暴力破解助记词有多快?(2026)
目录
加密货币持有者最常见的恐惧是有人猜出他们的助记词。从2,048个词的列表中选择十二个词——破解它能有多难?答案是基于数学而非猜测的:暴力破解正确生成的助记词不仅仅是困难。在任何现有或预计存在的技术下,它在物理上都是不可能的。
本文逐步推算数字,考虑使用当前和未来硬件的现实攻击场景,并解释为什么对助记词的真正威胁与暴力破解毫无关系。
熵的数学¶
12词的 BIP39 助记词编码128位熵。每个词从标准化的2,048词列表中选取,每个词编码11位信息(因为 2^11 = 2,048)。十二个词总共编码132位,其中128位是熵,4位是校验和。
有效的12词助记词总数为:
2^128 = 340,282,366,920,938,463,463,374,607,431,768,211,456
大约是 3.4 x 10^38,即340涧种组合。
24词助记词编码256位熵,得出:
2^256 ~ 1.16 x 10^77 种组合
将 2^256 放在透视中:可观测宇宙中估计的原子数大约是 10^80。24词助记词的密钥空间与存在的一切事物的原子计数在几个数量级之内。
这些不是任意的数字。它们是 Bitcoin、Ethereum 和每个使用 BIP39 助记符的其他加密货币的安全模型基础。有关熵工作原理的更深入解释,请参阅加密货币中的熵是什么?。
2^128 种组合:这意味着什么?¶
大数字难以直觉理解。以下是理解 2^128 规模的几种方式。
以计算机速度计数¶
假设你有一台每秒可以检查一万亿(10^12)个助记词的计算机。这远超当今任何单台机器的能力,但让我们慷慨假设。
以该速率,检查所有 2^128 种组合需要:
3.4 x 10^38 / 10^12 = 3.4 x 10^26 秒
宇宙年龄大约是 4.3 x 10^17 秒(138亿年)。所以这台计算机以每秒万亿次检查的速度从大爆炸开始运行,大约完成了:
4.3 x 10^17 / 3.4 x 10^26 = 0.0000000013% 的搜索空间
要以每秒万亿次猜测的速度暴力破解一个12词助记词,你需要大约当前宇宙年龄的100亿倍。
能量约束¶
计算存在一个基本物理极限,称为 Landauer 界限:擦除一个比特信息最少需要 kT ln(2) 焦耳的能量,其中 k 是玻尔兹曼常数,T 是温度。在室温(300K)下,这大约是每比特操作 2.85 x 10^-21 焦耳。
要循环遍历 2^128 个状态,即使在 Landauer 极限下运行的理论上完美的计算机也需要:
2^128 x 2.85 x 10^-21 ~ 9.7 x 10^17 焦耳
这大约是太阳的年能量输出(3.8 x 10^26 瓦特)的2.5微秒——这听起来可以管理,直到你意识到这假设每次操作使用物理允许的绝对最小能量。真实计算机每次操作消耗的能量要多出许多个数量级。对 2^128 的现实暴力破解尝试需要超过行星级资源的能量预算。
对于 2^256,能量需求超过了整个可观测宇宙所能提供的。
与彩票几率的比较¶
赢得典型国家彩票头奖的几率约为3亿分之一(大约 2^28)。第一次猜中12词助记词等同于连续赢得该彩票 2^100 次。这不是夸张效果;这是字面上的数学比较。
GPU 和 ASIC 攻击场景¶
让我们从理论转向实践,考虑攻击者在2026年实际能部署什么。
当前 GPU 能力¶
高端 GPU(如 NVIDIA RTX 5090)每秒可执行大约20-30亿次 SHA-256 哈希。推导 BIP39 助记词需要运行 PBKDF2-HMAC-SHA512 的2,048次迭代,然后进行密钥推导。这意味着每次助记词检查需要大约4,096次 SHA-512 操作。
每个 GPU 的有效助记词检查:大约每秒50万到100万次。
即使有一千个 GPU 并行工作,也只能达到大约 10^9 次/秒的检查。面对 2^128 种可能性:
3.4 x 10^38 / 10^9 = 3.4 x 10^29 秒 ~ 10^22 年
这是十万亿亿年,约为宇宙年龄的7000亿倍。
ASIC 矿场¶
Bitcoin ASIC 矿机是地球上最强大的 SHA-256 硬件。截至2026年初,整个 Bitcoin 网络每秒执行大约600 ExaHash(6 x 10^20 次哈希/秒)。即使将整个网络重新用于助记词破解(由于 PBKDF2 步骤无法直接实现),有效检查率也会因2,048次 PBKDF2 迭代要求而大幅降低。
乐观估计:如果为此任务设计专用 ASIC,整个 Bitcoin 挖矿网络可能每秒能管理约 10^17 次助记词检查。
3.4 x 10^38 / 10^17 = 3.4 x 10^21 秒 ~ 10^14 年
这仍然是100万亿年。约为当前宇宙年龄的7,000倍。
国家级攻击¶
即使政府投入相当于全球 GDP(100万亿美元)的预算来建造助记词破解硬件,即使该硬件比当前 ASIC 高效1,000倍,数学也不会发生任何有意义的变化。你可能会从估计中减去几个数量级,降到大约 10^10 年——仍然是宇宙年龄的一百倍。
12词 vs 24词¶
既然128位(12词)已经超出暴力破解能力,为什么 BIP39 还提供24词(256位)选项?
当前安全性:两者都足够¶
面对经典计算攻击,128位熵是无法破解的。现有技术的任何组合都无法将搜索时间缩短到任何远程可行的程度。对于日常加密货币使用,12词助记词提供了绰绰有余的安全性。
量子计算考虑¶
Grover 算法是一种量子计算技术,理论上可以在 2^(n/2) 步内搜索 2^n 项的无结构空间。应用于128位助记词,这将有效安全性降低到64位——大约 1.8 x 10^19 种组合。
2^64 可破解吗?使用足够大的量子计算机,可能是的,尽管速度不快。仍然需要数十亿次量子操作,而当前量子计算机的嘈杂量子比特不到2,000个——远不及 Grover 算法所需的数百万个纠错量子比特。
24词(256位)助记词在 Grover 算法下降至128位安全性,即使面对未来的量子计算机也牢牢处于不可破解范围。如果你计划数十年的安全性,24词提供了额外的安全裕度。
有关量子威胁对加密货币的全面分析,请参阅量子计算与加密货币威胁。
实际建议¶
对于大多数用户,使用适当熵生成的12词助记词是安全的。如果你存储大量价值用于长期持有(10年以上)并想对冲量子计算进展,使用24词短语。SafeSeed 的 Bitcoin 助记词生成器和 Ethereum 助记词生成器支持12词和24词生成。
真实世界攻击载体(非暴力破解)¶
如果暴力破解助记词是不可能的,人们实际上是怎么丢失加密货币的?答案是真正的攻击针对的是人、环境或存储——从来不是数学。
钓鱼¶
攻击者创建假冒的钱包网站、恢复页面或支持渠道,诱骗用户输入助记词。再强的密码学强度也无法保护自愿交出密钥的行为。请参阅常见的助记词加密诈骗了解需要注意的特定攻击模式。
恶意软件¶
键盘记录器、屏幕捕获工具和剪贴板劫持器可以在输入或显示助记词时记录它。在被入侵的设备上生成助记词会抵消所有数学安全性。有关更安全生成的指导,请参阅在线助记词生成器安全吗?。
物理盗窃¶
写在纸上并存放在未上锁抽屉中的助记词容易被任何有物理接触的人窃取。冷存储最佳实践和安全的物理存储至关重要。我们的冷存储指南涵盖了物理安全维度。
社会工程¶
攻击者冒充钱包支持团队、交易所员工甚至朋友来说服受害者透露助记词。没有任何合法服务会要求您的助记词。
弱熵¶
如果用于创建助记词的随机数生成器有缺陷,实际熵可能远少于128位。从 Math.random() 或可预测来源生成的助记词可能只有30-50位有效熵,这绝对在暴力破解范围内。这就是为什么熵来源至关重要;请参阅加密货币中的熵是什么?了解完整解释。
供应链攻击¶
被入侵的硬件钱包、被篡改的软件下载或设备包装中预先生成的助记词都是已记录的攻击载体。始终验证工具的完整性,永远不要使用由他人生成的或与设备一起预印的助记词。
使你的助记词不可破解¶
BIP39 助记词的数学安全性已经是有效的绝对安全。你的工作是确保实际安全性与理论安全性相匹配。
1. 使用密码学安全的生成器¶
使用依赖 crypto.getRandomValues() 或等效硬件支持随机性的工具生成助记词。SafeSeed 的生成器使用 Web Crypto API 获取所有熵,确保完整的128或256位随机性是密码学上可靠的。
2. 尽可能离线生成¶
在生成助记词之前断开互联网。气隙环境消除了基于网络的数据泄露。请参阅如何离线生成 Bitcoin 助记词了解分步说明。
3. 安全存储¶
将助记词写在耐用材料上(钢板比纸张更能抵抗火灾和水灾)。存放在物理安全的位置。如果需要分布式备份,考虑使用 Shamir 秘密分享方案。我们的私钥安全最佳实践指南深入涵盖了存储。
4. 永远不要以数字方式输入助记词¶
不要将助记词输入任何网站、应用程序或数字文档,除非你在你发起的受信任应用程序中恢复钱包。如果有人要求你在线"验证"你的助记词,那就是诈骗。每次都是。
5. 考虑使用密码短语¶
BIP39 支持一个可选的密码短语(有时称为"第25个词"),在种子推导期间与助记词结合。这增加了一层保护:即使攻击者获得了你的12或24个词,没有密码短语他们也无法推导你的钱包。代价是如果你忘记了密码短语,你的资金对你来说同样不可访问。
数字是明确的。正确生成的12词助记词有340涧种可能组合。没有计算机、没有计算机网络、没有量子计算机、没有任何理论上的未来技术能搜索完那个空间。数学距离可破解不仅很远;它甚至不在同一个宇宙中。
你的助记词安全性完全取决于两件事:生成它的熵的质量,以及你保持它秘密的纪律。做对这两点,密码学会处理其余的。