什么是多签钱包?加密货币最大金库如何被保护,又如何被盗?

多签(Multisignature)钱包守护着加密货币中大部分重要资金:DAO 国库、交易所冷存储、协议资金,以及注重安全的个人储蓄。它们也处于行业最大盗窃案的中心——从 Bybit 的 15 亿美元到今年的 UXLINK 事件——因为攻击者不再试图“撬锁”,而是开始欺骗持有钥匙的人。本文将解释多签的实际工作原理、M-of-N 设计选择、著名多签黑客事件的真实经过,以及如何安全运行多签而不成为下一个案例研究。

机制:M-of-N,在两种架构上运行

多签钱包要求在交易执行前,获得授权密钥集合(N 个)中的至少 M 个签名阈值。例如,个人 2-of-3 设置可能将密钥分散在家里的硬件钱包、银行保险箱的第二个设备,以及信任的亲属处;DAO 国库的 4-of-7 设置则将密钥分布在不同大洲的理事会成员之间。阈值是设计的调节旋钮:提高 M 可增强抗妥协能力,提高 N 与 M 的差距可增强抗密钥丢失能力,但两者都会增加操作摩擦。

底层实现有两种架构。在比特币上,多签是协议脚本的原生功能:地址本身编码了 M-of-N 要求,花费时需要将签名提交给网络验证。它最小化、经过实战检验且刚性——更换签名者意味着将资金转移到新地址。在以太坊及类似链上,多签存在于智能合约中:一个程序(如 Safe,前身为 Gnosis Safe)持有资金并执行策略,收集签名直到达到阈值后执行。合约方式灵活得多:可以轮换签名者、更改阈值、添加每日限额、时间锁和模块扩展。但这种灵活性是双刃剑——策略即代码,代码可能有漏洞,而合约钱包能执行的丰富功能,正是现代攻击者利用的重点。

两种世界的交易流程节奏相同:有人提出交易(接收方、金额,以及在合约钱包上的任意程序调用),提案在签名者之间流转,每位签名者用自己的密钥在自己的设备上审查并加密批准。当批准达到阈值时,交易变为可执行状态并广播。每个步骤都可审计:链上精确记录哪些密钥批准了什么。这使得多签成为 DAO 国库的治理首选工具(其控制权本会通过代币投票竞争)、需要高管签字的公司资金,以及中立第三方密钥仲裁纠纷的托管安排。

选择 M 和 N:设计空间

阈值选择是一种风险分配,标准配置各自回答不同问题。

  • 2-of-2:无平局打破者、无恢复的合作伙伴关系。一把密钥丢失就会导致资金永久锁定,主要用于一方密钥由服务商持有。
  • 2-of-3:个人用户的常用方案。它能承受任意一把密钥丢失,抵抗任意一把密钥被妥协,同时保持签名摩擦可控。经典个人构建是将三把硬件密钥分散在不同地点;经典协作托管构建是将其中一把密钥交给专业服务商,该服务商可协助恢复但无法单独转移资金。
  • 3-of-5 及以上:机构领域。它能容忍多把密钥丢失,需要多方同时腐败,但协调开销更大。在实践中,这往往诱使组织犯下多签领域最严重的错误——集中化(多把密钥由同一人、同一办公室、同一笔记本或同一云账户持有)。一个 3-of-5 如果密钥分散在三个浏览器和同一办公室的两个抽屉里,其实就是带额外步骤的 1-of-1。真实损失的事后分析中,这种形态反复出现。

设计空间归结为一条规则:多签的安全性等于其最相关密钥的安全性。独立性(人员、设备、软件、地理位置)是整个练习的核心。

密钥持有者政策与数字同样重要。每位签名者从安排在链上可见的那一刻起就成为目标,而大型国库默认可见,被同样的钱包归因工具追踪。严肃的操作因此将签名者视为攻击面:仅使用硬件密钥、专用签名设备、不必要时不公开签名者身份,并在需要前演练程序——因为在压力下转移资金的那一天,是发现第三位签名者的密钥锁在无人能打开的保险箱里的最糟糕时刻。

多签实际上是如何被盗的

黑客记录是这个主题在安全课程中占有一席之地的原因,因为攻击共享一种解剖结构,而这并非直觉所想的那样。没有一起重大多签损失是来自破解密码学。它们都来自“让正确的人签署了错误的东西”。

Bybit 盗窃案(15 亿美元,行业历史上最大)是典型案例。交易所的冷存储由高管作为签名者的多签保护,完全符合最佳实践。攻击者(据称是朝鲜 Lazarus Group)入侵了签名者使用的钱包界面基础设施。当高管执行常规计划转移时,他们的屏幕显示的是合法交易,而硬件密钥签署的是不同的有效载荷——将攻击者赋予了对钱包逻辑的控制权。每一次签名都是真实的,每位签名者按他们能看到的内容标准都是勤勉的。金库本身是安全的,金库的“窗口”却在说谎。

之前的 Ronin 桥事件则不同但相似:一个 5-of-9 安排,其密钥独立性不足,单一组织控制了足够多的密钥,通过社会工程攻击一名员工即越过阈值——这是最大桥接灾难背后的密钥妥协模式。今年的 UXLINK 事件则展示了小规模版本:攻击者获得阈值控制后,不仅会 drain 资金,还会利用钱包自身的管理权限添加自己为签名者、驱逐原所有者——因为在合约多签上,钱包的治理本身只是另一笔交易。

共同主线是盲签(Blind Signing)。硬件密钥保护签名,但不会以诚实的人类语言告诉签名者他们在签署什么,而复杂的合约钱包有效载荷在小屏幕上只是不可读的哈希。攻击者因此瞄准意图与签名之间的层:网页界面、签名者的笔记本、提案管道、人类的常规操作。应对这一点的防御措施具体且日益成为标准:通过第二渠道独立验证每笔有效载荷后再签名;能解码并显示交易含义的签名设备;能预览交易实际效果的模拟工具;对大额转移设置时间锁以留出审查时间;以及简单的机构规则——没有交易是“常规”的,因为常规正是 Bybit 攻击者等待的心态。

从比特币脚本到 Safe:标准是如何建立的

多签的历史是加密托管成长的历史,其里程碑解释了今天的默认设置。该功能几乎与比特币本身一样古老,通过早期协议的 pay-to-script-hash 地址实现,可在链上编码包括 M-of-N 签名要求在内的花费条件。第一代机构时代直接建立在其上:早期交易所和托管先驱运行比特币多签金库,十年前第一批协作托管业务向个人出售 2-of-3 安排。

该理念通过智能合约钱包跨越到以太坊,代码的灵活性既带来了胜利也留下了伤疤:2017 年一个广泛使用的合约钱包库的臭名昭著 bug 永久冻结了数亿美元,这是灵活托管代码本身就是攻击面的形成性教训。而那个时代幸存并巩固下来的 Gnosis Safe(现为 Safe),经过多年审计和对抗性价值的锤炼,成为今天的默认选择。

如今,Safe 风格的合约保护的国库总价值可与大型银行媲美。DAO 时代使多签理事会成为加密的标准治理执行机构,而比特币自己的多签血统则因其刚性、最小化脚本表面几乎无可利用而继续被用于深度冷存储。

标准化的后果值得一提:一种不同类型的集中。当一个合约系统保护大多数链上国库时,其代码、界面和升级过程成为系统性基础设施。Bybit 攻击对界面基础设施的入侵,在其他方面也展示了生态系统的鸡蛋比 M-of-N 数学所暗示的共享更多篮子。应对措施——界面多样性、独立交易验证服务、签名设备解码——实际上是社区在栈的更高层重建独立性,将钱包编码的同一原则应用于其周围工具。

设置多签:个人路径

对于个人读者,实用的入门值得具体说明。今天的个人 2-of-3 是一个周末项目:三把硬件密钥(理想情况下来自两个不同厂商,以避免共享固件缺陷);在廉价网络上部署合约钱包,或使用原生比特币多签(取决于持有资产);在部署前三重检查所有者地址,因为打错一个所有者地址就等于永久引入一个拥有签名权的陌生人;以及将三把密钥真正分散在不同地点(家、银行保险箱、信任方),并准备其他人也能遵循的恢复说明。

recurring 成本很低(部署 gas 和略高的交易费用),但 recurring 纪律要求很高:先用小额测试设置;在丢失密钥前演练丢失密钥迁移;在合约需要的地方保持少量 gas 余额;每当签名者、设备或生活状况变化时重新审视安排。摩擦是真实的——每笔交易都变成一个小仪式——但这种摩擦正是特性:一个需要深思熟虑的钱包不会被一次糟糕的点击 drain 掉,而这正是如今大多数个人损失发生的方式,其全部价值主张就在于此。

多签及其竞争者:MPC 与智能账户

两种相邻技术回答同一个单点故障问题,选择其中之一是一个真实决策,而非品牌问题。

多方计算(MPC) 将一把密钥拆分为由不同方持有的数学份额,这些方联合计算签名,而完整密钥从未在任何地方存在。对区块链而言,结果看起来像普通单签名:更便宜、私密、链无关,且不透露背后的策略。代价是透明度和依赖性:阈值逻辑存在于提供商的链下软件中,而非公开代码;没有链上谁批准了什么的记录;机构 MPC 市场由必须被信任的供应商主导。机构越来越多地同时使用两者——MPC 用于操作热流,多签用于深度冷治理。

智能账户(账户抽象) 将合约钱包理念泛化:可编程账户,带有恢复守护者、花费政策、会话密钥,而多签只是众多可用政策之一。它们很可能是个人的这些理念的长期归宿,将多签级保护融入普通用户能操作的界面。对于今天的国库,经过审计、历经考验的专用多签仍是标准——正是因为其十年的伤疤(上文记录)产生了十年的硬化。

在架构之间存在一个每个国库最终都会问的问题:多少签名者才算太多?阈值的协调成本增长速度快于线性——五个签名者跨越五个时区可能把一笔常规支付变成一周。组织通过委托结构回应,这些结构值得 scrutiny,因为它们悄无声息地重新集中化。常见模式包括:用于日常流的小型操作多签(带支出限额),由更大的冷理事会治理超过限额的一切;预授权特定重复操作的模块系统;以及提案者(准备交易)与签名者(批准交易)之间的角色分离,缩小任何单个受损席位能发起的范围。每种模式都以功能换取纯粹性,而诚实的评估标准与阈值本身回答的标准相同:枚举每个席位、设备和界面的妥协会启用什么,并检查没有一种枚举会导致一切。国库安全不是一次购买的产品,而是这种枚举,永远重复,针对阅读同样事后分析的对手。

一个误解值得明确纠正:在多签上,一致同意批准坏主意并不会被保护。如果所有必需签名者被同一个伪造界面、同一个欺诈交易对手或同一个内部欺诈者的文件欺骗,阈值就会达到,数学会忠实地执行错误。签名独立性保护免受密钥妥协;只有验证独立性(不同签名者通过不同工具和渠道检查有效载荷)才能保护免受信息妥协,而重大盗窃案正是第二类失败,披着第一类的自信外衣。

本文链接地址:https://www.wwsww.cn/qianbao/39980.html
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。