以太坊基金會在3月1日的WalletCon活動上宣布稱,以太坊智能合約ERC-4337經過部署、測試,將正式開啟智能賬戶的新時代。
據悉,這是一項被看作實現以太坊關鍵增強功能的新合約,名為“賬戶抽象”。以太坊基金會安全研究員YoavWeiss證實了該合約已經進行了全面的安全審計。
以太坊基金會安全研究員YoavWeiss
什么是賬戶抽象?
賬戶抽象概念
賬戶抽象是一個將用戶的錢包變成智能合約賬戶的概念,即把當前主流以太坊錢包轉換為智能合約錢包,實現賬戶抽象功能需要ERC-4337合約標準。
賬戶抽象通過省略以太坊賬戶體系中不必要細節,以此減少復雜性并提高有效性,消除對EOA的需求以及對智能合約錢包的特殊處理。
使用該功能在加密世界具有更大的靈活性。在以太坊生態安全性、隱私性都得到極大保障的同時,一旦基礎設施服務商接入“賬戶抽象”或ERC-4337合約標準,其生態項目及用戶都將迎來一波增長高峰。
Aptos 生態錢包 Petra 助記詞顯示存在 Bug,當前已修復漏洞將很快發布更新版本:10月21日消息,Aptos 生態錢包 Petra 發推稱,Aptos Labs 團隊在 10 月 20 日發現 Petra 上的一個 Bug,該 Bug 與現有錢包內的帳戶創建有關,頁面上顯示的助記詞可能會不準確。訪問準確的 12 個助記詞短語的過程為,設置、管理帳戶、輸入密碼,然后單擊顯示密鑰恢復短語。當前,Petra 已修復該 Bug,將很快發布到 Google App Store。[2022/10/21 16:34:13]
ERC-4337運行邏輯
ERC-4337合約之所以被看作是實現賬戶抽象功能的設計之一,在于它部署較輕易。它無需修改區塊鏈底層核心協議,只通過在以太坊主網層添加新層、部署智能合約即可。
在ERC-4337出現之前,社區為了賬戶抽象的實現也提出了各種各樣的方案,如EIP-86、EIP-2938等,但因為一些問題沒有被廣泛接受。ERC-4337通過提供無需更改共識協議且安全性更高的方案,在社區中得到了更多的關注。
歐易Web3錢包通過慢霧及OKLink安全審計,未將任何私鑰或助記詞上傳服務器:8月18日,OKLink安全審計團隊發布推文稱經過審計,歐易Web3錢包未將用戶的私鑰或助記詞上傳外部服務器。此前,慢霧安全審計也已經發布同樣安全審計結果。據歐易相關負責人介紹,其Web3錢包私鑰或助記詞完全本地加密存儲,只有用戶可以解密,不觸網,無泄漏風險。
據介紹,歐易Web3錢包是最全面的異構多鏈錢包,包含數字貨幣錢包、鏈上交易、NFT 市場、DApp 探索4大板塊。支持30+公鏈、1000+Defi協議。[2022/8/19 12:35:31]
圖源:stackup
簡單來說,ERC-4337有四個主要組成部分:UserOperation、Bundler、EntryPoint和ContractAccount。同時這些可以用Paymasters和Aggregators來補充。
·UserOperations:是用于與合約賬戶執行交易的偽交易對象。
·Bundlers:是把UserOperations從內存池中打包并將它們發送到EntryPoint區塊鏈上的合約參與者。
Solana:Slope用戶或曾在Slope導入助記詞的設備或存在被盜風險:據官方消息,Solana發布8月2日Slope錢包事件更新:從UTC時間2022年8月2日22:37開始并持續約4小時,一個或多個惡意攻擊者盜取了9231個錢包中共計價值約410萬美元的資產。鏈上交易顯示,受影響錢包的私鑰已被泄露,并被用于簽署惡意交易。
在開發人員、分析公司和安全審計員的調查中,受影響的地址似乎曾在iOS和Android上的Slope錢包應用程序(由Slope Finance創建和發布)中創建、導入或使用。這些Slope用戶的私鑰資料被Slope無意中傳輸到應用程序監控服務,但黑客獲取或截獲這些信息的途徑仍在調查中。
此次攻擊沒有涉及與Solana Labs、Solana基金會或任何與Solana協議本身相關的核心代碼,這不是協議級別的漏洞。
這一漏洞似乎孤立于支持Solana和以太坊地址的一個錢包提供商,但其他軟件錢包(如Phantom和Solflare)上受影響的用戶可能是用戶重復使用在Slope中生成或存儲的助記詞的結果。
目前官方認為這不是與Slope以外的任何特定錢包實現直接相關的問題。由于以太坊和Solana都使用BIP39助記符,因此對使用以太坊錢包用戶的任何影響也可能是由于重復使用了助記詞。
無論是否使用Slope的硬件錢包沒有受到影響,任何從助記詞生成的從未被導入(或被Slope錢包使用)的錢包都沒有受到影響。然而,用戶只要將他們的助記詞導入Slope應用程序,就有受攻擊的風險。
Solana官方強調,Slope錢包用戶或者之前曾將助記詞導入Slope的設備,即使沒有資產被轉移,錢包也可能會被盜用。因此建議:
- 在另一個錢包應用程序中生成一個新的助記詞;
- 將所有資產(代幣和NFT)轉移到這個新錢包;
- 放棄舊地址,因為它可能會受到攻擊。
用戶不應該重復使用以前在Slope移動應用中使用過的助記詞衍生的錢包。[2022/8/9 12:11:42]
·EntryPoint:是處理交易驗證和執行邏輯的智能合約。
派盾:發現一些假MetaMask網站,可能會套取用戶錢包助記詞:4月29日消息,派盾(PeckShield)在Twitter上表示,發現了一些假的MetaMask網站,這些網站可能會讓用戶下載假冒MetaMask插件錢包或盜取你現有錢包助記詞。[2022/4/29 2:38:47]
·ContractAccounts:是用戶擁有的智能合約帳戶。
·Paymasters:是可選的智能合約賬戶,可以輔助ContractAccounts。
·Aggregators:是可選的智能合約,可以驗證ContractAccounts。
賬戶抽象可以解決什么問題?
我們來對比一下以太坊錢包和智能合約錢包,以及了解賬戶抽象可以解決什么問題。
EOA錢包
聲音 | 安全公司:錢包助記詞遭破解 手機root權限成關鍵因素:針對近日有數字錢包被破解助記詞一事,北京鏈安安全專家c00lman分析,視頻中的攻擊者采用了一臺越獄手機,利用root權限,打開了存在該錢包私有目錄下的配置文件preferences.xml,讀取加密后的助記符字段seedPhraseEntropy。而后攻擊者通過逆向手段,還原了加密算法,對加密后的助記符數據進行解密,還原了助記符。
但是這段攻擊視頻有個前提,攻擊者需要獲取root權限,這在大部分攻擊場景下是不具備的。事實上,該錢包已經對助記符進行了加密存儲,只是攻擊者逆向出了加密算法。對于這類問題,更關鍵的是相關應用廠商采用安全公司專業的root安全性檢查方案,在用戶手機系統被破解時及時提醒用戶。
對此,北京鏈安建議:相關錢包應用加強對手機環境進行root權限檢查,而各位用戶也應該避免在越獄手機上使用錢包、交易所App。[2018/11/22]
簡化的EOA交易機制,來源:Nethermind
迄今為止,大多數在以太坊和其他EVM網絡上創建的賬戶都屬于外部擁有賬戶類別,是使用傳統密鑰的帳戶。也就是說,它們包含一個可用于進行交易和簽署消息的私鑰。這意味私鑰決定著資金的歸屬,如果您可以訪問該私鑰,您就可以完全控制該帳戶。
大多數流行的錢包,如Metamask、Coinbase和imToken都是EOA,甚至LedgerNano和Trezor等硬件錢包也是基于EOA。
智能合約錢包
智能合約錢包交易,來源:Nethermind
另一種類型的以太坊賬戶是合約賬戶,通過賬戶邏輯開發的合約賬戶稱為智能合約錢包。與EOA一樣,每個智能合約賬戶都有一個唯一的公共以太坊地址,智能合約賬戶也可以接收資金并進行類似EOA的交易。
關鍵區別在于沒有使用單個私鑰來驗證交易,賬戶如何完成交易背后的邏輯是在智能合約代碼中定義的。智能合約是在以太坊區塊鏈上運行并在滿足特定條件時執行的程序,此類賬戶可以指定由誰以及在什么條件下可以執行交易。
抽象賬戶解決的問題
“賬戶抽象”創造了一個新的賬戶類型:通過讓賬戶作為智能合約存在,把“交易驗證”和“交易執行”分開,讓每個賬戶都變成了一個具有自己邏輯的智能合約,并具有無縫的兼容性,解決了EOA存在的問題。這種方式它讓“個性化賬戶定制”成為可能,從而給普通用戶一個不犧牲自我主權性的安全網和更流暢的用戶體驗。
以太坊需要進行這項更新,是為了讓用戶的錢包使用更加友好。比如錢包私鑰一旦丟失,賬戶抽象功能即可輕松地恢復錢包賬戶,而無需擔心私鑰一旦丟失,則無法找回。
賬戶抽象帶來的變化
值得一提的是,賬戶抽象這一概念被以太坊創始人Vitalik多次提到過,他認為實現它一直是以太坊開發人員的長期“夢想”。通過昨天這一消息的宣布,可以說Vitalik及其開發人員的夢想終于實現了。
有了抽象賬戶功能,用戶能感受到什么變化呢?
①用戶可以創建“多重簽名錢包”,讓一組用戶訪問一個賬戶,并要求多個用戶簽署交易作為額外的安全機制;
②用戶可以用多個不同的密鑰來授權交易;
③用戶可以每周更改帳戶的簽名者;
④用戶無需借助助記詞也可實現賬戶恢復,如通過社交關系找回;
⑤用戶不再需要額外儲備ETH來支付其他ERC-20代幣gas費。
在目前,外部錢包要在以太坊上交互的gas費只能通過錢包中的ETH來支付,如果你的錢包中只有ERC-20代幣,沒有ETH,你將沒有辦法將這些代幣轉出。當ERC-4337采用后,用戶可以使用賬戶中的ERC-20代幣來支付費用,由礦工節點用合約作為中介來代為支付ETH上鏈并獲取用戶的ERC-20代幣。
抽象化實現后,由外部賬戶的所有者簽名交易并進行廣播將不再是發起交易的唯一方法。目前許多以太坊上的應用都依靠中繼者在區塊鏈上發布用戶交易,并需要向中繼者支付費用。如果錢包中可以內置更復雜的合約,有些中繼者就不再有存在的必要,也就不需要向他們支付額外的費用。
結語
錢包被看作是進入Web3或加密世界的入口,因此Web3錢包的形式、功能也決定了行業發展的進程。一個在加密世界進行交易隨時都有資金損失風險的錢包,肯定無法帶來行業的發展。
智能合約錢包的推出,無疑助推了行業的進步。以太坊Layer2Rollup+賬戶抽象的技術路徑已成發展定局,各個Rollup提供商也推出了兼容賬戶抽象的新版本。
目前ERC-4337的核心合約“賬戶抽象”已經通過了OpenZeppelin的審計,并將在每個以太坊虛擬機上兼容,可用網絡包括Polygon、Optimism、Arbitrum、BNBSmartChain、Avalanche和GnosisChain。關于“賬戶抽象”的協議也在不斷發展。
圖源:SevenX
這也意味著,未來新用戶將不再需要特別保存、記憶復雜的助記詞,設置錢包的相關專業技術,就能進入去中心化的加密世界。
可以說,Web3正向著越來越適用每個普通人的方向轉變,以太坊智能合約錢包的推出,也意味著一個智能賬戶的新時代已經開啟。這對于加密錢包行業無疑是顛覆性的變革,正如YoavWeiss所說,在一張紙上抄寫12個單詞的時代即將成為過去式。
參考:
鹿目圓《以太坊賬戶抽象和ERC-4337》
Coindesk:EthereumSaysERC-4337Deployed,Tested,BeginningEraofSmartAccounts
Cointelegraph:EthereumERC-4337'smartaccounts'launchatWalletCon:Accountabstractionishere
Stackup:AccountAbstraction;ERC-4337Overview
SevenXVentures《以太坊錢包的變革:賬戶抽象與ERC-4337的機遇與挑戰》
Tags:以太坊SLOPETRASOL以太坊幣美元最新行情走勢圖SLOPE幣The Transplant CoinSOLDAO
文章作者:JosephPolitano文章編譯:Blockunicorn 在硅谷銀行倒閉后,美聯儲向銀行借出了3000億美元的緊急資金,這是否足夠?自2020年以來.
1900/1/1 0:00:002023年3月10日凌晨,硅谷銀行宣布為支撐流動性,以巨額虧損出售了210億美元的債券投資組合。硅谷銀行還計劃出售23億美元的股票以彌補債券損失.
1900/1/1 0:00:00圖片來源:由無界版圖AI工具生成3月2日,OpenAI正式開放了ChatGPT的API接口,開發人員可以將ChatGPT模型集成到他們的應用程序和產品中.
1900/1/1 0:00:00撰文:StephanieDunbar、StephenBasile編譯:BlockTurbo科學知識是支撐技術發展和經濟增長的公共產品.
1900/1/1 0:00:001.金色觀察|一文看懂ERC-4337賬戶抽象在OpenZeppelin最近的審計之后,ERC-4337的“EntryPoint”合約在主網上線,你可以在身邊的EVM上使用帳戶抽象了.
1900/1/1 0:00:00作者:AsaLi 編譯:DeFi之道 介紹 今天,主要的加密游戲——通過籌集資金,博人眼球和提高預期實現,從廣義上講,是“Web2.5游戲”的變體.
1900/1/1 0:00:00