核心
Chain Wallet 的核心设计理念是:执行走风控,治理走多签。
这一设计理念主要体现在两个方面:
- 权限管理模型:通过角色划分区分执行与治理职责
- 风控系统设计:通过规则约束保障执行过程的安全边界
一、权限管理
Chain Wallet 中的钱包角色主要分为两类:
- 执行者(Executor)
- 管理者(Manager)
- 执行者的交易:进入风控系统校验,不经过多签,以保证执行效率。
- 管理者的操作:涉及钱包状态、角色与风控规则变更,必须通过多签机制 完成,以保证最高安全性。
1. 执行者(Executor)
执行者负责 日常交易的执行,例如转账、合约交互等。
- 只具备执行权限
- 所有交易都必须符合预先设定的 风控规则
- 无法直接修改钱包状态或风控策略
2. 管理者(Manager)
管理者负责钱包的 治理与安全配置,包括:
- 钱包状态管理
- 角色管理(执行者 / 管理者)
- 风控规则的创建、修改与移除
- 任意的交易
管理操作通常需要更高的安全级别,并通过多签机制完成。
3. 为什么要这样设计
假设你有一个普通链上钱包:
- 一旦 私钥泄露
- 资产可能会被攻击者 立即全部转走
这几乎是不可逆的损失。
3.1 现有解决方案
冷钱包
冷钱包不联网,私钥不暴露在网络环境中,可以在一定程度上防止私钥被盗。
但冷钱包并不适合 程序化执行交易,自动化能力极弱。
多签钱包
一笔交易需要多个私钥同时确认,攻击者需要同时窃取多个私钥才能完成盗取。
多签极大提高了安全性,但也带来了新的问题。
冷钱包与多签钱包的局限性
-
不适合程序自动执行交易
- 多签需要多方人工确认
- 很难通过代码精确控制执行流程
- 冷钱包同样无法满足自动化需求
-
使用成本高、流程繁琐
- 每一笔交易都需要多方参与
- 对频繁交易或业务钱包并不友好
4. Chain Wallet 的解决思路
Chain Wallet 吸收了 多签钱包的安全性,同时引入 基于权限的执行模型:
- 执行者:负责交易执行
- 风控系统:限制执行者的行为边界
- 管理者:在异常情况下可以快速介入
执行者可以执行交易,但只能执行 符合风控规则的交易。
二、风控系统
在以下场景中,风控系统尤为重要:
- 执行者私钥可能被泄露
- 执行账号由多人共用
- 希望限制单个执行者的资金操作权限
风控系统的目标是:
- 即使私钥泄露,也能限制损失规模
- 尽早发现异常行为
- 为管理者争取处理时间
- 在异常行为发生时冻结钱包
风控示例
例如:
- 限制钱包 每日最多转出 0.03 SOL
在该规则下:
-
攻击者无法一次性转走全部资产
-
管理者可以在异常发生后:
- 立即更换执行者
- 调整或冻结风控规则
- 冻结钱包
灵活的风控规则
Chain Wallet 提供多种风控规则组合方式:
- 金额限制
- 频率限制
- 地址白名单 / 黑名单
- 自定义策略规则
你可以根据自身业务需求,选择最合适的风控方案,在 安全性 与 灵活性 之间取得平衡。