钱包安全

多签钱包真的就万无一失吗?在哪些情况下会失效

2026-05-30 · 链上迷雾

把大额资产放进多签钱包,几乎成了过去几年的共识动作。多签确实显著提升了门槛——攻击者从只需要拿下一把私钥,变成需要同时控制多把。但「显著提升」从来不等于「万无一失」,我见过的多签事故,都不是因为加密学被攻破,而是因为多签的非加密部分出了问题。下面把这些场景按真实发生顺序铺开,如果你正在为团队或家庭配置多签,值得逐条对照。

一张桌面上摆着三把不同样式的钥匙和一台关闭的硬件钱包,光线偏冷

失效场景一:签名人选错

多签最常被忽略的环节,是签名人本身。我们倾向于挑"最可信"的人,但可信只是其中一个维度。一个真正合格的签名人需要至少满足四点:有稳定的设备习惯、有应急联系方式、长期可达、并且愿意为这件事保持几年级别的纪律。很多团队选的人在第一年表现优秀,到了第二年开始失联,或者换了手机不再保留旧设备,这种情况下他这一把钥匙就实质性失效了。

如果你设的是 3/5 多签,失联两个人,你就只剩 3 签名人,正好够,但已经没有冗余;如果其中一个再忘记密码,资产实际就锁死了。多签的失效,有时候不是被攻破,而是签不出来。这跟单签的失误风险镜像呼应,可以对照 助记词丢了怎么办 里那种"还在,但取不出"的状态,意外地相似。

失效场景二:设备同质化

第二种失效,叫设备同质化。理论上多签的强项是把信任分散,但分散的前提是签名设备真的不同。我经常看到团队的几位签名人,都用同一家厂商的硬件钱包、同一个版本的固件、同一款手机。某个设备一旦出现批次问题、固件漏洞、或者供应链事件,就有可能同时影响多把私钥。

降低这种风险的做法不复杂:至少让 2 家厂商的设备并存、固件版本不强求一致、不同签名人使用不同操作系统。这部分思路和 硬件钱包选购指南 里建议的"多厂商混搭"是一致的,因为底层逻辑都是不要把所有鸡蛋放进同一个生产工厂。

三台不同品牌的硬件钱包并排放在木桌上,旁边一本写有多签结构图的笔记本

失效场景三:社会工程绕过加密

第三种,也是过去两年最多见的一种,社会工程。攻击者不去碰你的私钥,而是去碰你的签名人。常见路径有几类:

  • 仿冒上下游联系人发起的"紧急转账"剧本,要求各签名人在短时间内连签,营造紧迫感让人跳过流程;
  • 仿冒钱包前端,把签名人引导到一个看起来一模一样的 Safe 界面,提交的实际是一个授权而不是转账;
  • 仿冒"技术支持",声称合约有漏洞需要紧急升级 owner 列表,把攻击者的地址加进去;
  • 通过职场关系拉拢其中一位签名人内部作案。

这些路径里有一个共同点:它们都不挑战加密学,只挑战流程。多签的强度被流程上的薄弱抵消。你可以参考 假冒客服骗局 里讲到的几种话术,把它们套用到多签场景几乎完全成立。

失效场景四:智能合约本身的风险

第四种是合约风险。多签钱包本质是智能合约,合约会升级、会引入新模块、会有 owner 替换函数。一个常被忽视的点是:很多团队为了方便,直接把 owner 列表的变更权也放在多签内,结果就是只要拿到足够签名,任何人都可以悄悄把 owner 换成攻击者地址,这相当于把锁的钥匙重新发了一遍,而原来的资产留在锁里。

合约升级的另一个风险点是 module。Safe 这类多签支持外挂模块,有些模块设计是"在某些条件下可以无需多签即可触发转账",比如恢复模块、订阅扣款模块。这些模块本身没问题,但它们存在的意义就是绕过多签门槛——如果配置失误,就成了后门。要做的是定期审计合约 owner 列表和已启用 module,频率至少一季度一次,变动留痕。

失效场景五:阈值设得不合理

第五种是阈值不合理。常见错误有两种:一种是 m 太小,比如 5 个签名人设 2/5,只要拿下 2 把就过门槛,等于多签变弱签;另一种是 m 太大,比如 7/9,签名时几乎必须全员到位,真到大额转账那一刻有人请假就卡住,逼得有人开始把私钥放在不安全的备份处,反而引入新风险。

阈值 攻击门槛 应急可用性 适合场景
2/3 较低 家庭或两三人小组
3/5 中等 中等 团队金库,有冗余
4/7 较高 中等 机构金库,流程稳定
5/9 很高 较低 大型 DAO,需要广泛共识
7/9 极高 不推荐,容易锁死

简单一句话:冗余要够,但不能多到让常规操作变痛苦

失效场景六:链上身份暴露

很多多签地址在使用一段时间后,被链上分析工具标注得很清楚。攻击者一眼能看出哪个 EOA 是哪位签名人、各自的资产规模、活跃时间段。这给定向钓鱼和现实世界威胁提供了素材。降低暴露的办法包括:不同用途的多签不要共用同一组签名人地址、对外披露的地址只用于必要场景、对内重要交互用独立隔离的多签。

可以联想 加密匿名性的误区,链上一切公开,多签也不例外,身份隔离要前置做。

失效场景七:紧急停摆机制缺位

最后一种,紧急停摆机制缺位。当其中一位签名人确认被攻破,但你没有"快速冻结"流程,就只能眼睁睁看着对方凑齐其他签名。一个成熟的多签配置应该预设两类应急动作:

  1. 紧急 owner 替换:剩余签名人能在最短时间内把可疑 owner 换掉;
  2. 紧急资产迁移:把资产快速搬到备用多签,即使留下少量损失也比全部丢失好。

应急流程要平时演练,演练频率不需要太高,但必须真演练过。这一点和 加密黑天鹅事件应急计划 强调的"事先有剧本"是一致的。

多签更像一份合同,不是一个保险箱

写到这里我想换个比喻:多签更像是签名人之间的一份长期合同,而不是一个买回家就能放心的保险箱。它的安全性同时取决于合同条款(阈值、owner、module)、签订人之间的关系(联系、设备、纪律)、以及外部环境(链上暴露、社会工程)。任何一处长期失维,这份合同就会松动。所以与其问"多签是不是万无一失",不如问"我的多签合同每个季度都被认真审过一次了吗"。这个问题的回答,才决定多签真实的强度。

本文仅作科普,不构成投资建议。加密资产波动大、风险高——永远只投入你亏得起的钱。

最新文章

行业事件

BTC ETF 连 10 天净流出 29.7 亿:对普通用户意味什么

到 6 月 4 日为止,美国现货比特币 ETF 已经连续 10 个交易日净流出,累计 29.7 亿美元,是产品上线以来最长的连续流出窗口之一。这篇梳理这串数字到底说明了什么、又不能说明什么。

心态与 FOMO

AI 板块虹吸加密资金时,该不该跟风跳过去?

6 月初一个明显的现象:资金从加密往 AI 板块切。Nvidia 再创新高,BTC、ETH 走弱。"加密是不是过气了"的疑问又起来了。这篇不预测哪个板块下半年更猛,只回答:板块虹吸时,你的心态该怎么稳。

心态与 FOMO

美伊紧张升级时,加密仓位该怎么调?

6 月初美伊军事摩擦再次升级,原油上跳、风险资产集体走弱,BTC、ETH 同步下挫。新闻每隔半天换一种说法,仓位却不能每隔半天换一次。这篇梳理在地缘冲击下,加密持仓应当按哪几条规矩走。

心态与 FOMO

ETH 跌破 2000 美元,信仰者该怎么调整心态?

ETH 在 6 月初跌穿 2000 美元心理位,链上活跃度也在走弱。对自称"以太坊信仰者"的人来说,这是比 2022 年熊市更微妙的一次心态测试:它不是一根明显的大阴线,而是一段被慢慢磨低的价格。

心态与 FOMO

BTC 跌破 67k,该不该补仓?6 月心态自检

6 月 BTC 一度跌穿 67k,盘中还试探了 61k。补仓的诱惑回来了。这篇不预测下一根 K 线,只问你一件事:在这种水位面对"逢低买入"的冲动,你的心态该按哪几条规矩走。

资产安全

被 Drainer 抽走资金后,还有什么挽救路径吗?

一旦发现钱包被 Drainer 抽走资金,下一个小时你能做什么是有限的,但顺序很重要。这篇按时间线把可能的挽救路径排一遍:链上追踪、平台冻结请求、合规报案、混币器盲点的现实,以及更长期的善后。