多签失控有多狠？ 项目命门如何把控？

再次想起 Bybit 15 亿惊天被盗案，你是否还会不禁地背后一凉？

多签对于小白、散户来说可能接触的并不多。但经历了那么多项目被盗后，项目方团队应该意识到多签操作的安全管理是由多么重要。

前两天，一个叫做 UXLINK 的项目也是因为多签权限失控，导致资产被盗、代币市值蒸发。虽然与 Bybit 被盗事件的攻击手法关系不大，但是这再一次为项目方们做出了警醒。

简要回顾一下发生了什么

23 号凌晨，一个地址调用了「delegateCall」函数移除了管理员角色，并将自己地址添加成了多签地址，且将多签阀值设置成了 1 ，这意味着多签操作只需要黑客自己同意即可 —— 整个项目资金安全已经形如虚设。

接着黑客就进行了一系列的敛财操作：

• 转移项目所有资金约 1000 万美元
• 增发了 10 亿数量的代币
• 将增发代币「砸盘」，CEX、DEX 交易所流动性大幅减少。

更离谱的是黑客也被「做局」了，增发的代币别老牌钓鱼团伙 Inferno Drainer 用普通钓鱼手法截获了 5 亿多枚 $UXLINK。

目前 UXLINK 团队已经与多家安全团队合作，联合 CEX 冻结了部分被盗资产，准备代币合约的更换。

团队多签如何保管？

据余弦大佬（@evilcos）所说，本次事件的根本问题非常简单：多签成员的私钥泄露。

换句话说，多签的合约设计再完美，如果签名人自己守不住钥匙，等于把大门敞开。那项目方该怎么做？

纪律一：物理隔离，杜绝联网。

热钱包环境下的私钥极易被木马、插件、授权钓鱼等方式窃取，所以多签私钥不联网是底线。而硬件钱包可以很好地做到这一点：私钥隔离在芯片中，签名全程离线完成，减少泄露概率。

同时，项目方团队多签更应该强制要求签名人配合硬件钱包使用，而不是图省事用浏览器扩展或手机钱包。

此外，Bybit的教训也告诉我们：就算是官网前端网页，看到的都不一定是真实的，只有使用有多签签名解析的硬件钱包，才能实现「所见即所签」。

纪律二：极致分散，规避单点风险。

地理分散：签名人必须分布在不同的城市乃至国家，避免因地区性灾难或物理攻击导致「团灭」。

技术分散：签名人应采用来自不同制造商的硬件钱包，防止因某一品牌的共同漏洞而被一网打尽。

备份分散：用物理介质备份的助记词，必须与硬件钱包本体异地、隔离存放。

纪律三：流程可追溯，减少人为失误。

再好的技术也防不住流程的疏忽和人性的弱点。因此，严格的操作流程是安全体系的灵魂。

首先是身份保密，必须严禁对外透露多签签名人的具体身份，从源头上避免团队成员成为黑客精准攻击的「高价值目标」。

其次是建立铁打的交叉验证流程，规定任何大额或敏感操作，都必须由至少两名成员通过视频通话等离线方式，二次核对地址、金额等关键信息，以此作为抵御钓鱼和欺诈的最后一道手动防线。

纪律四：定期轮换和演练，防患未然。

私钥不是一劳永逸的，一旦有成员离职、设备丢失，就要立即轮换。项目方也要定期演练「丢失私钥」的恢复流程，确保真出事时能在第一时间补位。

End

资产安全没有彩排。请务必重视团队多签管理，使用支持签名解析的硬件钱包。