原文作者:Cobo 区块链安全团队
FTX事件为例,在本次的风波中,FTX 挪用用户资产导致了近 60 亿美金的缺口,在风险蔓延后,陆续有报道称有和 FTX 存在一定利益关系的其他中心化机构相继爆雷,此次全球受害群众估计多达百万人。在这次的风波中,如果用户一开始学会用自己的私钥管理资产,并将自己的大部分资产存储在去中心化的设施中(硬件钱包,多签合约等),就可以极大程度地避免自己在这次事件中的损失。
但是,管理私钥并不是一件容易的事情,这里面涉及到了私钥的生成、存储、管理、使用等多个方面的安全措施及最佳实践。
2022 年 9 月 22 日,著名做市商机构 Wintermute 因为使用 Profanity 的私钥生成工具创建私钥导致其相关合约的 owner 私钥泄漏,造成将近 1.6 亿美元的损失。
无独有偶, 2022 年 11 月 22 日,分布式资本合伙人沈波 @boshen 1011 也发推声称自己的钱包被盗,涉案金额在被盗时达 4200 万美金。经安全公司分析后,确认该事件核心问题在于用户使用的 Trust 钱包助记词的泄漏。从以上两次事件中,我们不难看出,私钥管理其实是一项很复杂的学问,但是在当前的环境下,使用中心化机构提供的服务又存在巨大的信任危机,那么是否存在一种方法,既可以安全管理自己的资产,又不需要担心因为担心单个私钥泄漏导致全部资产损失呢?
Gnosis Safe – 一种成熟的多签方案
由于以太坊本身的账户结构并不支持多签名的模式,以太坊用户无法像类似比特币用户一样构建自己的多签地址。不过以太坊上支持智能合约实现各种复杂代码逻辑,因此可以通过编写智能合约的形式构建链上多签钱包。需要注意智能合约代码本身也可能存在安全风险,历史上针对合约代码漏洞的攻击层出不穷。因此我们在选择智能合约钱包时需要我们使用经过多次审计并经历过长期时间验证的方案。Gnosis Safe 无疑是较优的选择方案。
通过 Gnosis Safe,用户可以将资产托管到多签合约中,并可根据自己的需求选择合适的签名规则。多签钱包的资产不再由单一地址的私钥所管理,而是由多个地址协同管理。每一笔交易的发起都需要多方地址进行签名,并要求有效总签名数达到预先设置的门限值(比如下图显示发送交易要求 3 个用户进行签名确认)。通过这种方式 Gnosis Safe 可以成功消除因单个私钥泄漏而导致全部资产损失的风险。
但是 Gnosis Safe 在提升资产安全性的同时,实际使用的便捷性上也存在一定不足,如:
每一笔交易都需要多方参与确认才能执行,相比单签地址执行效率下降。
不支持进行特定的分权处理, 钱包成员中的每一个地址权力完全一致。
不支持对交互合约配置具体的风控策略
那么,是否存在更好用的多签产品,在保持 Gnosis Safe 的原有安全性的同时解决以上不足呢?Cobo 给出的答案是 Cobo Safe。
Cobo Safe – 灵活的链上分权与风控方案
Cobo Safe 基于 Gnosis Safe 进行二次开发,利用 Gnosis Safe 的 module 扩展功能,实现了多签钱包与项目合约交互的灵活定制。
具体来说,Cobo Safe可提供的服务包括如下几点。
通过 ACL 合约,可以灵活地设置各类分权及风控规则,如:
限制用户合约调用过程的参数范围(如指定 swap 时只允许操作固定几类 token 资产)
限制某个合约函数的调用次数
对合约交互进行风险检查(如检查 swap 滑点损失不高于某个百分比)
值得说明的是 Cobo Safe 作为 Cobo 推出的去中心化托管方案 Argus(https://argus.cobo.com/的重要组成部分,其链上合约源码均是开源的。因为用户方或其他第三方可对 Cobo Safe 及 ACL 合约源码进行审计,以保证托管功能不存在中心化做恶的风险。