Mixin Safe 是 Mixin Network 去年公告要升级的资产管理框架，测试网已运作但未上线实装，因遭黑客攻击，尽快实装迫在眉睫。它不是 Mixin 主网升级方案，而是独立资产保管方案，个人和组织可增强资产安全性，是可选套件，默认使用 Messenger 不会直接受益，其内置钱包资产可能用 Safe 管理但不满足“not your keys, not your coins”原则。

分析范围：略过官网，从技术说明书（https://safe.mixin.dev/）和部分代码（https://github.com/MixinNetwork）开始分析。

概览：Mixin Safe 的金库本质是原生链上多签，保管不同币使用对应原生多签脚本。每个金库底层是 2/3 多签，多签方包括金库管理人（Holder）、MPC 去中心化网络（Signer）、Mixin 团队（Observer）。资金操作需三方中两方签名，Holder 需创建 BTC 私钥，创建金库时给 Observer 创建私钥，Observer 私钥默认 Mixin 团队持有可定制，Signer 是协助管理多签资产的共管人，实际是多个节点控制私钥。使用 Mixin Safe 设置共管人时，共管人无私钥只有操作 Signer 签名交易的权限，方案中有两层多签。

风险分析：

• 合约或者脚本漏洞：Mixin Safe 使用的 Bitcoin 脚本和 Ethereum 合约公开，未深入分析暂觉没问题。

• 资产窃取：

  • 对私钥窃取：根据 2/3 多签特性，有三种私钥被窃取导致资产失窃情况，Mixin Safe 给出转走资金或指定新 Observer 等解决方案，暗示时间锁意义及最佳实践。
  • 对 Signer 的拒绝服务攻击：Signer 是在线服务，可被拒绝服务攻击，攻击者在特定条件下可借此窃取资产，管理人需预留恢复时间。
  • 供应链攻击：攻击 Safe 主网节点、网站业务、Mornin 钱包源码加入恶意代码，可能导致私钥泄漏，可通过私有化部署等降低风险。
  • 多签的回退：定制 Observer 可使底层链多签回退，Signer 共管人的多签也可能回退，增加资产操作风险。
• 资产不可用：由于 2/3 多签特性，若有两个私钥丢失，资产无法操作，分为三种情况，且时间锁生效时期也可能导致资产不可用，管理人需考虑资产价值时效风险。
• 信息泄漏：信息泄漏虽不直接导致资产安全问题，但一些攻击手段需相关信息，Mixin Safe 使用 SegWit 脚本可能导致多签参与人信息暴露。
• 其他安全问题：略。

其他资管方案：主流资产中只有 Ethereum 有成熟多签方案，其他主流链资产支持各有问题，Mixin Safe 开源方案有吸引力也有风险敞口，需根据实际自行调整。