第五章：托管（Custody）

概述

在加密货币领域，"托管（Custody）"是指安全保管和控制数字资产的一整套方法。正如传统金融中银行为客户保管资产一样，在加密货币体系中，私钥（Private Key）代表着资产的实际所有权。因此，托管的核心在于：私钥由谁持有、以何种方式管理。"Not your keys, not your coins（没有你的密钥，就没有你的币）"这句格言，精炼地道出了加密货币托管哲学的本质。

托管方式大致分为两类：自托管（Self-Custody）和委托托管（Custodial）。自托管是指个人直接掌管私钥，具有高度自主性，同时也意味着承担全部责任。委托托管则是由交易所或专业机构代为管理私钥，使用便捷，但前提是对第三方的信任。FTX 的崩溃等事件深刻揭示了委托托管的风险，进而推动了业界对自托管方案和强安全性解决方案的高度关注。

本章将围绕托管体系的五个核心概念展开介绍：作为个人级密钥备份标准的助记词（BIP-39）、提供物理安全保障的硬件钱包、要求多方签名的多签（Multisig）、通过密码学手段分散密钥的 MPC（多方计算），以及面向机构级安全的硬件安全模块（HSM）。理解这些概念，读者将能够针对不同场景和规模，制定最优的托管策略。

---

助记词（BIP-39）

定义

助记词（Seed Phrase）是加密货币钱包主密钥的核心载体，由 12 个或 24 个人类可读的英文单词组成。该方案由 BIP-39（Bitcoin Improvement Proposal 39）标准定义：其底层逻辑是将 128 位或 256 位的随机密码学熵值（Entropy），编码为一份包含 2048 个词的标准词表（wordlist）中的单词序列。助记词与分层确定性（Hierarchical Deterministic，HD）钱包结构相结合，能够从单一根种子（Root Seed）出发，以确定性方式派生出理论上无限数量的私钥和地址。

助记词最重要的特性在于其可恢复性。即便硬件钱包丢失或损坏，只要助记词安全保存，便可在任何兼容钱包中完整恢复全部资产。相比直接处理复杂的十六进制私钥，助记词为用户提供了更友好、更实用的备份机制。

核心要点

• BIP-39 标准化：助记词使用由 2048 个单词构成的标准词表，最后一个单词包含用于错误检测的校验和（Checksum）。正是这一标准化设计，保证了 Ledger、Trezor、MetaMask 等不同钱包之间的互操作性。

• 与 HD 钱包结合：遵循 BIP-32/BIP-44 标准，一组助记词即可系统性地以树状结构派生出比特币、以太坊等多条区块链上的数千个账户和地址。每条派生路径（Derivation Path）对应不同的币种类型、账户编号及收款/找零地址。

• 密语（第 25 个词）：用户可选择添加一个自定义字符串作为密语（Passphrase），从而生成一个完全不同的钱包。这一机制在受胁迫的情况下可提供合理推诿（Plausible Deniability）——即展示一个仅持有少量资产的"诱饵"钱包。密语必须与助记词分开管理和保存。

• 安全保管的极端重要性：持有助记词即意味着对该钱包全部资产的控制权。助记词绝对不能以数字形式存储（如截图、上传云端等），建议将其刻印于防火防水的金属板上，以实现物理级别的备份保护。

• 熵值与安全性：12 个单词提供 128 位熵值，24 个单词提供 256 位熵值。以当前计算能力而言，暴力破解（Brute-force）在实践中几乎不可能实现，因此安全漏洞往往源于人为管理失误，而非技术缺陷本身。

关联概念

助记词是托管生态的起点。硬件钱包是生成和安全存储助记词的主要载体，没有助记词，硬件钱包的恢复将无从实现。多签和 MPC 正是为了克服助记词作为单点故障（Single Point of Failure）这一根本性局限而诞生的解决方案，通过将密钥管理风险分散至多处来提升整体安全性。硬件安全模块（HSM）则是机构环境下安全保管主密钥材料（对应个人场景中助记词角色）的硬件方案。

---

硬件钱包

定义

硬件钱包（Hardware Wallet）是一种专用安全设备，设计目标是将私钥存储于与互联网物理隔离的防篡改硬件中，并确保交易签名（Transaction Signing）操作仅在设备内部执行完成。其核心原则是：私钥永远不会离开设备。当用户发起转账时，实际的签名过程在硬件钱包内部完成，只有已签名的交易数据（Signed Transaction）才会被传输至联网计算机。这一机制也被称为气隙（Air-gap）签名。

目前市场主流产品包括 Ledger（Nano S Plus、Nano X、Flex 等系列）和 Trezor（Model One、Model T、Safe 系列），以及面向高阶安全需求用户的 Coldcard（专为比特币设计）和 Keystone 等。硬件钱包被广泛认为是当前个人自托管（Individual Self-Custody）的最高安全标准（Gold Standard）。

核心要点

• 安全芯片（Secure Element，SE）：许多硬件钱包内置了通过 CC EAL5+ 或更高等级认证的安全芯片，该芯片与智能卡所用技术同源，对物理篡改（Tampering）、侧信道攻击（Side-Channel Attack）、电压毛刺（Voltage Glitching）等精密硬件攻击具有强抗性。Ledger 采用了安全芯片方案，而 Trezor 则以开源固件和透明度为核心差异化优势。

• 物理确认机制：硬件钱包内置屏幕和按键（或触摸屏），用户可直接在设备上核对接收地址和转账金额后再行确认。即便电脑已感染恶意软件，该机制也能有效防止向错误地址签名。

• 离线密钥生成：初始化配置时，助记词和私钥的生成完全在离线环境中进行，无需任何网络连接，从根本上消除了远程攻击者在密钥生成阶段窃取密钥的可能性。

• 供应链攻击（Supply Chain Attack）风险：由于硬件钱包的安全性依赖于设备本身的完整性，若设备在生产或运输过程中遭到篡改，便可能引发供应链攻击。务必通过官方渠道或授权经销商购买，收货时仔细检查封条是否完好。

• 局限性与人为因素：无论硬件钱包本身多么坚固，一旦助记词被物理泄露，或因钓鱼（Phishing）攻击导致密语外泄，安全防线便会彻底崩溃。此外，若设备丢失且没有备份助记词，资产将永久性丢失，无法恢复。

关联概念

硬件钱包是助记词的主要存储和管理载体。在个人用户层面，硬件钱包已是托管的最优选择；但在机构或 DAO 等组织层面，依赖单一硬件钱包仍存在单点故障风险。为此，实践中常将多个硬件钱包作为签名方，构建多签方案，以同时实现个人级安全保障与分散化控制。在机构规模下，HSM 以更高的性能和认证等级承担着与硬件钱包类似的角色。

---

多签

定义

多签（Multisig，Multi-Signature）是一种安全机制，要求执行某笔交易时，必须提供多个独立私钥中达到预设阈值数量的签名，交易方可生效。通常以"M-of-N"形式表述：例如"2-of-3"即意味着在 3 把密钥中，至少需要 2 把完成签名，该交易才有效。这一规则无需信任任何第三方，直接在区块链协议层面强制执行。

在比特币网络中，多签通过 P2SH（Pay-to-Script-Hash）或 P2WSH（Pay-to-Witness-Script-Hash）以原生方式支持。在以太坊生态中，Gnosis Safe（现为 Safe{Wallet}）已成为智能合约多签的事实标准，被广泛应用于 DAO 国库管理、机构托管及项目团队的资金共管场景。

核心要点

• 消除单点故障：在单密钥方案中，一旦密钥丢失或泄露，全部资产将面临风险。多签有效解决了这一问题。在 2-of-3 配置下，即使一把密钥被攻击者获取，也无法转移资产；即使一把密钥丢失，仍可用另外两把密钥恢复或转移资产。

• 链上强制执行（On-chain Enforcement）：多签规则由智能合约或比特币脚本在区块链层面直接执行，不依赖任何运营方或第三方的诚信，提供完整的透明度和可审计性（Audit Trail）。谁在何时完成了签名，链上一目了然。

• DAO 与机构资金管理：多签是去中心化自治组织（DAO）国库管理的核心工具。它从技术层面防止单一个人独自控制组织资金，强制要求多方共同参与决策，从而在机制上实现去中心化原则。

• 地理分散部署：各签名密钥可分配给不同地区、不同设备或不同责任人。例如，在企业托管场景中，CFO、CTO 和外部审计人员各持一把密钥，从而在技术层面强化内部控制（Internal Control）。

• 局限性：多签会增加交易体积和 Gas 费用，多签名方之间的协调也提高了运营复杂度。此外，比特币原生多签会在链上暴露 M-of-N 配置，在隐私性上存在劣势。签名方之间的通信延迟和密钥管理复杂性也是实际应用中的挑战。

关联概念

多签常与硬件钱包结合使用——每位签名方使用自己的硬件钱包进行签名，是同时实现个人安全保障与分散控制的强力组合。与 MPC 相比，多签的签名策略在链上透明可见，而 MPC 在链下处理，呈现出与普通单一签名相同的外观。两者互为补充，可根据规模需求和隐私要求灵活选择。在机构环境中，HSM 可用于安全存储多签中各方持有的签名密钥。

---

MPC（多方计算）

定义

MPC（Multi-Party Computation，多方计算）是一类密码学技术的统称，允许多个参与方在不向彼此披露各自私密输入值的前提下，共同完成某一函数的计算。在加密货币托管场景中，MPC 具体实现为阈值签名方案（Threshold Signature Scheme，TSS）：私钥从始至终不以完整形态存在，而是以分散于各参与方的密钥分片（Key Share）形式存在。发起交易签名时，达到阈值数量的参与方各自使用自己的密钥分片协同生成签名，整个过程中完整私钥在任何单一位置都不会被重建。

MPC 与传统的密钥分割方式——即沙米尔秘密共享（Shamir's Secret Sharing）——存在本质区别。沙米尔方案在重建时会在某一特定节点临时还原完整密钥，而基于 TSS 的 MPC 在整个签名过程中完整密钥始终不会在任何环节被重组。

核心要点

• 完整私钥永不重建：MPC 最核心的技术优势在于，完整私钥在任何时刻、任何位置都不复原存在。各参与方的密钥分片始终保持分离状态参与签名运算，因此即使攻击者完全攻陷某一参与方，也无法获取完整私钥。

• 链上不留多方痕迹：MPC 生成的签名在结构上与普通单一签名完全相同。与多签不同，区块链上不会留下"该签名由多方计算生成"的任何标记。这在隐私性和 Gas 效率上具有明显优势，但也带来一个权衡：签名策略无法在链上进行审计。

• 运营灵活性：MPC 可在软件层面灵活调整阈值设置和参与方构成，签名策略的变更无需上链交易即可实现，使组织能够更迅速地响应内部变化。此外，密钥分片支持定期轮换（Key Rotation），可持续强化安全防护。

• 机构采用持续增长：Fireblocks、Zengo、Coinbase Prime 等主流机构托管服务商已将 MPC 作为核心技术。在无需承受多签运营复杂度的前提下实现同等安全级别，使 MPC 成为机构资产管理中日益主流的首选方案。

• 复杂性与实现风险：MPC 在数学层面高度复杂，若实现存在缺陷，可能引入隐蔽的安全漏洞。与多签依赖经过验证的链上逻辑不同，MPC 的安全性高度依赖具体密码学协议实现的准确性。缺乏开源审计的情况下，需要引入额外的信任假设。

关联概念

MPC 与多签都以"多方协作提升安全性"为目标，但实现路径不同：多签在链上透明强制执行，MPC 则依赖链下密码学机制。实践中，两者也可结合使用——例如将各 MPC 密钥分片分别存储于 HSM 内，可同时抵御软件攻击和物理攻击的双重威胁。从助记词的视角来看，MPC 可理解为解决单一种子派生密钥构成单点故障问题的高阶技术方案。

---

硬件安全模块（HSM）

定义

硬件安全模块（HSM，Hardware Security Module）是一种机构级专用硬件设备，专为在隔离的防篡改硬件环境中执行加密（Encryption）、解密（Decryption）、数字签名（Digital Signature）等密码学运算而设计。HSM 在内部安全存储密钥，不允许外部系统直接访问密钥本身，仅对外提供密码运算的结果输出。从概念上看，HSM 与消费级硬件钱包中的安全芯片（Secure Element）异曲同工，但其性能、可靠性和认证等级均面向企业及金融机构规模的需求而设计。

主流 HSM 厂商包括 Thales（前身为 nCipher）、Utimaco、AWS CloudHSM、Azure Dedicated HSM 等。HSM 在金融机构、证书颁发机构（CA）、支付网络等传统金融基础设施中已有数十年的应用历史，近年来更成为机构级加密资产托管解决方案的核心组件，采用范围持续扩大。

核心要点

• 严格的认证标准：HSM 符合 FIPS 140-2/140-3 Level 3 或 Level 4 等政府级认证标准。这些认证验证了设备在遭受物理篡改尝试时自动销毁密钥的篡改检测与响应（Tamper Detection and Response）能力，以及对物理入侵和环境攻击（温度、电压等）的抵抗能力。对于需要满足监管合规（Regulatory Compliance）要求的机构，此类认证是必要条件。

• 抵御物理与软件攻击：HSM 具备针对侧信道攻击（Side-Channel Attack）、差分能量分析（Differential Power Analysis）、探针攻击（Probing Attack）等精密硬件攻击的防御机制。HSM 内部运行的软件环境与外部操作系统完全隔离，即使宿主系统感染恶意软件，密钥依然受到保护。

• 高性能密码运算：与面向个人偶发签名需求的消费级硬件钱包不同，HSM 设计为可每秒处理数千次签名请求的高性能设备。这对于管理大量客户资产的交易所、基金和托管服务提供商而言至关重要。

• 基于角色的访问控制（RBAC）：HSM 支持细粒度的角色分离访问控制，可在技术层面将操作员、审批人、审计员等对特定密钥的访问权限严格分离，并强制执行双人控制（Dual Control）和知识分割（Split Knowledge）原则，有效降低内部共谋（Insider Collusion）风险。

• 成本与运营复杂性：HSM 涉及硬件采购、安装部署、日常维护及专业人员运营等方面的较高成本。这决定了 HSM 通常仅适用于具备相应机构级资产规模的组织，而非个人用户或小型团队的选项。

关联概念

HSM 是整个托管技术栈的机构级基础设施层。在多签架构中，HSM 可安全保管各签名方的密钥，使机构级多签方案兼顾安全性与合规性。在 MPC 体系中，将各密钥分片存储于独立的 HSM 实例中，可构建软硬件双重防护的纵深安全体系。对个人用户而言，硬件钱包在功能定位上与 HSM 最为接近——两者都遵循密钥永不离开安全硬件边界的核心原则，区别仅在于面向的规模和场景不同。