BIP39: Мнемонічні початкові слова для резервного копіювання біткойн-гаманця
Приблизно 3,7 мільйона біткоїнів зберігаються в гаманцях, які ніхто не може відкрити. Це приблизно п'ята частина кожної монети, коли-небудь викарбуваної. Дослідження Chainalysis 2020 року оцінило цю цифру, і аналітики продовжують цитувати її у 2026 році, оскільки цифра майже не змінюється. Більшість цих монет належать звичайним людям, які просто втратили початкову фразу (seed-фразу). З іншого боку, Chainalysis нарахував 158 000 компрометацій особистих гаманців у 2025 році, вичерпавши близько 713 мільйонів доларів з приблизно 80 000 жертв. Два режими відмови. Один документ у центрі обох. BIP39, специфікація, яка визначає, що насправді означають ваші дванадцять або двадцять чотири слова, лежить в основі всього цього.
Чому резервне копіювання BIP39 важливе у 2026 році
Новий гаманець дає вам аркуш паперу з дванадцятьма словами та каже: запишіть їх у безпечному місці. Те, на що ви дивитеся, — це мнемонічна фраза BIP39. Ставтеся до неї добре, і це найбезпечніша резервна копія, яку ви можете зберігати. Якщо ставитеся до неї недбало, її найлегше втратити. Поверніть слова в будь-який сумісний гаманець на будь-якому пристрої, і ваші кошти повернуться. Втратите їх — і служби підтримки не буде.
Масштаб обох результатів тепер можна виміряти. Ця цифра в 3,7 мільйона BTC була створена з монет, які не використовувалися щонайменше п'ять років у гаманцях ранньої ери, і вона майже не змінилася. Що стосується крадіжок, то у звіті Chainalysis про хакерські атаки за грудень 2025 року нараховується 3,4 мільярда доларів, викрадених протягом року, 713 мільйонів доларів з яких сталися в результаті 158 000 інцидентів з особистими гаманцями. У тому ж звіті 43,8% цих втрат особистих гаманців пояснюється компрометацією закритих ключів, що простою мовою здебільшого означає викрадену основну фразу.
Кожен сучасний гаманець реалізує BIP39. Ledger, Trezor, MetaMask, Phantom, Trust Wallet, Coinbase Wallet, Exodus, Electrum, Atomic — усі вони. Взаємодія — це головна суть стандарту, оскільки сійд, згенерований в одному гаманці, має бути відновлюваним в іншому. Розуміння того, що насправді являє собою BIP39, математично та операційно, важливіше, ніж запам'ятовування процесу відновлення будь-якого одного бренду.
Що насправді являють собою мнемонічна фраза-початкова фраза та список слів BIP39
Мнемоніка BIP39 має багато назв. Фраза відновлення. Мнемонічна фраза. Мнемонічний код. Мнемонічне речення. Насіння гаманця. Усі вони описують одне й те саме: рядок слів, що кодує ту саму інформацію, що й необроблений криптографічний ключ, просто його набагато важче неправильно написати. Дванадцять або двадцять чотири слова з фіксованого списку з 2048 ретельно підібраних англійських слів. «Abandon» займає позицію 1. «Zoo» замикає список на позиції 2048. «Satoshi» ховається на позиції 1532 посередині, невеликий натяк на псевдонімного творця Bitcoin.
Марек Палатінус та Павол Руснак (Slush Pool, пізніше SatoshiLabs та Trezor) написали специфікацію 10 вересня 2013 року разом з Аароном Вуазіном та Шоном Боу. Пропозиція щодо покращення Bitcoin 39 так і не отримала офіційного статусу «Остаточного» в репозиторії BIP. У будь-якому разі, вона стала фактичним списком слів за замовчуванням у галузі приблизно за два роки. Сьогодні існує десять офіційних списків слів, кожен з яких містить рівно 2048 слів: англійська, японська, корейська, спрощена китайська, традиційна китайська, іспанська, французька, італійська, чеська, португальська.
Список слів навмисно розроблений для прощення. Кожен запис унікально ідентифікується першими чотирма літерами, тому слова «abandon» та «ability» ніколи не суперечать одне одному навіть на перший погляд, а друкарські помилки в кінці фрази не порушують її загальний зміст. Автори відібрали пари, що мають спільний чотирилітерний префікс, слова, які були занадто рідкісними або архаїчними, та очевидні омофони.
| Позиція у списку слів | Слово | Нотатки |
|---|---|---|
| #1 | покинути | Перше слово в англійському списку |
| #1,532 | сатоші | Натяк на псевдонімного творця біткойна |
| #2,048 | зоопарк | Останнє слово в англійському списку |
Порівняно з шістнадцятковим ключем, який він представляє, мнемоніка коротка, її можна сканувати та записати на одному аркуші паперу. 256-бітний закритий ключ виглядає як `4a533d1654b17deecf2a6...`, тоді як той самий ключ, закодований як 24-словне початкове значення BIP39, читається як двадцять чотири звичайні англійські слова. Обидва містять однакову ентропію. Тільки одне з них ви можете прочитати вголос партнеру по телефону, не виглядаючи божевільним.
Генерація мнемоніки: як BIP39 створює код
Генерація коротка, і її варто розглянути. Крок перший. Візьміть 128 бітів ентропії з криптографічно захищеного генератора випадкових чисел (256 бітів, якщо вам потрібна версія з 24 слів). Крок другий. Запустіть SHA-256 над цими бітами ентропії. Візьміть перші 4 біти хешу — або 8 бітів, у випадку з 256-бітним числом — і додайте їх до вашої ентропії. Це ваша контрольна сума. Тепер у вас є 132 біти, або 264 біти.
Крок третій — механічний. Розділіть біти на 11-бітні фрагменти. Кожен фрагмент — це число від 0 до 2047, яке безпосередньо відображається у списку слів. 132, поділене на 11, дає 12 слів. 264, поділене на 11, дає 24. Контрольна сума непомітно виконує важку роботу пізніше — під час відновлення гаманець перераховує SHA-256 і відхиляє все, що не проходить перевірку, тому друкарська помилка в останньому слові зазвичай з'являється одразу, а не непомітно відновлює порожній гаманець.
Простір пошуку методом повного перебору – це та частина, про яку ніхто точно не повідомляє. Фраза з 12 слів має 2048^12 ≈ 5,4 × 10^39 дійсних комбінацій після обмеження контрольної суми. Фраза з 24 слів має 2048^24 ≈ 3 × 10^79. Уявіть собі фантастичного зловмисника, який вгадує 10^18 ключів за секунду. 128-бітний випадок все ще займає близько 10 квадрильйонів років. Для порівняння: у спостережуваному всесвіті існує близько 10^80 атомів. Жодна публічна атака у 2025 році ніколи не зламала мнемоніку BIP39 методом повного перебору. Кожна задокументована втрата сталася через викрадену фразу, ніколи – через вгадану.
Ще один крок, перш ніж слова фактично щось розблокують. Мнемоніка подається до PBKDF2-HMAC-SHA512 з 2048 ітераціями, доповнена літералом "mnemonic", об'єднаним з необов'язковою парольною фразою. 512-бітний результат і є власне насінням. Це насіння - це те, що BIP32 (наступний рівень) використовує для отримання кожного фактичного закритого ключа в гаманці.
Мнемоніка, початкове значення, ключі — три різні речі, три шари. Цей поділ пояснює, чому парольна фраза може створити зовсім інший гаманець з тих самих дванадцяти слів. Змініть парольну фразу, і сіль зміниться, початкове значення зміниться, кожен ключ зміниться.
BIP39 проти BIP32 проти BIP44: Як шари укладаються один в одного
Ось і настав жахливий момент для початківців. Ви відновлюєте дванадцять правильних слів в інший гаманець. Новий гаманець показує нульовий баланс. Слова були в порядку. Але шлях походження — ні. BIP39, BIP32 та BIP44 — це три різні пропозиції щодо покращення Bitcoin, які разом перетворюють вашу початкову фразу на фактичні адреси, і будь-які два програмні засоби, які не відповідають шляху, непомітно шукатимуть не в тій гілці дерева.
| Стандартний | Рік | Робота |
|---|---|---|
| BIP32 | 2012 рік | Ієрархічні детерміновані гаманці — перетворюють одне насіння на дерево ключів |
| BIP39 | 2013 рік | Мнемонічне кодування насіння |
| BIP44 | 2014 рік | Стандартний шлях деривації: m/44'/coin'/account'/change/index |
Якщо ваш гаманець використовує нестандартний шлях (як це роблять деякі старіші або апаратно-специфічні інструменти), відновлення в іншому гаманці нічого не покаже, доки ви вручну не встановите шлях. Слова не втрачаються. Список адрес просто зчитується з іншої гілки того ж дерева. Варто знати це, перш ніж панікувати.
12 проти 24 слів та пароль
Дискусія про 12-словний та 24-словний формат здебільшого є академічною. Дванадцять слів дають 128 біт ентропії, двадцять чотири — 256. Обидва числа абсурдно виходять за межі будь-якого можливого методу грубої сили, а 128-бітна версія є стандартом AES для надсекретних даних уряду США. Двадцять чотири слова захищають від майбутніх квантових атак на простір пошуку; дванадцять все ще не є ефективними за сучасними моделями.
Справді цікавим елементом керування є пароль, який іноді називають «25-м словом». Будь-який вибраний вами рядок будь-якої довжини змішується з сіллю PBKDF2 перед отриманням насіння. Різні парольні фрази, різні гаманці, ті самі слова. Це забезпечує унікальну для BIP39 функцію: правдоподібне заперечення. Немає способу довести існування парольної фрази, оскільки кожна можлива парольна фраза створює дійсний (хоча й порожній) гаманець. Користувач під примусом може передати дванадцять слів до «приманки»-гаманця, який містить невеликі кошти, тоді як справжні кошти зберігаються за парольною фразою, яку пам’ятає лише він. Загвоздка симетрична. Втратите парольну фразу, і гаманець за нею зникне назавжди — без відновлення, без служби підтримки.
Справжня крадіжка початкової фрази BIP39: чого нас навчили 2023-2025 роки
Якщо математику неможливо зламати, то люди навколо неї — ні. Останні три роки стали справжнім підручником з типів невдач.
У червні 2023 року з Atomic Wallet було викрадено понад 100 мільйонів доларів щонайменше з 5500 облікових записів користувачів. Elliptic приписала операцію північнокорейській групі Lazarus Group. Atomic стверджувала, що постраждало менше 0,1% з 5 мільйонів її користувачів. Першопричина досі офіційно не підтверджена, але порожній матеріал на пристрої явно був скомпрометований.
14 грудня 2023 року npm-пакет Ledger "Connect Kit" був викрадений приблизно на п'ять годин через фішинговий npm-токен колишнього співробітника. Шкідливий код групи Angel Drainer був введений у версії 1.1.5-1.1.7 та непомітно впроваджений у багато dApps EVM. Близько 600 000 доларів було вилучено, перш ніж Ledger вилучив пакет. Це не був недолік в апаратному забезпеченні Ledger. Це була компрометація ланцюжка поставок залежності JavaScript, яка торкалася гаманців користувачів на іншому рівні.
Промислові викрадачі гаманців продовжувалися протягом 2024 року. Звіт Scam Sniffer за січень 2025 року нарахував 494 мільйони доларів, викрадених через скрипти викрадачів, що вразило 332 000 адрес жертв, причому Inferno Drainer мав частку ринку 40-45%, а Pink Drainer - 28% до виходу. Багато з цих жертв добровільно вводили порожні фрази у фальшиві спливаючі вікна «валідації гаманця», які виглядали як рідні для MetaMask або Phantom.
Найбільш особистою загрозою є шкідливе програмне забезпечення для буфера обміну. Касперський розкрив кампанію «GitVenom» у лютому 2025 року: приблизно 5 BTC (близько 485 000 доларів США) було вичерпано кодом для заміни буфера обміну, розміщеним через підроблені репозиторії GitHub, причому жертви були зосереджені в Бразилії, Туреччині та Росії. Окремий троян ClipBanker, поширений всередині підробленого інсталятора Proxifier у 2025 році, вразив понад 2000 користувачів Касперського на BTC, ETH, XMR, DOGE, SOL, TRX, XRP та XTZ, непомітно замінюючи скопійовані адреси на контрольовані зловмисником під час вставки.
Chainalysis оцінила втрати особистих гаманців на кінець року у 713 мільйонів доларів у 158 000 інцидентів, причому 43,8% пов'язані зі скомпрометованими закритими ключами. Крадіжка переважно відбувається за допомогою порожніх фраз.
Безпечне резервне копіювання біткойн-гаманця BIP39: папір, метал, Shamir
Практичний захист здебільшого фізичний. Папір роками витримує чорнило та ретельне зберігання у шафі для документів, але папір займається при температурі близько 233°C, а типова пожежа в будинку досягає 600-1100°C. Капсула Cryptosteel, виготовлена з нержавіючої сталі марки 303/304, пройшла незалежні термовипробування, дані яких читабельні при 1350°C. Billfodl використовує нержавіючу сталь морського класу, розраховану приблизно на 1400°C, згідно з матеріалами постачальника.
| Метод | Спека | Вода | Нотатки |
|---|---|---|---|
| Папір | Опіки ~233°C | Чорнило тече | Найдешевший, замінний |
| Капсула з криптостелі | Витримує температуру 1350°C | Так | Незалежне теплове випробування |
| Біллфодль | Номінальна температура 1400°C | Так | Рейтинг постачальників |
| SLIP-39 (Шамір) | Залежить від субстрату | Залежить | Розділяє насіння на частки M-of-N |
Окрім фізичного носія, важливі два структурні варіанти. Зберігайте дві географічно розділені копії на випадок, якщо пожежа чи повінь повністю охоплять одне місце. І розгляньте технологію Shamir Secret Sharing через SLIP-39, яку Trezor запустив на Model T у серпні 2019 року. SLIP-39 розділяє початкове значення на кілька спільних по двадцять слів, з яких будь-який M з N достатній для відновлення. Команда Casa, навпаки, явно відхилила Shamir на користь географічного мультипідпису як своєї моделі відновлення. Обидві схеми розроблені для усунення проблеми єдиної точки відмови, яку за визначенням має звичайний BIP39.
Криптовалюти з підтримкою BIP39 у 2026 році
Майже все підтримує BIP39, але взаємодія має свої межі. Варто знати, які гаманці використовують які шляхи походження, перш ніж вважати, що відновлення буде чистим.
| Гаманець | Ланцюги | Шлях за замовчуванням |
|---|---|---|
| Леджер Нано | BTC, ETH, понад 5500 активів | BIP44 м/44'/монета'/0' |
| Трезор Модель Т | BTC, ETH, багато | Варіант BIP44 / SLIP-39 |
| МетаМаска | Електронна машина керування (EVM) | м/44'/60'/0'/0/індекс |
| Фантом | Солана, EVM | м/44'/501'/пн'/0' для SOL |
| Гаманець Coinbase | BTC, EVM, SOL | Стандартний BIP44 |
За межами BIP39: паролі, MPC та ERC-4337
2025 рік став першим роком, коли з’явилася надійна альтернатива BIP39 для загальнодоступних користувачів. Розумний гаманець Coinbase Smart Wallet, побудований на основі ключів доступу ERC-4337 та WebAuthn, перевищив позначку в мільйон облікових записів у серпні. 270 000 з них додалося за один день, 16 серпня, під час запуску програми Base. Користувачі входять за допомогою Face ID або відбитка пальця, які вони вже використовують для всього іншого, і навіть не бачать початкової фрази.
Розумні облікові записи ERC-4337 зараз розгорнуто на понад 40 мільйонах у мережах Ethereum та Layer 2. Сукупна кількість операцій користувача перевищила 100 мільйонів — приблизно в 10 разів більше, ніж у 2023 році. EIP-7702, активований разом з оновленням Pectra у травні 2025 року, зареєстрував 11 000 авторизацій EOA для розумних облікових записів протягом першого тижня. Дизайн EIP-7702 дозволяє звичайним гаманцям поводитися як розумні облікові записи на вимогу, не втрачаючи існуючих ключів. Що стосується інфраструктури, постачальники вбудованих гаманців Privy (75 мільйонів гаманців), Dynamic (понад 50 мільйонів) та Web3Auth — тепер MetaMask Embedded — (20 мільйонів MAU) покладаються на багатосторонні обчислення або порогові підписи. Кінцевий користувач ніколи не має жодного початкового значення BIP39.
Ніщо з цього не означає, що BIP39 відмирає; стандарт є надто вбудованим. Ledger відвантажив свій восьмимільйонний пристрій протягом 2025 року та збільшив продажі на 31%. Насправді відбувається чисте роздвоєння. Рівень для досвідчених користувачів — BIP39 плюс апаратний гаманець плюс пароль — залишається золотим стандартом. Тим часом основний рівень непомітно поглинається ключами доступу та абстракцією облікових записів, розробленими для людей, які ніколи не хотіли думати про слова.
Короткі правила для тих, хто має сід BIP39
П’ять правил покривають більшу частину шкоди. Ніколи не вводьте слова в будь-яке текстове поле, підключене до Інтернету, оскільки фішингові спливаючі вікна спеціалізуються на перехопленні вставки. Ніколи не фотографуйте фразу, оскільки фотографії синхронізуються з хмарами, які ви не повністю контролюєте. Метал перевершує папір для будь-чого, що ви збираєтеся зберігати довгостроково. Перевірте відновлення на другому гаманці, перш ніж довіряти йому. А якщо ви використовуєте парольну фразу, зберігайте її фізично окремо — та сама модель загрози, інше місце, ніколи не в тій самій шухляді.
