Đề xuất Tempo TIP-1061 giới thiệu tài khoản đa chữ ký gốc ở lớp giao thức, không cần triển khai hợp đồng như Safe

Chuỗi khối Layer 1 Tempo do Stripe và Paradigm đồng phát triển đã đệ xuất đề xuất TIP-1061 về tài khoản đa chữ ký gốc vào ngày 31 tháng 5, dự định đưa đa chữ ký làm kiểu tài khoản chính trong lớp giao thức của mạng; không cần triển khai các ví hợp đồng thông minh như Safe vẫn có thể thực hiện kiểm soát đa chữ ký. TIP-1061 chủ yếu hướng tới các kịch bản sử dụng như DAO, tổ chức và nút trình xác thực (validation nodes), hiện vẫn đang ở giai đoạn bản thảo.

Thông số kỹ thuật đã được xác nhận

Thiết kế cốt lõi của TIP-1061 bao gồm các chi tiết kỹ thuật đã được xác nhận sau đây. Địa chỉ tài khoản đa chữ ký được dẫn xuất từ băm của cấu hình ban đầu (config_id); khi sau đó điều chỉnh danh sách thành viên, trọng số chữ ký hoặc ngưỡng, địa chỉ tài khoản vẫn giữ nguyên.

Hỗ trợ các loại chữ ký gồm ba loại: Secp256k1, P256 và WebAuthn. Hỗ trợ đa chữ ký M-of-N (mỗi chủ sở hữu weight=1) và đa chữ ký có trọng số (ủy quyền bất đối xứng), ví dụ: chủ sở hữu có weight cao (weight=100) có thể tự ủy quyền, hoặc hai chủ sở hữu có weight trung bình (mỗi người weight=50) cùng ủy quyền. Mỗi tài khoản đa chữ ký tối đa cho phép 10 người sở hữu (MAX_MULTISIG_OWNERS=10).

Giới hạn thiết kế: không hỗ trợ AccountKeychain và EIP-7702

TIP-1061 quy định rõ ràng rằng tài khoản đa chữ ký gốc không hỗ trợ truy cập khóa thông qua AccountKeychain; nếu msg.sender là tài khoản đa chữ ký gốc thì lệnh gọi bộ sửa đổi (modifier) AccountKeychain phải bị từ chối. Lý do thiết kế của đề xuất là: việc cho phép một khóa ủy quyền đơn lẻ thực hiện lệnh gọi với tư cách “tài khoản cha” sẽ biến một khóa riêng gốc thành năng lực vĩnh viễn đóng vai trò địa chỉ đa chữ ký trong mọi phạm vi ủy quyền, không phù hợp với nguyên tắc thiết kế “kiểm soát danh tính theo đúng số lượng người hợp lệ”.

Ngoài ra, sau giai đoạn khởi tạo (Bootstrap), tài khoản đa chữ ký gốc không được cài đặt mã byte EVM hoặc mã ủy nhiệm EIP-7702.

Trạng thái bản thảo: các hạng mục chưa được xác định

Hiện đề xuất vẫn là bản thảo; phương án tính gas (tài liệu ghi là “cần làm rõ”) và địa chỉ hợp đồng đa chữ ký đã biên dịch sẵn (sẽ được cấp phát trước khi đề xuất rời khỏi giai đoạn bản thảo) đều chưa được chốt. Đề xuất quy định rằng trước khi TIP-1061 được kích hoạt có hiệu lực, mọi giao dịch có chứa TempoSignature::Multisig đều phải bị từ chối; mọi giao dịch mang trường multisig_init cũng phải bị từ chối trước khi đề xuất được kích hoạt.

Câu hỏi thường gặp

Sự khác biệt cốt lõi giữa đa chữ ký gốc của TIP-1061 và các ví hợp đồng như Safe là gì?

TIP-1061 nâng việc xác thực đa chữ ký lên lớp giao thức, không cần triển khai các ví hợp đồng thông minh như Safe trên chuỗi vẫn có thể đạt được khả năng kiểm soát theo ngưỡng tương tự; loại bỏ chi phí triển khai hợp đồng, và địa chỉ tài khoản vẫn ổn định sau khi được dẫn xuất từ cấu hình ban đầu, không thay đổi theo cập nhật thành viên.

Vì sao địa chỉ tài khoản đa chữ ký có thể giữ nguyên sau khi cập nhật thành viên?

Địa chỉ tài khoản đa chữ ký được dẫn xuất từ băm của config_id, trong đó config_id được tính từ tập hợp chủ sở hữu ban đầu (bao gồm địa chỉ, loại chữ ký và trọng số) cùng ngưỡng; trong suốt thời gian tài khoản tồn tại, nó không thay đổi. Lệnh gọi updateMultisigConfig về sau chỉ cập nhật cấu hình hiện tại được lưu trữ, không thay đổi chính config_id hay địa chỉ tài khoản được dẫn xuất.

Kịch bản mục tiêu sử dụng chính của TIP-1061 là gì?

Phần động lực của đề xuất nêu rõ các kịch bản mục tiêu là những người cần “không khóa bất kỳ một khóa riêng đơn lẻ nào có thể tự mình chuyển tiền hoặc thay đổi cấu hình vận hành”; cụ thể gồm các đội nhóm (Teams), bộ phận tài chính (Treasury), nút xác thực (Validators) và nhà vận hành theo mô hình tổ chức (Institutional Operators).