SafeW多签钱包如何启用只读观察者权限？

功能定位：为什么需要只读观察者

SafeW 的“只读观察者”并非新功能，而是 2025-Q4 在 v5.6 引入的“地址授权”子模块，专为多签金库、DAO 财务、KOL 公示场景设计。它把链上数据读取权与私钥控制权彻底分离：观察者只能看到余额、历史、NFT 持仓，无法发起交易、无法导出私钥，也无法进入 MPC 分片恢复流程。

经验性观察：在 20 人规模的创作者 DAO 中，启用观察者后，财务志愿者每周节省约 2 小时对账时间，同时把“误转账”风险降到零——因为观察者根本没有转账按钮。

版本演进：从“共享二维码”到“链上授权”

早期 SafeW 采用“静态二维码+网页端”实现只读，缺点在于 Token 价格接口容易过期，且手机端一旦卸载，对方就断连。2026-02 的 v5.7.2 把观察者权限写入本地加密缓存，并增加“自动续期”选项：每 30 天静默刷新一次，除非主动撤销，否则不会断线。

值得注意的是，观察者模式与 SafeW 的“SplinterKey 3.0”无种子模式互不冲突；即便金库使用 MPC 分片，观察者依旧通过公开 RPC 拉取数据，不占用任何分片配额。

前置条件与角色清单

1. 金库创建者（Owner）必须≥1 人，已升级到 v5.7.2。
2. 观察者钱包可运行 iOS、Android、Chrome 插件任意一端，无需助记词，仅需注册 SafeW 账号（邮箱或 OAuth）。
3. 网络要求：观察者端只需能访问公开 RPC，无需打开防火墙特殊端口。

操作路径：三平台最短入口

iOS / Android

1. 打开 SafeW → 底部“金库” → 选择目标多签地址 → 右上角“⋯” → “地址授权”。
2. 点“添加观察者” → 输入对方 SafeW 账号（邮箱）→ 选择权限范围（仅余额 / 含历史 / 含 NFT）→ 确认。
3. 系统生成 6 位授权码，复制并发送给观察者；对方在 App 首页 → 右上角“+” → “扫描或输入授权码”→ 完成绑定。

Chrome 插件

1. 插件弹窗 → “金库”标签 → 悬停地址 → 右侧“⚙” → “Address Authorization”。
2. 后续步骤与移动端一致，但授权码支持一键复制到剪贴板，方便粘贴到 Discord。

桌面端（Electron）

1. 左侧栏“Multisig” → 双击地址 → 顶部“Authorize” → 流程同移动端。
2. 桌面端额外提供“批量授权”按钮，可一次导入 .csv（邮箱,权限级别），适合 50 人以上公会。

失败分支与回退方案

若观察者输入授权码后提示“Network unreachable”，90% 原因是对方网络屏蔽了 SafeW 默认 RPC。解决：让观察者在设置 → 网络 → 手动添加 Cloudflare ETH 网关，保存后下拉刷新即可。

如果金库 Owner 误把“可提案”权限当成“只读”发出，可在同一菜单立即撤销，系统会推送一条链下消息给被撤销者，无需链上交易，因此不产生 Gas。

例外与取舍：何时不该给观察者

1. 金内存有隐私代币（如 zkERC20）且未设置 viewing-key，观察者虽看不到余额，却能在“历史”页发现交互痕迹，可能泄露策略。
2. 金库采用“隐私模式”标签（SafeW 内对地址打标签后不会在链上公开）时，观察者端会显示“Label: Private”，反而引起猜测。

与第三方 bot 的协同：最小权限原则

经验性观察：部分 DAO 会把观察者链接到 Discord 机器人做每日余额播报。此时应只勾选“余额”级别，并在 SafeW 设置 → API 接口 → 开启“只读 Token”，该 Token 30 天过期且不能交易。若机器人被入侵，攻击者只能读到公开数据，无法转走资产。

故障排查：观察者数据不同步怎么办