SafeW多签钱包如何为不同链生成统─离线签名模板？

功能定位：为什么需要“统一离线签名模板”

在多链时代，DAO 财资、机构托管、家族办公室往往同时持有 BTC、ETH、SOL、TON 等资产。传统做法是为每条链单独准备离线签名环境：Linux 离线机装 BTC Core、ETH 离线 Geth、SOL 离线 CLI……硬件成本高，流程割裂，也容易因“链间格式差异”把交易卡在最后一步。SafeW 把“统一离线签名模板”做成钱包原生模块，目标是用同一套 UI、同一套二维码/文件协议，把 60+ 主网的签名请求抽象成“可离线、可复用、可审计”的模板，从而把“链差异”封装在后台，前端只关心“谁签名、签多少”。

核心概念：模板、视图、链描述文件

在 SafeW 里，模板=“交易骨架+链描述文件+权限规则”三件套。交易骨架只保留字段占位，例如 from、to、value、data、nonce、gas 等；链描述文件用 JSON 记录该链的椭圆曲线、哈希算法、签名编码方式（EIP-155、Ed25519 等）；权限规则则引用多签策略（m/n、阈值、延时）。离线端只需装载“链描述文件”即可把骨架还原成该链可识别的原始交易，再进行签名。由此达到“同一套骨架，多链复用”。

决策树：什么时候用模板，什么时候走在线

1. 资产规模≥项目年度预算 10% 的出金，一律走“离线模板+多签”。
2. 需要跨链调度（例如把 ETH 链 USDC 换成 SOL 链 USDC 再质押），且金额>1 万美元，优先用模板，防止在线私钥触碰网络。
3. 临时空投领取、小额 NFT mint，可直接用在线热签，不走模板，减少流程。
4. 监管合规要求“私钥永不触网”（如某些基金条款），必须模板。

操作路径：三步生成模板（移动端示例）

Android / iOS 最短路径

1. 打开 SafeW → 底部栏“多签” → 右上角“+” → 选择“离线模板”。
2. 在“链”下拉框勾选需要的主网（可一次选多条），填写收款地址、金额、备注；若调用合约，可粘贴 ABI 自动解析 data 字段。
3. 点击“生成模板”，钱包会弹出二维码与 .json 文件两种形态；二维码用于离线机扫码，.json 可直接 AirDrop/U 盘拷到离线机。

桌面端（macOS/Windows）差异

桌面版把“离线模板”入口放在顶部菜单“工具”→“批量签名”→“新建模板”。其余字段与移动端一致，但额外支持一次性导入 CSV（适合批量发工资场景）。若离线机是树莓派，可打开“仅生成骨架”开关，体积缩小约 60%，在命令行用 safew-cli 继续拼装。

离线端装载与签名：以树莓派冷机为例

1. 在离线机安装 safew-offline 包（官方 GitHub 已预编译 ARM64 二进制）。
2. 运行 safew-offline load -f template.json，终端会列出待签哈希与多签进度（1/3、2/3 等）。
3. 插入 NFC 门禁卡或 USB 密钥，输入动态 PIN，完成签名；输出文件为 template_signed_partial.json。
4. 把签名文件拷回在线机，SafeW 会自动识别补齐，并广播到对应链。若多签尚未达成阈值，可重复步骤 2-3 由其他成员继续签。

跨链字段自动映射：幕后做了哪些兼容

SafeW 在模板里内置“链字段映射表”，把 BTC 的 UTXO 模型与 Account 模型抽象成统一“输入-输出”视图。举例：当用户在模板上填写“向地址 A 转 0.5 BTC”，后台会按 BTC 链描述文件自动拆成两笔 UTXO 输出，找零地址沿用多签找零策略；若目标链是 ETH，则映射成一笔 value 转账；若是 SOL，则转成 SPL 指令数组。该映射逻辑以 WASM 插件形式下发，可热更新，无需重装 App。

常见失败分支与回退方案

失败现象	最可能原因	处置
模板导入提示“链描述文件缺失”	离线机未联网，无法拉取最新链描述	在在线端勾选“打包链描述”再导出，文件体积+200 kB 但可离线验证
BTC 多签签名后广播失败	找零地址未被钱包预扫描，导致余额不足	先在在线端“工具”→“地址扫描”刷新 UTXO 缓存，再重新生成模板
SOL 交易过期	SOL 区块时间约 400 ms，离线签名拖延太久	模板里把“最新区块哈希”留空，回在线端自动补最新值再广播