功能定位:为什么需要“只读加密容器”
在 SafeW 的 MPC 架构里,加密容器(Encrypted Container)是存放私钥分片、离线交易缓存与审计日志的本地加密文件包。默认状态下,容器可读写,方便日常签名与缓存更新。然而当钱包被多人共管、或需要把设备交给第三方做财务审计时,任何意外写入都会破坏“谁动了私钥”的举证链。把容器临时锁成只读,可在不暴露私钥的前提下,冻结时间戳与哈希,为后续合规审计提供不可篡改的本地副本。
SafeW v7.4.1 起,官方在“设置-安全-合规模式”中新增锁定写入权限开关,支持 Android / iOS / 桌面端三端同步生效;锁定后,钱包仍可查看余额、广播已签名交易,但任何产生新缓存的操作(生成新分片备份、修改联系人标签、换节点 RPC)都会被拦截并记录一条WriteDenied日志,方便事后追溯。
版本差异与迁移步骤
1. 版本前提
截至当前的最新版本(v7.4.1,发布于 2026-03-24)已全量开放该功能;v7.3 及更早版本无此开关,若尝试导入只读容器会提示“格式不兼容”。因此,先升级再锁定是硬性前提。
2. 升级路径(最短)
- Android:Google Play 搜索 SafeW → 更新;国内用户可在官网下载 apk,校验 SHA256 后覆盖安装。
- iOS:App Store → 搜索 SafeW → 更新;若开启“仅 Wi-Fi 自动更新”,需手动点击。
- 桌面端:启动旧版 → 右上角“铃铛”→ 发现 v7.4.1 → 一键更新;更新包约 120 MB,耗时视网络在数十秒内。
提示:升级前务必完成“设置-备份-导出加密容器”,防止断电或系统杀进程导致容器损坏;SafeW 的 MPC 分片虽在云端有冗余,但本地审计日志不做云同步,丢失后无法补回。
操作路径:如何把容器设为只读
移动端(Android & iOS)
- 打开 SafeW → 底部“我的”→ 右上角“设置”
- 进入“安全与隐私”→ 开启“合规模式”(首次需 Face ID 验证)
- 页面新增“锁定写入权限”开关,点击后二次确认:“锁定后无法新增交易备注、修改联系人”
- 确认→ 输入 6 位支付密码→ 容器立即变为只读,顶部状态栏出现🔒图标
桌面端(Win / macOS)
- 左上角“☰”→ Settings → Security & Compliance
- 勾选“Enable Compliance Mode”→ 弹出“Container Lock”子选项
- 选择“Read-Only”→ 输入本地 PIN→ 立即生效
差异点:桌面端额外提供“仅拒绝写入私钥分片”子级开关,可在保持容器只读的同时,允许写入非关键缓存(如行情数据)。移动端无此细分,默认一刀切。
例外与取舍:什么时候不该锁
锁定写入≠锁定资产。资产仍在链上,可正常收发;但以下高频场景会被打断:
- DeFi 收益复投:收益聚合器需每日写缓存记录复利点,锁定后策略暂停,APY 可能下降。
- 社交恢复更新:新增/移除监护人需重写本地分片索引,锁定期间无法完成,若设备丢失将无法走社交恢复。
- NFT 防火墙升级:AI 模型库约 7 天迭代一次,只读状态下无法更新,钓鱼检测能力会停留在锁定日版本。
警告:若计划执行“一键迁移”到其他钱包,请先解锁容器,否则导出文件会缺失最新交易备注,导致对账困难。
经验性观察:在 10/15 多签 DAO 财库场景,锁定写入后仍可通过 MPC 云端协同产生新交易,因为签名过程不更新本地容器,仅把签名碎片上传链下中继。此设计保证“容器冻结”与“业务继续”互不冲突。
验证与观测方法
1. 本地哈希校验
锁定前:Settings → Security → Export Container Hash,复制 SHA-256。
锁定后:再次导出,若功能生效,两次哈希应完全一致;若出现差异,说明仍有写入,需检查是否遗漏子级开关。
2. 日志追踪
桌面端路径:安装目录/logs/compliance.log,检索关键词WriteDenied,每出现一次即代表一次被拦截的写入尝试,可用于内审报表。
故障排查:锁定失败 & 回退方案
| 现象 | 可能原因 | 验证步骤 | 处置 |
|---|---|---|---|
| 开关灰色无法点击 | 容器已损坏或升级未完成 | 设置-备份-修复容器,看是否报错 | 先修复再升级至最新版 |
| 锁定后仍提示“已更新联系人” | 桌面端未关闭“仅拒绝写入私钥分片”子开关 | 检查 Settings → Security → Container Lock 子项 | 关闭子开关,重新锁定 |
| iOS 断网状态下锁定失败 | 合规模式需在线校验苹果 Secure Enclave 签名 | 关闭飞行模式后重试 | 属系统限制,无法绕过 |
适用 / 不适用场景清单
- 高适用:DAO 财库季度审计、个人冷备份、律师见证前的资产冻结、税务稽查前的数据固化。
- 中适用:NFT 大户展示钱包(仅展示不交易),但需接受防火墙模型不更新。
- 低适用:高频量化、链游脚本、需要每日复投的 DeFi 策略。
- 不适用:正准备迁移助记词、新增监护人、升级 MPC 分片算法。
最佳实践 5 条
- 锁定前 24 h 内暂停所有收益复投,避免缓存中断导致奖励丢失。
- 把容器哈希、时间戳、审计员公钥写入 DAO 论坛公告,形成链外共识。
- 锁定期间如需紧急签名,可用“离线二维码”完成交易后,通过第二台在线设备广播,不触碰容器。
- 解锁后立刻重新计算哈希,确保期间无人导入旧备份。
- 每季度清理一次 compliance.log,压缩存档至 GitHub Private Repo,满足 SOX 七年留痕要求。
FAQ(结构化数据)
锁定后还能接收空投吗?
可以。链上空投与容器写入无关,钱包地址不变即可正常收款。
只读容器会加速电池消耗吗?
经验性观察:关闭写入后,后台 IO 减少,续航略提升;但如同时开启 AI 防火墙,模型仍常驻内存,整体差异可忽略。
如何证明容器在锁定期间未被替换?
利用 Settings → Security → Export Container Hash 获取 SHA-256,并同步到可信时间戳服务(如 Apple Time Stamp),任何事后篡改都会导致哈希不匹配。
锁定期间可以做社交恢复吗?
不能。添加/移除监护人需重写本地索引,请先解锁再操作,否则流程会被拦截并记录 WriteDenied。
企业版与散户版在只读功能上有区别吗?
核心逻辑一致。企业控制台额外提供 API 批量锁定与解锁,支持 SOX 审计报表导出;散户需手动操作。
总结与下一步
SafeW 的“只读加密容器”并非简单地把文件设成 read-only,而是通过合规模式把本地写入、缓存更新、社交恢复等操作整体冻结,为审计提供时间切片。正确使用流程是:升级→备份→暂停收益→锁定→哈希公示→事后解锁→二次校验。若你的场景需要高频写缓存或随时更新监护人,请把锁定窗口控制在最短必要时间内,避免收益与恢复能力双双打折。
下一步,你可以:
- 在测试钱包里模拟完整锁定-解锁循环,确认团队 SOP 无遗漏;
- 把本文最佳实践清单粘贴到 DAO 治理文档,作为季度审计的标准作业程序;
- 关注 SafeW GitHub #open-source 标签,若 ZK 电路开源后可进一步验证容器哈希算法,提升外部审计可信度。
容器一旦上锁,时间即被固化;合理利用这把“时间锁”,才能在合规与效率之间找到最稳的落脚点。
