建立 Safe{Wallet} 消息签名风控
了解如何为 Safe{Wallet} 消息签名设置风控措施。
简介
Safe{Wallet} 需要强大的安全措施来保护其多重签名操作,常见的安全风险包括集中式签名环境、签名的交易缺乏可见性,以及风控能力不足。
通过 Cobo Portal,您可以创建 MPC 或 Web3 钱包地址作为 Safe{Wallet} 的签名人地址,使用独立且安全的签名界面来降低单点故障的风险。您可以配置消息签名规则,来设置审批人数,要求批准消息的审批员达到一定数量,签名人地址才能执行消息签名。配置后,Cobo Portal 会自动开始监控 Safe Transaction Service,当查到相关待签名交易时,会自动解码 Safe{Wallet} 消息并标记高风险因素,让每位审批员都能完全了解他们正在批准的内容。
步骤
按照以下步骤设置 Safe{Wallet} 消息签名风控:
步骤 1:在 Cobo Portal 上创建 MPC 或 Web3 钱包地址
创建 MPC 钱包地址用作 Safe{Wallet} 的签名人:
- 创建 MPC 钱包。
- 点击进入您的钱包。选择地址标签页。点击添加地址来创建新地址,网络选择所有 EVM 链。
创建 Web3 钱包地址用作 Safe{Wallet} 的签名人:
- 创建 Web3 钱包。
- 点击进入您的钱包。点击创建地址来创建新地址,网络选择所有 EVM 链。
步骤 2:在 Cobo Portal 上创建 Safe{Wallet} 消息签名规则
在此步骤中,您将提供您的 Safe{Wallet} 地址及其对应的签名人地址(您在步骤1中创建的 Cobo Portal 地址),并设置审批人数。只有已批准的审批员数量达到人数要求,签名人地址才能执行消息签名;如果任何审批员拒绝请求,消息签名的请求将被风控规则拦截。
-
登录 Cobo Portal。
-
在左侧主菜单中点击
> 交易风控。 -
点击创建交易风控规则 > 消息签名。
-
输入规则名称(最多30个字符)。
-
选择适用链。请选择您的 Safe{Wallet} 部署所在的 EVM 链,不能选择任何或非 EVM 链。
-
在适用钱包下,选择您在步骤1中创建的 MPC 或 Web3 钱包和地址。
这些地址将成为您的 Safe{Wallet} 的签名人,因此您必须选择指定地址而不是任意地址。 -
在如果下,点击 + 添加条件 并选择 Safe{Wallet} 消息签名。为您的签名人地址(在适用钱包中选择的 Cobo Portal 地址)提供对应的 Safe{Wallet} 地址。当这些 Safe{Wallet} 地址请求签名时,规则将被触发。
出于安全考虑,条件 Safe{Wallet} 消息签名不能与其他条件(如发起者和消息类型)组合使用,这确保您的 Safe{Wallet} 消息签名受专用规则保护。 -
配置审批门槛要求,按用户角色或用户选择审批员,并设置所需的审批数量,然后点击下一页。
-
检查您刚刚配置的规则,然后点击下一页。
-
检查您的规则顺序。交易将根据优先级顺序与列表中的规则匹配。
- 一旦触发了优先级较高的规则,后续规则将不再触发。
- 默认情况下,新创建的规则将被放置在规则列表顶部并高亮显示。您可以通过拖放来更改顺序。
-
点击提交,并完成二次验证。
步骤 3:创建兜底规则
为确保全面保护,创建以下三个兜底规则并将其置于步骤2中创建的 Safe{Wallet} 消息签名规则之下,这些规则将作为安全网,自动拒绝任何未被该消息签名规则覆盖的请求。
- 消息签名兜底规则:
在交易风控规则页面,点击创建交易风控规则 > 消息签名,配置如下:
- 适用链:选择任何
- 适用钱包:选择包含您的签名人地址的钱包,并选择任意地址。或者,如果您其他业务不用消息签名,您可以选择任何类型钱包作为适用钱包。
- 条件:跳过设置条件以覆盖所有消息签名请求
- 操作:选择自动拒绝
- 合约交互兜底规则:
在交易风控规则页面,点击创建交易风控规则 > 合约交互,配置如下:
- 适用钱包:选择包含您的签名人地址的钱包
- 适用链:选择任何
- 条件:跳过设置条件以覆盖所有合约交互
- 执行动作:选择自动拒绝
- 代币转账兜底规则:
在交易风控规则页面,点击创建交易风控规则 > 代币转账,配置如下:
- 适用钱包:选择包含您的签名人地址的钱包
- 条件:跳过设置条件以覆盖所有代币转账
- 执行动作:选择自动拒绝
步骤 4:在 Safe{Wallet} 中添加 Cobo Portal 地址作为签名人
进入您的 Safe{Wallet},添加相应的 Cobo Portal 地址作为签名人:
-
在您的 Safe{Wallet} 中,进入 Settings,找到 Members 部分。点击 + Add signer。
-
输入要作为签名人的 Cobo Portal 钱包地址,调整签名门槛(可选),然后点击 Next。
-
签名并执行交易,使这些变更生效。
步骤 5:发起 Safe{Wallet} 交易
Safe{Wallet} 交易可以通过以下两种方式发起:
- 通过 Cobo Connect 连接 Safe{Wallet} dApp 发起交易
- 其他签名人发起交易
步骤 6:审批员在 Cobo Guard 上审核交易
按前述,风控规则配置完成后,Cobo Portal 会自动开始监控 Safe Transaction Service,查到对应 Safe{Wallet} 的待签名交易时,则发起签名请求,开始相应的风控流程。审批员将在其 Cobo Guard App 中收到通知,审核该签名请求。
只有已批准的审批员数量达到风控规则的要求,签名人地址才能执行消息签名。如果任何审批员拒绝请求,消息签名的请求将被风控规则拦截。
Cobo Guard 界面提供全面的信息和警报:
-
提供带有已解码参数的详细交易信息
-
包含可复制的原始数据
-
使用红色标签标记高风险因素,显示风险详情,例如:
- 对于 To 字段:
To 地址 交易类型 风险标签 说明 Safe{Wallet} 自身 合约交互 Wallet Config Change 钱包配置变更 非 Safe{Wallet} 自身 转账 Never Transacted Before 首次交互的接收地址 非 Safe{Wallet} 自身 合约交互 Never Interacted Before 首次交互的合约地址 非 Safe{Wallet} 自身 合约交互 New Contract 合约部署时间不足30天(720小时) - 对于 Operation 字段:
- 对 Delegate Calls 等操作,显示 High Risk
- 对于 To 字段:
-
对于 multiSend 交易,所有操作部分显示打包的操作,每个操作以
合约名称:方法名称的形式显示。点击展开操作以查看详情。
步骤 7:(仅适用于 MPC 钱包)私钥分片持有者对交易签名
如果您使用 MPC 钱包地址作为 Safe{Wallet} 签名人地址,MPC 钱包的私钥分片持有人需要对交易进行签名:
- 移动端签名人在 Cobo Guard 上审核并签名
- 服务端签名人(服务器节点使用 TSS Node 软件包)自动完成签名
步骤 8:完成 Safe{Wallet} 多重签名流程
其他 Safe{Wallet} 签名人通过各自的界面完成签名。一旦达到所需的签名阈值,交易就可以执行。
步骤 9:管理 Safe{Wallet} 消息签名规则并查看交易历史
请参阅管理消息签名规则了解以下操作:
- 编辑消息签名规则
- 删除消息签名规则
- 查看版本历史
- 查看某条规则相关的交易记录
- 查看规则详情
如果您想要查看所有 Safe{Wallet} 消息签名记录而不是某条规则相关的记录,在 Cobo Portal 左侧主菜单中点击 > 交易历史,然后点击过滤并勾选 Safe{Wallet} 交易消息。