多签钱包把控制权分给多个 Owner,并规定达到多少个确认后交易才能执行。阈值写作 N/M:M 是 Owner 总数,N 是需要的确认数。阈值不是越高越好,而是在防止少数人擅自操作与避免成员失联锁死账户之间取平衡。
如果刚接触多签,可先阅读 多签钱包是什么 建立基本概念。本篇不重复创建流程,而是回答 2/3、3/5、全员签名应该怎么选,以及设置后如何复核。
先看两种相反风险
第一种是控制风险:达到阈值的少数 Owner 可以批准交易。阈值越低,最小合谋人数越少。第二种是可用性风险:部分密钥丢失、设备损坏、成员离职或暂时失联后,剩余 Owner 可能达不到阈值。阈值越高,失联容错越低。
Safe 的阈值存储在智能账户合约状态中。签名可以先在链下收集,达到阈值后再执行链上交易;这不意味着签名可以随便确认。每位 Owner 都应核对同一笔交易的目标、金额、网络、nonce、calldata 和 safeTxHash。
| 配置 | 最小确认数 | 可容忍失联数 | 主要特点 |
|---|---|---|---|
| 1/1 | 1 | 0 | 单点控制,不是真正分权 |
| 2/2 | 2 | 0 | 双方都同意,但一人失联即停摆 |
| 2/3 | 2 | 1 | 常见的控制与可用性折中 |
| 3/5 | 3 | 2 | 适合更多独立成员,管理成本更高 |
| 5/5 | 5 | 0 | 全员一致,密钥丢失风险最高 |
表中的“可容忍失联数”只是数学条件。若多个 Owner 的密钥实际存放在同一台电脑、同一恢复短语或由同一管理员控制,名义上的多签并没有带来独立性。
用场景选择阈值
小型两人团队使用 2/2 时,任何一方都不能单独动用资产,但也必须有备用恢复和离职交接方案。三人团队的 2/3 可容忍一人暂时不可用,同时两人可以执行;这要求至少两位 Owner 真正独立。
人数更多时,不应只按“过半”机械设置。要问:紧急事件需要多快响应?成员是否跨机构和地区?是否存在雇佣或上下级关系导致名义独立、实际同控?单个密钥被盗后,攻击者还需要获得多少个独立密钥?
创建前的六项检查
- 每个 Owner 地址都从其本人设备独立核验,避免复制错地址。
- Owner 密钥采用不同设备和恢复路径,不共享助记词。
- 写明阈值依据、紧急联系人和最长响应时间。
- 用小额测试交易验证提案、确认和执行全流程。
- 确认所有成员会核对交易数据,而不是只点“确认”。
- 设定定期演练和成员变更复核日期。
硬件钱包可以作为 Owner,但仍要在设备上核对地址和交易摘要。可参考 硬件钱包地址怎么验证,避免前端显示被篡改时盲签。
成员变更为什么最危险
新增、移除 Owner 或调整阈值本身也是高权限交易。提案发起后,每位签名者都应核对变更前后 Owner 列表、阈值、执行网络和 Safe 地址。不要只看“移除离职成员”这样的备注。
变更完成后,重新读取链上配置,而不是依赖旧截图。取消旧设备的访问、更新内部权限清单,并用新配置完成一笔小额测试。若账户还启用了额外扩展,应按相应官方文档单独复核,不能只依赖普通 N/M 阈值。
签一笔交易前怎么复核
Safe Transaction Service 可以帮助收集链下确认,但界面服务不是最终事实。签名前核对 Safe 地址和网络,展开目标合约、ETH 数量、代币转移和 calldata;确认 safeTxHash 与团队沟通渠道中的值一致。对于批量交易,逐项检查每个内部调用。
高阈值不能弥补盲签。相关风险可结合 硬件钱包盲签名怎么检查 阅读。任何要求“先签再解释”的紧急请求,都应触发第二沟通渠道核验。
本文为钱包安全教育,不构成资产管理或投资建议。阈值选择取决于组织结构、密钥独立性、恢复能力和响应目标,不能照搬一个固定数字。对重要金库,应进行专业安全审查和定期演练。
发表评论
还没有评论,来说两句吧。
评论区为展示样式,提交不会被处理。