Как быстро можно подобрать seed-фразу перебором? (2026)

Самый частый страх среди держателей криптовалют --- что кто-то угадает их seed-фразу. Двенадцать слов из списка в 2 048 --- как сложно может быть взломать? Ответ, основанный на математике, а не на предположениях: brute-force подбор правильно сгенерированной seed-фразы не просто затруднителен. Он физически невозможен с любой существующей или прогнозируемой технологией.

Эта статья разбирает цифры, рассматривает реалистичные сценарии атак с текущим и будущим оборудованием и объясняет, почему реальные угрозы для вашей seed-фразы не имеют отношения к перебору.

Математика энтропии¶

12-словная BIP39 seed-фраза кодирует 128 бит энтропии. Каждое слово берётся из стандартизированного списка из 2 048 слов и кодирует 11 бит информации (поскольку 2^11 = 2 048). Двенадцать слов кодируют 132 бита, из которых 128 --- энтропия и 4 --- контрольная сумма.

Общее число валидных 12-словных seed-фраз:

2^128 = 340 282 366 920 938 463 463 374 607 431 768 211 456

Это примерно 3,4 x 10^38, или 340 ундециллионов комбинаций.

24-словная seed-фраза кодирует 256 бит энтропии:

2^256 ~ 1,16 x 10^77 комбинаций

Для масштаба: оценочное число атомов в наблюдаемой Вселенной --- примерно 10^80. Пространство ключей 24-словной seed-фразы в пределах нескольких порядков величины от числа атомов во всём существующем.

Это не произвольные числа. Они --- фундамент модели безопасности Bitcoin, Ethereum и каждой другой криптовалюты, использующей BIP39-мнемоники. Подробнее о работе энтропии --- Что такое энтропия в криптовалютах?.

2^128 комбинаций: что это значит?¶

Большие числа сложно интуитивно осознать. Вот несколько способов понять масштаб 2^128.

Счёт с компьютерной скоростью¶

Допустим, у вас есть компьютер, проверяющий триллион (10^12) seed-фраз в секунду. Это далеко за пределами возможностей любой современной машины, но будем щедры.

При такой скорости проверка всех 2^128 комбинаций займёт:

3,4 x 10^38 / 10^12 = 3,4 x 10^26 секунд

Возраст Вселенной --- примерно 4,3 x 10^17 секунд (13,8 миллиарда лет). Этот компьютер, работающий с триллионом проверок в секунду с момента Большого взрыва, прошёл бы:

4,3 x 10^17 / 3,4 x 10^26 = 0,0000000013% пространства поиска

Чтобы подобрать 12-словную seed-фразу с триллионом попыток в секунду, потребуется примерно 10 миллиардов возрастов нынешней Вселенной.

Энергетические ограничения¶

Существует фундаментальный физический предел вычислений --- предел Ландауэра: стирание одного бита информации требует минимум kT ln(2) джоулей энергии. При комнатной температуре (300K) это примерно 2,85 x 10^-21 джоулей на битовую операцию.

Для перебора 2^128 состояний даже теоретически идеальный компьютер на пределе Ландауэра потребовал бы:

2^128 x 2,85 x 10^-21 ~ 9,7 x 10^17 джоулей

Это примерно годовая энергоотдача Солнца за 2,5 микросекунды --- что звучит выполнимо, пока не учтёшь, что это предполагает абсолютную минимальную энергию, допускаемую физикой, на операцию. Реальные компьютеры потребляют на много порядков больше. Реалистичная попытка перебора 2^128 потребует энергетических бюджетов, превышающих планетарные ресурсы.

Для 2^256 потребность в энергии превышает то, что может предоставить вся наблюдаемая Вселенная.

Сравнение с шансами в лотерее¶

Шансы выиграть типичный национальный лотерейный джекпот --- примерно 1 к 300 миллионам (примерно 2^28). Угадать 12-словную seed-фразу с первой попытки эквивалентно выигрышу в эту лотерею 2^100 раз подряд. Это не преувеличение для эффекта --- буквальное математическое сравнение.

Сценарии атак GPU и ASIC¶

Перейдём от теории к практике и рассмотрим, что атакующие реально могут развернуть в 2026 году.

Текущие возможности GPU¶

Топовый GPU (вроде NVIDIA RTX 5090) может выполнять примерно 2--3 миллиарда SHA-256 хешей в секунду. Деривация BIP39 seed-фразы требует PBKDF2-HMAC-SHA512 с 2 048 итерациями, за которой следует деривация ключа. Каждая проверка seed-фразы требует примерно 4 096 операций SHA-512.

Эффективных проверок seed-фраз на GPU: примерно 500 000--1 000 000 в секунду.

Даже с тысячей параллельно работающих GPU вы достигнете примерно 10^9 проверок в секунду. Против 2^128 возможностей:

3,4 x 10^38 / 10^9 = 3,4 x 10^29 секунд ~ 10^22 лет

Это десять секстиллионов лет, примерно в 700 миллиардов раз больше возраста Вселенной.

ASIC-майнинг-фермы¶

Bitcoin ASIC-майнеры --- самое мощное SHA-256-оборудование на планете. Вся сеть Bitcoin выполняет примерно 600 экзахешей в секунду (6 x 10^20 хешей/секунду) на начало 2026 года. Даже если всю эту сеть перепрофилировать для подбора seed-фраз, эффективная скорость проверки была бы резко снижена требованием 2 048 итераций PBKDF2.

Оптимистическая оценка: вся сеть Bitcoin-майнинга смогла бы выполнить ~10^17 проверок seed-фраз в секунду при специально разработанных ASIC.

3,4 x 10^38 / 10^17 = 3,4 x 10^21 секунд ~ 10^14 лет

Это по-прежнему 100 триллионов лет. Примерно в 7 000 раз больше текущего возраста Вселенной.

Атаки на государственном уровне¶

Даже если правительство выделит бюджет, равный мировому ВВП (100 триллионов долларов), на строительство оборудования для подбора seed-фраз, и даже если это оборудование будет в 1 000 раз эффективнее современных ASIC, математика не меняется существенно. Можно уменьшить оценку на несколько порядков, до примерно 10^10 лет --- всё ещё в сто раз больше возраста Вселенной.

12 слов vs 24 слова¶

Если 128 бит (12 слов) уже за пределами brute force, зачем BIP39 предлагает 24-словный вариант (256 бит)?

Текущая безопасность: оба достаточны¶

Против классических компьютерных атак 128 бит энтропии невзламываемы. Никакая комбинация существующих технологий не может сократить время поиска до чего-либо практичного. Для повседневного использования криптовалюты 12-словная seed-фраза обеспечивает более чем достаточную безопасность.

Соображения о квантовых вычислениях¶

Алгоритм Гровера --- техника квантовых вычислений --- теоретически может обыскать неструктурированное пространство из 2^n элементов за 2^(n/2) шагов. Применительно к 128-битной seed-фразе это снизит эффективную безопасность до 64 бит --- примерно 1,8 x 10^19 комбинаций.

Можно ли сломать 2^64? С достаточно большим квантовым компьютером --- потенциально да, но не быстро. Это всё ещё потребует миллиардов квантовых операций, а текущие квантовые компьютеры имеют менее 2 000 шумных кубитов --- далеко от миллионов кубитов с коррекцией ошибок, необходимых для алгоритма Гровера в масштабе.

24-словная (256-битная) seed-фраза снижается до 128-битной безопасности при алгоритме Гровера, оставаясь прочно в невзламываемом диапазоне даже против будущих квантовых компьютеров. Если вы планируете на десятилетия, 24 слова обеспечивают дополнительный запас безопасности.

Всесторонний анализ квантовой угрозы --- Квантовые компьютеры и угроза криптовалютам.

Практическая рекомендация¶

Для большинства пользователей 12-словная seed-фраза с правильной энтропией безопасна. Если вы храните значительные суммы долгосрочно (10+ лет) и хотите подстраховаться от прогресса квантовых вычислений, используйте 24-словную фразу. Bitcoin Seed Phrase Generator и Ethereum Seed Phrase Generator от SafeSeed поддерживают и 12-словную, и 24-словную генерацию.

Реальные векторы атак (не brute force)¶

Если подбор seed-фразы невозможен, как люди на самом деле теряют криптовалюту? Ответ: реальные атаки нацелены на человека, среду или хранение --- никогда на математику.

Фишинг¶

Злоумышленники создают поддельные сайты кошельков, страницы восстановления или каналы поддержки, обманом заставляя пользователей вводить seed-фразу. Никакая криптографическая мощь не защищает от добровольной передачи ключей. Подробнее --- Распространённые мошенничества с seed-фразами.

Вредоносное ПО¶

Кейлоггеры, инструменты захвата экрана и перехватчики буфера обмена могут записать seed-фразу при вводе или отображении. Генерация seed-фразы на скомпрометированном устройстве сводит на нет всю математическую безопасность. Подробнее --- Безопасны ли онлайн-генераторы seed-фраз?.

Физическая кража¶

Seed-фраза, записанная на бумаге и хранящаяся в незапертом ящике, уязвима для любого с физическим доступом. Лучшие практики холодного хранения и безопасного физического размещения необходимы. Наш гид по холодному хранению охватывает физическую безопасность.

Социальная инженерия¶

Злоумышленники выдают себя за поддержку кошелька, сотрудников биржи или даже друзей, чтобы убедить жертву раскрыть seed-фразу. Ни один легитимный сервис никогда не попросит вашу seed-фразу.

Слабая энтропия¶

Если генератор случайных чисел, создавший seed-фразу, был дефектным, фактическая энтропия может быть значительно ниже 128 бит. Seed-фраза, сгенерированная через Math.random() или предсказуемый источник, может иметь лишь 30--50 бит эффективной энтропии, что абсолютно в пределах brute-force. Поэтому источник энтропии критически важен; см. Что такое энтропия в криптовалютах?.

Атаки на цепочку поставок¶

Скомпрометированные аппаратные кошельки, подменённые загрузки ПО или предгенерированные seed-фразы в упаковке устройств --- задокументированные векторы атак. Всегда проверяйте целостность инструментов и никогда не используйте seed-фразу, сгенерированную кем-то другим или напечатанную вместе с устройством.

Как сделать seed-фразу невзламываемой¶

Математическая безопасность BIP39 seed-фразы уже фактически абсолютна. Ваша задача --- обеспечить соответствие практической безопасности теоретической.

1. Используйте криптографически безопасный генератор¶

Генерируйте seed-фразу инструментом, использующим crypto.getRandomValues() или эквивалентную аппаратную случайность. Генераторы SafeSeed используют Web Crypto API для всей энтропии, гарантируя полные 128 или 256 бит криптографически надёжной случайности.

2. Генерируйте офлайн при возможности¶

Отключитесь от интернета перед генерацией seed-фразы. Air-gapped среда устраняет сетевую утечку данных. Подробнее --- Генерация Bitcoin seed офлайн.

3. Храните безопасно¶

Запишите seed-фразу на долговечном материале (стальные пластины противостоят огню и воде лучше бумаги). Храните в физически защищённом месте. Наш гид Безопасность приватного ключа: лучшие практики подробно охватывает хранение.

4. Никогда не вводите seed-фразу в цифровом виде¶

Не вводите seed-фразу ни на одном сайте, в приложении или цифровом документе, если вы не восстанавливаете кошелёк в доверенном приложении по вашей инициативе. Если кто-то просит «верифицировать» seed-фразу онлайн --- это мошенничество. Всегда.

5. Рассмотрите парольную фразу¶

BIP39 поддерживает необязательную парольную фразу (иногда «25-е слово»), которая комбинируется с мнемоникой при деривации seed. Это добавляет уровень защиты: даже если злоумышленник получит 12 или 24 слова, он не сможет вывести ваш кошелёк без парольной фразы. Компромисс: если вы забудете парольную фразу, средства станут так же недоступны для вас.

Цифры однозначны. Правильно сгенерированная 12-словная seed-фраза имеет 340 ундециллионов возможных комбинаций. Ни один компьютер, ни сеть компьютеров, ни квантовый компьютер и никакая теоретическая будущая технология не способны обыскать это пространство. Математика не близка к взлому --- она даже не в одной вселенной со взломом.

Безопасность вашей seed-фразы полностью зависит от двух вещей: качества энтропии, которая её создала, и вашей дисциплины в сохранении секретности. Обеспечьте оба --- и криптография позаботится об остальном.