如何通过 Shamir 备份保护你的比特币遗产

接受人生有限是成熟的标志，而认识到妥善保管比特币资产并将其传承给后人的重要性，同样是一种成熟。——Josef Tětek

在 2017 年牛市巅峰，我曾读到一则令人警醒的故事。一位年轻人早年持有约 20 枚比特币，随着比特币价格从 1000 美元飙升至近 2 万美元，他自觉财富自由，决定外出旅行。在墨西哥某酒店顶楼泳池的派对中，他不慎坠楼身亡。他的家人虽知他持有比特币，却因他使用了带密码短语的 Trezor 硬件钱包，且未留下任何密码记录，最终无法取出这些比特币，资产随之永久丢失。

比特币作为一种 bearer asset（持有即所有资产），意味着仅让亲人知道你有比特币是不够的，他们必须能够实际访问你的私钥。但同时，你显然也不希望家人在你仍在世时就能动用这些资产。因此，我们需要一种既安全又可灵活管理的备份机制，而 Shamir 备份正是为此而设计。

什么是种子备份及其重要性

在比特币发展初期，备份私钥是一项相当繁琐的任务。早期非确定性钱包要求用户备份每一个独立的私钥，有时数量多达数百个，操作不便导致大量比特币因备份不当而永久遗失。

2012年，Pieter Wuille 提出了分层确定性钱包（HD钱包），通过 BIP32 标准化。HD钱包让用户只需备份一个主种子（master seed），即可派生出所有私钥。随后，BIP39 进一步将种子转化为助记词形式，也就是我们常见的 12 或 24 个单词的有序列表。这种方式极大降低了备份的难度和出错率。

如今，我们所说的“备份私钥”，实际上是指妥善保存好你的恢复种子（recovery seed）。即使你的手机丢失或硬件钱包损坏，只要种子还在，你就依然能控制自己的比特币。

然而，如何安全存储种子仍是关键挑战。我们必须防范以下两大风险：

• 盗窃风险：种子需防止被他人盗用；
• 丢失风险：不应只依赖单一副本，需考虑火灾、水灾等意外情况。

防范盗窃要求种子副本尽可能少，最好只存放在家中；但防范丢失则要求副本分布在不同地点。传统的单种子备份方式难以兼顾这两点，而 Shamir 备份的出现，则提供了一个两全其美的方案。

Shamir 备份如何工作？

Shamir 秘密共享（Shamir’s Secret Sharing，SSS）是一种由密码学家 Adi Shamir 于 1979 年提出的加密技术。其核心思想是：将一个秘密拆分为多份份额（shares），每个份额本身不包含任何关于原始秘密的信息，只有达到一定数量的份额组合在一起时，才能还原出原始秘密。

SSS 有两个关键参数：

• 份额数量（Shares）：秘密被拆分成多少份；
• 阈值（Threshold）：需要多少份额才能恢复秘密。

例如，在一个“5 选 3”的 Shamir 备份中，秘密被拆为 5 份，只需其中任意 3 份即可还原。具体是哪三份并不重要。

假设 Alice 使用这种方案，她可以这样安排：

• 家中存放 2 份；
• 好友家存放 1 份；
• 母亲家存放 1 份；
• 银行保险箱存放 1 份。

每份份额应以物理形式存储，例如手写在纸上，或使用专用金属备份工具刻印。切勿在联网设备上存储或传输份额。

这种配置下，即使Alice家中失火，她仍可借助其他三处份额恢复比特币。同时，由于单点持有的份额不足阈值，盗窃风险也大大降低。Shamir 备份既能有效防范资产丢失，也可阻止未授权访问，是一种兼顾安全与灵活性的优秀方案。

2017年底，Shamir 备份技术通过 SLIP-0039 标准被正式引入加密货币领域。目前，Trezor Model T、Unchained Capital 的 Hermit 钱包等产品均已支持该标准。

👉 查看实时备份工具与最新方案

用 Shamir 备份规划比特币继承

Shamir 备份不仅适用于日常安全管理，也非常适合用于遗产规划。一旦设置好多份额分布，你只需为亲人留下清晰的指引，即可确保资产顺利传承。

撰写继承指南需谨慎，以下是一些关键建议：

• ✅ 务必书面记录：仅口头告知很容易被遗忘，必须留下文字说明；
• ❌ 不要写入遗嘱：在某些司法管辖区，遗嘱是公开文件，会带来安全风险；
• ✅ 使用纸笔书写：避免任何数字形式，不存储电子副本；
• ✅ 解释 Shamir 备份基本原理：说明为什么必须谨慎操作，例如绝不将份额输入任何网站，或发送给自称能提供帮助的陌生人；
• ✅ 列明份额总数、阈值及存放位置：信息尽量具体且易于理解；
• ✅ 将指南存放在安全且亲人可访问的地方：家庭保险柜通常是不错的选择；
• ✅ 定期更新指南：若份额位置发生变化，及时调整记录。

如果你还持有交易所或热钱包中的比特币，也应在指南中一并说明，尽量确保每一个 satoshi 都能被亲人找回。

最关键的是，试着站在不熟悉比特币的家人的角度思考。如果他们对比特币了解有限，清晰且防诈骗的指引显得尤为重要。你还可以考虑推荐一位可信赖的、懂比特币的朋友协助家人处理相关事宜。即使此人最终不如预期可靠，家人也可以通过法律途径追责，这远比被网络陌生人诈骗更具可控性。

Shamir 备份 vs. 多签：如何选择？

并非所有人都认可 Shamir 备份。此前，Jameson Lopp（Casa）曾撰文分析 Shamir 的潜在缺陷，并推荐使用多签方案。尽管其分析具有参考价值，但需结合具体背景理解。

首先，必须承认在 SLIP-39 标准推出之前，一些 Shamir 备份实施方案存在缺陷。但自 2019 年 Trezor 实施 SLIP-39 以来，尚未发现任何漏洞，其背后的数学原理经受了时间考验。

更重要的是，Shamir 备份与多签（Multisig）其实应对的是不同需求：

• Shamir 备份主要用于保护种子本身，防范丢失和盗窃；
• 多签机制则侧重于提升交易过程中的安全性。

两者甚至可以结合使用——例如，在一个多签设置中，每一个签名钱包的种子都通过 Shamir 备份进行保护。

多签要求每次交易时需多个 geographically distributed（地理上分散的）设备参与签名，对于个人用户而言操作较为复杂，更适合企业或基金。而 Shamir 备份仅在初始设置和恢复时需操作份额，更适合日常使用。目前多签在交易验证和整体备份方面仍存在一定实施难点，普通用户使用门槛较高。

👉 获取更多比特币安全存储进阶方法

常见问题

什么是 Shamir 备份？

Shamir 备份是一种加密技术，将种子拆分为多个份额，单个份额无法还原秘密，只有达到设定数量的份额组合在一起才能恢复钱包访问权限。

Shamir 备份是否安全？

是的，尤其是遵循 SLIP-39 标准的实施方案。该方案自 2019 年广泛应用以来未发现漏洞，其密码学基础牢固可靠。

我可以自行实现 Shamir 备份吗？

不建议。应使用已经支持 SLIP-39 标准的硬件钱包或工具，避免因自行实施错误导致资产损失。

多签和 Shamir 哪个更好？

取决于需求。多签适合需要高频率交易验证的机构用户；Shamir 备份更适合个人用户实现安全备份与遗产规划，甚至可二者结合使用。

如何选择份额数量和阈值？

常见的有“3-5”或“2-3”等配置。建议根据你的安全需求和备份存储点的可信程度进行选择。阈值越高，安全性越强，但恢复流程也越复杂。

继承指南应该包含哪些内容？

应包括总份额数、恢复阈值、每份份额的具位置、恢复步骤的基本说明，以及必要时可求助的可信联系人。

Shamir 备份是一种有效抵御盗窃和丢失风险的比特币存储方案，同时为遗产规划提供了灵活而可靠的解决路径。它不仅适用独立使用，还可与多签结合，进一步提升资产安全性。最重要的是，无论选择哪种方式，清晰、周全的指引才是对家人最好的负责。