密语 · CIPHER | 目录 CH.24 / 26
绝密
Phase 6 · Web3

钱包、助记词与链上签名

12 个单词,如何一步步变成一把私钥、一个地址、和一次不可伪造的转账。以及为什么丢了就永远找不回。

阅读 ~15 分钟 前置 第 17、18 章 Demo 助记词 → 私钥 → 地址 派生

"区块链钱包"这个词有误导性——钱包里其实没有钱。钱(状态)在链上,钱包里只有一把私钥。谁持有私钥,谁就能签署"花掉这笔钱"的交易。整个 Web3 的所有权,归根结底就是第 18 章的数字签名。这一章我们把从助记词到签名的完整链条走一遍。

开始前的严正警告

本章 Demo 是教学演示,为了让你看清每一步,它用了简化的派生(比如用 SHA-256 代替以太坊真正的 Keccc-256、用小词表代替 BIP-39 的 2048 词表)。它生成的任何私钥/地址都不可用于真实资产,真实资产也绝不要输进任何网页。 真实钱包请用经过审计的库和硬件钱包。

一、所有权 = 一把私钥

回到第 18 章:私钥签名、公钥验证。区块链把这个原语变成了所有权凭证:

用的曲线是 secp256k1(第 17 章提过,比特币和以太坊都用它)。私钥是一个 256 位随机数 d,公钥是曲线上的点 Q = d·G——又是那个单向的标量乘:从私钥算公钥易如反掌,从公钥反推私钥(ECDLP)不可能。

二、助记词:把 256 位随机数变成人能抄的东西

一个 256 位私钥长这样:0x4c0883a69102937d…——没人能准确抄写和保管。BIP-39 助记词解决了这个人机工程难题:把那串随机比特,按标准词表映射成 12 或 24 个普通单词

128 位熵 + 校验位 → 12 个单词(如 "ripple lesson march…")

单词好抄、好读、好在纸上保存,还自带校验和(抄错一个词能被检测出来)。这串助记词就是你钱包的总种子——从它能确定性地派生出你所有的私钥。所以:

助记词 = 全部身家

谁拿到你的 12 个助记词,谁就能在任何钱包软件里重建出你的全部私钥,拿走全部资产。所以:①绝不截图、不上传、不发消息、不输进任何网站;②抄在纸上/刻在金属上离线保存;③任何向你索要助记词的"客服""空投""验证",100% 是诈骗。这不是危言耸听——助记词钓鱼是加密世界最主流的盗窃手段。

三、HD 钱包:一颗种子,无数地址

现代钱包是 HD(分层确定性)钱包(BIP-32/44)。它从助记词派生出一棵密钥树,顺着一条"派生路径"(如 m/44'/60'/0'/0/0)能生成无穷多个子密钥。好处:你只需备份一句助记词,就能恢复所有账户;每次收款还能用一个新地址来保护隐私。全部子密钥都由那一颗种子确定性地长出来——这也是"确定性"三个字的含义。

四、亲手走完:助记词 → 私钥 → 公钥 → 地址

下面的 Demo 把整条派生链摊开给你看(真实 secp256k1 曲线运算,教学简化的哈希步骤)。点"生成"随机造一组,或自己填助记词,观察每一步如何确定性地导出下一步:

DEMO 教学版钱包派生 · 勿用于真实资产
每一步都是确定性的:相同助记词永远导出相同私钥、相同地址。改动助记词一个词,整条链(私钥、公钥、地址)全部改变——这既是"可恢复"的原理,也是"抄错就是另一个钱包"的原因。

五、链上签名:授权一笔转账

有了私钥,发一笔交易就是第 18 章的签名:

  1. 构造交易(转给谁、多少、gas、nonce 防重放);
  2. 对交易的哈希用私钥做 ECDSA 签名(还记得第 18 章的"先哈希再签名"吗);
  3. 把交易 + 签名广播出去。全网节点用你的公钥/地址验证签名,通过则执行。

以太坊还有一个和 App 安全强相关的细节:EIP-191 / EIP-712 结构化签名。当一个 DApp 请求你签名时,EIP-712 让钱包能清晰地展示你到底在签什么(而不是一串看不懂的十六进制)。这直接对应第 18 章的教训:永远搞清楚你在签的是什么——很多盗币事件正是骗用户签下了一个"授权把我全部代币转走"的消息,而用户以为只是"登录"。

多签与门限签名

把单点私钥的风险分散,是链上安全的重要方向:
· 多签(Multisig):一笔交易需要 M-of-N 把私钥共同签署才生效(如 3 个创始人里任意 2 个)。单把私钥泄露不至于丢钱。
· 门限签名(TSS):用密码学(秘密共享 + MPC)把一把私钥成 N 份,签名时多方协作产生一个普通签名,而完整私钥从未在任何一处出现过。比多签更私密、更省 gas。
这些都是把第 18 章的签名,与"秘密共享""安全多方计算"等更高级的密码学组合起来的成果——又一次印证"威力在于组合"。

Web3 没逃出这本书

回头看整个 Phase 6:哈希链、Merkle 树、PoW(第 23 章),椭圆曲线、ECDSA、助记词派生(本章)——没有一样是新密码学。区块链只是把第 3 Phase 的哈希和第 4 Phase 的签名,用一种"去掉可信第三方"的方式重新组合。你在前面章节建立的每一个直觉,在这里都直接适用。这也是为什么懂密码学的人看 Web3,能一眼分清哪些是真创新、哪些是包装。

Phase 6 结束。我们已经把密码学从古典走到了当代最热的应用。最后一个 Phase,我们眺望前沿:一种"泄露今天的密钥也读不了昨天消息"的聊天协议,一种"证明我知道却不告诉你"的魔法,以及一个可能颠覆前面所有公钥算法的幽灵——量子计算机。

本章要点

  • 钱包里没有钱,只有私钥;链上所有权 = 能用私钥对交易签名(secp256k1 + ECDSA)。
  • BIP-39 助记词把 256 位私钥编码成可抄写、带校验的单词;它等于全部身家,绝不外泄。
  • HD 钱包(BIP-32/44)从一颗种子确定性派生出整棵密钥树,一句助记词恢复所有账户。
  • 转账靠对交易哈希做签名;用 EIP-712 看清签的是什么;多签/门限签名分散单点私钥风险。