BIP39:比特币钱包备份助记词
大约有 370 万枚比特币存放在无人能打开的钱包里。这大约占比特币总发行量的五分之一。Chainalysis 在 2020 年的一项研究中估算了这一数字,分析师们在 2026 年仍然沿用这一数据,因为这个数字几乎没有变化。这些比特币大多属于普通用户,他们只是丢失了助记词。另一方面,Chainalysis 预测,到 2025 年,个人钱包被盗事件将达到 15.8 万起,约 8 万名受害者损失了 7.13 亿美元。两种故障模式,而这一切都与同一个文档息息相关。BIP39 规范决定了你的助记词(十二或二十四个单词)的真正含义,而它正是这一切的根基。
为什么 BIP39 备份在 2026 年仍然重要
新钱包会给你一张纸,上面写着十二个单词,并告诉你把它们记在安全的地方。你看到的是 BIP39 助记词。妥善保管,它是你所能拥有的最安全的备份。粗心大意,它很容易丢失。只要把这些单词输入到任何设备上的任何兼容钱包中,你的资金就能找回。但如果丢失了,那就没有任何办法了。
现在,这两种结果的规模都已可以量化。370万枚比特币的数字是由早期钱包中至少五年未曾动用的比特币构成的,而且这个数字几乎没有变化。在盗窃方面,Chainalysis发布的2025年12月黑客攻击报告显示,当年被盗金额高达34亿美元,其中7.13亿美元来自15.8万起个人钱包盗窃事件。同一份报告指出,这些个人钱包损失中有43.8%是由于私钥泄露造成的,简单来说,就是助记词被盗。
所有现代钱包都实现了 BIP39 标准。Ledger、Trezor、MetaMask、Phantom、Trust Wallet、Coinbase Wallet、Exodus、Electrum、Atomic——统统都支持。互操作性是该标准的核心所在,因为在一个钱包中生成的种子必须能够在另一个钱包中恢复。理解 BIP39 的数学原理和操作逻辑,比记住某个品牌的恢复流程更重要。
BIP39助记词种子短语和词表究竟是什么?
BIP39助记词有很多名称:恢复短语、助记词、助记代码、助记语句、钱包种子。所有这些名称都指同一件事:一串单词,编码的信息与原始加密密钥相同,但更难写错。这串单词是从精心挑选的2048个英文单词组成的固定列表中选取的12个或24个。“Abandon”(放弃)位于第一个位置。“Zoo”(动物园)位于列表的末尾,在第2048个位置。“Satoshi”(中本聪)则隐藏在中间的第1532个位置,这是对比特币匿名创造者的致敬。
Marek Palatinus 和 Pavol Rusnak(Slush Pool,后来的 SatoshiLabs 和 Trezor)于 2013 年 9 月 10 日与 Aaron Voisine 和 Sean Bowe 共同编写了比特币改进提案 39 (BIP39)。BIP39 从未在 BIP 代码库中正式升级为“最终版”。然而,它在大约两年内就成为了事实上的行业默认标准。如今,BIP39 共有十个官方单词列表,每个列表都包含 2048 个单词:英语、日语、韩语、简体中文、繁体中文、西班牙语、法语、意大利语、捷克语和葡萄牙语。
这份词表的设计非常宽容。每个词条都由其前四个字母唯一标识,因此“abandon”和“ability”即使乍一看也不会混淆,即使词尾出现拼写错误也不会破坏词组。作者精心剔除了前缀相同的词对、过于罕见或古老的词语以及明显的同音词。
| 词表位置 | 单词 | 笔记 |
|---|---|---|
| #1 | 放弃 | 英语列表中的第一个单词 |
| #1,532 | 聪 | 向比特币的匿名创造者致敬 |
| #2,048 | 动物园 | 英语列表中的最后一个词 |
与它所代表的十六进制密钥相比,助记符简短、易于扫描,并且可以写在一张纸上。一个 256 位私钥看起来像 `4a533d1654b17deecf2a6...`,而同一个密钥,如果编码为 BIP39 24 字种子,则读作 24 个普通的英文单词。两者都包含相同的熵。只有其中一种你可以在电话里大声读给伴侣听,而不会显得疯疯癫癫。
生成助记符:BIP39 如何构建代码
生成过程很简单,值得一看。第一步:从一个加密安全的随机数生成器中取出 128 位熵(如果是 24 字版本,则为 256 位)。第二步:对这些熵位运行 SHA-256 算法。取哈希值的前 4 位(如果是 256 位版本,则为 8 位),并将它们添加到熵中。这就是校验和。现在你拥有 132 位,或 264 位。
第三步是机械操作。将数据位分割成 11 位的小块。每个小块都是一个介于 0 到 2047 之间的数字,直接映射到字典中。132 除以 11 得到 12 个单词。264 除以 11 得到 24 个单词。校验和会在之后默默地完成繁重的工作——当你恢复钱包时,钱包会重新计算 SHA-256 校验和,并拒绝任何校验失败的数据,因此最后一个单词中的拼写错误通常会立即显现出来,而不是悄无声息地恢复一个空钱包。
暴力搜索空间是鲜为人知的部分。一个 12 个单词的短语在校验和约束后有 2,048^12 ≈ 5.4 × 10^39 种有效组合。一个 24 个单词的短语有 2,048^24 ≈ 3 × 10^79 种有效组合。想象一下,一个假想的攻击者每秒尝试 10^18 个密钥。即使是 128 位的情况,也需要大约 10 千万亿年才能破解。作为参考:可观测宇宙中大约存在 10^80 个原子。截至 2025 年,没有任何公开的攻击能够暴力破解 BIP39 助记符。所有有记录的损失都源于被窃取的短语,而不是猜测的短语。
在助记词真正解锁之前,还需要一个步骤。助记词会被输入到 PBKDF2-HMAC-SHA512 算法中,进行 2048 次迭代,并用字符串“mnemonic”加上可选的密码短语进行加盐处理。得到的 512 位结果就是真正的种子。BIP32(上一层)会使用该种子来派生钱包中的每个实际私钥。
助记词、种子、密钥——这三样东西,三个层面。正是这种分离使得同样的十二个单词组成的密码短语可以衍生出完全不同的钱包。更改密码短语,盐值会改变,种子会改变,所有密钥都会改变。
BIP39、BIP32 和 BIP44:各层如何堆叠
这就是新手最害怕的时刻。你把十二个正确的助记词存入另一个钱包,结果新钱包余额显示为零。助记词本身没问题,问题出在推导路径上。BIP39、BIP32 和 BIP44 是三个不同的比特币改进提案,它们共同作用将你的助记词转换为实际地址。任何两个软件如果推导路径不一致,都会悄悄地在错误的路径上查找信息。
| 标准 | 年 | 工作 |
|---|---|---|
| BIP32 | 2012 | 分层确定性钱包——将一个种子变成一棵密钥树 |
| BIP39 | 2013 | 种子的助记编码 |
| BIP44 | 2014 | 标准派生路径:m/44'/coin'/account'/change/index |
如果您的钱包使用非标准路径(某些较旧的或特定于硬件的工具会这样做),则在其他钱包中恢复数据时不会显示任何内容,直到您手动设置路径为止。数据并没有丢失。地址列表只是从同一棵树的不同分支读取的。了解这一点后再慌张是值得的。
12 个单词 vs 24 个单词和密码短语
12 字加密与 24 字加密之争很大程度上是学术性的。12 字加密提供 128 比特的熵,24 字加密提供 256 比特的熵。这两个数字都远远超出了任何可行的暴力破解能力,而且 128 比特的版本是美国政府最高机密数据的 AES 标准。24 字加密可以抵御未来针对搜索空间的量子攻击;而 12 字加密在目前的模型下仍然无法破解。
真正有趣的控制点在于密码短语,有时也被称为“第25个词”。您可以选择任意长度的字符串,在生成种子之前将其混入PBKDF2盐中。不同的密码短语对应不同的钱包,但对应的单词相同。这使得BIP39拥有一个独特的特性:似是而非的否认能力。由于每个可能的密码短语都会生成一个有效的(即使为空)钱包,因此无法证明某个密码短语的存在。在胁迫下,用户可以将这12个单词交给一个存放少量资金的“诱饵”钱包,而真正的资金则存放在一个只有他们自己记得的密码短语背后。但问题在于,一旦丢失密码短语,其背后的钱包也将永久消失——无法恢复,也无法获得任何帮助。
BIP39 种子短语盗窃真实案例:2023-2025 年教会了我们什么
如果数学理论坚不可摧,那么围绕它运转的人却并非如此。过去三年,我们便能从中窥见各种失败模式。
2023年6月,Atomic Wallet钱包至少5500个用户账户被盗刷超过1亿美元。Elliptic公司将此次攻击归咎于朝鲜的拉撒路组织。Atomic声称其500万用户中受影响的比例不到0.1%。攻击的根本原因至今尚未得到正式确认,但设备上的种子数据显然已被泄露。
2023年12月14日,Ledger的“Connect Kit”npm包被恶意劫持了大约五个小时。攻击者利用一名被钓鱼攻击的前员工的npm代币实施了劫持。来自Angel Drainer组织的恶意代码被推送至1.1.5-1.1.7版本,并被悄悄注入到多个EVM dApp中。在Ledger撤回该包之前,约有60万美元被盗。这并非Ledger硬件的缺陷,而是供应链中一个影响用户钱包的JavaScript依赖项遭到入侵所致。
大规模钱包窃取攻击一直持续到2024年。Scam Sniffer在2025年1月发布的报告显示,通过窃取脚本被盗的金额高达4.94亿美元,受害者地址达33.2万个。其中,Inferno Drainer占据了40-45%的市场份额,Pink Drainer在退出市场前占据了28%的市场份额。许多受害者在看似来自MetaMask或Phantom的虚假“钱包验证”弹窗中,自愿泄露了助记词。
最具个人威胁的是剪贴板恶意软件。卡巴斯基在2025年2月披露了“GitVenom”攻击活动:通过伪造的GitHub代码库传播的剪贴板替换代码窃取了约5个比特币(约合48.5万美元),受害者主要集中在巴西、土耳其和俄罗斯。另一起名为ClipBanker的木马程序于2025年通过伪造的Proxifier安装程序传播,攻击了超过2000名卡巴斯基用户,涉及比特币、以太坊、门罗币、狗狗币、索尔币、图林、瑞波币和泰铢等加密货币——在粘贴过程中悄悄地将复制的地址替换为攻击者控制的地址。
Chainalysis 的数据显示,截至年底,个人钱包损失总额达 7.13 亿美元,涉及 15.8 万起事件,其中 43.8% 的损失可追溯到私钥泄露。绝大多数盗窃案件都是助记词盗窃。
安全的 BIP39 比特币钱包备份:纸质、金属、沙米尔
实际防御主要依靠物理手段。纸张能经受住墨水和精心保存在文件柜中的考验,保存多年,但纸张在约233°C时就会燃尽,而典型的房屋火灾温度可达600-1100°C。Cryptosteel胶囊采用303/304级不锈钢制成,经独立机构进行热测试,在1350°C下数据仍然清晰可辨。Billfodl公司则使用船用级不锈钢,根据供应商提供的材料,其耐温等级约为1400°C。
| 方法 | 热 | 水 | 笔记 |
|---|---|---|---|
| 纸 | 燃烧温度约为233°C | 墨水流 | 最便宜、可替换的 |
| 加密钢胶囊 | 可耐受1350°C高温 | 是的 | 独立热测试 |
| 比尔福德 | 额定温度 1400°C | 是的 | 供应商评级 |
| SLIP-39(沙米尔) | 取决于底物 | 视情况而定 | 将种子拆分为 M/N 份额 |
除了物理介质之外,还有两个结构上的选择至关重要。首先,要保留两个地理位置不同的备份,以防其中一个位置发生火灾或洪水等灾难性事件。其次,可以考虑Shamir提出的基于SLIP-39的秘密共享方案,Trezor于2019年8月在Model T上推出了该方案。SLIP-39将种子分割成多个20个单词的共享,其中任意M-of-N个共享都足以恢复数据。相比之下,Casa团队明确拒绝了Shamir方案,转而采用地理多重签名作为其恢复模型。这两种方案都旨在消除BIP39本身固有的单点故障问题。
2026 年支持 BIP39 的加密钱包
几乎所有钱包都支持 BIP39,但互操作性仍有不足之处。在假设恢复过程不会出错之前,务必了解哪些钱包使用哪些推导路径。
| 钱包 | 链条 | 默认路径 |
|---|---|---|
| Ledger Nano | BTC、ETH 以及超过 5500 种资产 | BIP44 米/44'/硬币'/0' |
| Trezor Model T | 比特币、以太坊等等 | BIP44 / SLIP-39 选项 |
| MetaMask | 电子生产系统 | 米/44'/60'/0'/0/索引 |
| 幻影 | Solana,EVM | m/44'/501'/n'/0' 代表 SOL |
| Coinbase钱包 | BTC、EVM、SOL | 标准 BIP44 |
超越 BIP39:通行密钥、MPC 和 ERC-4337
2025年是首个真正意义上的主流BIP39替代方案正式发布的年份。基于ERC-4337和WebAuthn密钥的Coinbase智能钱包在8月份账户数量突破百万。其中,在8月16日Base App上线当天,就新增了27万个账户。用户只需使用他们已用于其他所有支付方式的Face ID或指纹登录,甚至无需输入助记词。
ERC-4337 智能账户目前已在以太坊和 Layer 2 网络中部署超过 4000 万个。累计用户操作数已突破 1 亿,较 2023 年增长约 10 倍。EIP-7702 于 2025 年 5 月随 Pectra 升级激活,在上线首周便完成了 11000 次 EOA 到智能账户的授权。EIP-7702 的设计允许普通钱包按需充当智能账户,而无需丢弃现有密钥。在基础设施方面,嵌入式钱包提供商 Privy(7500 万个钱包)、Dynamic(超过 5000 万个钱包)和 Web3Auth(现已更名为 MetaMask Embedded,月活跃用户 2000 万)均依赖于多方计算或阈值签名。最终用户无需持有任何 BIP39 种子。
这并不意味着 BIP39 正在消亡;该标准已经根深蒂固。Ledger 在 2025 年出货了其第八百万台设备,销量增长了 31%。实际上,正在发生的是一个清晰的分化。高级用户层——BIP39 加上硬件钱包和密码短语——仍然是黄金标准。与此同时,主流用户层正在悄然被密钥和账户抽象所取代,这些方案是为那些根本不想考虑文字的用户设计的。
持有BIP39种子卡的任何人的快速规则
五条规则就能涵盖大部分危害。切勿在任何联网的文本框中输入密码,因为钓鱼弹窗专门拦截粘贴的内容。也切勿拍摄密码,因为照片会同步到你无法完全控制的云端。对于任何打算长期保存的物品,金属材质都比纸质材质更胜一筹。在信任密码之前,先用另一个钱包测试一下恢复功能。如果你使用密码短语,务必将其单独存放——同样的威胁模型,不同的存放位置,切勿放在同一个抽屉里。
