在Web3的世界里,“多签”(Multi-signature,简称多签)本是一种为提升安全性而设计的核心机制——它要求多个独立私钥共同授权才能执行交易,理论上能有效防止单点故障(如单私钥泄露)和单权滥用,随着生态复杂度提升,多签不仅可能被“攻破”,甚至可能成为风险的放大器,其“被多签”的路径,既包括技术层面的漏洞利用,也涵盖治理与人性层面的操纵。
技术漏洞:多签机制的“先天缺陷”与“后天妥协”
多签的安全性建立在“密钥独立”和“协议合规”的基础上,但这两点均可能被突破。
一是密钥管理的“形式多签”,项目方常宣称采用“3/5多签”,即5个签名者中需3个同意才能执行交易,但如果签名者之间存在利益绑定(如同一实体的不同马甲,或被贿赂的“傀儡”),多签便沦为“一言堂”,例如2022年加密借贷协议Beanstalk Farms被黑客攻击,调查发现其5个签名者中3个已被控制,导致攻击者轻易通过多签转移资金。
二是智能合约层面的漏洞,多签依赖的底层合约(如Gnosis Safe)若存在代码缺陷(如重入攻击、权限绕过),可能被绕过多签机制直接操作资金,2023年某DeFi项目因多签合约的“签名验证逻辑错误”,攻击者伪造签名通过“1/1多签”盗走百万美元,本质是技术实现对多签承诺的背叛。
治理操纵:当多签成为“权力游戏”的工具
Web3项目的多签常与治理权绑定,签名者往往是团队核心、投资人或社区代表,这种权力结构易被“内部攻占”。
一是“权力集中”的异化,早期项目为快速推进,常将多签权过度授予团队或投资方,当团队利益与用户利益冲突时,多签可能被用于“恶意治理”——如通过多签投票冻结用户提款、修改参数 favor 特定方,2021年DeFi项目Yam Finance重启时,核心团队通过多签强行修改合约参数,导致用户资产大幅贬值,暴露了多签治理的“中心化风险”。
二是“外部渗透”的治理劫持,攻击者可能通过贿赂、威胁等方式收买多签签名者,或利用社区分歧“策反”部分签名者,例如2023年某Layer2项目因多签签名者内讧,一方试图通过多签撤走资金,最终导致项目停摆,可见多签的“共识依赖”在利益冲突面前极为脆弱。
人性弱点:社会工程学对多签的“降维打击”
技术再完善,也难抵人性的漏洞,多签的“多人协作”特性,反而为社会工程学攻击提供了温床。
一是“钓鱼式签名诱导”,攻击者伪装成项目方或社区成员,向签名者发送恶意交易链接(如虚假的“紧急升级提案”),诱使其在未核实的情况下签名,一旦签名数量达标,资金即被转移,2022年某NFT项目多个签名者因点击钓鱼链接导致多签被盗,损失超500万美元。
二是“紧急状态”的情绪操纵,项目遭遇危机时(如黑客攻击、市场暴跌),签名者易在压力下匆忙决策,攻击者可能制造“假危机”伪造紧急交易,诱使签名者“为了止损”快速通过多签,这种“情绪化签名”往往绕过正常审查流程,成为多签失效的“隐形推手”。
生态复杂性:跨链交互与跨协议多签的“风险叠加”
随着Web3进入“多链+多协议”时代,多签的攻击面进一步扩大。
一是跨链桥的多签风险,跨链桥依赖多签验证链间交易,若源链的多签被攻破,攻击者可在目标链无限“凭空 mint”资产,2022年Ronin Network被黑客攻击,正是因为其9个多签签名者中5个被控制,导致6.2亿美元以太坊和USDC被盗,暴露了跨链多签的“单点故障”风险。
二是跨协议组合的多签漏洞,当多个协议通过多签联动(如借贷协议+衍生品协议),单一协议的多签漏洞可能引发连锁反应,例如某协议多签被攻破后,攻击者可操纵其代币价格,进而通过联动协议套取其他资产,形成“多签漏洞的杠杆效应”。
多签的“双刃剑”本质与安全启示
Web3的“被多签”并非多签机制本身的失败,而是技术实现、治理设计、人性管理等多维度问题的集中体现,它提醒我们:多签不是“安全万能药”,真正的安全需要“技术审计+
