Tempo 提案 TIP-1061 引入協議層原生多簽帳戶，無需部署 Safe 等合約

Stripe 和 Paradigm 共同開發的 Layer 1 區塊鏈 Tempo 於 5 月 31 日提出 TIP-1061 原生多簽帳戶提案，擬將多簽作為協議層的主要帳戶類型引入網絡，無需部署 Safe 等智慧合約錢包即可實現多簽控制。TIP-1061 主要面向 DAO、機構及驗證節點等使用場景，仍處於草案階段。

已確認的技術規格

TIP-1061 的核心設計包括以下已確認的技術細節。多簽帳戶地址由初始配置（config_id）哈希衍生而來，後續調整成員名單、簽名權重或閾值時，帳戶地址保持不變。

支持的簽名類型為三種：Secp256k1、P256 和 WebAuthn。支持 M-of-N 平面多簽（每個所有者 weight=1）和加權多簽（非對稱授權），例如高權重所有者（weight=100）可單獨授權，或兩個中等權重所有者（各 weight=50）聯合授權。每個多簽帳戶最多允許 10 名所有者（MAX_MULTISIG_OWNERS=10）。

設計限制：不支持 AccountKeychain 與 EIP-7702

TIP-1061 明確規定，原生多簽帳戶不支持 AccountKeychain 存取金鑰；若 msg.sender 為原生多簽帳戶，AccountKeychain 修改器調用必須被拒絕。提案的設計理由是：允許單一授權金鑰以父帳戶身份進行調用，會將一個原始私鑰變為在任何授權範圍內充當多簽地址的永久能力，不符合「法定人數控制的身份」的設計原則。

此外，原生多簽帳戶在引導（Bootstrap）後不得安裝 EVM 字節碼或 EIP-7702 委託代碼。

草案狀態：尚待確定的事項

提案目前仍為草案，gas 計量方案（文件標注為「待辦事項」）和多簽預編譯合約地址（將在提案脫離草案前分配）均尚未最終確定。提案規定，在 TIP-1061 啟動生效前，所有包含 TempoSignature::Multisig 的交易均必須被拒絕；所有攜帶 multisig_init 字段的交易亦必須在提案啟動前被拒絕。

常見問題

TIP-1061 的原生多簽與 Safe 等合約錢包有何本質差異？

TIP-1061 將多簽驗證提升至協議層，無需在鏈上部署 Safe 等合約錢包即可實現相同的閾值控制能力，消除了合約部署成本，且帳戶地址由初始配置衍生後保持穩定，不隨成員更新而改變。

多簽帳戶地址為何能在成員更新後保持不變？

多簽帳戶地址由 config_id 哈希衍生，而 config_id 由初始所有者集合（包含地址、簽名類型和權重）及閾值計算得出，在帳戶存續期間不會改變。後續 updateMultisigConfig 調用只更新儲存的當前配置，不改變 config_id 本身或派生帳戶地址。

TIP-1061 的主要目標使用場景是什麼？

提案在動機部分明確指出，目標場景為需要「任何單一私鑰都不能單方面轉移資金或更改操作配置」的用戶，具體包括團隊（Teams）、財務部門（Treasury）、驗證節點（Validators）和機構運營商（Institutional Operators）。