Multisig 失败模式以及 SSP 如何应对

这是 Multisig Deep Dive 的收官文章。在之前六篇里我们建起了这幅图：multisig 是什么、要选哪个门槛、BIP48 接线图、Schnorr 聚合、社交恢复对比，以及把这一切粘合给真正人类使用的 单签者 UX。在正常条件下抽象工作良好。本文说的是 非正常条件。

每只 multisig 钱包都有可预见的失败模式 — 那些位置，舒适的单签者抽象在那里破裂，底下的协议开始可见。知道哪种失败对应哪种恢复，就是把一场紧张事件变成一场例行事件的差别。我们会按照最可能发生的顺序，过五种失败模式，并在每种情况里讲 SSP 实际做了什么（以及你要做什么）。

TL;DR

• 模式 1：丢一台设备，那台设备的 seed 完好。 平凡恢复 — 在替换设备上装 SSP，从 seed 恢复，再次配对。资金无风险。
• 模式 2：丢一台设备 并且 它的 seed 也丢了。 钱包受损但未失去：从你剩下的那台设备花钱，把第二个 seed 作为唯一的恢复钥匙，然后把资金移到新配对的钱包里。
• 模式 3：一台设备被 malware/phishing 攻陷。 资金安全，因为攻击者只有两个签名中的一个。你通过用干净设备重新配对来遏制泄漏；从一台被攻陷的设备无法把 SSP 抽干。
• 模式 4：SSP 的协调层不可用。 不便，但不致命。协调只是元数据传输；底下的 multisig 钱包可以用任何 BIP48 兼容的软件 仅凭两个 seed 恢复出来。
• 模式 5：两台设备和两张 seed 纸同时被毁。 这是唯一的灾难性失败模式，也是你的 self-custody 清单 旨在让其在地理上变得不可能的那一种。

把这篇文章读一次就够了。不需要背下来。重点是：对于你将来可能担心的每一种失败，都有具体的、可执行的应对。

模式 1：单一设备丢失，seed 完好

这是最常见的失败：你换了手机、掉了笔记本，或者做了一次干净的系统重装。运行你 SSP 钱包一半的设备没了，但那一半的 seed phrase 还在它该在的地方（因为你按 前 1000 美元清单 做了，把它和设备物理分开存放）。

恢复是：

1. 在替换设备（新手机、新笔记本等）上安装 SSP。
2. 用它的 seed phrase 把那一半恢复回来。
3. 与幸存的那一台重新配对。SSP 会引导你让两台设备再次"看见"对方 — multisig 协调层在新设备上检测到同一个 xpub 并接受它。
4. 像往常一样继续使用钱包。钱包的链上身份未改 — 同一地址、同一余额、同一历史。

在整个流程中没有任何时刻资金处于风险之中。Seed phrase 本就是 用来做这件事的：从零重建一个签名半边。SSP 的入门流程之所以那么坚持 两个 seed 分开备份，原因就是这就是你在为之付钱买的那种恢复。

时间成本：如果你的 seed 纸在手，约 20 分钟。

模式 2：设备 和 它的 seed 都丢了

模式 1 的硬核版本：你同时丢了一台设备 和 它的 seed 纸。家里失火、洪水、单一物理地点被偷，等等。现在你无法从它自己的 seed 把那个签名半边重建出来。

这正是 2-of-2 vs 2-of-3 决策 展示其后果的时刻。在 2-of-2 之下 — SSP 的默认 — 你只剩下正好一个签名半边（幸存设备，加上它自己的 seed）。在 2-of-3 之下你会有三把里的两把，可以不慌不忙地花钱；在 2-of-2 之下，你完全不能从这只钱包里花，因为链仍然要求两个原始签名。

恢复是：

1. 别慌。 资金安全 — 没有攻击者能花掉它们，因为它们在 2-of-2 规则下。
2. 验证你幸存设备的 seed 仍被备份且可访问。它突然成了你唯一的后备。
3. 在一对新设备上设置 一个新的 SSP 钱包（你剩下的那台设备和一台新的，每台都有新的 seed）。
4. 把资金从 旧 钱包发出去 — 等等，你不能。2-of-2 已经坏了。

嗯。第 4 步揭示了 2-of-2 的诚实真相：在这种特定的失败模式下，资金是 被冻住。不是被偷。不是密码学意义上的丢失。它们仍然在链上的地址。但你无法移动它们，因为钱包执行 2-of-2 的花费规则，而你只有一个半边。

你能做的，是 把钱包重新创造一遍。具体来说：幸存设备仍然有它的 seed，你把一台全新的设备配上一个全新的 seed，把它们配对成一个新的 2-of-2 钱包，然后从旧钱包向新钱包花费 — 这是关键 — 通过把幸存的原始 seed 和 从别处恢复出来的丢失 seed 合在一起。如果你没有丢失 seed 的另一份副本，资金真的就被困住了。

这就是为什么清单里"两个 seed、两个物理上分开的地点、其中之一耐火"那条指令不是偏执。它就是模式 2 的答案。如果你这辈子只听一条 self-custody 建议，就为你 两个 SSP seed 都遵守 seed phrase 最佳实践。钱包的其它部分，全都建立在你已经这么做了的前提之上。

模式 3：一台设备被攻陷

想象更阴暗的剧本：你的笔记本被 malware 攻陷了。浏览器扩展还在；攻击者可能已经观察了你的使用，可能完全控制了该设备的签名密钥。他们得到了什么？

在单签 hot wallet 下 — 他们得到一切。下一次你尝试花费时（或更早，如果 malware 能静默发起花费），钱包就被掏空。

在 2-of-2 的 SSP 钱包下，他们还什么都没得到。他们有一个签名，链要两个。他们无法独自花钱。他们最多能做的是伪造一份交易提案，通过 SSP 的协调层推送到你的手机，并希望你在手机上糊里糊涂就按了同意。

这正是 单签者 UX 与安全交汇的地方。手机上的确认步骤 不是 UX 上的花活；它是被攻陷的笔记本和被掏空的钱包之间唯一的屏障。在手机上读交易细节。核对收款地址。核对金额。如果有什么不对，就不要批准，无论提示是怎么出现在那里的。

当你发现失陷时的封堵反应：

1. 从你 未被攻陷 的那台设备上，把资金发到一只全新的 SSP 钱包（在两台新的设备、两个新的 seed 上设置好的）。这是一次 multisig 交易 — 两台旧设备都要签一次，但签完之后你立刻停止使用被攻陷的那台。
2. 抹掉被攻陷的设备。出厂重置；不只是卸载扩展。
3. 把被攻陷的 seed 当作"已烧"。不要再重新导入那个具体的 seed；认定它已经泄露。

这种封堵比单签钱包对应的反应快得多、压力小得多，单签场景里你必须跑在攻击者前面。Multisig 下你有时间冷静处理，因为缺少第二份签名，攻击者就被锁在门外。前一系列里的 七种失败模式那篇 用美元术语讲过这一点：零售 self-custody 的多数损失都是单密钥失陷，而 2-of-2 正是最常见情景的答案。

模式 4：SSP 的协调层不可用

如果 SSP（这家公司）出了故障会怎样？如果在你的浏览器扩展和手机之间搬运 PSBT 的协调服务挂了呢？或者如果你已经决定根本不想用 SSP 了呢？

诚实的回答是：协调层只是元数据传输 — 方便，但不承重。真正的钱包活在链上，由你的两个 BIP48 seed 派生而来。如果 SSP 的签名服务器掉一小时，你可以等一小时。掉一周，烦人。永远掉下去，你仍然可以通过把两个 seed 加载进 任何另一只 BIP48 兼容的钱包 来恢复钱包 — Bitcoin 上的 Sparrow、Electrum、Bitcoin Core 的 descriptor 钱包、EVM 链上的等价 multisig 客户端，等等。

这里的恢复路径是：

1. 确认问题确实在 SSP 一侧（而不是你的本地设备）— SSP 的状态页或社区频道会说明。
2. 如果你迫切需要花钱，安装一个支持 BIP48 multisig 路径的第三方钱包。Bitcoin 最友好的选择是 Sparrow；EVM 上你会用 Safe 或类似的 multisig 客户端。
3. 把两个 seed 都加载进那个第三方钱包。同一个地址会出现、同样的余额、同样的花费能力。
4. 在那里照常签名和广播。

你能做到这一点的原因 — 这件事不是市场口号而是可被验证的属性的原因 — 是 SSP 用了 标准。BIP48 那篇 和 What is 2-of-2 multisig 把这个走了一遍。SSP 是一只独立于 SSP 而存在的钱包之上的便捷前端。

实际上，SSP 的签名基础设施是按高可用建设的 — 但"在没有 SSP 的情况下钱包仍可恢复"这个 保证 才是让那份便利变得重要、而不是变得吓人的根本。

模式 5：两台设备和两个 seed 同时被毁

这是灾难性失败模式，值得直说：如果你在同一事件里同时丢了 两个 签名半边和 两份 seed 备份，钱包就永久无法访问。资金仍在链上的 multisig 地址，但没有任何人 — 包括 SSP — 能移动它们。这是真正 self-custody 的代价；让 SSP 没办法冻结你资金的那项属性，同样让 SSP 没办法解冻它们。

防御是地理上的、是结构上的：

• 两个 seed 住在 物理上分开 的地方。前 1000 美元清单上写着"不同的房间，可行的话不同的建筑"。
• 至少有一个 seed 住在防火容器里。
• 如果你的栈足够大值得这么做，最终你会迁移到 2-of-3 — 引入第三把密钥（常常存在律师、家人手里，或银行保险箱）会把灾难性失败面从"两个物理地点都被毁"降低到"三个地点中任意两个被毁"。

诚实的取景是：这种失败模式拿概率换严重度。单密钥钱包失败远更频繁（模式 1 和 3 在数据里占主导），但每起事故的严重度更低。带有地理 seed 分离的 multisig 把失败频率降一个数量级，但每起事故的严重度略升。多数用户净赚。

Meet SSP Wallet 介绍 把这个产品定位为面向成熟零售 self-custody 的工具。模式 5 的严肃性正是为什么那个定位是诚实的 — 这个产品是为那些愿意把 seed 纸当作承重基础设施而不是写一次就忘的人造的。

这对你意味着什么

收官要点：

1. 多数失败模式有例行恢复。 模式 1、3、4 — 远比其他常见 — 都有清晰、低压的恢复路径。2-of-2 模型真的兑现了它的承诺：它吸收单点失陷，给你时间反应。
2. 灾难性情形是地理性的，而不是密码学性的。 模式 5 就是你的 seed phrase 最佳实践 所讨论的内容。钱包的密码学被良好审计过；剩下的失败面是你是否把两个 seed 存放在物理上不同、耐久的地方。
3. 现在你拥有了完整图景。 这一系列（第 1 篇、第 2 篇、第 3 篇、第 4 篇、第 5 篇、第 6 篇、本篇）已经覆盖了 multisig 是什么、什么时候选哪种门槛、各部分如何连接、聚合改变了什么、各种恢复模型如何不同、UX 为什么是这种感觉、以及每种失败模式在运营层面长什么样。前一系列 Self-Custody Fundamentals 给了你 为什么；这一系列给了你 怎么做。从这里开始，工作就是运营纪律：备份卫生、定期恢复演练，以及在事情发生时按部就班、冷静做模式 1 / 2 / 3 / 4 恢复的耐心。

钱包做得好。剩下的变量是你。