EN

怎么用 Safe 设一个多签钱包?2026 实操:2-of-3 / 3-of-5 完整流程

教程 · 2026-05-30 · 比特三棱镜编辑部
AI 搜索

我自己第一次给 DAO 国库换上 Safe 多签的那天,心里其实是慌的——一旦阈值设错或者签名人邮箱列表丢一行,几十万美元的资产就卡在那里。所以这篇不写理论,只写我现在每接一个项目都会照着走一遍的清单:从签名人怎么挑、合约怎么创、阈值怎么改、第一笔演练怎么做,一路到给国库加上"冷备援",按顺序往下走就行。如果你完全不知道多签是什么,建议先扫一眼 钱包入门安全指南 再回来。

用 Safe 部署多签钱包的全流程示意,三个签名人和一个合约地址

第 0 步:先决定要不要多签,以及多大阈值

多签不是越多越好。签名人多了协调成本会指数级上升——三个人签一笔交易要一小时,五个人就可能要一整天,七个人基本只能用"异步签名"才能跑得动。我自己的经验是:

  • 个人长期存币:2-of-3 就够,第三把钥匙放保险柜或可信亲属
  • 小团队/2-3 人合伙:2-of-3,每人一把,合约写明"任何 2 人都能动钱"
  • DAO 国库 / 项目方多人持仓:3-of-5,含至少 1 名外部独立签名人
  • 机构级冷储 / 巨鲸:4-of-7 起步,含地理与设备隔离

如果你纠结要 2-of-3 还是 3-of-5,记住一条经验法则:签名人数量 = 团队核心决策人数 + 1 名外部 + 1 把冷备。再多,就是政治问题不是技术问题。

第 1 步:准备签名人地址(最容易踩坑的一步)

Safe 的签名人是地址,不是邮箱、不是用户名。每个签名人需要自己控制一把私钥,最理想的状态是:

  • 至少 2 把硬件钱包(Ledger / Trezor / Keystone 都行)
  • 1 把热钱包做"日常签名"(MetaMask / Rabby)
  • 1 把冷备钥匙离线生成、写在金属板上,只在恢复演练时取出

签名人地址之间不要复用助记词——这是新手最常见的错误。我见过一个团队三个签名人都从同一台电脑上同一个 MetaMask 派生了三个子地址,结果电脑一中毒,三把"钥匙"一起没了。多签的安全前提是私钥相互独立

签名人 设备类型 派生方式 备份位置
签名人 A 硬件钱包 独立助记词 1 家中保险柜
签名人 B 硬件钱包 独立助记词 2 公司保险柜
签名人 C 热钱包 独立助记词 3 加密备份
签名人 D(备) 硬件钱包 独立助记词 4 银行保管箱
签名人 E(外部) 自托管 第三方持有 律师/可信第三方

第 2 步:到 app.safe.global 创建合约钱包

打开 Safe 官网(注意核对域名 app.safe.global),连接其中一把签名人钱包,选 Create new Safe

  1. 选择网络。新手建议从 Arbitrum / Base / Polygon 起步,部署费几美元;主网部署一次现在约 20-40 美元
  2. 给钱包起个名字(仅本地显示,不上链)
  3. 添加签名人地址——一行一个,仔细核对每一个字符,可以让每个签名人把自己的地址复制到群里再贴过来
  4. 设置阈值:要几把签名才能动钱
  5. 预览交易、签名、部署

部署完成后你会得到一个合约地址,这才是真正存币的地方。原来连上的那把签名人钱包只是签名人之一,不要把币转到签名人地址。

Safe 部署后展示合约地址、阈值与签名人列表的界面示意

第 3 步:第一笔交易必须是"演练"

新合约不要直接打大额。我自己每次都会先做这两笔演练:

  1. 小额入金演练:从主钱包打 5-10 美元等值的稳定币到 Safe 合约,等待区块确认,记录手续费
  2. 小额出金演练:发起一笔从 Safe 到测试地址的转出,让所有签名人轮流签一遍——目的不是动钱,是确认每个人的设备、网络、钱包应用都能正常签名

这一步发现的常见问题:

  • 某个签名人的硬件钱包固件版本太旧,不支持 EIP-712
  • 某个签名人在公司网络被屏蔽,连不上 RPC
  • 某个签名人用的是不兼容的浏览器(少见,但 2026 年 Brave 某些版本会拦截 WalletConnect)

演练通过,再把主资金分批转入。第一次最多打 预期国库金额的 10%,观察一周再补齐。

第 4 步:把"备援人"配进去

合约部署完不是终点。多签最大的失败模式不是被黑,而是签名人失联——出差、生病、失联、争吵导致拒绝签名,都会让国库瘫痪。

在 Safe 的 Settings → Owners 里,可以随时增加/移除签名人。建议在第一次演练通过后立刻做一件事:把一个"冷备签名人"加进来,但不改阈值

举例:

  • 原配置:3-of-5,5 个核心签名人
  • 加冷备后:3-of-6,多了 1 个备援,但仍需 3 把签名才能动钱
  • 当某个核心签名人失联时,剩下 4 人投票把那个地址移除,把阈值保持在 3-of-5

冷备签名人最好是地理上完全隔离的设备,比如放在另一个城市的银行保管箱里、只在每半年的恢复演练中取出验证一次。

第 5 步:日常签名节奏与监控

多签上线后的日常管理远比部署难。我给团队定的 3 条规矩:

  • 每一笔交易在签名前,至少两个签名人独立核对 to 地址、datavalue——不要只看 Safe 界面的"美化"标签
  • 大于 国库 5% 的支出必须先在内部频道贴出预览链接,等 24 小时再签
  • 每周从 Etherscan 拉一次 Safe 合约的所有 outbound 交易做对账

可以接入 Safe 的官方通知服务,或者用 Tenderly Alerts 监听合约地址,一旦有 execTransaction 触发就 webhook 到 Discord/Telegram。任何一笔异常签名都要在 5 分钟内有人响应

签名人围绕合约地址做日常对账与监控的工作流示意

第 6 步:半年做一次恢复演练

部署完一年还能正常用的多签,和"半年演练一次"的多签,是两种东西。建议每 6 个月做一次:

  • 让一个签名人模拟"丢失设备",从备份恢复
  • 测试冷备签名人是否还能拿出来、签得动一笔小额
  • 重新审阅签名人名单:有没有离职的、关系疏远的、设备换了没同步的
  • 演练完更新内部文档:地址、阈值、备份位置、紧急联系人

这一步可以参考 钱包恢复演练教程(即将上线),把多签和单签的恢复流程合并演练,效率最高。

把多签当组织设计,而不是技术问题

多签的代码部分其实非常成熟,Safe 合约从 2018 年至今几乎没有过实质漏洞。真正会出事的是组织——谁掌握哪把钥匙、谁能否定谁、签名人之间的信任关系怎么维护。把这些事情想清楚了,2-of-3 也能撑住一个国库;想不清楚,10-of-15 一样会被自己人卷死。下一次部署之前,先把第 0 步的那张签名人表格画完整,再去点 Create new Safe 按钮。