如果你跟着这个系列读到这里,你已经把 multisig 看成一条花费规则:m of n 把密钥签名、链来执行门槛、钱在动。我们讨论过协议、派生路径、Schnorr 聚合的地平线。每一步要回答的问题都是:要让钱动,谁必须签名?
这一篇要谈的是另一个问题:如果那些签名者中的某个永远消失了会怎样? Multisig 有一种答案。**社交恢复(social recovery)**有另一种。它们在营销文案里看起来很像 — 都涉及"不止一个人" — 但解决的问题不同。这一篇是并排对照,让你别再混淆两者。
TL;DR
- Multisig 回答现在谁能花钱。每一笔交易都需要 cosigner 的门槛来签名。链本身在执行这件事。
- 社交恢复 回答如果我把钥匙丢了,谁能帮我重新进来。钱包有一个正常的签名者(你)。一组独立的"守护人(guardians)"可以共同批准一笔恢复交易,把钱包重新指向一把新密钥。
- Multisig 在每一次花费时都是主动的。社交恢复在你调用它之前是被动的 — 即便调用了,它做的也是替换花费密钥,不是和你共同签署你的花费。
- 两者都保护你不丢失访问权。只有 multisig 真正保护你不让攻击者获得访问权,因为只有 multisig 在普通花费时就要求多份签名。
- 它们不是相互排斥的。最具韧性的真实世界配置,是把 multisig 花费规则与一种 social-recovery 风格的"在共同签字的密钥之一丢了的情况下做轮换"的方式合到一起。
"社交恢复"到底是什么意思
社交恢复在 Ethereum 生态把它带火的那种意义下,源自智能合约钱包 — Argent 是早期的概念验证,Safe 和 ERC-4337 生态把它做成主流。机制上:你的钱包就是一份智能合约,正常运行时由一把签名密钥控制。合约还有一个内置的 recoverWallet(newKey) 函数,只能由你在创建钱包时指定的守护人所组成的法定数来调用。
守护人不会共同签署你日常的交易。他们不能代你花钱。他们的权限更窄:当你某天说"我的签名密钥丢了,请帮我重置它"时,他们可以共同签署一笔恢复交易,把钱包的控制密钥从那把丢失的换成一把新的。之后你就回到用新密钥进行正常花费。
一个典型的配置可能是 5 个守护人、3-of-5 的恢复门槛。3-of-5 是恢复门槛,不是花费门槛。日常花费仍然只需要你自己那一把密钥。
社交恢复的原罪是它需要一份智能合约 — 这意味着它在 Ethereum 与 EVM 链上原生可用(尤其通过账户抽象 / ERC-4337),但难以直接搬到 Bitcoin 或其它 UTXO 链。Bitcoin 最近的类比是一只 multisig,其中一个 cosigner 是"某个恢复服务或可信赖的人",而不是你自己的设备。这在结构上相似但在概念上不同 — 那个可信赖的人在 Bitcoin 版本里要签每一次花费,不只是恢复。
机制:各自如何处理"我丢了一把密钥"
具体想象最坏情况:你把手机掉进了海里,那部手机对应的 seed 纸条本来在你钱包里(也在海里了),你也没有这把丢失密钥的可用备份。
在 2-of-2 multisig(SSP 默认)下:钱包被冻结。任何花费都需要两份签名,而你只剩一个签名者。没有什么智能合约花招能救它;链上的花费规则是 2-of-2,结束。你的恢复路径是第二份 seed — self-custody 清单 把两份 seed 都设为承重,正是为这个场景。
在 2-of-3 multisig(选择器一文中的单人加冗余配置)下:钱包仍在运转。你拥有三把里的两把;链承认这是一个有效法定数。你可以花钱,可以把资金转到一个新的 2-of-3 钱包,加入一把新的第三密钥,旧的丢失密钥就变得无关紧要。
在社交恢复钱包下:钱包也仍在运转,但走的是另一条路。你没有一个签名密钥的法定数 — 你只有一把签名密钥(那把丢了的)。换言之,你联系你的守护人请他们签署一笔恢复交易。当他们的门槛通过后,钱包就被重新绑定到一把你控制的新花费密钥上。然后你回到用一把密钥的花费方式。
两次恢复表面看起来相似 — "请一组可信任的人为我作担保" — 但它们做的事情不同。Multisig 恢复用的是一个一直存在的现有法定数。社交恢复激活的是一个潜在的法定数,它存在的目的就是为了处理这一种情况。
它们防住什么(以及防不住什么)
两种架构都防失去访问权:你丢了密钥时仍然能恢复。
它们鲜明分歧的地方在防未授权花费。
Multisig 能防住任何单一密钥被偷。 攻击者如果钓鱼掉了你的笔记本、掏空了你的 hot wallet 或偷走了你的硬件设备 — 他得到了 n 把里的一把,但不能动钱。完整的花费门槛没达到。前一系列里的七种失败模式 那篇文章描述了这件事到底有多重要:单密钥被攻陷是零售 self-custody 中最主要的攻击向量,而 multisig 就是答案。
社交恢复对单密钥被偷完全无能为力。 在标准的社交恢复模型里,你唯一的那把签名密钥要签每一笔交易。一旦那把密钥被攻陷,攻击者立即掏空你的钱包 — 并且 社交恢复流程也救不了,因为资金已经走了,守护人还没来得及介入。恢复是处理丢失的工具,不是处理被偷的。
你可以把它们叠加:智能合约钱包既能实现 multisig 花费规则,也能实现社交恢复式的轮换机制。现代的 ERC-4337 栈(关于协议背景见账户抽象解释)让这件事可以组合。但单纯的社交恢复,本身,是一个恢复故事 — 不是一个安全故事。
一份务实的对比
| 性质 | Multisig (2-of-2 / 2-of-3) | 社交恢复 |
|---|---|---|
| 日常 UX | 在每一台共同签字的设备上签 | 在一台设备上签 |
| 抵抗单密钥被偷 | 是 | 否 |
| 抵抗单密钥丢失 | 2-of-2:否;2-of-3:是 | 是(通过守护人) |
| 在 Bitcoin 上可用 | 是 | 否(需要智能合约) |
| 在 Ethereum / EVM 上可用 | 是(BIP48 / Safe) | 是(Argent、Safe、ERC-4337) |
| 恢复用时 | 即时(用幸存法定数签名) | 数小时到数天(守护人协调) |
| 信任假设 | 持有共同签字密钥的设备/人 | 守护人,你信任他们不会恶意串通 |
| 链上可见度 | 显示为 multisig 输出(除非被 Schnorr 聚合) | 大部分时候看起来像一只单密钥钱包 |
那张表里有两个值得注意的模式:
第一,multisig 是更广的工具。它在更多链上工作,能抵御更多类型的攻击,且目前在协议层面被审计得更好。社交恢复在 UX 上更友好 — 在它是个选项的时候 — 但适用面更窄。
第二,信任假设不一样。Multisig 信任的是:你共同签字密钥的所有设备不会被同时攻陷。社交恢复信任的是:你的守护人中足够多的人不会串通来偷你的钱。两者对正确用户来说都是合理的信任模型,但不是同一个模型。
你什么时候要哪个
- 你是一个只有一台设备的单人用户,而世界其它部分是 UX 荒漠。 社交恢复胜出。Argent / Safe / smart-account 的流程的确是摩擦最低的 self-custody 选项,而丢钥匙的场景是大多数新手真正会经历的场景。代价 — 没有防被偷的保护 — 是你有意识地接受的,理想情况下用它来换五位数以下的余额。
- 你是一个有非琐碎持仓的单人用户。 Multisig 胜出。SSP 的 2-of-2 默认抬高了对被偷的防御,2-of-3 变体加上了对丢钥匙的韧性,而二者都建立在开放标准之上,而不是某个特定的智能合约平台。摩擦是真实的,但与你押在桌上的金额成比例。
- 你是一个组织、合伙制、家族办公室。 Multisig 是必需的;社交恢复是人体工学上的加分项。你想要的是每笔花费上都成立的真正联合控制,不只是恢复时的联合。大多数组织会在 multisig 花费规则之外,单独建立一套谨慎的密钥轮换流程,处理签字人离任时的情况。
- 你处于某种中间状态,且在 Ethereum 上。 把两者叠起来。一只 Safe 风格的智能合约钱包既能跑 2-of-3 multisig 花费规则,也能在其上跑 social-recovery 风格的轮换流。这就是 账户抽象 生态正在走的方向。
对绝大多数本系列读者正在用的具体 SSP 2-of-2 配置而言,社交恢复今天并不是一个功能 — 这是有意为之的。两个 cosigner 都是你自己的,恢复故事是"用第二份 seed",价值在于以较低代价获得的防偷能力。社交恢复解决的是另一个问题 — 是"我已经适应了 custody,现在让它更轻松"之后才会冒出来的那个问题。
这对你意味着什么
三个要点:
- 它们不是替代品。 如果某个钱包把"我们有社交恢复,所以你不需要 multisig"作为卖点,那是营销,不是工程。恢复防止丢;multisig 防止被偷。它们要回答的问题不重叠。
- 你的 SSP 2-of-2 配置是一个花费规则产品。 丢失一台设备是用你的第二份 seed 来恢复的,而不是用守护人法定数。本系列的收官文章 — 多签失败模式与 SSP 的应对 — 会按失败模式逐一走完这条恢复路径。
- 向前建,不要向旁边建。 一旦你的栈真正长出了 2-of-2 之外的需求,下一步通常是带有一把异地密钥的 2-of-3 multisig,而不是拿社交恢复替代 multisig。本系列的 2-of-3 文章(选择器)已经为这次迁移做了铺垫;紧接着的 单签者 multisig 一文会解释 SSP 是如何让那个未来配置仍然感觉像一只钱包的。
