BIP39: Mnemoniczne słowa kluczowe do tworzenia kopii zapasowej portfela Bitcoin
Około 3,7 miliona bitcoinów znajduje się w portfelach, których nikt nie może otworzyć. To około jedna piąta każdej wybitej monety. Badanie Chainalysis z 2020 roku oszacowało tę liczbę, a analitycy nadal ją podają w 2026 roku, ponieważ liczba ta praktycznie się nie zmienia. Większość tych monet należy do zwykłych ludzi, którzy po prostu zgubili frazę startową. Z drugiej strony, Chainalysis naliczyło 158 000 naruszeń portfeli osobistych w 2025 roku, co pochłonęło około 713 milionów dolarów z około 80 000 ofiar. Dwa tryby awarii. Jeden dokument w centrum obu. BIP39, specyfikacja decydująca o prawdziwym znaczeniu dwunastu lub dwudziestu czterech słów, leży u podstaw tego wszystkiego.
Dlaczego kopie zapasowe BIP39 są ważne w 2026 roku
Nowy portfel wręcza Ci kartkę papieru z dwunastoma słowami i mówi: zapisz je w bezpiecznym miejscu. To, co widzisz, to mnemotechniczna fraza źródłowa BIP39. Traktuj ją dobrze, a stanie się najbezpieczniejszą kopią zapasową, jaką możesz mieć. Traktuj ją niedbale, a zgubisz ją najłatwiej. Przenieś słowa z powrotem do dowolnego kompatybilnego portfela na dowolnym urządzeniu, a Twoje środki wrócą. Strać je, a nie będzie pomocy technicznej.
Skala obu skutków jest teraz mierzalna. Ta kwota 3,7 miliona BTC została zbudowana z monet nietkniętych przez co najmniej pięć lat w portfelach z wczesnej ery i praktycznie nie uległa zmianie. Jeśli chodzi o kradzieże, raport Chainalysis z grudnia 2025 roku dotyczący hakowania odnotował 3,4 miliarda dolarów skradzionych w ciągu roku, z czego 713 milionów dolarów pochodziło ze 158 000 incydentów związanych z portfelami osobistymi. Ten sam raport przypisuje 43,8% strat w portfelach osobistych zhakowanym kluczom prywatnym, co w prostym języku oznacza głównie skradzioną frazę typu seed.
Każdy nowoczesny portfel implementuje BIP39. Ledger, Trezor, MetaMask, Phantom, Trust Wallet, Coinbase Wallet, Exodus, Electrum, Atomic — wszystkie. Interoperacyjność jest sednem tego standardu, ponieważ ziarno wygenerowane w jednym portfelu musi być możliwe do odtworzenia w innym. Zrozumienie, czym właściwie jest BIP39, matematycznie i operacyjnie, jest ważniejsze niż zapamiętanie procesu odzyskiwania danych dowolnej marki.
Czym tak naprawdę jest mnemotechniczna fraza początkowa i lista słów BIP39
Mnemonik BIP39 występuje pod wieloma nazwami. Fraza odzyskiwania. Fraza mnemotechniczna. Kod mnemotechniczny. Zdanie mnemotechniczne. Ziarno portfela. Wszystkie opisują to samo: ciąg słów kodujących te same informacje co surowy klucz kryptograficzny, tylko znacznie trudniejszy do błędnego zapisu. Dwanaście lub dwadzieścia cztery słowa z ustalonej listy 2048 starannie dobranych słów angielskich. „Abandon” znajduje się na pozycji 1. „Zoo” zamyka listę na pozycji 2048. „Satoshi” ukrywa się na pozycji 1532 w środku, co stanowi ukłon w stronę pseudonimowego twórcy Bitcoina.
Marek Palatinus i Pavol Rusnak (Slush Pool, później SatoshiLabs i Trezor) napisali specyfikację 10 września 2013 roku, wspólnie z Aaronem Voisine i Seanem Bowe. Propozycja Ulepszeń Bitcoina nr 39 nigdy oficjalnie nie uzyskała statusu „ostatecznej” w repozytorium BIP. I tak stała się de facto standardem branżowym w ciągu około dwóch lat. Obecnie istnieje dziesięć oficjalnych list słów, każda licząca dokładnie 2048 słów: angielski, japoński, koreański, chiński uproszczony, chiński tradycyjny, hiszpański, francuski, włoski, czeski i portugalski.
Lista słów jest celowo pobłażliwa. Każdy wpis jest jednoznacznie identyfikowany przez pierwsze cztery litery, dzięki czemu „abandon” i „ability” nigdy nie kolidują ze sobą nawet na pierwszy rzut oka, a literówki na końcu frazy nie zakłócają jej. Autorzy wyselekcjonowali pary słów z tym samym czteroliterowym prefiksem, słowa, które były zbyt rzadkie lub archaiczne, oraz oczywiste homofony.
| Pozycja listy słów | Słowo | Notatki |
|---|---|---|
| #1 | opuścić | Pierwsze słowo na liście angielskiej |
| #1,532 | satoshi | Ukłon w stronę pseudonimowego twórcy Bitcoina |
| #2,048 | zoo | Ostatnie słowo na liście angielskiej |
W zestawieniu z kluczem szesnastkowym, który reprezentuje, mnemonik jest krótki, czytelny i możliwy do zapisania na jednej kartce papieru. 256-bitowy klucz prywatny wygląda tak: `4a533d1654b17deecf2a6...`, podczas gdy ten sam klucz, zakodowany jako 24-wyrazowe zarodki BIP39, można odczytać jako dwadzieścia cztery zwykłe angielskie słowa. Oba zawierają tę samą entropię. Tylko jedno z nich można przeczytać na głos partnerowi przez telefon, nie brzmiąc przy tym jak szaleniec.
Generowanie mnemonika: jak BIP39 buduje kod
Generowanie jest krótkie i warto je omówić. Krok pierwszy. Wyciągnij 128 bitów entropii z kryptograficznie bezpiecznego generatora liczb losowych (256 bitów, jeśli chcesz wersję 24-słowną). Krok drugi. Uruchom SHA-256 na tych bitach entropii. Weź pierwsze 4 bity hasha — lub 8 bitów w przypadku 256-bitowym — i dodaj je do swojej entropii. To jest twoja suma kontrolna. Teraz masz 132 bity, czyli 264 bity.
Krok trzeci jest mechaniczny. Podziel bity na 11-bitowe fragmenty. Każdy fragment to liczba od 0 do 2047, która jest bezpośrednio mapowana na listę słów. 132 podzielone przez 11 daje 12 słów. 264 podzielone przez 11 daje 24. Suma kontrolna po cichu wykonuje później większość pracy — podczas przywracania portfel ponownie oblicza SHA-256 i odrzuca wszystkie elementy, które nie przejdą kontroli, więc literówka w ostatnim słowie zazwyczaj pojawia się natychmiast, zamiast po cichu przywracać pusty portfel.
Przestrzeń przeszukiwania metodą brute-force to ta część, o której nikt do końca nie mówi. Fraza 12-wyrazowa ma 2048^12 ≈ 5,4 × 10^39 prawidłowych kombinacji po ograniczeniu sumy kontrolnej. Fraza 24-wyrazowa ma 2048^24 ≈ 3 × 10^79. Wyobraź sobie atakującego w świecie fantasy, który zgaduje 10^18 kluczy na sekundę. W przypadku 128 bitów i tak zajmuje to około 10 biliardów lat. Dla porównania: w obserwowalnym wszechświecie istnieje około 10^80 atomów. Żaden publiczny atak w 2025 roku nie doprowadził do złamania mnemonika BIP39 metodą brute-force. Każda udokumentowana strata wynikała ze skradzionej frazy, nigdy z odgadniętej.
Jeszcze jeden krok, zanim słowa faktycznie cokolwiek odblokują. Mnemonik jest wprowadzany do PBKDF2-HMAC-SHA512, z 2048 iteracjami, z dosłownym ciągiem „mnemonik” połączonym z opcjonalnym hasłem. 512-bitowy wynik to właściwe ziarno. To ziarno jest wykorzystywane przez BIP32 (kolejną warstwę wyżej) do wygenerowania każdego faktycznego klucza prywatnego w portfelu.
Mnemotechnika, ziarno, klucze – trzy różne rzeczy, trzy warstwy. Ten podział sprawia, że hasło może wygenerować zupełnie inny portfel z tych samych dwunastu słów. Zmiana hasła i soli zmienia się, ziarno się zmienia, zmienia się każdy klucz.
BIP39 vs BIP32 vs BIP44: Jak układają się warstwy
Oto początkowy moment grozy. Przywracasz swoje dwanaście poprawnych słów do innego portfela. Nowy portfel pokazuje zerowe saldo. Słowa były w porządku. Ścieżka derywacyjna nie. BIP39, BIP32 i BIP44 to trzy różne propozycje udoskonalenia Bitcoina, które razem przekształcają frazę początkową w rzeczywiste adresy, a każde dwa programy, które nie zgadzają się co do ścieżki, będą po cichu szukać w niewłaściwej gałęzi drzewa.
| Standard | Rok | Stanowisko |
|---|---|---|
| BIP32 | 2012 | Hierarchiczne portfele deterministyczne – zmień jedno nasiono w drzewo kluczy |
| BIP39 | 2013 | Kodowanie mnemoniczne ziarna |
| BIP44 | 2014 | Standardowa ścieżka wyprowadzania: m/44'/coin'/account'/change/index |
Jeśli Twój portfel używa niestandardowej ścieżki (niektóre starsze lub sprzętowe narzędzia tak robią), przywrócenie w innym portfelu nie pokaże niczego, dopóki ręcznie nie ustawisz ścieżki. Słowa nie zostaną utracone. Lista adresów jest po prostu odczytywana z innej gałęzi tego samego drzewa. Warto o tym wiedzieć, zanim wpadniesz w panikę.
12 vs 24 słowa i hasło
Debata na temat 12 czy 24 słów ma charakter głównie akademicki. Dwanaście słów daje 128 bitów entropii, dwadzieścia cztery – 256. Obie liczby absurdalnie wykraczają poza możliwości zastosowania metody brute force, a wersja 128-bitowa to standard AES dla ściśle tajnych danych rządowych USA. Dwadzieścia cztery słowa chronią przed przyszłymi atakami kwantowymi na przestrzeń wyszukiwania; dwanaście nadal nie daje się złamać w obecnych modelach.
Naprawdę interesującą kontrolą jest hasło, czasami nazywane „25. słowem”. Dowolny ciąg znaków, dowolnej długości, jest wmieszany do soli PBKDF2 przed wygenerowaniem ziarna. Inne hasło, inny portfel, te same słowa. To umożliwia unikalną cechę BIP39: wiarygodne zaprzeczenie. Nie ma sposobu na udowodnienie istnienia hasła, ponieważ każde możliwe hasło generuje prawidłowy (choć pusty) portfel. Użytkownik pod przymusem może przekazać dwanaście słów do „fałszywego” portfela przechowującego niewielkie środki, podczas gdy rzeczywiste zasoby są ukryte za hasłem, które tylko on pamięta. Haczyk jest symetryczny. Utrata hasła oznacza, że portfel, który się za nim kryje, znika na zawsze – bez możliwości odzyskania danych i pomocy technicznej.
Prawdziwa kradzież frazy startowej BIP39: czego nauczyły nas lata 2023–2025
Jeśli matematyka jest niezniszczalna, to ludzie wokół niej nie. Ostatnie trzy lata dostarczyły nam podręcznika o sposobach na awarie.
W czerwcu 2023 roku z portfela Atomic Wallet skradziono ponad 100 milionów dolarów z co najmniej 5500 kont użytkowników. Elliptic przypisał tę operację północnokoreańskiej grupie Lazarus. Atomic twierdzi, że atak dotknął mniej niż 0,1% z 5 milionów jego użytkowników. Przyczyna nadal nie została formalnie potwierdzona, ale materiał źródłowy na urządzeniu był ewidentnie naruszony.
14 grudnia 2023 roku pakiet npm „Connect Kit” firmy Ledger został przejęty na około pięć godzin za pomocą tokenu npm należącego do byłego pracownika, który został wyłudzony. Złośliwy kod grupy Angel Drainer został wdrożony w wersjach 1.1.5-1.1.7 i dyskretnie wstrzyknięty do wielu zdecentralizowanych aplikacji EVM. Zanim Ledger wycofał pakiet, wykradziono około 600 000 dolarów. Nie była to wada sprzętowa Ledgera. Było to naruszenie łańcucha dostaw, polegające na zależno-ści JavaScript, która wpływała na portfele użytkowników na innym poziomie.
Przemysłowe wysysanie portfeli trwało do 2024 roku. Raport Scam Sniffer ze stycznia 2025 roku wykazał, że skradziono 494 miliony dolarów za pomocą skryptów wysysających pieniądze, docierając do 332 000 adresów ofiar, przy czym Inferno Drainer miał 40-45% udziału w rynku, a Pink Drainer 28% przed wyjściem z systemu. Wiele z tych ofiar dobrowolnie przekazało frazy początkowe, wprowadzając fałszywe wyskakujące okienka „walidacji portfela”, które wyglądały na typowe dla MetaMask lub Phantom.
Najbardziej osobistym zagrożeniem jest złośliwe oprogramowanie typu „schowek”. Firma Kaspersky ujawniła kampanię „GitVenom” w lutym 2025 roku: około 5 BTC (około 485 000 dolarów) zostało wykradzione przez kod zastępujący schowek, zaszczepiony za pośrednictwem fałszywych repozytoriów GitHub, a ofiary były skoncentrowane w Brazylii, Turcji i Rosji. Odrębny trojan ClipBanker, rozpowszechniany w fałszywym instalatorze Proxifier w 2025 roku, zaatakował ponad 2000 użytkowników Kaspersky, którzy korzystali z BTC, ETH, XMR, DOGE, SOL, TRX, XRP i XTZ – po cichu podmieniając skopiowane adresy na kontrolowane przez atakującego podczas wklejania.
Chainalysis oszacował, że straty w portfelach osobistych na koniec roku wyniosły 713 milionów dolarów w 158 000 incydentach, z czego 43,8% było powiązane z naruszeniem kluczy prywatnych. Kradzież dotyczy głównie fraz początkowych.
Bezpieczna kopia zapasowa portfela Bitcoin BIP39: papier, metal, Shamir
Praktyczna obrona opiera się głównie na fizyce. Papier przetrwa lata pod wpływem atramentu i starannie przechowywanej szafki na dokumenty, ale zapala się w temperaturze około 233°C, a typowy pożar domu osiąga temperaturę 600-1100°C. Kapsuła Cryptosteel, wykonana ze stali nierdzewnej gatunku 303/304, została poddana niezależnym testom termicznym, a dane są czytelne w temperaturze 1350°C. Firma Billfodl używa stali nierdzewnej klasy morskiej o temperaturze około 1400°C, zgodnie z materiałami producenta.
| Metoda | Ciepło | Woda | Notatki |
|---|---|---|---|
| Papier | Spala się w temperaturze ~233°C | Zacieki z tuszu | Najtańszy, wymienny |
| Kapsuła Cryptosteel | Wytrzymuje temperaturę 1350°C | Tak | Niezależny test cieplny |
| Billfodl | Temperatura znamionowa 1400°C | Tak | Ocena sprzedawcy |
| SLIP-39 (Szamir) | Zależy od podłoża | Zależy | Dzieli ziarno na akcje M-of-N |
Poza nośnikiem fizycznym, liczą się dwie opcje strukturalne. Zachowaj dwie geograficznie oddzielone kopie, na wypadek gdyby pożar lub powódź objęły całą lokalizację. Rozważ również Shamir Secret Sharing poprzez SLIP-39, który Trezor wprowadził w Modelu T w sierpniu 2019 roku. SLIP-39 dzieli ziarno na wiele dwudziestowyrazowych udziałów, z których każdy M-of-N wystarcza do odzyskania. Zespół Casa, z kolei, jednoznacznie odrzucił Shamir na rzecz geograficznego multisig jako modelu odzyskiwania. Oba schematy zostały zaprojektowane w celu wyeliminowania problemu pojedynczego punktu awarii, który z definicji występuje w zwykłym BIP39.
Portfele kryptowalut obsługujące BIP39 w 2026 r.
Prawie wszystko obsługuje BIP39, ale interoperacyjność ma swoje granice. Warto wiedzieć, które portfele używają poszczególnych ścieżek pochodnych, zanim założysz, że przywracanie danych będzie czyste.
| Portfel | Więzy | Domyślna ścieżka |
|---|---|---|
| Ledger Nano | BTC, ETH, ponad 5500 aktywów | BIP44 m/44'/moneta'/0' |
| Trezor Model T | BTC, ETH, wiele | Opcja BIP44 / SLIP-39 |
| MetaMaska | EVM | m/44'/60'/0'/0/indeks |
| Fantom | Solana, EVM | m/44'/501'/n'/0' dla SOL |
| Portfel Coinbase | BTC, EVM, SOL | Standardowy BIP44 |
Poza BIP39: klucze dostępu, MPC i ERC-4337
Rok 2025 był pierwszym rokiem, w którym pojawiła się wiarygodna, popularna alternatywa dla BIP39. Coinbase Smart Wallet, oparty na ERC-4337 i kluczach WebAuthn, przekroczył w sierpniu milion kont. W ciągu jednego dnia, 16 sierpnia, podczas wdrażania aplikacji Base, dodano 270 000 kont. Użytkownicy logują się za pomocą Face ID lub odcisku palca, których używają do wszystkich innych płatności, i nigdy nie widzą frazy źródłowej.
Liczba wdrożeń inteligentnych kont ERC-4337 w sieciach Ethereum i warstwie 2 przekroczyła 40 milionów. Łączna liczba operacji użytkowników przekroczyła 100 milionów – około 10-krotny wzrost rok do roku w porównaniu z rokiem 2023. EIP-7702, aktywowany wraz z aktualizacją Pectra w maju 2025 roku, zarejestrował 11 000 autoryzacji EOA na konta inteligentne w ciągu pierwszego tygodnia. Konstrukcja EIP-7702 pozwala zwykłym portfelom zachowywać się jak konta inteligentne na żądanie bez utraty istniejących kluczy. Po stronie infrastruktury, dostawcy portfeli wbudowanych Privy (75 milionów portfeli), Dynamic (ponad 50 milionów) i Web3Auth — obecnie MetaMask Embedded — (20 milionów MAU) opierają się na obliczeniach wielostronnych lub sygnaturach progowych. Użytkownik końcowy nigdy nie posiada ani jednego seeda BIP39.
Nic z tego nie oznacza, że BIP39 zanika; standard ten jest zbyt mocno zakorzeniony. Ledger sprzedał swoje ośmiomilionowe urządzenie w 2025 roku i zwiększył sprzedaż o 31%. To, co się faktycznie dzieje, to wyraźne rozwidlenie. Poziom dla zaawansowanych użytkowników – BIP39 plus portfel sprzętowy i hasło – pozostaje złotym standardem. Tymczasem poziom główny jest po cichu wchłaniany przez hasła i abstrakcyjne konta, zaprojektowane dla osób, które w ogóle nie chcą myśleć o słowach.
Szybkie zasady dla każdego posiadacza nasiona BIP39
Pięć zasad obejmuje większość szkód. Nigdy nie wpisuj słów w żadnym polu tekstowym podłączonym do internetu, ponieważ wyskakujące okienka phishingowe specjalizują się w wyłapywaniu wklejonych treści. Nigdy też nie fotografuj frazy, ponieważ zdjęcia synchronizują się z chmurami, nad którymi nie masz pełnej kontroli. Metal jest lepszy od papieru w przypadku wszystkiego, co zamierzasz przechowywać długoterminowo. Przetestuj przywracanie na innym portfelu, zanim mu zaufasz. A jeśli używasz hasła, przechowuj je fizycznie osobno — ten sam model zagrożenia, inna lokalizacja, nigdy w tej samej szufladzie.
