市面上的助记词存储建议互相打架。有人说"刻进钢板才安全",有人说"金属备份纯属智商税"。有人推 Shamir 分片,有人说"多一层就多一个出错点"。还有人说"上 Casa 社交恢复",转头另一篇文章告诉你"信任第三方等于把私钥送出去"。
我把这五种方式都自己用过。从 2019 年算起,前后试过纸笔、Cryptosteel、Billfodl、Ellipal Plate、Trezor 的 SLIP-39、Ledger 的 passphrase,也帮一位朋友在 Casa 上做过三人多签的恢复方。每种方式都有它真正擅长的事,也都有它会让你赔钱的具体场景。
这篇不打分、不排名。我把每种方式的"它在防什么"和"它防不了什么"列清楚 —— 选哪种,得看你怕的是哪种丢币方式。
方法一:纸面手写
最朴素的一种,也是入坑最多人用过的一种。一张纸,一支笔,把 24 个英文单词按顺序抄下来,封进信封,塞进抽屉。
纸面手写真正的优点不是便宜,而是它没有任何技术依赖。十年后纸还在,字还看得清,你就能把币找回来。没有固件、没有专利、没有公司倒闭风险。这一点在加密圈尤其重要 —— 你不知道十年后哪家硬件厂还在。
它的翻车场景集中在两类:
- 物理损毁。火灾、水浸、霉变、虫蛀、被熊孩子撕掉、被搬家公司当废纸丢掉。我认识一位朋友,2017 年抄的助记词放在书里,2023 年搬家时整箱书被快递碾压淋雨,纸糊在一起。币还在链上,他读不出来。
- 意外暴露。室友看见、装修工人翻到、保洁拍照传朋友圈炫"奇怪的英文便签"。这种事比你想的多。
纸面手写适合小额、短期、过渡用。比如你刚买了第一个硬件钱包,先用纸抄一份放抽屉,等过几周资金多起来再升级到金属备份。它不适合作为长期主力方案。
方法二:金属备份
金属备份的卖点很清楚 —— 抗火、抗水、抗时间。常见的几款:Cryptosteel Capsule(不锈钢字母管)、Billfodl(不锈钢板插字母片)、Ellipal Plate(钛合金板手工敲字)、Trezor Keep Metal(钢板冲压)。价格从 50 美元到 200 美元不等。
我家里有三块。Cryptosteel 那种字母片要一根一根夹进卡槽,做完 24 个词要四十分钟,做完手指酸;Ellipal 那块钛板我用钢字模一个字母一个字母敲,敲完两小时,手肿了。Billfodl 中等,半小时左右。
2024 年我把 Cryptosteel 和 Billfodl 各一块扔进烤箱 200°C 烤 1 小时,又泡进 60°C 热水 24 小时,再泡进自来水池底两周。三轮之后字母片全部能读出,没有变形。但 Cryptosteel 的小字母片有两根因为反复夹取松了卡槽,掉出来过 —— 这意味着金属备份不是放进保险柜就完事,定期得开盒检查一次。
金属备份的真正风险不是火和水,是制作过程中你抄错了不自知。字母片插歪了一格、钢字打偏了半个字、自己手写时把 "abandon" 看成 "abundant" —— 这些错误在你需要恢复钱包时才会暴露,那时候已经晚了。所以做完之后必须在另一台离线设备上完整恢复一次,确认地址一致再封存。这一步我见过太多人省掉。
金属备份适合资金量已经超过你赔得起的范围的人。低于 5000 美元的仓位,老实说,纸+异地存放够用;高于这个数,钢板的几十美元就该花。
方法三:Shamir 秘密分享(SLIP-39)
SLIP-39 是 Trezor 主导推的标准。它的原理很有意思 —— 一份助记词被切成 N 份,需要凑齐其中 M 份才能恢复,少于 M 份的任意组合都无法重建原助记词。M 和 N 你自己定,常见的是 5 中 3、3 中 2。
5 中 3 的实际用法是这样:你把五份分片分别放在五个地方 —— 家里保险柜、父母家、银行保险箱、律师事务所、好友家。任意一份丢失(火灾烧了一份、银行保险箱过期没续费),剩下的四份还能凑出三份恢复。任意一份被盗(仅一份),小偷拿到也没用,因为他需要三份。
它真正解决的是"单点失效"和"单点泄露"的二选一困境。普通备份是:放一份只有一个点容易失效,放多份每一份都是泄露源。Shamir 把"失效"和"泄露"解耦了。
但它有几个真实的坑:
- SLIP-39 不是 BIP39。它不能直接导入 MetaMask、imToken、Phantom 这些主流钱包。目前能原生支持 SLIP-39 的只有 Trezor 系硬件。如果你哪天想换硬件品牌,迁移很麻烦。
- 分片本身是 20 或 33 个单词的长字符串,每一份都要妥善保存。你等于把"一份要保管"的问题,扩大成"五份要保管"。
- 给保管人解释清楚也是个事。"这是一段你看不懂的英文单词,丢了我会损失很多钱,但你单独拿着没用" —— 这话说起来容易,实际操作下来父母往往把信封拆了看一眼又封回去。
SLIP-39 适合资金量大、有稳定亲属关系或律师对接、且长期使用 Trezor 系的人。如果你这三个条件都满足,它是目前最稳的方案之一。
方法四:BIP39 passphrase(第 25 词)
这个最容易被误解。很多人以为 passphrase 是"把助记词分成两半",其实不是。它的机制是:你的 24 词 + 一段自定义密码 = 一个全新的钱包。同一组 24 词,配不同的 passphrase,会派生出完全不同的地址。
所以它不是分片,是加密。哪怕有人拿到了你的 24 词金属备份,没有 passphrase 也打不开你真正的钱包 —— 他只能进入一个"诱饵账户"(你可以提前往这个账户放一点点钱,让攻击者以为得手)。
passphrase 的优点:
- 对抗"$5 扳手攻击"有一定效果 —— 即便你被胁迫交出助记词,你可以只给 24 词不给 passphrase。
- 实现简单。Ledger、Trezor、OneKey、Keystone 都原生支持。
- 不需要管理多份介质,本质上还是一份助记词 + 你脑子里的一段密码。
passphrase 是无法找回的。它没有"忘记密码"按钮、没有客服、没有任何恢复机制。一旦你忘了或者写错了一个字符(包括大小写、空格、标点),你的钱永久消失 —— 链上余额还在,但你打不开。
历史上因为 passphrase 丢币的案例远多于因 24 词丢币的案例。如果你不打算把它写下来备份,请不要用 passphrase。如果你打算写下来备份,它就退化成了"另一份要保管的秘密"。
passphrase 适合已经把 24 词备份做扎实、且愿意承担"多一个出错点"风险换取胁迫场景下生存机会的人。它不是万能加固,是一种 trade-off。
方法五:去中心化恢复(社交恢复 / Casa / Argent)
这一类思路完全不同。它不让你自己保管助记词,而是把"账户访问权"切给几个"守护人"(Guardian)。需要恢复时,凑齐过半守护人的签名授权,就能恢复账户。
主流实现:
- Argent:以太坊智能合约钱包,主打"无助记词"。守护人可以是你的另一个钱包、Argent 官方、朋友的 Argent。
- Casa:付费服务(每年几百到几千美元),用 2-3 多签 + Casa 作为应急共签方。主要服务高净值客户。
- Safe(Gnosis Safe):多签合约,多用于团队和 DAO,个人也能用。
它的优点:不存在"一张纸丢了就完了"的单点。任意一个守护人失联,你还能换。被胁迫时,攻击者也拿不走 —— 他需要同时控制过半守护人。
它的成本也很真实:
- 信任成本。你得有过半数你信得过、且懂技术、且愿意长期帮你做这件事的人。这种人很少。
- 操作复杂度。每次恢复都要联系守护人、协调时间、确认签名。出门旅游手机摔了想立刻拿钱?做不到。
- 链上费用。智能合约钱包每次操作的 gas 比 EOA 钱包高,长期使用是一笔可观的成本。
- 合约风险。智能合约本身可能有漏洞。Argent 早年就发生过合约升级问题,虽然没造成损失,但提醒了一点:你的安全模型里多了一层代码风险。
社交恢复适合资金量大、有稳定社交圈、愿意接受链上活跃 + 高频操作场景的人。对长期 HODL 的人来说,它可能反而是个负担。
五种方法横向对比
下面这张表是我用过这五种方式之后的主观评分。10 分制,越高越好。你可以根据自己最在意的几个维度,对应找适合自己的方式。
| 维度 | 纸面手写 | 金属备份 | Shamir 分片 | BIP39 passphrase | 社交恢复 |
|---|---|---|---|---|---|
| 火灾抗性 | 2 | 9 | 7 | 6 | 9 |
| 水浸抗性 | 3 | 9 | 7 | 6 | 9 |
| 物理偷盗 | 3 | 4 | 8 | 7 | 9 |
| 单点失效 | 2 | 4 | 9 | 3 | 9 |
| 操作难度 | 10 | 7 | 5 | 6 | 3 |
| 信任成本 | 10 | 9 | 7 | 9 | 4 |
表读出来的几条规律:
- 没有一种方式在所有维度全胜。最高分总和大概在 40 分上下,剩下的总要让出去。
- 金属备份在"物理风险"上拿满,在"单点失效"上是最弱的。
- 社交恢复在"风险抗性"上几乎全满,但"操作难度"和"信任成本"两栏拖后腿很多。
- 纸面手写在"操作难度"和"信任成本"上拿满 —— 它的最大优势是简单可重复,这件事不可低估。
我的实测:我自己用的方案
我的方案是三层叠加,从 2022 年用到现在,没出过事,也演练过两次完整恢复。
第一层 · 主助记词金属备份。Cryptosteel Capsule 一份,放在家里嵌墙保险柜。Ellipal Plate 一份,放在父母家 —— 父母不知道这是什么,只知道"如果我出事,这个铁板要给某律师",律师手里有一份密封说明。
第二层 · BIP39 passphrase(第 25 词)。这一段是一句我童年记得清的方言谚语 + 一组数字,长度 18 位,从来没写下来过。它只在我脑子里。即便有人拿到我的金属备份,没有这句话也打不开主钱包,只能进入诱饵账户(里面我放了 200 USDT)。
第三层 · 应急小金额热钱包。手机上 OneKey,配独立的 12 词助记词(金属备份单独做一块,放抽屉),里面放 5-10% 的资产,应付日常交易和测试。这一层和前两层完全隔离。
我没有用 Shamir 分片,原因是我不想让父母多看一个分片 —— 给他们一块金属板已经是极限了,再让他们记得"还有另外两份你别忘了",会出事。我也没有用社交恢复,因为我身边过半数能托付的人,恰恰是不懂技术的人。
每年清明前后,我会做一次"演练恢复":在一台离线笔记本上,按金属备份+脑子里的 passphrase 把钱包恢复一次,确认地址和余额一致,然后清空这台笔记本。这一步特别重要 —— 真正考验备份是否有效的时刻,不应该是你急着用钱的时候。
怎么选 —— 一句话指南
给你几条直白的建议,按资金量和场景分:
- 5000 美元以下:纸面手写,封蜡,异地放一份(父母家或办公室抽屉)。够了。
- 5000 – 5 万美元:金属备份 + 异地存放。Cryptosteel 或 Billfodl 都行。做完务必离线恢复验证一次。
- 5 万 – 50 万美元:金属备份 + BIP39 passphrase(passphrase 必须自己能背下来,最好有第二份密封写下放律师处)。或者直接上 SLIP-39 Shamir 分片。
- 50 万美元以上:考虑社交恢复或多签方案。这个量级,单人方案的心理压力本身就是风险。可以付费用 Casa 这类服务,或者自己搭 Safe 多签。
- 不管多少钱:任何方案做完,都要在一台离线设备上完整恢复验证一次。没做这一步的备份,约等于没做。
没有"最好"的存储方式,只有"匹配你处境"的存储方式。你的资金量、你身边的人、你的技术耐受度、你最怕哪种丢币剧本 —— 这四个变量决定了你的答案。
这篇能帮你的,是让你看清每种方式真正在防什么、放弃什么。最后选哪一种,得你自己来。