BIP39: Мнемонические ключевые слова для резервного копирования биткойн-кошелька
Примерно 3,7 миллиона биткоинов хранятся в кошельках, которые никто не может открыть. Это около пятой части всех когда-либо выпущенных монет. Исследование Chainalysis 2020 года оценило это число, и аналитики продолжают цитировать его и в 2026 году, потому что эта цифра практически не меняется. Большая часть этих монет принадлежит обычным людям, которые просто потеряли сид-фразу. С другой стороны, Chainalysis насчитала 158 000 случаев взлома личных кошельков в 2025 году, в результате чего около 713 миллионов долларов были украдены примерно у 80 000 жертв. Два режима отказа. Один документ лежит в основе обоих. BIP39, спецификация, которая определяет, что на самом деле означают ваши двенадцать или двадцать четыре слова, лежит в основе всего этого.
Почему резервное копирование по протоколу BIP39 важно в 2026 году
Новый кошелек вручает вам лист бумаги с двенадцатью словами и говорит: «Запишите их где-нибудь в надежном месте». Перед вами мнемоническая фраза BIP39. Бережно обращайтесь с ней, и это будет самая надежная резервная копия, которую вы можете хранить. Небрежно обращаетесь с ней, и ее легче всего потерять. Вставьте слова обратно в любой совместимый кошелек на любом устройстве, и ваши средства вернутся. Потеряете — службы поддержки не будет.
Масштаб обоих последствий теперь измерим. Цифра в 3,7 миллиона BTC была получена из монет, не прикасавшихся как минимум пять лет в кошельках ранней эпохи, и она практически не изменилась. Что касается краж, то в отчете Chainalysis за декабрь 2025 года говорится о кражах на сумму 3,4 миллиарда долларов за год, из которых 713 миллионов долларов — в результате 158 000 инцидентов с личными кошельками. В том же отчете 43,8% этих потерь в личных кошельках объясняются компрометацией закрытых ключей, что, говоря простым языком, в основном означает кражу сид-фразы.
Все современные кошельки поддерживают BIP39. Ledger, Trezor, MetaMask, Phantom, Trust Wallet, Coinbase Wallet, Exodus, Electrum, Atomic — все они. Взаимодействие между устройствами — вот что является основной целью стандарта, поскольку сид-фраза, сгенерированная в одном кошельке, должна быть восстанавливаема в другом. Понимание того, что представляет собой BIP39 с математической и операционной точек зрения, важнее, чем запоминание алгоритма восстановления для какого-либо конкретного кошелька.
Что представляют собой мнемоническая фраза и список слов BIP39 на самом деле?
Мнемоническое правило BIP39 известно под многими названиями. Восстановительная фраза. Мнемоническая фраза. Мнемонический код. Мнемоническое предложение. Сид-фраза кошелька. Все они описывают одно и то же: последовательность слов, кодирующих ту же информацию, что и исходный криптографический ключ, только гораздо сложнее неправильно записать. Двенадцать или двадцать четыре слова из фиксированного списка из 2048 тщательно отобранных английских слов. «Abandon» находится на первой позиции. «Zoo» замыкает список на 2048-й позиции. «Satoshi» скрывается на 1532-й позиции посередине, небольшой намек на псевдонимного создателя Биткойна.
Марек Палатинус и Павол Руснак (Slush Pool, позже SatoshiLabs и Trezor) написали спецификацию 10 сентября 2013 года вместе с Аароном Войзином и Шоном Боу. Предложение по улучшению Bitcoin (BIP) № 39 так и не получило официального статуса «Финальный» в репозитории BIP. Тем не менее, оно стало де-факто стандартом в отрасли примерно через два года. Сегодня существует десять официальных списков слов, каждый ровно по 2048 слов: английский, японский, корейский, упрощенный китайский, традиционный китайский, испанский, французский, итальянский, чешский, португальский.
Список слов намеренно составлен снисходительно. Каждая запись однозначно идентифицируется по первым четырем буквам, поэтому слова «abandon» и «ability» никогда не пересекаются даже при беглом взгляде, а опечатки в конце фразы не нарушают ее целостность. Авторы отобрали пары слов, имеющих общий четырехбуквенный префикс, слишком редкие или архаичные слова, а также очевидные омофоны.
| позиция в списке слов | Слово | Примечания |
|---|---|---|
| #1 | покидать | Первое слово в английском списке |
| #1,532 | сатоши | Приветствие анонимному создателю Биткойна. |
| #2048 | зоопарк | Последнее слово в английском списке |
В сравнении с соответствующим шестнадцатеричным ключом, мнемоническое правило короткое, легко считывается и записывается на одном листе бумаги. 256-битный закрытый ключ выглядит как `4a533d1654b17deecf2a6...`, в то время как тот же ключ, закодированный как 24-словное начальное значение BIP39, читается как двадцать четыре обычных английских слова. Оба содержат одинаковую энтропию. Только одно из них можно прочитать вслух собеседнику по телефону, не показавшись сумасшедшим.
Создание мнемонического правила: как BIP39 создает код
Процесс генерации короткий и заслуживает подробного рассмотрения. Шаг первый. Извлеките 128 бит энтропии из криптографически защищенного генератора случайных чисел (256 бит, если вам нужна версия на 24 слова). Шаг второй. Примените SHA-256 к этим битам энтропии. Возьмите первые 4 бита хеша — или 8 бит, в случае 256 бит — и добавьте их к вашей энтропии. Это ваша контрольная сумма. Теперь у вас есть 132 бита, или 264 бита.
Третий шаг — механический. Разделите биты на 11-битные блоки. Каждый блок — это число от 0 до 2047, которое напрямую соответствует списку слов. 132, разделенное на 11, дает 12 слов. 264, разделенное на 11, дает 24. Контрольная сумма незаметно выполняет основную работу позже — при восстановлении кошелек пересчитывает SHA-256 и отклоняет все, что не проходит проверку, поэтому опечатка в последнем слове обычно проявляется сразу, а не приводит к незаметному восстановлению пустого кошелька.
Пространство поиска методом перебора — это та часть, о которой никто толком не говорит. Фраза из 12 слов имеет 2048¹² ≈ 5,4 × 10³⁹ допустимых комбинаций после проверки контрольной суммы. Фраза из 24 слов имеет 2048²⁴ ≈ 3 × 10⁷⁹. Представьте себе фантастического злоумышленника, угадывающего 10¹⁸ ключей в секунду. В случае 128-битной фразы это займет около 10¹⁸ лет. Для сравнения: в наблюдаемой Вселенной существует около 10⁸⁰ атомов. Ни одна публичная атака в 2025 году никогда не осуществляла перебор мнемоники BIP39. Все задокументированные потери были связаны с украденной фразой, а не с угадываемой.
Ещё один шаг, прежде чем слова действительно что-либо откроют. Мнемоника передаётся в PBKDF2-HMAC-SHA512 с 2048 итерациями, при этом в неё добавляется литеральная строка "mnemonic", дополненная необязательной парольной фразой. 512-битный результат — это собственно сид. Именно этот сид используется BIP32 (следующим уровнем) для получения каждого фактического закрытого ключа в кошельке.
Мнемоническое правило, сид, ключи — три разных вещи, три уровня. Именно это разделение объясняет, почему кодовая фраза может создать совершенно другой кошелек из тех же двенадцати слов. Измените кодовую фразу, и соль изменится, сид изменится, каждый ключ изменится.
BIP39 против BIP32 против BIP44: как располагаются слои
Вот тот самый момент ужаса для начинающих. Вы восстанавливаете свои двенадцать правильных слов в другом кошельке. В новом кошельке отображается нулевой баланс. Слова были в порядке. Путь деривации был неправильным. BIP39, BIP32 и BIP44 — это три разных предложения по улучшению биткоина, которые вместе преобразуют вашу сид-фразу в реальные адреса, и любые две программы, которые расходятся во мнениях относительно пути, будут незаметно искать в неправильной ветви дерева.
| Стандарт | Год | Работа |
|---|---|---|
| БИП32 | 2012 | Иерархические детерминированные кошельки — превращают одно семя в дерево ключей. |
| БИП39 | 2013 | Мнемоническое кодирование семени |
| БИП44 | 2014 | Стандартный путь вывода: m/44'/coin'/account'/change/index |
Если ваш кошелек использует нестандартный путь (некоторые старые или специфичные для оборудования инструменты так делают), восстановление в другом кошельке ничего не покажет, пока вы вручную не зададите путь. Слова не теряются. Список адресов просто считывается из другой ветви того же дерева. Стоит знать об этом, прежде чем паниковать.
12 против 24 слов и кодовая фраза
Дискуссия о том, что лучше — 12 или 24 слова, — носит преимущественно академический характер. Двенадцать слов дают 128 бит энтропии, двадцать четыре — 256. Оба числа абсурдно выходят за рамки любой осуществимой переборки, а 128-битная версия является стандартом AES для совершенно секретных данных правительства США. Двадцать четыре слова защищают от будущих квантовых атак на пространство поиска; двенадцать по-прежнему не позволяют взломать его в рамках существующих моделей.
По-настоящему интересным элементом контроля является кодовая фраза, которую иногда называют «25-м словом». Любая выбранная вами строка, любой длины, добавляется в соль PBKDF2 перед вычислением начального значения. Разная кодовая фраза, разный кошелек, одни и те же слова. Это обеспечивает уникальную для BIP39 функцию: правдоподобное отрицание. Доказать существование кодовой фразы невозможно, поскольку каждая возможная кодовая фраза создает действительный (хотя и пустой) кошелек. Пользователь, находящийся под принуждением, может передать двенадцать слов в «подставной» кошелек, хранящий небольшие средства, в то время как реальные активы находятся за кодовой фразой, которую помнит только он. Подвох симметричен. Потеряете кодовую фразу, и кошелек за ней исчезнет навсегда — ни восстановления, ни службы поддержки.
Реальная кража седи-фразы BIP39: чему нас научили 2023-2025 годы
Если математика нерушима, то люди, окружающие её, – нет. Последние три года стали образцом типичных ошибок.
В июне 2023 года из Atomic Wallet было выведено более 100 миллионов долларов как минимум с 5500 учетных записей пользователей. Компания Elliptic приписала операцию северокорейской группировке Lazarus Group. Atomic утверждала, что пострадало менее 0,1% из 5 миллионов ее пользователей. Первопричина до сих пор официально не подтверждена, но очевидно, что сид-фраза на устройствах была скомпрометирована.
14 декабря 2023 года npm-пакет "Connect Kit" компании Ledger был взломан примерно на пять часов с помощью фишинговой атаки, в результате которой был украден npm-токен бывшего сотрудника. Вредоносный код от группы Angel Drainer был внедрен в версии 1.1.5-1.1.7 и незаметно внедрен во многие децентрализованные приложения EVM. До удаления пакета было украдено около 600 000 долларов. Это не было ошибкой в аппаратном обеспечении Ledger. Это был компромисс в цепочке поставок зависимости JavaScript, которая затронула кошельки пользователей на другом уровне.
Масштабные схемы по выкачиванию денег из кошельков продолжались и в 2024 году. В отчете Scam Sniffer за январь 2025 года подсчитано, что с помощью скриптов для выкачивания денег было украдено 494 миллиона долларов, при этом пострадали 332 000 адресов жертв, а Inferno Drainer занимал 40-45% рынка, а Pink Drainer — 28% до своего закрытия. Многие из этих жертв добровольно вводили сид-фразы в поддельные всплывающие окна «проверки кошелька», которые выглядели как встроенные в MetaMask или Phantom.
Наиболее опасная угроза — это вредоносное ПО, использующее буфер обмена. В феврале 2025 года компания Kaspersky раскрыла информацию о кампании "GitVenom": с помощью кода, заменяющего буфер обмена и распространяемого через поддельные репозитории GitHub, было похищено около 5 BTC (примерно 485 000 долларов США), при этом жертвы были сосредоточены в Бразилии, Турции и России. Отдельный троян ClipBanker, распространяемый в 2025 году в составе поддельного установщика Proxifier, поразил более 2000 пользователей Kaspersky, использующих BTC, ETH, XMR, DOGE, SOL, TRX, XRP и XTZ, незаметно заменяя скопированные адреса на адреса, контролируемые злоумышленником, во время вставки.
По данным Chainalysis, к концу года потери личных кошельков составили 713 миллионов долларов в результате 158 000 инцидентов, при этом 43,8% из них связаны с компрометацией закрытых ключей. В подавляющем большинстве случаев это кража сид-фраз.
Надежное резервное копирование биткоин-кошелька BIP39: бумага, металл, Shamir
Практическая защита в основном физическая. Бумага выдерживает чернила и аккуратное хранение в картотеке годами, но она воспламеняется при температуре около 233°C, а типичный пожар в доме достигает 600-1100°C. Капсула Cryptosteel, изготовленная из нержавеющей стали марки 303/304, прошла независимые термотесты, результаты которых читаются при 1350°C. Компания Billfodl использует нержавеющую сталь морского класса, рассчитанную примерно на 1400°C, согласно данным производителя.
| Метод | Нагревать | Вода | Примечания |
|---|---|---|---|
| Бумага | Ожоги ~233°C | Потеки чернил | Самый дешевый, заменяемый |
| Криптостальная капсула | Выдерживает температуру 1350°C | Да | Независимый термотест |
| Биллфодл | Рассчитан на температуру 1400°C. | Да | Рейтинг поставщика |
| SLIP-39 (Шамир) | Зависит от субстрата | Зависит от | Разделяет посевные акции на акции M из N. |
Помимо физического носителя, важны два структурных решения. Необходимо хранить две географически разнесенные копии на случай, если пожар или наводнение полностью уничтожат одно из мест хранения. Также следует рассмотреть метод разделения секрета Шамира с помощью SLIP-39, который Trezor запустил на Model T в августе 2019 года. SLIP-39 разделяет сид-фразу на несколько двадцатисловных частей, для восстановления которых достаточно M из N. Команда Casa, напротив, категорически отвергла метод Шамира в пользу географической мультиподписи в качестве модели восстановления. Обе схемы разработаны для устранения проблемы единой точки отказа, присущей обычному BIP39 по определению.
Криптовалютные кошельки, поддерживающие BIP39 в 2026 году
Практически все поддерживают BIP39, но совместимость имеет свои нюансы. Стоит знать, какие кошельки используют какие пути деривации, прежде чем предполагать, что восстановление будет корректным.
| Кошелек | Цепи | Путь по умолчанию |
|---|---|---|
| Ledger Nano | BTC, ETH, более 5500 активов | BIP44 м/44'/монета'/0' |
| Трезор Модель Т | BTC, ETH, много | Вариант BIP44 / SLIP-39 |
| МетаМаск | EVM | м/44'/60'/0'/0/индекс |
| Фантом | Солана, EVM | м/44'/501'/н'/0' для СОЛ |
| Кошелек Coinbase | BTC, EVM, SOL | Стандарт BIP44 |
Помимо BIP39: пароли, MPC и ERC-4337
2025 год стал первым годом, когда появилась реальная и заслуживающая доверия альтернатива BIP39 для широкого круга пользователей. Coinbase Smart Wallet, построенный на основе ERC-4337 и паролей WebAuthn, в августе преодолел отметку в миллион учетных записей. 270 000 из них были добавлены за один день, 16 августа, во время запуска базового приложения. Пользователи входят в систему с помощью Face ID или отпечатка пальца, которые они уже используют для всего остального, и даже не видят сид-фразу.
Количество смарт-счетов ERC-4337 в сетях Ethereum и Layer 2 превысило 40 миллионов. Общее количество операций с пользователями (UserOperations) превысило 100 миллионов — примерно в 10 раз больше, чем в 2023 году. EIP-7702, активированный с обновлением Pectra в мае 2025 года, за первую неделю зарегистрировал 11 000 авторизаций EOA на смарт-счета. Конструкция EIP-7702 позволяет обычным кошелькам работать как смарт-счета по запросу, не удаляя существующие ключи. Что касается инфраструктуры, то поставщики встроенных кошельков Privy (75 миллионов кошельков), Dynamic (более 50 миллионов) и Web3Auth — теперь MetaMask Embedded — (20 миллионов активных пользователей в месяц) используют многосторонние вычисления или пороговые подписи. Конечный пользователь никогда не хранит ни одного сид-фразы BIP39.
Всё это не означает, что BIP39 вымирает; стандарт слишком прочно укоренился. Компания Ledger отгрузила своё восьмимиллионное устройство в 2025 году и увеличила объём продаж на 31%. На самом деле происходит чёткое разделение. Уровень для опытных пользователей — BIP39 плюс аппаратный кошелёк плюс парольная фраза — остаётся золотым стандартом. Тем временем, основной уровень незаметно поглощается паролями и абстракцией учётных записей, предназначенными для людей, которые никогда не хотели думать о словах.
Краткие правила для всех, кто владеет семенами BIP39.
Пять правил охватывают большую часть вреда. Никогда не набирайте эти слова в текстовых полях, подключенных к интернету, потому что фишинговые всплывающие окна специализируются на перехвате вставленных фраз. Никогда не фотографируйте фразу, так как фотографии синхронизируются с облачными хранилищами, которые вы не можете полностью контролировать. Металл лучше бумаги для всего, что вы собираетесь хранить долгое время. Проверьте восстановление на втором кошельке, прежде чем доверять ему. И если вы используете парольную фразу, храните ее физически отдельно — та же модель угрозы, другое место, никогда не в одном и том же ящике.
