Guides ·

توليد محفظة Ethereum دون اتصال: الدليل الشامل

توليد محفظة Ethereum أثناء الاتصال بالإنترنت أمر مريح، لكنه مخاطرة غير ضرورية. كل ثانية تكون فيها عبارتك الاسترجاعية أو مفتاحك الخاص موجوداً على جهاز متصل بالشبكة، يكون معرضاً لمسجلات المفاتيح وبرمجيات الحافظة الخبيثة وإضافات المتصفح ذات الصلاحيات المفرطة وأحصنة طروادة للوصول عن بُعد. الحل بسيط: ولّد المحفظة دون اتصال، اكتب النسخة الاحتياطية، ثم استخدم العنوان العام فقط على الإنترنت.

يرشدك هذا الدليل خلال العملية التقنية الكاملة --- من توليد الإنتروبيا إلى عنوان Ethereum قابل للاستخدام --- ويشرح لماذا تعمل مفاتيحك المولّدة دون اتصال بسلاسة على شبكات الطبقة الثانية مثل Polygon وArbitrum وOptimism وBase.

لماذا التوليد دون اتصال؟

محفظة Ethereum هي في جوهرها مجرد مفتاح خاص. من يملك هذا المفتاح يتحكم في الأموال. عندما تولّد محفظة باستخدام خدمة عبر الإنترنت أو متصفح متصل، يمر المفتاح الخاص عبر طبقات من البرمجيات التي لا تتحكم فيها بالكامل: محرك JavaScript في المتصفح، وإضافات المتصفح، وإدارة ذاكرة نظام التشغيل، وربما مكدس شبكة قد يسرّب البيانات.

التوليد دون اتصال يقضي على متجه الشبكة تماماً. إذا لم يكن للجهاز أي اتصال بالشبكة --- Wi-Fi معطّل، وEthernet مفصول، وBluetooth مغلق --- فلا يمكن تسريب المفتاح الخاص عن بُعد بغض النظر عن البرمجيات المشغّلة.

الإعداد المثالي هو:

  1. جهاز نظيف (نظام تشغيل مثبّت حديثاً، أو توزيعة live USB).
  2. لا اتصال بالشبكة من أي نوع.
  3. أداة تعمل بالكامل في المتصفح مستخدمة Web Crypto API للعشوائية.
  4. ورق أو معدن لتسجيل العبارة الاسترجاعية.

مولّد العبارة الاسترجاعية لـ Ethereum من SafeSeed مصمم لهذا السيناريو بالضبط. يعمل بالكامل من جانب العميل --- بدون استدعاءات API، بدون تواصل مع الخادم، بدون تحليلات. يمكنك تحميل الصفحة، وقطع الاتصال بالإنترنت، وتوليد محفظتك في عزلة تامة. للاطلاع على ممارسات الأمان دون اتصال بشكل أوسع، راجع دليل التخزين البارد 2026.

secp256k1 وKeccak-256

بدائيتان تشفيريتان تحددان نظام مفاتيح Ethereum: منحنى secp256k1 البيضاوي لتوليد المفاتيح، وKeccak-256 لاشتقاق العناوين.

secp256k1: المنحنى البيضاوي

ورث Ethereum منحنى secp256k1 من Bitcoin. وهو منحنى محدد فوق حقل أعداد أولية، اختير لكفاءته وعدم وجود نقاط ضعف معروفة. معادلة المنحنى هي:

y^2 = x^3 + 7 (mod p)

حيث p هو عدد أولي من 256 بت. يعتمد أمان النظام على مسألة اللوغاريتم المنفصل للمنحنيات البيضاوية (ECDLP): بمعرفة نقطة عامة على المنحنى، يستحيل حسابياً تحديد القيمة العددية (المفتاح الخاص) التي أنتجتها.

المفتاح الخاص في Ethereum هو عدد صحيح من 256 بت --- 32 بايت، أو 64 حرفاً سداسي عشري. يُشتق المفتاح العام بضرب نقطة المولّد G في المنحنى بقيمة المفتاح الخاص. هذا الضرب عملية أحادية الاتجاه: سهلة الحساب للأمام، مستحيلة عملياً للعكس.

المفتاح العام الناتج هو نقطة على المنحنى بإحداثيات x وy، بإجمالي 64 بايت في الشكل غير المضغوط (128 حرفاً سداسي عشري، مسبوقة بـ 04). للمقارنة بين secp256k1 ومنحنى ed25519 المستخدم في Solana، راجع secp256k1 مقابل ed25519.

Keccak-256: من المفتاح العام إلى العنوان

لا يستخدم Ethereum المفتاح العام مباشرة كعنوان. بدلاً من ذلك، يطبّق Keccak-256 (متغير من SHA-3) على المفتاح العام غير المضغوط (بدون البادئة 04)، مما ينتج هاش من 32 بايت. آخر 20 بايت من هذا الهاش تصبح عنوان Ethereum، مسبوقة بـ 0x.

Private Key (32 bytes)
    → secp256k1 multiplication → Public Key (64 bytes)
    → Keccak-256 hash → 32 bytes
    → Take last 20 bytes → Ethereum Address (0x...)

خطوة الهاش هذه ليست مجرد تقليص للحجم. إنها توفر طبقة حماية إضافية: حتى لو اكتُشف خلل في secp256k1 يسمح باسترداد جزئي للمفتاح العام من العنوان، فإن هاش Keccak-256 سيجعل استرداد المفتاح الكامل أصعب بكثير. عملياً، بمجرد إجراء معاملة من عنوان ما، يُكشف المفتاح العام الكامل على السلسلة في توقيع المعاملة.

من العبارة الاسترجاعية إلى عنوان ETH

معظم المحافظ الحديثة لا تطلب منك إدارة مفاتيح خاصة خام. بدلاً من ذلك، تستخدم عبارات BIP39 الاسترجاعية واشتقاق محفظة HD لإنتاج شجرة مفاتيح من نسخة احتياطية واحدة.

الخطوة 1: توليد الإنتروبيا

تبدأ العملية بـ 128 أو 256 بت من العشوائية الآمنة تشفيرياً (الإنتروبيا). هذه الإنتروبيا هي أساس كل ما يليها. في SafeSeed، تأتي هذه العشوائية من دالة crypto.getRandomValues() في المتصفح، التي تستمد من CSPRNG لنظام التشغيل.

لعبارة من 12 كلمة، تُولَّد 128 بت من الإنتروبيا. لعبارة من 24 كلمة، 256 بت. راجع شرح BIP39 للتفصيل الكامل لكيفية تحول الإنتروبيا إلى كلمات.

الخطوة 2: من الإنتروبيا إلى الكلمات المساعدة

تُهشّ الإنتروبيا بـ SHA-256 لإنتاج مجموع تحقق. تُلحق بتات مجموع التحقق بالإنتروبيا، وتُقسم سلسلة البتات المدمجة إلى مقاطع من 11 بت. يُربط كل مقطع بكلمة من 2,048 كلمة في قائمة كلمات BIP39، لتنتج 12 أو 24 كلمة.

الخطوة 3: من الكلمات المساعدة إلى البذرة الرئيسية

تُمرر الكلمات المساعدة (مع عبارة مرور اختيارية) إلى PBKDF2-HMAC-SHA512 مع 2,048 تكراراً، لتنتج بذرة رئيسية من 512 بت. هذه البذرة هي جذر شجرة محفظة HD بأكملها.

الخطوة 4: من البذرة الرئيسية إلى المفتاح الرئيسي

تُمرر البذرة من 512 بت إلى HMAC-SHA512 بالمفتاح "Bitcoin seed" (نعم، حتى لـ Ethereum --- هذا اتفاق BIP32). يُقسم الناتج: 256 بت اليسرى تصبح المفتاح الخاص الرئيسي، و256 بت اليمنى تصبح رمز السلسلة الرئيسي.

الخطوة 5: اشتقاق مفتاح Ethereum

يستخدم Ethereum مسار الاشتقاق m/44'/60'/0'/0/0 كما هو محدد في BIP44. كل مستوى في المسار يمثل اشتقاق مفتاح فرعي:

  • 44' --- الغرض: تسلسل BIP44 متعدد الحسابات.
  • 60' --- نوع العملة: 60 هو مؤشر SLIP44 لـ Ethereum.
  • 0' --- الحساب: الحساب الأول.
  • 0 --- التغيير: السلسلة الخارجية (عناوين الاستقبال).
  • 0 --- مؤشر العنوان: العنوان الأول.

في كل مستوى، يُدمج المفتاح الأصلي ورمز السلسلة عبر HMAC-SHA512 لإنتاج المفتاح الفرعي. الاشتقاقات المقوّاة (المشار إليها بالفاصلة العليا) تستخدم المفتاح الخاص كمدخل، مما يوفر عزلاً أقوى بين الفروع.

الخطوة 6: من المفتاح الخاص إلى العنوان

المفتاح الخاص المشتق عند m/44'/60'/0'/0/0 هو عدد صحيح من 256 بت. يُضرب بنقطة مولّد secp256k1 لإنتاج المفتاح العام. يُهشّ المفتاح العام بـ Keccak-256، وآخر 20 بايت تصبح عنوان Ethereum الخاص بك.

يتيح لك مولّد المفاتيح الخاصة لـ Ethereum من SafeSeed رؤية كل خطوة من هذا الاشتقاق، من الإنتروبيا الخام إلى العنوان النهائي.

نفس المفاتيح على شبكات الطبقة الثانية

إحدى أكثر خصائص Ethereum العملية أن مفاتيحك تعمل بشكل متطابق عبر جميع الشبكات المتوافقة مع EVM. نفس المفتاح الخاص الذي يتحكم في العنوان 0xABC... على شبكة Ethereum الرئيسية يتحكم أيضاً في 0xABC... على Polygon وArbitrum وOptimism وBase. لا حاجة لتوليد مفاتيح إضافية.

يعمل هذا لأن جميع سلاسل EVM تستخدم نفس البدائيات التشفيرية --- secp256k1 للتوقيع وKeccak-256 لاشتقاق العناوين --- ونفس نموذج الحسابات. العنوان يُشتق بشكل حتمي من المفتاح الخاص، وبما أن الاشتقاق متطابق، فالعنوان متطابق.

ما يختلف بين السلاسل هو معرّف السلسلة (chain ID) --- معرّف شبكة مضمّن في توقيعات المعاملات (EIP-155) لمنع هجمات الإعادة. عندما توقّع معاملة لـ Polygon (chain ID 137)، يكون هذا التوقيع غير صالح على شبكة Ethereum الرئيسية (chain ID 1). هذه حماية على مستوى المعاملات، وليست على مستوى المفاتيح.

بالنسبة لسير عملك في التوليد دون اتصال، هذا يعني أن نسخة احتياطية واحدة من العبارة الاسترجاعية تحمي الأصول عبر جميع سلاسل EVM. ولّد مرة واحدة، واحتفظ بنسخة احتياطية واحدة، واستخدم نفس العنوان في كل مكان. هذا من أقوى الحجج لصالح التوليد الدقيق دون اتصال: المخاطر تتضاعف عبر كل سلسلة تلمسها مفاتيحك.

لمزيد من المعلومات حول التداعيات الأمنية للعناوين المشتركة عبر سلاسل EVM، راجع أمان عناوين EVM.

التحقق باستخدام أداة التحقق من العناوين

بعد توليد محفظتك دون اتصال، يجب التحقق من أن العنوان بتنسيق صحيح قبل إرسال أي أموال إليه. استخدم أداة التحقق من عناوين Ethereum للتأكد من:

  1. فحص التنسيق: العنوان يبدأ بـ 0x ويحتوي على 40 حرفاً سداسي عشري بالضبط.
  2. مجموع تحقق EIP-55: ترميز الأحرف الكبيرة والصغيرة المختلطة صحيح. إذا وُلّد العنوان بشكل سليم، ستتطابق الأحرف الكبيرة والصغيرة مع هاش Keccak-256 للعنوان بأحرف صغيرة.

يمكنك تشغيل أداة التحقق على نفس الجهاز المعزول. افتح الأداة، اقطع الاتصال، الصق العنوان، وتحقق. إذا نجح مجموع التحقق، يمكنك الثقة بأن العنوان نُسخ بشكل صحيح.

لشرح مفصل لكيفية عمل التحقق من العناوين عبر سلاسل مختلفة، راجع كيفية التحقق من عنوان العملة الرقمية.

التصدير إلى MetaMask أو محافظ أخرى

بمجرد توليد عبارتك الاسترجاعية وحفظها بأمان، ستحتاج في النهاية لاستخدامها في تطبيق محفظة. الخيارات الأكثر شيوعاً هي MetaMask (إضافة متصفح أو هاتف)، وRabby، وRainbow، ومحافظ الأجهزة مثل Ledger أو Trezor.

الاستيراد في MetaMask

يقبل MetaMask عبارات BIP39 الاسترجاعية مباشرة:

  1. ثبّت MetaMask على ملف تعريف متصفح نظيف.
  2. اختر "استيراد محفظة موجودة".
  3. أدخل كلماتك الـ 12 أو 24.
  4. عيّن كلمة مرور محلية (تشفّر المفتاح على الجهاز فقط؛ ليست جزءاً من العبارة الاسترجاعية).

سيشتق MetaMask المفتاح عند m/44'/60'/0'/0/0 ويعرض العنوان المقابل. تحقق من تطابقه مع العنوان الذي ولّدته دون اتصال. إذا لم يتطابق، حدث خطأ أثناء النسخ --- لا ترسل أموالاً إلى أي من العنوانين حتى تحل التناقض.

الاستيراد في محفظة أجهزة

تقبل أجهزة Ledger وTrezor عبارات BIP39 الاسترجاعية أثناء التهيئة. أدخل العبارة مباشرة على شاشة جهاز الأجهزة --- وليس أبداً على حاسوب. ستشتق محفظة الأجهزة نفس المفتاح عند نفس المسار وتنتج نفس العنوان. هذا هو المعيار الذهبي للجمع بين التوليد دون اتصال والاستخدام اليومي.

حسابات متعددة

مسار الاشتقاق m/44'/60'/0'/0/0 ينتج الحساب الأول. زيادة المؤشر الأخير تعطيك عناوين إضافية: m/44'/60'/0'/0/1، m/44'/60'/0'/0/2، وهكذا. جميعها مشتقة من نفس العبارة الاسترجاعية. تتعامل معظم المحافظ مع هذا تلقائياً عند النقر على "إضافة حساب".

توليد محفظة Ethereum دون اتصال ليس جنون ارتياب --- إنه أمان تشغيلي أساسي. الدقائق القليلة التي يستغرقها قطع الاتصال والتوليد والنسخ هي استثمار يحمي كل ETH ورمز وNFT ستملكه على ذلك العنوان، عبر كل سلسلة EVM، طالما تملك المفاتيح. التشفير سليم. المتغير الوحيد هو مدى عنايتك في التعامل معه.