Seed Phrase:恢复短语完整指南
seed phrase(也称恢复短语、记忆短语或备份短语)是你整个加密货币资产组合中最重要的一条信息。它是主密钥的人类可读表示,控制着加密货币钱包中的所有地址和资金。丢失它意味着永久失去资产;泄露它意味着任何人都能偷走你拥有的一切。
本指南将解释 seed phrase 是什么、底层如何工作、如何安全生成,以及如何存储以抵御火灾、洪水和时间流逝。
什么是 Seed Phrase?
seed phrase 是由 12 或 24 个常见英文单词按顺序组成的列表,用于编码一个大型随机数(“entropy”),并据此派生分层确定性(HD Wallet)钱包中的每一个私钥。词表与编码流程由 BIP-39 standard 定义。
一个典型的 24 词 seed phrase 如下:
abandon ability able about above absent absorb abstract absurd abuse access accident
acid acoustic acquire across act action actor actual adapt add addict address
(这只是示例。绝不要使用你在网上找到的 seed phrase。)
每个单词都来自固定的 2,048 个英文词列表,这些词被精心选择以保证唯一性。列表中任意两个词的前四个字母都不相同,可减少抄写错误。
Seed Phrase 与私钥的区别
私钥是控制单个地址的一个数字。seed phrase 是主密钥,可确定性地派生出无限数量的私钥,对应钱包未来创建的每一个地址。可以把 seed phrase 视为树根,私钥是树枝。
| 属性 | Seed Phrase | Private Key |
|---|---|---|
| 格式 | 12 或 24 个英文单词 | 256-bit 十六进制数字 |
| 控制范围 | 整个钱包(所有地址) | 单个地址 |
| 标准 | BIP-39 | ECDSA / secp256k1 |
| 人类可读 | 是 | 否 |
| 备份复杂度 | 抄写单词 | 精确复制 hex 字符串 |
由于 seed phrase 会生成全部私钥,保护它比保护任何单个私钥都更重要。
Seed Phrase 如何工作
生成流程
-
熵生成 — 钱包生成一段密码学安全随机数据。24 词短语对应 256 bits 熵;12 词短语对应 128 bits。随机性的质量至关重要,详见我们的 Entropy and Randomness guide。
-
校验和 — 对熵计算 SHA-256 哈希,并附加哈希的前几位。这样钱包在日后输入短语时可检测拼写错误。对 256-bit 熵,会附加 8 位校验,总计 264 bits。
-
单词映射 — 将 264 bits 拆分为每组 11 bits。每组 11 bits 映射到 BIP-39 词表中的索引(0–2047),最终得到正好 24 个单词。
-
种子派生 — 将助记词通过 PBKDF2-HMAC-SHA512 做 2,048 轮哈希,使用字符串
"mnemonic"(加可选 passphrase)作为盐值,输出 512-bit seed。 -
密钥派生 — 将 512-bit seed 输入 BIP-44 derivation paths,生成主密钥、子密钥,并最终得到每种加密货币对应的私钥和地址。
为什么是 24 个词?
24 个词编码了 256 bits 熵和 8 bits 校验和。这意味着:
- 2^256 种可能组合 — 约为 1.16 x 10^77。对比而言,可观测宇宙中的原子总数估计约为 10^80。
- 在现有技术以及经典计算范式可预见未来技术下,暴力破解 24 词 seed phrase 在计算上不可行。
12 词短语(128 bits 熵)同样能抵御暴力破解,但 24 词提供更大的安全裕度;当你长期存储高价值资产时,这一点尤其重要。
BIP-39 词表
英文 BIP-39 词表恰好包含 2,048 个词。核心设计特性:
- 单词长度在 3 到 8 个字符之间。
- 每个词的前四个字母唯一,因此在空间受限时(例如金属板)只记录前四个字符也可。
- 单词均为常见英文词汇,不使用生僻或易拼错词。
- 还提供西班牙语、法语、意大利语、日语、韩语、中文(简体与繁体)、捷克语和葡萄牙语词表。
如何安全生成 Seed Phrase
seed phrase 的安全性取决于生成时使用的随机性和生成环境。
使用可信钱包或工具
Ledger 和 Trezor 这类硬件钱包会在设备内使用硬件随机数发生器(TRNG)生成 seed phrase。这是最安全的方法之一,因为 seed phrase 不会接触通用计算机。
如果使用软件生成,请选择开源、可审计且完全在客户端运行的工具。
使用 SafeSeed Seed Phrase Generator 在浏览器中安全生成符合 BIP-39 的 seed phrase。该工具完全在客户端运行,不会将任何数据发送到服务器。为获得最高安全性,请在生成短语前断开互联网连接。
Air-Gapped 生成
对于高价值钱包,请在一台从未连接且永不连接互联网的计算机上生成 seed phrase。参见我们的 Offline Key Generation guide 获取分步流程。
绝对不要做这些事
- 绝不要自己“随机”挑词来生成 seed phrase。 人类非常不擅长生成随机性。研究一再表明,人为“随机”序列的熵远低于看起来的水平。
- 绝不要使用在服务器端运行的在线 seed phrase 生成器。 服务器一旦看到你的熵,就能重建你的 seed phrase。
- 绝不要使用教程、书籍或网络上看到的 seed phrase。 这些都是示例,而且会被盗窃者监控。
- 绝不要让别人替你生成 seed phrase。 只要他们知道短语,就能在任何时候转走你的资金。
存储你的 Seed Phrase
纸质备份
正确操作下,把 seed phrase 写在纸上既简单又有效:
- 使用笔(不要用会褪色的铅笔)写在无酸纸上。
- 书写清晰,并为每个词编号。
- 逐词与钱包显示内容进行二次核对。
- 将纸张存放在防火防水保险箱中。
- 建议制作两份副本并存放在不同地点。
金属备份
纸张容易受火灾和水损影响。金属 seed 存储产品(钢板、胶囊、垫圈)可承受住宅火灾(超过 1,000 摄氏度)和洪水。常见方案包括:
- 冲压或雕刻钢板
- 带字母钢印的钢垫圈组合
- 带雕刻字块的胶囊式存储
如果使用“前四字母”缩写,请务必验证每个缩写在 BIP-39 列表中都能唯一对应一个词。
数字备份:务必极度谨慎
将 seed phrase 以数字形式存储(文件、密码管理器、云存储、照片或截图)会引入攻击面:
- 云存储可能被攻破。
- 密码管理器可能被入侵。
- 照片会自动同步到云服务。
- 恶意软件会在文件中扫描已知 BIP-39 词序模式。
如果必须保存数字副本,请用强 passphrase 配合 GPG 等工具加密,存放在离线加密 U 盘中,并且绝不要把解密 passphrase 与加密文件放在一起。
Seed Phrase 备份的 3-2-1 规则
将数据备份 3-2-1 规则应用到 seed phrase:
- 3 份 seed phrase 副本
- 2 种不同介质(例如纸 + 金属)
- 1 份放在异地
拆分 Seed Phrase(Shamir's Secret Sharing)
一些高级用户会使用 Shamir's Secret Sharing(SSS)拆分 seed phrase。它会把秘密拆成 N 份,使其中任意 M 份(M < N)即可重建原始秘密。例如 2-of-3:任意两份可恢复 seed,单独一份不泄露任何内容。
该方案可缓解单点故障:盗贼拿到一份无用,而你丢失一份仍可恢复。Trezor 的 SLIP-39 标准原生支持 Shamir 备份。
警告: 不要简单把 24 词短语拆成两个 12 词半段。这不是 Shamir 共享;每一半都会泄露大量信息,并显著降低暴力破解难度。
通过 Seed Phrase 恢复钱包
如果你的硬件钱包遗失、损坏或被盗,seed phrase 可让你在新设备或兼容软件中重建整个钱包:
- 获取支持 BIP-39 的新钱包(硬件或软件)。
- 选择“Restore from seed phrase”或“Import wallet”。
- 按生成时的原始顺序输入所有单词。
- 钱包会重新派生所有地址,并扫描区块链恢复余额。
跨钱包兼容性
由于 BIP-39 和 BIP-44 是开放标准,在一个钱包生成的 seed phrase 通常可在另一个钱包恢复。但有些钱包使用非标准 derivation path 或专有方案。务必核对:
- 钱包支持 BIP-39。
- 每种币的 derivation path 与原钱包一致。
- 钱包支持相同的 address types(Legacy、SegWit、Taproot)。
如果我丢了一个词怎么办?
如果你有 24 个词中的 23 个,缺失词只有 2,048 种可能,且校验和会排除其中大多数。已有工具可在几秒内暴力找回缺失词。但若丢失两个或更多词,恢复难度会指数级上升;缺失三个或更多词时,若无额外约束,通常在实践中几乎不可能恢复。
Seed Phrase 安全威胁
物理威胁
- 盗窃 — 有人找到你写下的 seed phrase。
- 灾害 — 火灾、洪水或其他事件毁掉所有副本。
- 继承失效 — 你去世或失去行为能力,继承人不知道短语存在或存放位置。
数字威胁
- 剪贴板劫持 — 恶意软件拦截复制粘贴操作。
- 屏幕截取 — seed 显示时恶意软件截图。
- 网络钓鱼 — 假钱包应用或网站诱导你输入 seed phrase。
- 键盘记录器 — 软件记录你输入短语的按键。
- 社会工程 — 有人冒充客服索要你的 seed phrase。参见我们的 Social Engineering guide。
缓解措施
- 不要在联网设备上输入 seed phrase。
- 不要给 seed phrase 拍照。
- 输入 seed phrase 前验证钱包软件和固件。
- 考虑添加 BIP-39 passphrase 作为额外防护层。
- 使用仅在自身屏幕显示 seed phrase 的硬件钱包。
Seed Phrase 与继承规划
加密货币没有“忘记密码”恢复流程。如果你去世前未传递 seed phrase,资金将永久丢失。可考虑以下策略:
- 与律师存放密封信或放入保险箱 — 包含 seed phrase 与恢复说明。
- Shamir's Secret Sharing — 将份额分发给多个可信方(如家人、律师和银行金库)。
- Dead man's switch — 在长期不活跃后发送说明的服务。对可能被攻破的服务要谨慎。
- 书面说明 — 即使继承人拿到 seed phrase,也需要逐步说明使用什么钱包软件以及如何访问资金。
请记录 derivation path、所用钱包软件和存储的加密货币种类。你的继承人可能并不熟悉加密货币。
需要避免的常见错误
- 把 seed phrase 存在会云同步的设备上 — iCloud、Google Drive、Dropbox 等服务是高价值攻击目标。
- 截图或拍照 — 这些内容会自动同步到设备和云服务。
- 通过邮件或消息发送 seed phrase — 电子邮件默认不是端到端加密。
- 在网站输入 seed phrase — 合法服务绝不会索要完整 seed phrase。这始终是钓鱼攻击。
- 使用弱或可预测的 seed phrase — 绝不要自己选词。使用密码学安全随机数发生器。
- 不验证备份 — 写下 seed phrase 后,应先做一次测试恢复,再向钱包转入大额资金。
- 只保留一份副本 — 单一备份就是单点故障。
FAQ
加密货币中的 seed phrase 是什么?
seed phrase(也叫恢复短语或记忆短语)是加密货币钱包生成的 12 或 24 个单词列表。它编码了主秘密,钱包的所有私钥和地址都由此派生。它是终极备份:任何知道你 seed phrase 的人都能完全控制关联资金。
我可以更改 seed phrase 吗?
不能。seed phrase 来源于钱包创建时生成的初始随机熵。要获得新的 seed phrase,必须创建全新钱包并把资金转移过去。
12 词 seed phrase 比 24 词更不安全吗?
12 词短语提供 128 bits 熵,24 词短语提供 256 bits。按当前已知技术,两者都无法被现实暴力破解。不过 256 bits 的安全裕度大得多,更建议用于长期存储高价值资产。
如果有人偷走我的 seed phrase,会发生什么?
对方将完全控制关联钱包中的所有地址和加密货币,可立即把全部资金转到自己的地址。在区块链上,这类交易无法撤销。
我应该把 seed phrase 存在密码管理器里吗?
这是有争议的话题。像 1Password 或 Bitwarden 这类可靠密码管理器会对静态数据加密,但你访问时 seed phrase 仍会在设备上以解密状态存在。对于高价值钱包,离线物理存储(纸或金属)通常更安全,因为它消除了所有数字攻击向量。
没有 seed phrase 能恢复钱包吗?
通常不能。如果你同时丢失了钱包设备和 seed phrase,资金不可恢复。一些钱包提供替代备份方式(如 Shamir 备份),但标准 BIP-39 seed phrase 仍是主要恢复机制。
在网站输入 seed phrase 安全吗?
不安全。合法加密货币服务绝不会在网站上要求你的 seed phrase。任何索要完整 seed phrase 的网站几乎都可判定为钓鱼诈骗。只应在可信且已验证的钱包软件或硬件设备中输入 seed phrase。详见我们的 Phishing Prevention guide。
seed phrase 和私钥有什么区别?
seed phrase 是主熵的人类可读编码,可通过分层派生(BIP-44)生成无限数量私钥。私钥是控制单个地址的单一密码学密钥。seed phrase 是根,私钥是叶。更多内容参见我们的 Private Key Security guide。