet是什么,它的所有者是谁,以及Web3钱包与中心化交易所的区别。文章详细介绍了设置和日常使用方法,并列举了一些导致用户损失的小错误。此外,文章还阐述了在手机上进行自我托管的安全隐患,包括2023年CVE漏洞和2026威胁模型。如果您正在考虑是否下载Trust Wallet,答案是“可以,但需满足一些条件”。
什么是 Trust Wallet?自托管加密钱包基础知识
Trust Wallet 是一款自托管的多链加密货币钱包。自托管意味着控制您数字资产的私钥存储在您的设备上,并在本地加密,绝不会存储在公司服务器上。您使用只有您自己持有的密钥对每笔交易进行签名。即使公司明天倒闭,您仍然可以使用相同的 12 个单词助记词在任何兼容的钱包中访问您的资金,因为其标准(BIP-39)是开放的。
该产品由 Viktor Radchenko 于 2017 年创立,是一款移动优先的以太坊钱包。币安于 2018 年 7 月收购了它;尽管多年来外界猜测不断,但财务条款从未公开,任何其他地方提到的“收购价格”都是虚构的。Radchenko 于 2022 年 3 月卸任 CEO 一职,此后由 Eowyn Chen 领导公司。该公司隶属于币安的整体架构。
目前,该钱包的官方网站声称支持超过 110 条区块链和 3200 多万种数字资产,其 iOS、Android 和 Chrome 浏览器扩展程序于 2022 年 11 月 14 日首次发布。移动应用在 iOS 平台上的评分为 4.7 分(基于约 19.7 万条评论);浏览器扩展程序拥有超过一百万用户,但评分明显较低,为 3.2 分。该钱包的核心库(用于跨链交易签名)托管在 GitHub 上的 trustwallet/wallet-core 仓库中,并且是开源的。但 UI 层、集成以及扩展程序的部分内容并非开源。
此外,还有一种原生代币 TWT(Trust Wallet Token),它是 BNB 链上的 BEP-20 资产。TWT 的初始供应量约为 10 亿枚(约 890 亿枚在 2020 年 BNB 链迁移期间被销毁),目前流通量约为 4.3 亿枚。截至 2025 年底,TWT 的交易价格约为 0.47 美元,市值接近 2.03 亿美元。该代币并非强制持有。即使不持有任何 TWT,您也可以使用该应用多年,而大多数用户也确实如此。
Trust Wallet概览:加密钱包规格
方便快速查阅。资料来源为截至2025年底可获得的最新原始披露信息。
| 规格 | 价值 | 来源 |
|---|---|---|
| 创立 | 2017年,维克托·拉德琴科 | Trust Wallet博客 |
| 已收购 | 2018年7月,币安发布(条款未披露) | 币安公告 |
| 首席执行官 | 陈怡雯(自 2022 年起) | Trust Wallet |
| 自我监护 | 是的(12 字种子,BIP-39) | Trust Wallet 文档 |
| 支撑链 | 110+个区块链 | Trust Wallet,2025年12月 |
| 支持的资产 | 3200万+代币 | Trust Wallet,2025年12月 |
| 用户(官方) | 2.2亿+ | Trust Wallet 2025 年底 |
| iOS 评分 | 评分 4.7 / 5(基于 19.7 万条评论) | App Store |
| Chrome 扩展程序 | 用户超过100万,评分3.2/5 | Chrome 网上应用商店 |
| 钱包费用 | 0美元 | Trust Wallet |
| 内置交换 | 聚合器路由 | Trust Wallet 文档 |
| 开源 | Trust Wallet Core(部分) | github.com/trustwallet/wallet-core |
| 原生代币 | TWT(BNB 链上的 BEP-20) | CoinMarketCap |
如何设置 Trust Wallet 以实现 web3 加密货币的自我托管
设置过程很快,但相关的错误却耗时耗力。以下每个步骤都列出了它所要避免的故障模式。
安装。请使用 iOS App Store 或 Google Play,并确认开发者为“DApps Platform Software Services Ltd”。一些假冒克隆应用曾导致用户误点链接而蒙受损失。官方应用的下载量是验证真伪的最有力工具。
创建钱包并输入助记词。应用程序会显示 12 个单词。对于新用户来说,最常见的损失并非来自黑客攻击,而是错误输入助记词或将其截图存储在 iCloud 或 Google Drive 上。将两份纸质副本分别存放在不同的房间是最经济可靠的备份方式;对于金额较大的账户,金属助记词盘是更好的选择。切勿在网站、Discord 私信或任何虚假的“客服”聊天中输入助记词。官方客服人员绝不会索要助记词。
首次充值时,请先进行小额测试。先发送价值 1 至 5 美元的加密货币。在收款界面选择网络比人们想象的要重要得多。如果将 USDT 发送到为以太坊生成的 USDT 地址,则资金会丢失,因为接收地址仅存在于您选择的链上。
掉期。该应用内置的掉期功能会通过聚合器比较去中心化交易所 (DEX) 的价格并选择合适的交易路径。对于流动性好的交易对,实际成本(点差加聚合器费用)通常在 1% 左右。对于几千美元以上的交易,建议先直接在 Cowswap 或 1inch 上查看汇率。
质押。BNB 和 Cosmos 的质押功能在应用内原生支持;以太坊质押则需要通过 Lido 或 Stader 等合作伙伴进行,因此在质押大量 ETH 之前,请务必阅读合作伙伴条款。Solana 的质押则委托给您选择的验证者。
使用去中心化应用 (dApp)。在 Android 系统上,该应用内置 dApp 浏览器,可连接数千个 Web3 dApp 和 Web3 游戏。iOS 用户可在笔记本电脑上扫描 WalletConnect 二维码,在手机上批准连接;浏览器扩展程序也采用相同的流程。
导入现有钱包。从 MetaMask、Coinbase Wallet 或 Phantom 迁移只需粘贴助记词;导入钱包时,应用会在支持的区块链上生成相同的地址。如果某个代币尚未列出,您还可以通过合约地址添加自定义代币。
我亲眼目睹两位朋友在网络不匹配环节损失了资金。第一次真正转账时,务必谨慎。
2025 年的功能 – 2026:互换、质押、NFT、dApp 和扩展
功能广泛,但不够深入。这里的每个工具都很有用,但没有哪个工具能比得上专业应用。这种取舍正是其卖点所在。
几千美元以内使用Swap还算可以接受。但超过这个金额,点差就会开始显现。直接访问Cowswap、1inch或Matcha通常可以节省30到60个基点,尤其是在超过5000美元的交易中。像USDT和USDC这样的稳定币的聚合定价足够低,可以忽略不计。内置浏览器还允许你直接连接到DeFi协议,无需打开单独的窗口。
BNB(净收益约 3%)、Cosmos ATOM(收益根据验证者不同,约为 15% 至 7%)和 Solana(收益 5% 至 7%)的质押功能均在应用内进行。以太坊的质押则通过流动性质押合作伙伴进行,因此您需要签署他们的智能合约,而无需直接操作原生验证者。您仍然可以自行保管最终获得的代币。
NFT 支持跨链查看。该应用会在一个屏幕上显示您在以太坊、Solana、Polygon、BNB Chain 等平台上的 NFT 收藏,但没有内置的交易平台。要上架或购买 NFT,您需要通过 dapp 浏览器跳转到 OpenSea、Magic Eden 或 Blur 等平台。
法币充值通道通过 Coinbase Pay 和 Binance Pay 运行,此外还有 MoonPay 和 Mercuryo,后两者均支持借记卡。KYC 验证在充值通道进行,而非钱包,因此无需 KYC 验证。从交易所存入加密货币则完全无需充值通道。
这款 Chrome 扩展程序于 2022 年 11 月 14 日发布,支持 EVM 链以及原生比特币和 Solana——MetaMask 默认情况下仍不支持这些链。其 3.2 星评级?主要原因是早期稳定性问题,而非结构性安全缺陷。另一条产品线 SWIFT 于 2024 年 2 月 19 日发布,提供基于密码密钥的账户抽象,旨在服务于首次使用的用户。
Trust Wallet 安全性:2023 年事件及真实威胁模型
大多数官方评测都忽略了这一点。自托管钱包的真正职责只有一个:保护你的私钥免受攻击者的侵害。它在这方面的表现取决于工程实践,而非营销宣传。该产品曾经历过一次重大的公开事件,而该事件的经验教训塑造了其后续的威胁模型。
以下是2023年灾难的简要概述。安全研究人员在2023年3月披露,浏览器扩展程序中用于生成助记词的WebAssembly模块仅使用梅森旋转算法(MT19937)初始化了32位熵。简单来说,该扩展程序并非使用数万亿个可能的助记词,而是仅从大约40亿个助记词中随机选择。此漏洞可被暴力破解。该漏洞被记录为CVE-2023-31290(CVSS 5.9,中等风险)。受影响范围:2022年11月14日至23日期间创建的浏览器扩展程序钱包。不受影响范围:移动钱包以及在此日期之前创建的任何钱包。根据该公司发布的社区更新,约有17万美元被确认盗走,另有约8.8万美元仍处于风险之中,这些资金存在于尚未被迁移的易受攻击的钱包中。该公司已向已确认的受害者进行了赔偿。你会看到一些二级媒体给出的报价高达 88 万美元甚至更高。这些数字与公司自身披露的信息不符,应视为夸大其词。(另一个相关项目 MilkSad 在不同的软件中发现了同样的 MT19937 类缺陷。属于同一系列,但涉及不同的事件。)
教训远比标题描述的要复杂。即使是自托管钱包,也依赖于自身的代码来正确生成随机数,而如果代码出错,你的助记词从创建之初就可能被猜到。审计当然有所帮助。该公司现在列出了更多审计机构:CertiK(2023 年两次)、Kudelski Security(2023 年 9 月)、Salus(2024 年 4 月)以及 Quantstamp 和 Halborn(2025 年)。这些措施都无法追溯保护在“危险的十天”期间创建钱包的用户,但审计频率显然有所提高。
那么,对于普通用户来说,2026 威胁模型究竟是什么样的呢?它包含五个真实的攻击面。网络钓鱼是首要也是最大的攻击面。Discord、Telegram 和 X 上的虚假客服账号会以“解决”问题为幌子索要助记词。客服人员根本不需要助记词。默认情况下,任何此类信息都应视为恶意信息。其次是恶意 dApp 授权:在诈骗合约上签署“Permit”或“setApprovalForAll”交易,就等于授予该合约窃取您代币的权限。内置扫描功能可以检测到已知的模式,但无法检测到新的模式。务必仔细阅读您签署的内容。第三,设备上的剪贴板恶意软件会在复制/粘贴时悄悄地替换目标地址,因此在点击确认之前,请务必检查任何长地址的前六个字符和后六个字符。第四,便捷的 iCloud 或 Google Drive 加密助记词备份增加了云服务提供商的攻击面,这意味着备份密码必须足够强;使用“password123”会解除加密。第五,对设备进行root或越狱会移除应用沙盒,而有意义的余额不应该存在于已被入侵的手机上。就这么简单。
我发现最简洁明了的自保型移动钱包规则其实并不浪漫:手机里只保留你能承受因钓鱼邮件或设备被盗而丢失的金额。其余的都存到硬件钱包里。浏览器扩展程序支持硬件钱包连接,所以你可以使用 Ledger 作为签名器,Trust Wallet 的用户界面作为控制面板。这种折衷方案既保留了多链使用的便利性,又实现了密钥离线存储。
Trust Wallet 的优点、缺点以及适用人群
这款产品究竟是为谁设计的?坦白说:它牺牲了便利性,换来了所有隶属于企业集团的软件钱包都必须面对的妥协。功能全面且完全免费,没错。但它不具备离线设备的稳定性。隐私和安全完全掌握在用户手中。自 2023 年以来,该公司的安全措施有所改进。但最终的责任仍然在于用户。
| 优点 | 缺点 |
|---|---|
| 一个应用内包含 110 多个连锁店 | 移动优先;桌面端和扩展程序的用户体验仍在完善中 |
| 超过 2.2 亿用户——“这是真的应用程序吗?”的担忧最少 | 由币安所有(中心化和监管尾部风险) |
| 无钱包手续费,无需 KYC 认证 | 聚合器路由的互换交易成本约为1%的利差。 |
| GitHub 上的开源核心库 | UI 和集成部分闭源 |
| 强大的移动用户体验 | iOS 取消了应用内 dApp 浏览器功能。 |
| 加密云备份选项 | 云备份增加了一个独立的攻击面。 |
| Native Bitcoin + Solana 扩展 | 2023年CVE事件损害了历史信任 |
那么,哪些人适合使用移动设备呢?移动优先的初学者或中级用户,持有跨链加密货币,更注重便捷性而非笨重的硬件设备。日常消费资金也适合使用移动设备。NFT 收藏、少量 DeFi 头寸、使用 USDT 等稳定币进行跨境转账——所有这些操作在手机上都能轻松完成。
哪些人不适合?任何在一台设备上进行六位数交易的人。任何出于监管或原则原因而避免使用币安的人。任何需要钱包本身内置审计跟踪功能的人(该应用程序不保存审计跟踪,因此您必须自行导出交易记录)。
余额更大,但账户配置相同?无需二选一。搭配硬件钱包使用。
Trust Wallet 与 MetaMask、Coinbase Wallet 及硬件的对比
MetaMask 仍然是 EVM 链的默认浏览器钱包,拥有约 3000 万月活跃用户,但它本身并不支持比特币或 Solana。其移动端用户体验也较弱。Coinbase Wallet 采用相同的自托管模式,但与 Coinbase 交易所的关联性较强,支持的链也较少。Phantom 是 Solana 原生钱包,月活跃用户约 700 万,目前正在扩展支持 ETH 和 BTC。Ledger 和 Trezor 则完全属于另一个类别——密钥离线存储,并搭配软件钱包进行日常操作。根据使用场景,我们给出的合理建议是:这款应用适用于移动端多链交易,MetaMask 适用于桌面 EVM dApp,Phantom 主要用于 Solana 交易,而硬件钱包则适用于任何严肃的交易场景。
对 Trust Wallet 的真实评价
Trust Wallet 的确名副其实。它提供的跨链自保服务比任何竞争对手都多,而且完全免费,并在 2023 年那次令人尴尬的事件后改进了审计流程。但它并不适合将大部分资产集中存储在一部手机上。选择 Trust Wallet 并非是与其他所有钱包服务做选择,而是取决于你想在哪台设备上进行什么操作,以及你想用多少钱来管理这些资产。
首次评估?请将其安装在非工作主力手机上,存入少量加密货币进行测试,并将助记词写在纸上两次。如果金额超过日常现金限额,请将其转移到安全的多链自托管硬件钱包中,并将该应用程序作为日常主力钱包使用。
