Cobo Safe：一种安全可信的链上资产管理方案

隨著加密貨幣的寒冬來臨，黑客事件逐漸從傳統的鏈上協議攻擊轉為對個人錢包的攻擊，同時，由於處於強勢的加息周期，在流動性大幅抽離的情況下，也造成越來越多的中心化機構爆雷，對用戶資產造成了極大的損害。近期安全事故頻發，經歷越來越多的資產被盜事件後，保證自己資產安全就變得尤為重要，同時大家也更加重視各類去中心化的安全資產管理方案。

為什麽要掌控自己的資產？

一直以來，由於中心化機構提供與傳統 Web 2.0 相似的操作體驗，很多用戶選擇了使用中心化機構的服務來進入加密貨幣行業，但在區塊鏈世界裏有一句老話，Not your keys, not you coins( 掌握自己的私鑰才能掌控自己的資產 )。

在用戶為了便利而選擇了中心化機構後，同樣地也犧牲了一定的安全性，一旦中心化機構發生危機，用戶資產將蕩然無存。

以最近的 FTX 事件為例，在本次的風波中，FTX 挪用用戶資產導致了近60億美金的缺口，在風險蔓延後，陸續有報道稱有和 FTX 存在一定利益關系的其他中心化機構相繼爆雷，此次全球受害群眾估計多達百萬人。在這次的風波中，如果用戶一開始學會用自己的私鑰管理資產，並將自己的大部分資產存儲在去中心化的設施中(硬件錢包，多簽合約等)，就可以極大程度地避免自己在這次事件中的損失。

但是， 管理私鑰並不是一件容易的事情，這裏面涉及到了私鑰的生成、存儲、管理、使用等多個方面的安全措施及最佳實踐 。

2022 年 9月22日，著名做市商機構 Wintermute 因為使用 Profanity 的私鑰生成工具創建私鑰導致其相關合約的 owner 私鑰泄漏，造成將近 1.6 億美元的損失。

無獨有偶，2022年11月22日， 分布式資本合夥人沈波 @boshen1011 也發推聲稱自己的錢包被盜，涉案金額在被盜時達 4200 萬美金 。經安全公司分析後，確認該事件核心問題在於用戶使用的 Trust 錢包助記詞的泄漏。從以上兩次事件中，我們不難看出，私鑰管理其實是一項很復雜的學問，但是在當前的環境下，使用中心化機構提供的服務又存在巨大的信任危機，那麽是否存在一種方法，既可以安全管理自己的資產，又不需要擔心因為擔心單個私鑰泄漏導致全部資產損失呢？

Gnosis Safe – 一種成熟的多簽方案

由於以太坊本身的賬戶結構並不支持多簽名的模式，以太坊用戶無法像類似比特幣用戶一樣構建自己的多簽地址。

不過以太坊上支持智能合約實現各種復雜代碼邏輯，因此可以通過編寫智能合約的形式構建鏈上多簽錢包。需要註意智能合約代碼本身也可能存在安全風險，歷史上針對合約代碼漏洞的攻擊層出不窮。因此我們在選擇智能合約錢包時需要我們使用經過多次審計並經歷過長期時間驗證的方案。Gnosis Safe 無疑是較優的選擇方案。

通過 Gnosis Safe，用戶可以將資產托管到多簽合約中，並可根據自己的需求選擇合適的簽名規則。多簽錢包的資產不再由單一地址的私鑰所管理，而是由多個地址協同管理。每一筆交易的發起都需要多方地址進行簽名，並要求有效總簽名數達到預先設置的門限值（比如下圖顯示發送交易要求 3 個用戶進行簽名確認）。通過這種方式 Gnosis Safe 可以成功消除因單個私鑰泄漏而導致全部資產損失的風險。

但是 Gnosis Safe 在提升資產安全性的同時，實際使用的便捷性上也存在一定不足，如：

1. 每一筆交易都需要多方參與確認才能執行，相比單簽地址執行效率下降。

2. 不支持進行特定的分權處理， 錢包成員中的每一個地址權力完全一致。

3. 不支持對交互合約配置具體的風控策略。

那麽，是否存在更好用的多簽產品，在保持 Gnosis Safe 的原有安全性的同時解決以上不足呢？

Cobo 給出的答案是 Cobo Safe。

Cobo Safe – 靈活的鏈上分權與風控方案

Cobo Safe 基於 Gnosis Safe 進行二次開發，利用 Gnosis Safe 的 module 擴展功能，實現了多簽錢包與項目合約交互的靈活定製。

具體來說，Cobo Safe 可提供的服務包括如下幾點。

單簽分權

Cobo Safe 目前支持粒度為函數級別的分權管理，即可針對特定用戶角色配置不同的函數交互權限。只需要在網頁界面上進行簡單的配置，即可賦予用戶角色(Role）對特定合約、特定函數的調用權限。

如下配置的 harvesters 角色可以並僅能調用 Uniswap V3 NonfungiblePositionManager 合約的 collect 函數，即僅能完成 Uniswap V3 LP 交易費獎勵的提取操作。

在 Cobo Safe 添加成員的同時，可指定前述限製的用戶角色。被賦予某一角色的地址，就可使多簽名錢包執行特定合約調用交易。

如下即給 0x20XX 地址賦予 harvesters 角色，允許 0x20XX 地址以多簽錢包的身份，代為發起 collect 函數調用的合約交易。

完成上述配置後， 0x20XX 用戶則可通過 WalletConnect 與 Uniswap V3 DApp 交互，並執行收取 LP 手續費的操作。通過 Cobo Safe 的分權功能，當 collect 交易由 0x20XX 發起時，不再需要所有 Gnosis owners 一一進行簽名確認，只提供0x20XX 自身的單簽簽名即可成功發起交易。從而規避了多簽錢包使用上繁瑣的簽名收集過程。

同時，由於 0x20XX 並不能執行 Uniswap V3 collect 函數以外的其他操作，即使 0x20XX 賬戶遭受黑客攻擊或者私鑰泄漏等風險，也不會直接對多簽錢包的本金資產造成威脅，通過這種方式最小化了與外部協議之間的操作風險和私鑰泄漏帶來的風險。

後續錢包 owners 只需要重新配置，移除 0x20XX 成員即可徹底消除風險。利用靈活的分權機製，可以將鏈上交互中的一些常見低風險操作授權給某個單簽地址，在大幅提高操作效率的前提下，不對原有錢包安全造成威脅。

ACL 風控

除了函數粒度分權機製外，Cobo Safe 還提供更為細粒度的 ACL(Access Control List) 合約風控機製。用戶可以根據自身業務場景，定製化地製定任意分權與風控規則。通過 ACL 合約，可以靈活地設置各類分權及風控規則，如：

• 通過 ACL 合約，可以靈活地設置各類分權及風控規則，如：

• 限製用戶合約調用過程的參數範圍（如指定 swap 時只允許操作固定幾類 token 資產）；

• 限製某個合約函數的調用次數；

• 對合約交互進行風險檢查（如檢查 swap 滑點損失不高於某個百分比）；

值得說明的是 Cobo Safe 作為 Cobo 推出的去中心化托管方案 Argus 的重要組成部分，其鏈上合約源碼均是開源的。

因為用戶方或其他第三方可對 Cobo Safe 及 ACL 合約源碼進行審計，以保證托管功能不存在中心化做惡的風險。

總結

近期安全事件也警醒著我們，不論是將資產存放在中心化機構或者自行管理私鑰助記詞，都仍存在一定資產安全風險。

這些安全風險推動著各方尋求更好的資產托管方案。各大中心化托管機構近期紛紛推出基於 MerkleTree 的儲備金證明方案， Cobo 聯合創始人蔣長浩博士也發表了 一些對現有方案局限性與改進的討論探究 。

Cobo Argus 作為去中心化托管方案，其集成的 Cobo Safe 模塊擴展了業界成熟的多簽解決方案 Gnosis Safe ，提供了分權及 ACL 風控等更加靈活的可定製化功能，更好的平衡了資產安全性與錢包易性上的天然矛盾，是機構和個人度過資本寒冬迎接下一輪繁榮過程中資金管理工具的新選擇。