Tempo 提案 TIP-1061 引入协议层原生多签账户，无需部署 Safe 等合约

Stripe 和 Paradigm 共同开发的 Layer 1 区块链 Tempo 于 5 月 31 日提出 TIP-1061 原生多签账户提案，拟将多签作为协议层的主要账户类型引入网络，无需部署 Safe 等智能合约钱包即可实现多签控制。TIP-1061 主要面向 DAO、机构及验证节点等使用场景，仍处于草案阶段。

已确认的技术规格

TIP-1061 的核心设计包括以下已确认的技术细节。多签账户地址由初始配置（config_id）哈希衍生而来，后续调整成员名单、签名权重或阈值时，账户地址保持不变。

支持的签名类型为三种：Secp256k1、P256 和 WebAuthn。支持 M-of-N 平面多签（每个所有者 weight=1）和加权多签（非对称授权），例如高权重所有者（weight=100）可单独授权，或两个中等权重所有者（各 weight=50）联合授权。每个多签账户最多允许 10 名所有者（MAX_MULTISIG_OWNERS=10）。

设计限制：不支持 AccountKeychain 与 EIP-7702

TIP-1061 明确规定，原生多签账户不支持 AccountKeychain 存取金钥；若 msg.sender 为原生多签账户，AccountKeychain 修改器调用必须被拒绝。提案的设计理由是：允许单一授权金钥以父账户身份进行调用，会将一个原始私钥变为在任何授权范围内充当多签地址的永久能力，不符合“法定人数控制的身份”的设计原则。

此外，原生多签账户在引导（Bootstrap）后不得安装 EVM 字节码或 EIP-7702 委托代码。

草案状态：尚待确定的事项

提案目前仍为草案，gas 计量方案（文件标注为“待办事项”）和多签预编译合约地址（将在人提案脱离草案前分配）均尚未最终确定。提案规定，在 TIP-1061 启动生效前，所有包含 TempoSignature::Multisig 的交易均必须被拒绝；所有携带 multisig_init 字段的交易亦必须在提案启动前被拒绝。

常见问题

TIP-1061 的原生多签与 Safe 等合约钱包有何本质差异？

TIP-1061 将多签验证提升至协议层，无需在链上部署 Safe 等合约钱包即可实现相同的阈值控制能力，消除了合约部署成本，且账户地址由初始配置衍生后保持稳定，不随成员更新而改变。

多签账户地址为何能在成员更新后保持不变？

多签账户地址由 config_id 哈希衍生，而 config_id 由初始所有者集合（包含地址、签名类型和权重）及阈值计算得出，在账户存续期间不会改变。后续 updateMultisigConfig 调用只更新存储的当前配置，不改变 config_id 本身或派生账户地址。

TIP-1061 的主要目标使用场景是什麼？

提案在动机部分明确指出，目标场景为需要“任何单一私钥都不能单方面转移资金或更改操作配置”的用户，具体包括团队（Teams）、财务部门（Treasury）、验证节点（Validators）和机构运营商（Institutional Operators）。