V神：如何为你的多重签名钱包和社会恢复钱包选择监护人？

原文作者：Vitalik Buterin

文章来源：reddit

多重签名钱包（multisig wallets），例如 Gnosis Safe，是一种简单且安全地存储资金的方式，可以为您提供自我托管的大部分关键优点——即，你的资金不会因一个看似值得信赖实际上根本不值得信赖的中心化实体而消失，你也不用冒个人对整个安全设置负责的风险。

我个人使用多重签名钱包来存储大部分资金，以太坊基金会也是如此。

多重签名钱包的“近亲” 是社会恢复钱包（social recovery wallets），其中一个密钥可以用来签署交易。但如果该密钥丢失，其他人持有的一组密钥可以帮助用来恢复资金。社会恢复钱包比多重签名钱包更容易使用，特别是随着 ERC-4337 帐户抽象的兴起，以及即将出现的像 Soul Wallet 这样的钱包，将会使技术更加友好。

总的来说，一旦社会恢复钱包变得足够成熟，我建议可将其用作存储个人或组织小部分资金的热钱包，而将多重签名用作存储个人或组织储蓄的冷钱包。

多重签名钱包和社会恢复钱包都依赖于监护人（guardians）的概念：将钱包地址拆分成 N 个地址，通常由他人持有，其中任何 M 都可以批准一个操作（例如，可以设 N=6，M=4）。在多重签名钱包中，每一笔交易都必须集齐 N 个监护人中的 M 个才能签署。而在社会恢复钱包中，只有一个密钥可以签署交易，但如果该密钥丢失，N 个监护人中的 M 个必须签署一条消息来重置密钥。

这两种钱包面临的两个关键问题在于：你选择谁作为监护人，以及你给他们什么指示？

这篇文章将概述我对这些问题的看法。这里的想法应该同样适用于为个人和组织保障资金的多重签名钱包和社会恢复钱包。

1. 我们想要监护人做什么？

尽量减少他们丢失密钥的几率；尽量降低他们串通起来或被胁迫去偷你钱的几率；

鉴于上述两种风险是不可避免的，因此每个监护人的风险应该在最大程度上保持不相关。也就是说，你要最小化风险情况的共性，否则这会使你的钱包监护人们同一时间失效或妥协。

这个答案很简短，但它指导了我关于监护人问题的所有选择。

2. 有些设备可以成为你的监护人，但不能太多

至少有一个监护人应该是你自己设备上的钱包，这个道理很简单，并且这样做并不会减少去中心化，毕竟，这是你的钱。

然而，一旦由你自己控制的监护人超过一个，你就会陷入一个棘手的权衡中：你会越来越不信任别人，会把更多的权力集中在自己身上，这可能会在你被黑客攻击、被胁迫，或在你无法行动甚至死亡时带来风险。

因此，我的经验是，应该有足够多的监护人由其他人控制，如果你消失了，还有足够多的其他监护人来追回你的资金。也就是说，你应该控制至少 1 个、最多 N-M 个监护人。此外，每个监护人都应该使用不同的设备（笔记本电脑、手机、旧手机等）。

3. 选择不经常交谈，最好是彼此不认识的监护人

理想情况下，监护人们之间应该互相不知道对方是谁。这大大降低了他们相互勾结的风险，而且他们也没有充分的理由互相了解。

如果你发生了什么事，他们仍然能够找到对方，因为在这种情况下，人们自然会想到明显的标准协议（例如联系你的家人）。

此外，您要尽可能地减少监护人之间的相关性：不要选择生活在同一个城市（理想情况下甚至是同一个国家），或者使用同一类型钱包的两个监护人，并在不同的操作系统之间保持平衡。

4. 在批准操作之前，监护人应该提问安全问题

当你要求监护人为你批准一项操作时（在多重签名中可能是任何一笔交易；在社会恢复钱包中，可能是重置账户密钥），他们不应该简单地立即回答“是”。这会造成一场安全灾难：如果哪天有人入侵了你的聊天账户，他们可以通过扫描信息，找出你的监护人都是谁，并联系他们让他们确认，从而窃取你的资金。

为了避免这种情况，我建议监护人要先问一个安全问题。也就是说，当你要求他们确认你的操作时，他们应该问一些只有你俩知道而其他人很少知道的事情（例如，上次见面时，我们吃了什么?)，只有在你给出正确答案时，他们才会确认操作。还有一个选择是语音或视频通话，但在人工智能能够深度造假的时代，这是比以前更弱的选项，所以你最好把语音/视频通话与询问某些安全问题结合起来。

5. 如果你在做“degen”的事情，确保你的监护人能迅速做出反应

如果你正在用链上合同做 degen 的事情，你可能需要迅速的行动： 如果合约出现漏洞，就立即撤资；如果你即将被清算，就赶紧转移资金。那么，你就需要找到能够在短时间内迅速采取行动的监护人来保护资金。并且，你还需要找到在不同时区的监护人，以足够在任何时间完成交易。

但如果你不做上述这些事情，那么速度对你来说就不是特别重要，事实上，甚至可能带来轻微的危害。因为让人们相信有必要采取紧急行动是黑客常用的一种社会工程策略，让人们在心理上默认反对这种做法可能是件好事。

6. 每年至少对每个监护人进行一次测试

每年至少做一次试验操作。理想情况下，每年应进行两次测试操作，其中一次测试一半的监护人，另一次测试另一半。这可以确保你的监护人不会忘记或丢失他们的账户。

7. 高级：隐私

如今，监护人带来的挑战之一是，目前还没有技术可以保护你的财务隐私不受监护人的侵犯。

然而，这是一个可以从技术上解决的技术问题：监护人不直接保护你的账户，而是保护一个“保险箱（lockbox）”合约，其中隐藏了你的账户和保险箱之间的链接。

让链接保持隐藏状态，直到建立一个恢复需求是非常容易的：例如，你的帐户可以有一个 CREATE2 合约作为守护者，只有保险箱可以创建。

然而，即使在恢复之后也要让链接保持隐藏，要做到这一点还需要更先进的 ZK-SNARK 技术。

因此，我预计这个问题将在未来几年慢慢得到解决。