助记词为什么这么难猜？穷举助记词概率有多离谱

很多人使用助记词的时候会个疑问：助记词不就是从一个固定的2048个单词里挑出来拼成的吗？每个位置就选一个完整的词，像apple、zoo、vocal这些，不会把单词拆成字母乱猜，组合方式看起来规规矩矩、有序又有限，为什么还那么难穷举？感觉写个程序从头到尾挨个试不就行了吗？其实这个直觉很正常，但一旦把规模放出来，你就会发现“有限”这个词在这里完全失效了。

助记词的组合到底是怎么算出来的

BIP-39标准用的词表永远是2048个单词（2^11=2048），每个位置独立选一个词，不能拆开字母，也不能重复用同一个词表以外的东西。

总可能性是

1、第1个位置：2048种选

2、第2个位置：2048种选

3、……

4、第12个位置：2048种选

12词助记词的总组合数 = 2048^12，因为2048正好是2^11，致使2048^12 = (2^11)^12 = 2^(11×12) =2^132

24词助记词 = 2048^24 = 2^(11×24) =2^264

注意这里是总尝试空间，实际有效组合因为最后有校验和（checksum），会再扣掉一点。

1、12词有效熵128位 → 2^128

2、24词有效熵256位 → 2^256

总尝试空间接近2^132和2^264，有效部分是2^128和2^256。

为什么“固定词表+不拆词”没让它变容易

很多人觉得词表固定、单词完整，应该比猜256位随机数（2^256）简单多了，其实绝对是想简单了，固定词表让可能性变成了一个精确又巨大的指数，没有模糊空间，也没有“无限字符”那种乱七八糟的猜测方式，反而把攻击路径锁得更死。

1、直接暴力猜一个256位私钥：2^256

2、猜24词助记词：总空间2^264，有效2^256（几乎一样大，甚至稍大）

3、猜12词助记词：总空间2^132，有效2^128（比2^256小，但还是天文数字）

2^132虽然比2^256小了2^128倍，但这个“小”在实际里没意义，2^128还是大到夸张。

用比喻感受这个规模

把全宇宙所有原子（科学家估计约10^80个）当成一个个可能的助记词组合！

1、2^256已经接近或超过宇宙原子总数

2、2^132大约是10^39.8，地球上所有沙粒加起来大概10^18到10^20，2^132比地球沙粒多10^19倍以上

想象你要在整个地球的每一粒沙子里找一粒特定的沙子，还得从头数到尾，现在把范围放大到宇宙级，你猜猜要多久？

拿最夸张的速度算穷举时间

假设人类造出史上最强超级计算机集群，每秒能猜10^18次（一亿亿次，目前全球所有电脑加起来都不可能达到）。

1、猜完2^128（12词有效部分）：大约需要10^13年（1万亿年）

2、猜完2^256（24词或私钥）：需要3.67 × 10^51年（一个比宇宙年龄大无数倍的数字）

宇宙从大爆炸到现在才138亿年（1.38×10^10年），要猜12词都要1万亿年，24词直接指数爆炸。

校验和再给你最后一刀

助记词最后几个比特是校验和，随机组合里大部分直接无效。

1、12词：只有1/16通过校验（15/16瞬间判错）

2、24词：只有1/256通过

程序每猜一个，99%以上被秒杀，真正要深入验证的还是2^128或2^256级别，没省任何时间，反而因为校验多了一步计算，猜起来更慢。

为什么没人靠穷举偷过大钱包

历史上所有大额丢币事件，从来没见过“程序暴力猜助记词成功”的案例，丢币原因永远是，钓鱼网站骗输入、假钱包App偷种子、拍照/存云盘/发微信被黑、脑钱包用弱密码（比如“123456”或生日）。