沒有助記詞的 Web3：AA × Passkey 如何定義 Crypto 的下一個十年？

撰文：imToken

在 Web3 混跡久了，哪怕你自己夠小心、夠幸運，沒有經歷過資產被盜的至暗時刻，但你絕對在社群里聽到過這樣的求助：

「我從沒截圖，也沒把助記詞給別人，只是正常用錢包，為什麼資產還是沒了」，這些案例中最令人絕望的共同點在於，受害者根本不知道自己是在哪裡被攻破的：

有人在不知情的情況下安裝了被篡改的瀏覽器插件；有人將助記詞存放在手機筆記里，被雲同步到未知服務器；有人手機中了木馬，剪貼板內容被靜默上傳；甚至有人連接假冒的網站，輸入了助記詞，幾秒鐘後，錢包里的資產瞬間歸零......

這並非危言聳聽，可以說目前加密領域絕大多數釣魚詐騙案件的背後，往往都有一個共同的脆弱點——助記詞，本文也將解析為何助記詞正在成為資產安全的最大軟肋，以及帳戶抽象（AA）與 Passkey 有望如何重新定義資產主權。

一、EOA 模式的極限：「助記詞」成為詛咒

我們必須承認一個事實：EOA 帳戶的問題並不是「不夠安全」，而是它從一開始就承擔了太多。

眾所周知，在傳統 EOA 模式下，助記詞就是加密世界的基石，一段 12 或 24 個單詞的種子短語，代表了對鏈上資產的絕對掌控，也構成了新人眼中加密貨幣安全性的最顯著特徵——「私鑰 / 助記詞即資產」：

只要你持有這把鑰匙，無論是交易所還是驗證者，任何人都無法凍結、沒收或代替你操作，但與此同時，這種完全的去中心化也像一把雙刃劍，既代表了「絕對的控制權」，但也意味著無法避免的「單點故障」。

首先便是沒有「後悔藥」。一旦你的助記詞泄露（哪怕只是 N 年前截的一張圖，只要被複製或同步），你的錢包就永遠不再安全，且無法像在銀行 / 支付寶 / 微信 App 里「修改密碼」那樣重置助記詞。

唯一的辦法是廢棄錢包，轉移資產，這也意味著如果攻擊者比你動作快，你沒有任何「撤銷」或挽回的機會。

其次，它是駭客眼中的「完美蜜罐」。畢竟助記詞的權限太大了，木馬、假錢包、偽裝插件、釣魚網站、假客服等等，駭客不需要攻破區塊鏈堅固的密碼學防線，他們只需要攻破你的防備心，所有攻擊路線最終都匯聚到同一個目標，即誘導你交出那 12/24 個單詞。

最後，對於習慣了 FaceID 和指紋支付的現代用戶來說，理解並安全保管一張紙質的助記詞，是一道巨大的認知門檻，這不僅阻礙了 Web3 的大規模普及，更讓每一次交互都伴隨著「我會不會搞丟」的心理負擔。

這就像守衛一扇只能用「同一把鑰匙」打開的門，而這把鑰匙既暴露在用戶日常操作中，又暴露在所有設備與系統環境的風險里。

也正是在這種背景下，從 2022 年開始，EOA 極限之外的無助記詞 / 無明文私鑰錢包就逐漸成為一門顯學，從 MPC 技術，再到 CA 錢包，大家都在探索一種更優解——既能擁有 Web3 的資產主權，又能像使用 FaceID 解鎖手機一樣簡單安全。

而站在如今的關口，伴隨著帳戶抽象（Account Abstraction, AA） 與 Passkey 技術的結合，我們或許真的有望在下一個十年，終結助記詞的統治時代。

二、Passkey：把你「本身」變成鑰匙

如果說帳戶抽象（AA） 是將帳戶從「單一私鑰」中解放出來，進入可恢復、可升級、可配置的新時代，那麼通行密鑰（Passkey） 就是推動用戶體驗發生質變的那把「終極鑰匙」。

相信很多人對 Passkey 這個詞還感到陌生，其實作為一種基於 FIDO 標準的無密碼登錄技術，它早就是蘋果、谷歌等科技巨頭都在力推的下一代無密碼技術未來標準。

而在加密世界，它的意義尤為重大。

簡單來說，Passkey 是儲存在你設備（如手機或電腦）安全晶片中的數字密鑰，它不再需要你記憶、保存或輸入助記詞，只需使用設備上的生物識別（Face ID / 指紋）即可完成登錄與簽名。

事實上，許多人已經在不知不覺中享受了 Passkey 的便利：你在蘋果設備上登錄一個 App，或在瀏覽器中登陸某個網站時，只需「刷臉」/ 指紋 / 輸入 PIN 碼，就完成了過去需要輸入密碼才能完成的事情。

這種體驗之所以讓人上頭，是因為它既絲滑又安全。因此如果 Web3 錢包實現了對 Passkey 的支持，理論上就可以做到用戶完全不需要接觸私鑰，甚至結合帳戶抽象，連 Gas 這一步也可以被抽象掉，形成一種前所未有的「無感操作」體驗。

那為什麼說 Passkey 天然比 EOA 模式更抗釣魚？因為它具備兩個傳統助記詞模式永遠無法擁有的超能力：

• 你的私鑰永遠不會離開設備，更無法被「騙走」：助記詞是一串字符，你可以把它發給別人，但 Passkey 綁定在你的硬體設備中，私鑰永遠不會離開你的設備主體，駭客無法通過釣魚網站或被篡改的瀏覽器插件讓你「輸入」你的指紋或臉部數據；

• 從底層杜絕假冒網站：這也是 Passkey 最核心的殺手鐧之一，依賴 WebAuthn / FIDO2 的綁定機制，Passkey 協議會強制校驗當前網站的域名，意味著即使你誤入了詐騙網站（譬如很多發短信騷擾的 imToken 高仿詐騙網站），你的設備會發現域名不匹配，拒絕進行生物驗證，這是系統級的防禦，不依賴你的人工判斷。

同時，Passkey 的體驗也足夠絲滑，不抄助記詞、不截圖、不備份，只需輕觸指紋或刷臉即可完成登錄、簽名與授權。

也正是因為如此，AA 配合下的 Passkey，在 Web3 世界可以視為是一種體驗與安全同時躍升的方案，而不是讓用戶更小心學習使用的補丁。

三、下一代的 Web3 安全與體驗哲學

從這個角度來看，當 AA 遇上 Passkey，我們終於能構建出一種更符合直覺、更安全、也更面向未來的帳戶模型。

你可以這樣理解這種新的安全與體驗哲學：

• 人即鑰匙：帳戶由設備本身保護，Face ID / 指紋就是你的簽名；

• 物理隔離：安全是硬體級的，儲存在安全晶片中，不能被導出，更不會被木馬讀取；

• 雲端漫遊：憑藉 iCloud 等同步方式，帳戶可以在多設備間安全漫遊；

• 系統防禦：不是讓用戶更努力地去辨別真假網站，而是讓系統更聰明地自動攔截風險。

這一切構成了一種新的範式，不是讓用戶更努力去學習、防範，而是讓系統更聰明。

以 imToken Web 為例，它就是一個非託管，以代幣為核心的網頁應用，旨在讓用戶無需設置或備份私鑰 / 助記詞，就能快速、安全地創建或登錄帳戶，並隨時隨地享受多樣化的代幣功能。

譬如使用 imToken Web，你將獲得一種幾乎無門檻的「四無」體驗：

• 無門檻創建：不需要找紙筆抄寫 12 個單詞，也不用擔心助記詞抄錯。點擊連接錢包，驗證 Face ID / 指紋，帳戶即刻生成；

• 無懼釣魚風險：因為登錄依賴 Passkey，假網站無法通過域名校驗，也就無法調起簽名，你的私鑰永遠不會暴露；

• 無 Gas 焦慮：作為 AA 錢包，imToken Web 支持使用 USDT/USDC 直接支付 Gas，再也不用因為帳戶里沒有 ETH 而寸步難行。

• 無縫設備漫遊：藉助系統級同步能力，你的 Passkey 可以在你的蘋果或谷歌生態設備間自然同步，就算手機丟了，只需在新設備上登錄你的系統賬號（Apple ID / Google），驗證生物識別，帳戶依然安全可恢復；

更有趣的是，這種低門檻體驗解鎖了全新的交互方式。

基於此，你甚至可以在 imToken Web 像發紅包一樣發送代幣。譬如選擇「通過鏈接發送」，設置好「金額」和「鏈接有效期」後直接創建鏈接，然後在微信、推特或 Telegram 等任意渠道發送給任何人（即使他們沒有錢包）。

接收方無需任何前期設置，只需點擊鏈接，即可通過「通行密鑰」安全便捷地創建帳戶並領取資產。

寫在最後

Web3 的未來，不應該只有極客才能生存。

其實在充滿不確定性的 Web3 世界裡，像 imToken Web 這樣把最硬核的安全技術（AA & Passkey），封裝進最簡單的用戶體驗中，進而降低增量 / 存量用戶的安全門檻與體驗，正是錢包這種流量入口探索下一個十年的應有之義。

所以，如果你受夠了保管助記詞的焦慮，如果你擔心成為下一個釣魚攻擊的受害者，或者你只是想向朋友推薦一款「不用教就能上手」的加密錢包。

那，是時候期待或嘗試一下沒有助記詞的未來了。

來源：金色財經

發佈者對本文章的內容承擔全部責任
在投資加密貨幣前，請務必深入研究，理解相關風險，並謹慎評估自己的風險承受能力。不要因為短期高回報的誘惑而忽視潛在的重大損失。