沒有助記詞的Web3：AA × Passkey，如何定義Crypto 的下一個十年？

在Web3 混跡久了，即使你自己夠小心、夠幸運，沒有經歷過資產被盜的至暗時刻，但你絕對在社群裡聽過這樣的求助：

「我從來沒截圖，也沒把助記詞給別人，只是正常用錢包，為什麼資產還是沒了」，這些案例中最令人絕望的共同點在於，受害者根本不知道自己是在哪裡被攻破的：

有人在不知情的情況下安裝了被篡改的瀏覽器插件；有人將助記詞存放在手機筆記裡，被雲同步到未知伺服器；有人手機中了木馬，剪貼簿內容被靜默上傳；甚至有人連接假冒的網站，輸入了助記詞，幾秒鐘後，錢包裡的資產瞬間歸零......

這並非危言聳聽，可以說目前加密領域絕大多數釣魚詐騙案件的背後，往往都有一個共同的脆弱點——助記詞，本文也將解析為何助記詞正在成為資產安全的最大軟肋，以及帳戶抽象（AA）與Passkey 有望如何重新定義資產主權。

一、EOA 模式的極限：「助記詞」成為詛咒

我們必須承認一個事實： EOA 帳戶的問題並不是“不夠安全”，而是它從一開始就承擔了太多。

眾所周知，在傳統EOA 模式下，助記詞就是加密世界的基石，一段12 或24 個單字的種子短語，代表了對鏈上資產的絕對掌控，也構成了新人眼中加密貨幣安全性的最顯著特徵——「私鑰/ 助記詞即資產」：

只要你持有這把鑰匙，無論是交易所還是驗證者，任何人都無法凍結、沒收或代替你操作，但同時，這種完全的去中心化也像一把雙刃劍，既代表了「絕對的控制權」，但也意味著無法避免的「單點故障」。

首先便是沒有「後悔藥」。一旦你的助記詞洩漏（即使只是N 年前截的一張圖，只要被複製或同步），你的錢包就永遠不再安全，且無法像在銀行/ 支付寶/ 微信App 裡「修改密碼」那樣重置助記詞。

唯一的辦法是廢棄錢包，轉移資產，這也意味著如果攻擊者比你動作快，你沒有任何「撤銷」或挽回的機會。

其次，它是駭客眼中的「完美蜜罐」。畢竟助記詞的權限太大了，木馬、假錢包、偽裝插件、釣魚網站、假客服等等，駭客不需要攻破區塊鏈堅固的密碼學防線，他們只需要攻破你的防備心，所有攻擊路線最終都匯聚到同一個目標，即誘導你交出那12/24 個單字。

最後，對於習慣了FaceID 和指紋支付的現代用戶來說，理解並安全保管一張紙質的助記詞，是一道巨大的認知門檻，這不僅阻礙了Web3 的大規模普及，更讓每一次交互都伴隨著“我會不會搞丟”的心理負擔。

這就像守衛一扇只能用「同一把鑰匙」打開的門，而這把鑰匙既暴露在用戶日常操作中，又暴露在所有設備與系統環境的風險裡。

也正是在這種背景下，從2022 年開始， EOA 極限之外的無助記詞/ 無明文私鑰錢包就逐漸成為一門顯學，從MPC 技術，再到CA 錢包，大家都在探索一種更優解——既能擁有Web3 的資產主權，又能像使用FaceID 解鎖手機一樣簡單安全。

而站在如今的關口，伴隨著帳戶抽象（Account Abstraction, AA） 與Passkey 技術的結合，我們或許真的有望在下一個十年，終結助記詞的統治時代。

二、Passkey：把你「本身」變成鑰匙

如果帳戶抽象（AA） 是將帳戶從「單一私鑰」解放出來，進入可恢復、可升級、可設定的新時代（延伸閱讀《從EOA 到帳戶抽象：Web3 的下一次躍遷將發生在「帳戶體系」？ 》），那麼通行金鑰（Passkey） 就是推動用戶體驗發生質變的那把「終極鑰匙」。

我相信很多人對Passkey 這個詞還感到陌生，其實作為一種基於FIDO 標準的無密碼登入技術，它早就是蘋果、谷歌等科技巨頭都在力推的下一代無密碼技術未來標準。

而在加密世界，它的意義尤其重大。

簡單來說，Passkey 是儲存在你裝置（如手機或電腦）安全晶片中的數位金鑰，它不再需要你記憶、儲存或輸入助記詞，只需使用裝置上的生物辨識（Face ID / 指紋）即可完成登入與簽名。

事實上，許多人已經在不知不覺中享受了Passkey 的便利：你在蘋果設備上登入一個App，或在瀏覽器中登陸某個網站時，只需「刷臉」/ 指紋/ 輸入PIN 碼，就完成了過去需要輸入密碼才能完成的事情。

這種體驗之所以讓人上頭，是因為它既絲滑又安全。因此如果Web3 錢包實現了對Passkey 的支持，理論上就可以做到用戶完全不需要接觸私鑰，甚至結合帳號抽象，連Gas 這一步也可以被抽象掉，形成一種前所未有的「無感操作」體驗。

那為什麼說Passkey 天然比EOA 模式更抗釣魚？因為它具備兩個傳統助記詞模式永遠無法擁有的超能力：

• 你的私鑰永遠不會離開設備，更無法被“騙走”：助記詞是一串字符，你可以把它發給別人，但Passkey 綁定在你的硬體設備中，私鑰永遠不會離開你的設備主體，黑客無法通過釣魚網站或被篡改的瀏覽器插件讓你“輸入”你的指紋或臉部數據；
• 從底層杜絕假冒網站：這也是Passkey 最核心的殺手鐧之一，依賴WebAuthn / FIDO2 的綁定機制，Passkey 協議會強制校驗當前網站的域名，意味著即使你誤入了詐騙網站（譬如很多生物定義的imToken 高仿詐騙網站），你的設備會發現不依賴的防禦，這就是你拒絕系統，這就是你的設備。

同時，Passkey 的體驗也足夠絲滑，不抄助記詞、不截圖、不備份，只需輕觸指紋或刷臉即可完成登入、簽名與授權。

也正是因為如此，AA 配合下的Passkey，在Web3 世界可以視為一種體驗與安全同時躍升的方案，而不是讓使用者更小心學習使用的修補程式。

三、下一代的Web3 安全與體驗哲學

從這個角度來看，當AA 遇上Passkey，我們終於能建構出一個更符合直覺、更安全、也更面向未來的帳戶模型。

你可以這樣理解這種新的安全與體驗哲學：

• 人即鑰匙：帳號由設備本身保護，Face ID / 指紋就是你的簽名；
• 物理隔離：安全是硬體級的，儲存在安全晶片中，不能被導出，更不會被木馬讀取；
• 雲端漫遊：憑藉iCloud 等同步方式，帳戶可以在多裝置間安全漫遊；
• 系統防禦：不是讓使用者更努力去辨別真假網站，而是讓系統更聰明地自動攔截風險。

這一切構成了一種新的範式，不是讓使用者更努力學習、防範，而是讓系統更聰明。

以imToken Web 為例，它就是一個非託管，以代幣為核心的網頁應用，旨在讓用戶無需設置或備份私鑰/ 助記詞，就能快速、安全地創建或登錄帳戶，並隨時隨地享受多樣化的代幣功能。

譬如使用imToken Web，你將獲得一種幾乎無門檻的「四無」體驗：

• 無門檻創建：不需要找紙筆抄寫12 個單詞，也不用擔心助記詞抄錯。點選連接錢包，驗證Face ID / 指紋，帳號即刻產生；
• 無懼釣魚風險：因為登入依賴Passkey，假網站無法透過網域校驗，也就無法調起簽名，你的私鑰永遠不會被揭露；
• 無Gas 焦慮：作為AA 錢包，imToken Web 支持使用USDT/USDC 直接支付Gas，再也不用因為帳戶裡沒有ETH 而寸步難行。
• 無縫設備漫遊：借助系統級同步能力，你的Passkey 可以在你的蘋果或谷歌生態設備間自然同步，就算手機丟了，只需在新設備上登錄你的系統帳號（Apple ID / Google），驗證生物識別，帳戶依然安全可恢復；

更有趣的是，這種低門檻體驗解鎖了全新的互動方式。

基於此，你甚至可以在imToken Web 像發紅包一樣發送代幣。譬如選擇“通過鏈接發送”，設置好“金額”和“鏈接有效期”後直接創建鏈接，然後在微信、推特或Telegram 等任意渠道發送給任何人（即使他們沒有錢包）。

接收方無需任何前期設置，只需點擊鏈接，即可透過「通行金鑰」安全便捷地建立帳戶並領取資產。

寫在最後

Web3 的未來，不應該只有極客才能生存。

其實在充滿不確定性的Web3 世界裡，像imToken Web 這樣把最硬核的安全技術（AA & Passkey），封裝進最簡單的用戶體驗中，進而降低增量/ 存量用戶的安全門檻與體驗，正是錢包這種流量入口探索下一個十年的應有之義。

所以，如果你受夠了保管助記詞的焦慮，如果你擔心成為下一個釣魚攻擊的受害者，或者你只是想向朋友推荐一款「不用教就能上手」的加密錢包。

那，是時候期待或嘗試沒有助記詞的未來了。