比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > DAI > Info

簡析 11 款賬戶抽象錢包:我們距離“絲滑”的加密體驗還有多遠?_AVO

Author:

Time:1900/1/1 0:00:00

作者:餅干,ChainCatcher

在加密貨幣領域,用戶不能為同一個錢包地址設置多個私鑰,也無法修改私鑰。因此,如果私鑰丟失,不僅會造成錢包資產丟失,該錢包也將永遠無法再被使用,只能作廢。

據?Coinbase產品戰略與業務運營總監ConorGrogan統計,約有11.5億美元的加密貨幣因人為過失而永久丟失。Grogan補充道,該統計數據遠低于因丟失錢包訪問權限而鎖住的ETH數量,因為鏈上存在大量長期不動的資產,無法判斷其中有多少丟失了私鑰。

加密錢包一直是以太坊創始人Vitalik長期關注的方向。Nethermind以及opengsn的研究人員在Vitalik的幫助下提出了EIP-4337,該提案提出了一種解決方法,無需更改任何共識層協議,就能為以太坊帶來“帳戶抽象”。最近,Vitalik在他的文章《如何為多簽錢包和社交恢復錢包選擇守護者?》中闡述了自己的觀點,致力于推動可信第三方在加密錢包中的采用。

近期,相比于Metamask、Imtoken等老牌加密錢包,一些基于EIP-4337的加密錢包開始嶄露頭角,它們試圖重新開啟加密錢包賽道的藍海。本文將簡要介紹EIP-4337的概念,以及Argent、Avocado、Braavos、PatchWallet、Unipass、Opclave、SoulWallet、Versa等11款賬戶抽象錢包。

EIP-4337有什么用?

目前,以太坊錢包地址分為EOA賬戶和合約賬戶,EIP-4337提案中提出了賬戶抽象的概念,可以用來管理多個合約賬戶和外部賬戶,以改善以太坊賬戶的安全性和可操作性。如果想深入了解機制,可查閱《EIP-4337賬戶抽象錢包方案能否開辟錢包新時代?》

安全公司:AurumNodePool合約遭受漏洞攻擊簡析:金色財經報道,據區塊鏈安全審計公司Beosin EagleEye監測顯示,2022年11月23日,AurumNodePool合約遭受漏洞攻擊。

Beosin分析發現由于漏洞合約的changeRewardPerNode函數未進行驗證,導致攻擊者可以調用該函數進行任意值設置。

攻擊者首先調用changeRewardPerNode函數將每日獎勵值設置成一個極大數,接下來調用claimNodeReward函數提取節點獎勵,而節點獎勵的計算取決于攻擊者設置的rewardPerDay值,導致計算的節點獎勵非常高。而在這一筆交易之前,攻擊者便通過一筆交易(0xb3bc6ca257387eae1cea3b997eb489c1a9c208d09ec4d117198029277468e25d)向合約存入了1000AUR,創建了攻擊者的節點記錄,從而使得攻擊者能夠提取出該節點獎勵。最終攻擊者通過該漏洞獲得約50個BNB($14,538.04)。[2022/11/23 8:01:04]

使用EIP-4337可以帶來以下好處:

更高效的合約部署和維護:由于多個合約可以共享同一個地址和私鑰,可以減少合約部署和維護的工作量。

更好的安全性:由于賬戶合約只代表一個地址和私鑰,可以減少私鑰泄露的風險。

更好的可擴展性:由于可以實現可重用的合約代碼,可以更容易地實現復雜的合約邏輯。

簡而言之,EIP-4337的愿景是實現用戶友好,主要從易用性和社交恢復兩個方面實現,通過提高加密錢包的UI體驗而吸引新用戶,例如新用戶在注冊時不再需要抄寫助記詞。用戶丟失錢包私鑰后也可以通過社交關系找回。其他擴展功能包括多賬戶/多鏈管理、捆綁打包交易等,例如讓錢包自動為服務續費。

慢霧:跨鏈互操作協議Nomad橋攻擊事件簡析:金色財經消息,據慢霧區消息,跨鏈互操作協議Nomad橋遭受黑客攻擊,導致資金被非預期的取出。慢霧安全團隊分析如下:

1. 在Nomad的Replica合約中,用戶可以通過send函數發起跨鏈交易,并在目標鏈上通過process函數進行執行。在進行process操作時會通過acceptableRoot檢查用戶提交的消息必須屬于是可接受的根,其會在prove中被設置。因此用戶必須提交有效的消息才可進行操作。

2. 項目方在進行Replica合約部署初始化時,先將可信根設置為0,隨后又通過update函數對可信根設置為正常非0數據。Replica合約中會通過confirmAt映射保存可信根開始生效的時間以便在acceptableRoot中檢查消息根是否有效。但在update新根時卻并未將舊的根的confirmAt設置為0,這將導致雖然合約中可信根改變了但舊的根仍然在生效狀態。

3. 因此攻擊者可以直接構造任意消息,由于未經過prove因此此消息映射返回的根是0,而項目方由于在初始化時將0設置為可信根且其并未隨著可信根的修改而失效,導致了攻擊者任意構造的消息可以正常執行,從而竊取Nomad橋的資產。

綜上,本次攻擊是由于Nomad橋Replica合約在初始化時可信根被設置為0x0,且在進行可信根修改時并未將舊根失效,導致了攻擊可以構造任意消息對橋進行資金竊取。[2022/8/2 2:52:59]

而EIP-4337實現的難點在于,將錢包復雜化之后,開發成本、兼容性以及用戶隱私等方面的挑戰,以及復雜的交互合約產生更高的gas費用等。

安全公司:Starstream Finance被黑簡析:4月8日消息,據Agora DeFi消息,受 Starstream 的 distributor treasury 合約漏洞影響,Agora DeFi 中的價值約 820 萬美金的資產被借出。慢霧安全團隊進行分析后以簡訊的形式分享給大家。

1. 在 Starstream 的 StarstreamTreasury 合約中存在 withdrawTokens 函數,此函數只能由 owner 調用以取出合約中儲備的資金。而在 April-07-2022 11:58:24 PM +8UTC 時,StarstreamTreasury 合約的 owner 被轉移至新的 DistributorTreasury 合約(0x6f...25)。

2. 新的 DistributorTreasury 合約中存在 execute 函數,而任意用戶都可以通過此函數進行外部調用,因此攻擊者直接通過此函數調用 StarstreamTreasury 合約中的 withdrawTokens 函數取出合約中儲備的 532,571,155.859 個 STARS。

3. 攻擊者將 STARS 抵押至 Agora DeFi 中,并借出大量資金。一部分借出的資金被用于拉高市場上 STARS 的價格以便借出更多資金。[2022/4/8 14:12:38]

賬戶抽象錢包?

Argent

Argent錢包是一款以安全性和易用性為重點設計的加密貨幣錢包,其主要特點包括:

Grim Finance 被黑簡析:攻擊者通過閃電貸借出 WFTM 與 BTC 代幣:據慢霧區情報,2021 年 12 月 19 日,Fantom 鏈上 Grim Finance 項目遭受攻擊。慢霧安全團隊進行分析后以簡訊的形式分享給大家。

1. 攻擊者通過閃電貸借出 WFTM 與 BTC 代幣,并在 SpiritSwap 中添加流動性獲得 SPIRIT-LP 流動性憑證。

2. 隨后攻擊者通過 Grim Finance 的 GrimBoostVault 合約中的 depositFor 函數進行流動性抵押操作,而 depositFor 允許用戶指定轉入的 token 并通過 safeTransferFrom 將用戶指定的代幣轉入 GrimBoostVault 中,depositFor 會根據用戶轉賬前后本合約與策略池預期接收代幣(預期接收 want 代幣,本次攻擊中應為 SPIRIT-LP)的差值為用戶鑄造抵押憑證。

3. 但由于 depositFor 函數并未檢查用戶指定轉入的 token 的合法性,攻擊者在調用 depositFor 函數時傳入了由攻擊者惡意創建的代幣合約地址。當 GrimBoostVault 通過 safeTransferFrom 函數調用惡意合約的 transferFrom 函數時,惡意合約再次重入調用了 depositFor 函數。攻擊者進行了多次重入并在最后一次轉入真正的 SPIRIT-LP 流動性憑證進行抵押,此操作確保了在重入前后 GrimBoostVault 預期接收代幣的差值存在。隨后 depositFor 函數根據此差值計算并為攻擊者鑄造對應的抵押憑證。

4. 由于攻擊者對 GrimBoostVault 合約重入了多次,因此 GrimBoostVault 合約為攻擊者鑄造了遠多于預期的抵押憑證。攻擊者使用此憑證在 GrimBoostVault 合約中取出了遠多于之前抵押的 SPIRIT-LP 流動性憑證。隨后攻擊者使用此 SPIRIT-LP 流動性憑證移除流動性獲得 WFTM 與 BTC 代幣并歸還閃電貸完成獲利。

此次攻擊是由于 GrimBoostVault 合約的 depositFor 函數未對用戶傳入的 token 的合法性進行檢查且無防重入鎖,導致惡意用戶可以傳入惡意代幣地址對 depositFor 進行重入獲得遠多于預期的抵押憑證。慢霧安全團隊建議:對于用戶傳入的參數應檢查其是否符合預期,對于函數中的外部調用應控制好外部調用帶來的重入攻擊等風險。[2021/12/19 7:49:04]

社交恢復:Argent的社交恢復功能使用戶可以通過與信任的聯系人建立連接來恢復其錢包。這使得用戶可以更輕松地恢復其錢包,而無需記住復雜的助記詞或私鑰。

慢霧:Polkatrain 薅羊毛事故簡析:據慢霧區消息,波卡生態IDO平臺Polkatrain于今早發生事故,慢霧安全團隊第一時間介入分析,并定位到了具體問題。本次出現問題的合約為Polkatrain項目的POLT_LBP合約,該合約有一個swap函數,并存在一個返傭機制,當用戶通過swap函數購買PLOT代幣的時候獲得一定量的返傭,該筆返傭會通過合約里的_update函數調用transferFrom的形式轉發送給用戶。由于_update函數沒有設置一個池子的最多的返傭數量,也未在返傭的時候判斷總返傭金是否用完了,導致惡意的套利者可通過不斷調用swap函數進行代幣兌換來薅取合約的返傭獎勵。慢霧安全團隊提醒DApp項目方在設計AMM兌換機制的時候需充分考慮項目的業務場景及其經濟模型,防止意外情況發生。[2021/4/5 19:46:39]

無需以ETH作為gas費:Argent采用MetaTransaction技術實現用戶在不擁有ETH的情況下發送交易。具體來說,Argent通過“GasStationNetwork”的中間層服務為用戶支付gas費,并從用戶賬戶中扣除相應的費用。

攻擊檢測:Argent錢包采用自行開發的"Guardians"智能合約自動檢測和防范釣魚攻擊、惡意軟件攻擊、重放攻擊等。例如,當用戶收到一個看似來自Argent錢包的電子郵件或短信時,Guardians合約會檢測該信息是否來自Argent官方渠道。如果檢測到該信息不是來自官方渠道,Guardians合約將自動阻止用戶執行任何與該信息相關的交易。

目前Argent已完成3輪融資,累計融資金額達到5600萬美元,參投方包括FabricVentures、Metaplanet、Paradigm、StarkWare、JumpCrypto、AnimocaBrands等。現階段Argent錢包的用戶群體較少,主要原因包括ZK網絡的穩定性、不支持多種加密貨幣的存儲和交易等。

Avocado

Instadapp是一種基于以太坊的DeFi協議,旨在使DeFi變得更加簡單和易于管理。該協議推出了一款基于賬戶抽象的錢包Avocado,其主要特點包括以下幾個方面:

多鏈支持:Avocado支持多條區塊鏈,用戶可以在同一個錢包中管理多種加密貨幣,所有gas費用使用USDC支付。

安全保障:Avocado錢包采用了多重簽名技術和智能合約保障用戶的數字資產安全,同時還支持硬件錢包的連接。

DeFi服務:用戶可以在Avocado錢包中直接訪問各種去中心化應用,例如借貸、交易、穩定幣等。此外,用戶可以免費使用所有當前的Instadapp策略。

社區治理:Avocado錢包采用了DAO的治理模式,用戶可以通過投票參與錢包的決策和發展。

目前Instadapp已完成2輪融資,累計融資金額為1240萬美元,參投方包括CoinbaseVentures、PanteraCapital、StandardCrypto、RobotVentures、BalajiSrinivasan等。現階段Instadapp多個產品的總TVL超過20億美元,而Avocado作為其開發的集成錢包,享有網絡效應的優勢,例如使用閃貸無需支付費用,贈送1USDC的Gas費用補貼,免費使用Instadapp的自動化投資策略等。

Braavos

Braavos是一個開源的賬戶抽象層,它提供了一種簡單的方式來管理多個賬戶,并為應用程序提供了一個統一接口。其特點包括:

多賬戶支持:Braavos支持管理多個賬戶,包括銀行賬戶、支付寶、PayPal等。

統一API:Braavos提供了一個統一的API,使得應用程序可以使用相同的代碼來處理不同的賬戶類型。

安全性:Braavos使用OAuth2協議來處理授權和認證,保證了數據的安全性。

易于擴展:Braavos的設計使得它可以很容易地擴展到支持新的賬戶類型和服務。

自動化:Braavos自動處理賬戶余額和交易歷史記錄,使得應用程序可以專注于核心業務邏輯。

目前Braavos已完成1000萬美元融資,PanteraCapital領投,StarkWare、Crypto.comCapital、MatrixportVentures等參投。Braavos的硬件安全模塊通過帳戶抽象實現,具有驗證任意簽名的能力。

UniPass

UniPassWallet是一款支持鏈上Email社交恢復的智能合約錢包解決方案,旨在提供Web2用戶熟悉的使用體驗,其特點如下:

兼容ERC-4337:用戶可以通過在MainModule中添加4337模塊事務來激活ERC-4337兼容模式。激活之后,用戶可以發起的交易將提交給Bundler,通過標準的ERC-4337驗證方式。用戶也可以對UniPasstx進行簽名,提交給Relayer進行鏈上處理。

電子郵件恢復:用戶可以設置多個互聯網郵箱作為賬戶的守護者,只需將郵件提交至鏈上智能合約,即可幫助用戶實現賬戶找回錢包私鑰。當用戶擁有超過2個監護人郵箱時,用戶可以使用這兩個郵箱提交賬戶恢復郵件,立即恢復賬戶。當用戶只有一個監護人郵箱時,通常需要等待48小時的鎖定期才能恢復帳戶。

無Gas體驗:UniPass提供一個默認的中繼節點,接受用戶使用原生代幣和主流穩定幣形式的Gas支付。

UniPass于2022年4月完成由HashKeyCapital參投的種子輪融資。與其他錢包相比,UniPass支持所有EVM區塊鏈,主流的非EVM鏈也在路線圖中。此外,UniPass重視開發人員的體驗,提供了多款用于集成到dApp的SDK。

SoulWallet

SoulWallet是一個插件錢包,使用戶能夠:1.不需要助記詞的情況下創建錢包2.通過改變簽名密鑰來保持錢包。3.通過簽名聚合減少30%gasfee。4.支持USDC支付交易。5.由第三方贊助,無需gasfee。6.將多筆交易捆綁在一起。

SoulWallet于3月16日完成310萬美元種子輪融資,??StruckCrypto、NGCVentures、Alchemy、SignumCapital等參投。其創始人ZengJiajun是字節跳動和美團的前產品經理,SoulWallet計劃在第三季度或第四季度推出。

Versa

Versa是一站式UX簡化的智能合約錢包,用戶可以通過它輕松訪問無密鑰和社交登錄的加密錢包,進行Gas管理和鏈上賬戶恢復,設置自動支出,自動化投資策略等。Versa于3月23日宣布完成種子輪融資,STEPN開發商FindSatoshiLab、FoliusVentures和一些天使投資人等參投。目前Versa處于封閉測試階段。

Peaze

Peaze是一款允許用戶通過電子郵件和信用卡訪問Web3應用程序的錢包。Peaze利用智能合約控制私鑰訪問和簽名,當用戶確認一筆交易時,會生成一個標準的交易簽名,然后觸發入口流程,向用戶的法定支付方式收費,并將適當數量的加密貨幣發送到他們的錢包。在此步驟中還會執行任何必要的交換/橋接程序。

Opclave

Opclave允許用戶創建和使用具有觸摸/面部ID的非托管錢包,而無需種子短語。Opclave利用ERC-4337改進了OPStack的SC帳戶,使用AppleEnclave抽象的簽名,其核心理念是將Apple設備、iPhone、Macbook變成硬件錢包。Opclave是以太坊擴容黑客松、HacktheStack的優勝者。

PatchWallet

PatchWallet是一款支持使用GitHub/Twitter/Email登錄的加密錢包,不需要種子短語,該錢包支持多種主流加密貨幣,用戶可以在同一個錢包中管理多種加密貨幣。用戶還可以輕松地管理和切換多個賬戶,而無需重新導入私鑰。此外,PatchWallet支持硬件錢包,用戶可以將私鑰存儲在硬件設備中以提高安全性。

ZeroDev

ZeroDev是一個建立在ERC-4337之上的SDK,用于構建由帳戶抽象提供支持的Web3應用程序。使用ZeroDev可以創建易于使用的應用程序,用戶可以無需助記詞而通過好友恢復賬戶、允許第三方支付用戶完全跳過GAS、合并交易步驟以改善用戶體驗,節省時間和成本并提高安全性。

SequenceSequenceWallet是一款旨在實現無縫集成的非托管錢包,兼容所有EVM公鏈,支持社交/電子郵件登錄,Moonpay、Ramp等法幣支付提供商,使用各種貨幣支付Gas費等等。

小結

基于ERC-4337的錢包注重于將底層功能進行抽象化,社交恢復、無需原生Gas費用、捆綁打包交易是可以大幅提升UI體驗的功能。此外,集成?ERC-4377?的模塊化開發平臺或將成為主流。如?Patch、Sequence?和未列舉的Gelote等。

賬戶抽象錢包可能需要一個更加“MakeSense”的案例才能得到大規模采用,現階段多個項目的“無Gas費”宣傳語存在一定的誤導性,其背后的邏輯只是允許用戶使用USDC等非ETH幣種來支付Gas,補貼策略似乎也收效甚微。另一方面,錢包的多鏈困境也沒有得到明顯改善。號稱能夠實現“多鏈”的錢包只是面向EVM兼容鏈,而zk系、Move系、Solana系等生態錢包還受困于孤島效應。

智能合約錢包正在成為趨勢,細分賽道中還出現了其他競爭者。MPC錢包將私鑰分散存儲在多個設備中,通過多方計算實現無私鑰、社交恢復等功能。例如,3月7日宣布完成由a16z領投的MPC錢包Capsule,通過引入可編程的MPC來擴展鏈上交易的使用場景。與此同時,擁有巨大用戶基礎的Telegram計劃推出加密錢包,目前已支持在應用聊天界面直接交易BTC、TON和USDT。這些競爭者也在爭奪用戶,并且在不斷地推出新的功能和服務。

Tags:STAAVOENTGASSTAC價格SCAVO TokenSentiment TokenTogashi Inu

DAI
美國財政部首次發布 DeFi 風險報告,透露了哪些重點信息?_DEFI

原文標題:《TreasuryReleases2023DeFiIllicitFinanceRiskAssessment》 來源:美國財政部 編譯:吳說區塊鏈 美國財政部發布了2023年DeFi非法.

1900/1/1 0:00:00
Uniswap 社區就“商業源代碼許可證過期后跨鏈部署和新子域名創建”提案進行溫度檢查投票_UNI

Uniswap社區正就“商業源代碼許可證過期后跨鏈部署和新uniswap.eth子域名創建”提案進行溫度檢查投票,目前該提案支持率為100%,投票將于4月14日截止.

1900/1/1 0:00:00
幣安澄清 Bicasso 抄襲:未抄襲 Chatcasso 項目,設計和開發早于 BNB Chain 黑客松_SSO

針對HuntTown聯創指控幣安Bicasso產品竊取其在BNBChain黑客松上提出的創意,即Chatcasso項目.

1900/1/1 0:00:00
解析聚合器賽道現狀:Li.Fi 有哪些優勢?_TOKEN

原文標題:《RevisitingAggregationTheory》 作者:JoelJohn 編譯:Kxp,BlockBeats一年前,我們撰文討論了Web3時代的聚合理論.

1900/1/1 0:00:00
Web3 終極破圈利器,統一的操作系統_DAPP

作者:魚蛋.lens 隨著區塊鏈技術的迅猛發展,加密世界已經進入多鏈共存時代。區塊鏈的不可能三角“安全性、可擴展性和去中心化”催生了成千上萬的代幣和數百條鏈.

1900/1/1 0:00:00
SushiSwap 將推出 SUSHI 代幣索賠網站_USH

SushiSwap的ChiefJaredGray周三在Discord表示,SushiSwap正準備為MerkleDistributor合約中持有的既得SUSHI代幣啟動一個索賠網站.

1900/1/1 0:00:00
ads