鏈上資產管理的新選擇：安全可信的多籤方案

前言

隨着加密貨幣市場進入寒冬，黑客攻擊逐漸從鏈上協議轉向個人錢包。同時，強勢加息週期導致流動性大幅抽離，造成多家中心化機構爆雷，嚴重損害了用戶資產。近期安全事故頻發，資產被盜事件不斷，保障資產安全變得尤爲重要，也使得各類去中心化安全資產管理方案備受關注。

掌控自己資產的重要性

長期以來，許多用戶選擇使用中心化機構的服務進入加密貨幣行業，因爲這些機構提供類似傳統Web 2.0的操作體驗。然而，區塊鏈世界有一句名言："Not your keys, not your coins"（只有掌握私鑰才能真正掌控資產）。用戶爲了便利選擇中心化機構時，也犧牲了一定的安全性。一旦中心化機構出現問題，用戶資產將面臨巨大風險。

以近期的某交易所事件爲例，該平台挪用用戶資產造成近60億美元的缺口。隨着風險蔓延，其他相關中心化機構也相繼出現問題。據估計，此次全球受害用戶可能高達百萬人。如果用戶一開始就學會使用自己的私鑰管理資產，並將大部分資產存儲在去中心化設施中（如硬體錢包、多籤合約等），就能在很大程度上避免此類損失。

然而，私鑰管理並非易事，涉及私鑰的生成、存儲、管理、使用等多個方面的安全措施和最佳實踐。

2022年9月，某知名做市商機構因使用存在問題的私鑰生成工具，導致相關合約的owner私鑰泄露，造成近1.6億美元的損失。

同年11月，一位知名投資人的錢包也遭到盜竊，涉案金額高達4200萬美元。經分析，問題出在用戶使用的錢包助記詞泄露。

這些事件表明，私鑰管理是一個復雜的問題。在當前環境下，使用中心化機構的服務又存在巨大的信任危機。那麼，是否存在一種方法，既可以安全管理自己的資產，又不必擔心單個私鑰泄露導致全部資產損失呢？

成熟的多籤方案

由於以太坊本身的帳戶結構不支持多籤名模式，以太坊用戶無法像比特幣用戶那樣直接構建多簽地址。不過，以太坊支持通過智能合約實現復雜邏輯，因此可以通過編寫智能合約來構建鏈上多簽錢包。需要注意的是，智能合約代碼本身也可能存在安全風險，歷史上針對合約漏洞的攻擊屢見不鮮。因此，選擇多簽錢包時需要使用經過多次審計並長期驗證的方案。某知名多籤方案無疑是較好的選擇。

通過這種多籤方案，用戶可以將資產托管到多籤合約中，並根據需求選擇合適的籤名規則。多簽錢包的資產不再由單一地址的私鑰管理，而是由多個地址協同管理。每筆交易的發起都需要多方地址籤名，並要求有效總籤名數達到預設的門限值。這種方式可以有效消除單個私鑰泄露導致全部資產損失的風險。

然而，這種多籤方案在提升資產安全性的同時，使用便捷性上也存在一些不足：

1. 每筆交易都需要多方確認才能執行，效率較低。
2. 不支持特定的分權處理，錢包成員權力完全一致。
3. 不支持對交互合約配置具體的風控策略。

那麼，是否存在更好用的多籤產品，在保持原有安全性的同時解決這些問題呢？

靈活的鏈上分權與風控方案

基於成熟多籤方案進行二次開發的新型解決方案，利用原有的module擴展功能，實現了多簽錢包與項目合約交互的靈活定制。具體來說，這種新方案可提供以下服務：

單籤分權

支持函數級別的分權管理，可針對特定用戶角色配置不同的函數交互權限。只需在網頁界面上簡單配置，即可賦予用戶角色對特定合約、特定函數的調用權限。

例如，可以配置harvester角色只能調用某DEX的NonfungiblePositionManager合約的collect函數，即僅能完成LP交易費獎勵的提取操作。

添加成員時，可指定限制的用戶角色。被賦予某一角色的地址，就可使多簽錢包執行特定合約調用交易。這樣，特定用戶可以通過WalletConnect與DApp交互，執行收取LP手續費等操作，而無需所有多籤成員一一籤名確認。

這種分權機制既提高了操作效率，又不會對原有錢包安全造成威脅。即使某個帳戶遭受攻擊或私鑰泄露，也不會直接威脅多簽錢包的本金資產。

ACL風控

除了函數粒度分權機制外，還提供更細粒度的ACL(Access Control List)合約風控機制。用戶可根據自身業務場景，定制化制定任意分權與風控規則，如：

• 限制用戶合約調用過程的參數範圍（如指定swap時只允許操作固定幾類token資產）
• 限制某個合約函數的調用次數
• 對合約交互進行風險檢查（如檢查swap滑點損失不高於某個百分比）

值得一提的是，這種新型方案作爲去中心化托管方案的重要組成部分，其鏈上合約源碼均已開源。用戶或第三方可對相關合約源碼進行審計，以確保托管功能不存在中心化作惡風險。

總結

近期安全事件警示我們，無論將資產存放在中心化機構還是自行管理私鑰助記詞，都存在一定資產安全風險。這些風險推動各方尋求更好的資產托管方案。各大中心化托管機構紛紛推出基於MerkleTree的儲備金證明方案，業內專家也對現有方案的局限性與改進進行了探討。

新型去中心化托管方案擴展了業界成熟的多籤解決方案，提供了分權及ACL風控等更加靈活的可定制化功能，更好地平衡了資產安全性與錢包易用性之間的矛盾。這種方案爲機構和個人提供了一個新的選擇，有助於在資本寒冬中更好地管理資金，迎接下一輪市場繁榮。