权限
Chain Wallet 采用角色分离(Role Separation)的权限模型,将执行权与治理权彻底隔离,以避免单点失误或单一角色对钱包资产与治理结构产生不可控影响。
系统中仅存在两类角色:
- 执行者(Executor)
- 管理者(Manager)
一、执行者(Executor)
执行者仅负责交易执行行为的发起,不具备任何钱包治理权限或共识权限。
1. 权限定义
允许
- 发起普通交易请求
- 包括转账、合约交互等链上操作
禁止
-
修改钱包任何治理相关状态
-
新增、删除或替换执行者、管理者
-
修改钱包安全状态
-
修改任何风控配置
-
-
参与任何多签相关操作
-
创建多签交易
-
审批多签交易
-
执行多签交易
-
执行者的所有交易请求,均无法绕过系统的安全校验与权限检查机制。
在下一章我们会着重介绍安全校验,即风控
2. 权限示例
-
执行者尝试新增执行者
❌ 权限不足,操作被拒绝
-
执行者尝试移除管理者
❌ 权限不足,操作被拒绝
二、管理者(Manager)
管理者负责钱包的治理、安全配置以及高风险操作的共同决策。
1. 权限定义
允许(Allow)
- 钱包治理操作
- 执行者、管理者的新增、移除与替换
- 钱包安全状态管理
- 多签操作权限
- 创建多签交易
- 审批多签交易
- 执行多签交易
约束(Constraint)
- 任意涉及资产转移或钱包治理的高风险操作
- 均不可由单一管理者完成
- 必须通过多签机制达成共识
2. 权限示例
-
管理者移除存在风险的执行者
✅ 允许,但必须通过多签完成
-
管理者尝试单独完成资产转账
❌ 不允许,必须通过多签完成
三、权限边界总结
- 执行者
- 永远无法影响钱包治理结构
- 永远无法参与多签决策
- 管理者
- 永远无法单点控制资产或治理结果
- 任意关键操作
- 不存在单角色、单密钥即可完成的路径
四、设计原则摘要
- 最小权限原则(Least Privilege)
- 权限不可升级原则(No Privilege Escalation)
- 高风险操作必须多方共识
该权限模型为后续的风控系统与多签机制提供清晰、可审计、不可绕过的安全边界。