简介

Safe{Wallet} 需要强大的安全措施来保护其多重签名操作,常见的安全风险包括集中式签名环境、签名的交易缺乏可见性,以及风控能力不足。

通过 Cobo Portal,您可以创建 MPC 或 Web3 钱包地址作为 Safe{Wallet} 的签名人地址,使用独立且安全的签名界面来降低单点故障的风险。您可以配置消息签名规则,来设置审批人数,要求批准消息的审批员达到一定数量,签名人地址才能执行消息签名。配置后,Cobo Portal 会自动开始监控 Safe Transaction Service,当查到相关待签名交易时,会自动解码 Safe{Wallet} 消息并标记高风险因素,让每位审批员都能完全了解他们正在批准的内容。

步骤

前提条件:请确保您在进行以下步骤前,已经在 Safe{Wallet} 官网 创建了您的多签钱包。

按照以下步骤设置 Safe{Wallet} 消息签名风控:

步骤 1:在 Cobo Portal 上创建 MPC 或 Web3 钱包地址

建议专门为 Safe{Wallet} 消息签名创建一个独立的钱包,与其他业务用途的钱包分开。这种分离可以使风控规则管理更加明确,提高安全性。

创建 MPC 钱包地址用作 Safe{Wallet} 的签名人:

  1. 创建 MPC 钱包
  2. 点击进入您的钱包。选择地址标签页。点击添加地址来创建新地址,网络选择所有 EVM 链

创建 Web3 钱包地址用作 Safe{Wallet} 的签名人:

  1. 创建 Web3 钱包
  2. 点击进入您的钱包。点击创建地址来创建新地址,网络选择所有 EVM 链

步骤 2:在 Cobo Portal 上创建 Safe{Wallet} 消息签名规则

在此步骤中,您将提供您的 Safe{Wallet} 地址及其对应的签名人地址(您在步骤1中创建的 Cobo Portal 地址),并设置审批人数。只有已批准的审批员数量达到人数要求,签名人地址才能执行消息签名;如果任何审批员拒绝请求,消息签名的请求将被风控规则拦截。

在这一步,您还不需要在 Safe{Wallet} 将 Cobo Portal 钱包地址添加为签名人,请在完成规则设置后添加(步骤4)。
  1. 登录 Cobo Portal

  2. 在左侧主菜单中点击 > 交易风控

  3. 点击创建交易风控规则 > 消息签名

  4. 输入规则名称(最多30个字符)。

  5. 选择适用链。请选择您的 Safe{Wallet} 部署所在的 EVM 链,不能选择任何或非 EVM 链。

  6. 适用钱包下,选择您在步骤1中创建的 MPC 或 Web3 钱包和地址。

    这些地址将成为您的 Safe{Wallet} 的签名人,因此您必须选择指定地址而不是任意地址

  7. 如果下,点击 + 添加条件 并选择 Safe{Wallet} 消息签名。为您的签名人地址(在适用钱包中选择的 Cobo Portal 地址)提供对应的 Safe{Wallet} 地址。当这些 Safe{Wallet} 地址请求签名时,规则将被触发。

    出于安全考虑,条件 Safe{Wallet} 消息签名不能与其他条件(如发起者消息类型)组合使用,这确保您的 Safe{Wallet} 消息签名受专用规则保护。

  8. 配置审批门槛要求,按用户角色用户选择审批员,并设置所需的审批数量,然后点击下一页

  9. 检查您刚刚配置的规则,然后点击下一页

  10. 检查您的规则顺序。交易将根据优先级顺序与列表中的规则匹配。

    • 一旦触发了优先级较高的规则,后续规则将不再触发。
    • 默认情况下,新创建的规则将被放置在规则列表顶部并高亮显示。您可以通过拖放来更改顺序。
  11. 点击提交,并完成二次验证。

规则配置完成后,Cobo Portal 会自动开始监控 Safe Transaction Service,查找对应Safe{Wallet} 的待签名交易。

步骤 3:创建兜底规则

为确保全面保护,创建以下三个兜底规则并将其置于步骤2中创建的 Safe{Wallet} 消息签名规则之下,这些规则将作为安全网,自动拒绝任何未被该消息签名规则覆盖的请求。

  1. 消息签名兜底规则

交易风控规则页面,点击创建交易风控规则 > 消息签名,配置如下:

  • 适用链:选择任何
  • 适用钱包:选择包含您的签名人地址的钱包,并选择任意地址。或者,如果您其他业务不用消息签名,您可以选择任何类型钱包作为适用钱包
  • 条件:跳过设置条件以覆盖所有消息签名请求
  • 操作:选择自动拒绝
  1. 合约交互兜底规则

交易风控规则页面,点击创建交易风控规则 > 合约交互,配置如下:

  • 适用钱包:选择包含您的签名人地址的钱包
  • 适用链:选择任何
  • 条件:跳过设置条件以覆盖所有合约交互
  • 执行动作:选择自动拒绝
  1. 代币转账兜底规则

交易风控规则页面,点击创建交易风控规则 > 代币转账,配置如下:

  • 适用钱包:选择包含您的签名人地址的钱包
  • 条件:跳过设置条件以覆盖所有代币转账
  • 执行动作:选择自动拒绝

步骤 4:在 Safe{Wallet} 中添加 Cobo Portal 地址作为签名人

进入您的 Safe{Wallet},添加相应的 Cobo Portal 地址作为签名人:

  1. 在您的 Safe{Wallet} 中,进入 Settings,找到 Members 部分。点击 + Add signer

  2. 输入要作为签名人的 Cobo Portal 钱包地址,调整签名门槛(可选),然后点击 Next

  3. 签名并执行交易,使这些变更生效。

步骤 5:发起 Safe{Wallet} 交易

Safe{Wallet} 交易可以通过以下两种方式发起:

  • 通过 Cobo Connect 连接 Safe{Wallet} dApp 发起交易
  • 其他签名人发起交易

步骤 6:审批员在 Cobo Guard 上审核交易

按前述,风控规则配置完成后,Cobo Portal 会自动开始监控 Safe Transaction Service,查到对应 Safe{Wallet} 的待签名交易时,则发起签名请求,开始相应的风控流程。审批员将在其 Cobo Guard App 中收到通知,审核该签名请求。

只有已批准的审批员数量达到风控规则的要求,签名人地址才能执行消息签名。如果任何审批员拒绝请求,消息签名的请求将被风控规则拦截。

Cobo Guard 界面提供全面的信息和警报:

  • 提供带有已解码参数的详细交易信息

  • 包含可复制的原始数据

  • 使用红色标签标记高风险因素,显示风险详情,例如:

    • 对于 To 字段:
      To 地址交易类型风险标签说明
      Safe{Wallet} 自身合约交互Wallet Config Change钱包配置变更
      非 Safe{Wallet} 自身转账Never Transacted Before首次交互的接收地址
      非 Safe{Wallet} 自身合约交互Never Interacted Before首次交互的合约地址
      非 Safe{Wallet} 自身合约交互New Contract合约部署时间不足30天(720小时)
    • 对于 Operation 字段:
      • 对 Delegate Calls 等操作,显示 High Risk
  • 对于 multiSend 交易,所有操作部分显示打包的操作,每个操作以合约名称:方法名称的形式显示。

    点击展开操作以查看详情。

步骤 7:(仅适用于 MPC 钱包)私钥分片持有者对交易签名

如果您使用 MPC 钱包地址作为 Safe{Wallet} 签名人地址,MPC 钱包的私钥分片持有人需要对交易进行签名:

  • 移动端签名人在 Cobo Guard 上审核并签名
  • 服务端签名人(服务器节点使用 TSS Node 软件包)自动完成签名

步骤 8:完成 Safe{Wallet} 多重签名流程

其他 Safe{Wallet} 签名人通过各自的界面完成签名。一旦达到所需的签名阈值,交易就可以执行。

步骤 9:管理 Safe{Wallet} 消息签名规则并查看交易历史

请参阅管理消息签名规则了解以下操作:

  • 编辑消息签名规则
  • 删除消息签名规则
  • 查看版本历史
  • 查看某条规则相关的交易记录
  • 查看规则详情

如果您想要查看所有 Safe{Wallet} 消息签名记录而不是某条规则相关的记录,在 Cobo Portal 左侧主菜单中点击 > 交易历史,然后点击过滤并勾选 Safe{Wallet} 交易消息

欢迎分享您的反馈以帮助我们改进文档!