作者:餅干,ChainCatcher
在加密貨幣領域,用戶不能為同一個錢包地址設置多個私鑰,也無法修改私鑰。因此,如果私鑰丟失,不僅會造成錢包資產丟失,該錢包也將永遠無法再被使用,只能作廢。
據?Coinbase產品戰略與業務運營總監ConorGrogan統計,約有11.5億美元的加密貨幣因人為過失而永久丟失。Grogan補充道,該統計數據遠低于因丟失錢包訪問權限而鎖住的ETH數量,因為鏈上存在大量長期不動的資產,無法判斷其中有多少丟失了私鑰。
加密錢包一直是以太坊創始人Vitalik長期關注的方向。Nethermind以及opengsn的研究人員在Vitalik的幫助下提出了EIP-4337,該提案提出了一種解決方法,無需更改任何共識層協議,就能為以太坊帶來“帳戶抽象”。最近,Vitalik在他的文章《如何為多簽錢包和社交恢復錢包選擇守護者?》中闡述了自己的觀點,致力于推動可信第三方在加密錢包中的采用。
近期,相比于Metamask、Imtoken等老牌加密錢包,一些基于EIP-4337的加密錢包開始嶄露頭角,它們試圖重新開啟加密錢包賽道的藍海。本文將簡要介紹EIP-4337的概念,以及Argent、Avocado、Braavos、PatchWallet、Unipass、Opclave、SoulWallet、Versa等11款賬戶抽象錢包。
EIP-4337有什么用?
目前,以太坊錢包地址分為EOA賬戶和合約賬戶,EIP-4337提案中提出了賬戶抽象的概念,可以用來管理多個合約賬戶和外部賬戶,以改善以太坊賬戶的安全性和可操作性。如果想深入了解機制,可查閱《EIP-4337賬戶抽象錢包方案能否開辟錢包新時代?》
安全團隊:Defrost Finance被攻擊事件簡析:金色財經報道,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,Defrost Finance預言機被惡意修改,并且添加了假的抵押token清算當前用戶,損失超1300萬美元。攻擊者通過setOracleAddress函數修改了預言機的地址,隨后使用joinAndMint函數鑄造了100,000,000個H20代幣給0x6f31地址,最后調用liquidate函數通過虛假的價格預言機獲取了大量的USDT。后續攻擊者通過跨鏈的方式將被盜資金轉移到了以太坊的0x4e22上,目前有490萬美元的DAI在0x4e22地址上,有500萬美元的DAI在0xfe71地址上,剩余300萬美元的ETH被轉移到了0x3517地址上。[2022/12/25 22:06:35]
使用EIP-4337可以帶來以下好處:
更高效的合約部署和維護:由于多個合約可以共享同一個地址和私鑰,可以減少合約部署和維護的工作量。
更好的安全性:由于賬戶合約只代表一個地址和私鑰,可以減少私鑰泄露的風險。
更好的可擴展性:由于可以實現可重用的合約代碼,可以更容易地實現復雜的合約邏輯。
簡而言之,EIP-4337的愿景是實現用戶友好,主要從易用性和社交恢復兩個方面實現,通過提高加密錢包的UI體驗而吸引新用戶,例如新用戶在注冊時不再需要抄寫助記詞。用戶丟失錢包私鑰后也可以通過社交關系找回。其他擴展功能包括多賬戶/多鏈管理、捆綁打包交易等,例如讓錢包自動為服務續費。
安全團隊:Rubic被攻擊事件簡析:金色財經報道,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,Rubic項目被攻擊,Beosin安全團隊分析發現RubicProxy合約的routerCallNative函數由于缺乏參數校驗,_params可以指定任意的參數,攻擊者可以使用特定的integrator來讓RubicProxy合約可以幾乎零成本的調用自己傳入的函數data。攻擊者通過調用routerCallNative函數,把所有授權給RubicProxy合約的USDC全部通過transferFrom轉入了0x001B地址,被盜資金近1100個以太坊,通過Beosin Trace追蹤發現被盜資金已經全部轉入了Tornado cash。[2022/12/25 22:06:32]
而EIP-4337實現的難點在于,將錢包復雜化之后,開發成本、兼容性以及用戶隱私等方面的挑戰,以及復雜的交互合約產生更高的gas費用等。
賬戶抽象錢包?
Argent
Argent錢包是一款以安全性和易用性為重點設計的加密貨幣錢包,其主要特點包括:
社交恢復:Argent的社交恢復功能使用戶可以通過與信任的聯系人建立連接來恢復其錢包。這使得用戶可以更輕松地恢復其錢包,而無需記住復雜的助記詞或私鑰。
無需以ETH作為gas費:Argent采用MetaTransaction技術實現用戶在不擁有ETH的情況下發送交易。具體來說,Argent通過“GasStationNetwork”的中間層服務為用戶支付gas費,并從用戶賬戶中扣除相應的費用。
Beosin:sDAO項目遭受攻擊事件簡析:金色財經報道,根據區塊鏈安全審計公司Beosin旗下Beosin?EagleEye 安全風險監控、預警與阻斷平臺監測顯示,BNB鏈上的sDAO項目遭受漏洞攻擊,Beosin分析發現由于sDAO合約的業務邏輯錯誤導致,getReward函數是根據合約擁有的LP代幣和用戶添加的LP代幣作為參數來計算的,計算的獎勵與用戶添加LP代幣數量正相關,與合約擁有總LP代幣數量負相關,但合約提供了一個withdrawTeam的方法,可以將合約擁有的BNB以及指定代幣全部發送給合約指定地址,該函數任何人都可調用。而本次攻擊者向其中添加了LP代幣之后,調用withdrawTeam函數將LP代幣全部發送給了指定地址,并立刻又向合約轉了一個極小數量的LP代幣,導致攻擊者在隨后調用getReward獲取獎勵的時候,使用的合約擁有總LP代幣數量是一個極小的值,使得獎勵異常放大。最終攻擊者通過該漏洞獲得的獎勵兌換為13662枚BUSD離場。Beosin Trace追蹤發現被盜金額仍在攻擊者賬戶,將持續關注資金走向。[2022/11/21 7:53:09]
攻擊檢測:Argent錢包采用自行開發的"Guardians"智能合約自動檢測和防范釣魚攻擊、惡意軟件攻擊、重放攻擊等。例如,當用戶收到一個看似來自Argent錢包的電子郵件或短信時,Guardians合約會檢測該信息是否來自Argent官方渠道。如果檢測到該信息不是來自官方渠道,Guardians合約將自動阻止用戶執行任何與該信息相關的交易。
目前Argent已完成3輪融資,累計融資金額達到5600萬美元,參投方包括FabricVentures、Metaplanet、Paradigm、StarkWare、JumpCrypto、AnimocaBrands等。現階段Argent錢包的用戶群體較少,主要原因包括ZK網絡的穩定性、不支持多種加密貨幣的存儲和交易等。
慢霧簡析Qubit被盜原因:對白名單代幣進行轉賬操作時未對其是否是0地址再次進行檢查:據慢霧區情報,2022 年 01 月 28 日,Qubit 項目的 QBridge 遭受攻擊損失約 8000 萬美金。慢霧安全團隊進行分析后表示,本次攻擊的主要原因在于在充值普通代幣與 native 代幣分開實現的情況下,在對白名單內的代幣進行轉賬操作時未對其是否是 0 地址再次進行檢查,導致本該通過 native 充值函數進行充值的操作卻能順利走通普通代幣充值邏輯。慢霧安全團隊建議在對充值代幣進行白名單檢查后仍需對充值的是否為 native 代幣進行檢查。[2022/1/28 9:19:19]
Avocado
Instadapp是一種基于以太坊的DeFi協議,旨在使DeFi變得更加簡單和易于管理。該協議推出了一款基于賬戶抽象的錢包Avocado,其主要特點包括以下幾個方面:
多鏈支持:Avocado支持多條區塊鏈,用戶可以在同一個錢包中管理多種加密貨幣,所有gas費用使用USDC支付。
安全保障:Avocado錢包采用了多重簽名技術和智能合約保障用戶的數字資產安全,同時還支持硬件錢包的連接。
DeFi服務:用戶可以在Avocado錢包中直接訪問各種去中心化應用,例如借貸、交易、穩定幣等。此外,用戶可以免費使用所有當前的Instadapp策略。
社區治理:Avocado錢包采用了DAO的治理模式,用戶可以通過投票參與錢包的決策和發展。
慢霧:Avalanche鏈上Zabu Finance被黑簡析:據慢霧區情報,9月12日,Avalanche上Zabu Finance項目遭受閃電貸攻擊,慢霧安全團隊進行分析后以簡訊的形式分享給大家參考:
1.攻擊者首先創建兩個攻擊合約,隨后通過攻擊合約1在Pangolin將WAVAX兌換成SPORE代幣,并將獲得的SPORE代幣抵押至ZABUFarm合約中,為后續獲取ZABU代幣獎勵做準備。
2.攻擊者通過攻擊合約2從Pangolin閃電貸借出SPORE代幣,隨后開始不斷的使用SPORE代幣在ZABUFarm合約中進行`抵押/提現`操作。由于SPORE代幣在轉賬過程中需要收取一定的手續費(SPORE合約收取),而ZABUFarm合約實際接收到的SPORE代幣數量是小于攻擊者傳入的抵押數量的。分析中我們注意到ZABUFarm合約在用戶抵押時會直接記錄用戶傳入的抵押數量,而不是記錄合約實際收到的代幣數量,但ZABUFarm合約在用戶提現時允許用戶全部提取用戶抵押時合約記錄的抵押數量。這就導致了攻擊者在抵押時ZABUFarm合約實際接收到的SPORE代幣數量小于攻擊者在提現時ZABUFarm合約轉出給攻擊者的代幣數量。
3.攻擊者正是利用了ZABUFarm合約與SPORE代幣兼容性問題導致的記賬缺陷,從而不斷通過`抵押/提現`操作將ZABUFarm合約中的SPORE資金消耗至一個極低的數值。而ZABUFarm合約的抵押獎勵正是通過累積的區塊獎勵除合約中抵押的SPORE代幣總量參與計算的,因此當ZABUFarm合約中的SPORE代幣總量降低到一個極低的數值時無疑會計算出一個極大的獎勵數值。
4.攻擊者通過先前已在ZABUFarm中有進行抵押的攻擊合約1獲取了大量的ZABU代幣獎勵,隨后便對ZABU代幣進行了拋售。
此次攻擊是由于ZabuFinance的抵押模型與SPORE代幣不兼容導致的,此類問題導致的攻擊已經發生的多起,慢霧安全團隊建議:項目抵押模型在對接通縮型代幣時應記錄用戶在轉賬前后合約實際的代幣變化,而不是依賴于用戶傳入的抵押代幣數量。[2021/9/12 23:19:21]
目前Instadapp已完成2輪融資,累計融資金額為1240萬美元,參投方包括CoinbaseVentures、PanteraCapital、StandardCrypto、RobotVentures、BalajiSrinivasan等。現階段Instadapp多個產品的總TVL超過20億美元,而Avocado作為其開發的集成錢包,享有網絡效應的優勢,例如使用閃貸無需支付費用,贈送1USDC的Gas費用補貼,免費使用Instadapp的自動化投資策略等。
Braavos
Braavos是一個開源的賬戶抽象層,它提供了一種簡單的方式來管理多個賬戶,并為應用程序提供了一個統一接口。其特點包括:
多賬戶支持:Braavos支持管理多個賬戶,包括銀行賬戶、支付寶、PayPal等。
統一API:Braavos提供了一個統一的API,使得應用程序可以使用相同的代碼來處理不同的賬戶類型。
安全性:Braavos使用OAuth2協議來處理授權和認證,保證了數據的安全性。
易于擴展:Braavos的設計使得它可以很容易地擴展到支持新的賬戶類型和服務。
自動化:Braavos自動處理賬戶余額和交易歷史記錄,使得應用程序可以專注于核心業務邏輯。
目前Braavos已完成1000萬美元融資,PanteraCapital領投,StarkWare、Crypto.comCapital、MatrixportVentures等參投。Braavos的硬件安全模塊通過帳戶抽象實現,具有驗證任意簽名的能力。
UniPass
UniPassWallet是一款支持鏈上Email社交恢復的智能合約錢包解決方案,旨在提供Web2用戶熟悉的使用體驗,其特點如下:
兼容ERC-4337:用戶可以通過在MainModule中添加4337模塊事務來激活ERC-4337兼容模式。激活之后,用戶可以發起的交易將提交給Bundler,通過標準的ERC-4337驗證方式。用戶也可以對UniPasstx進行簽名,提交給Relayer進行鏈上處理。
電子郵件恢復:用戶可以設置多個互聯網郵箱作為賬戶的守護者,只需將郵件提交至鏈上智能合約,即可幫助用戶實現賬戶找回錢包私鑰。當用戶擁有超過2個監護人郵箱時,用戶可以使用這兩個郵箱提交賬戶恢復郵件,立即恢復賬戶。當用戶只有一個監護人郵箱時,通常需要等待48小時的鎖定期才能恢復帳戶。
無Gas體驗:UniPass提供一個默認的中繼節點,接受用戶使用原生代幣和主流穩定幣形式的Gas支付。
UniPass于2022年4月完成由HashKeyCapital參投的種子輪融資。與其他錢包相比,UniPass支持所有EVM區塊鏈,主流的非EVM鏈也在路線圖中。此外,UniPass重視開發人員的體驗,提供了多款用于集成到dApp的SDK。
SoulWallet
SoulWallet是一個插件錢包,使用戶能夠:1.不需要助記詞的情況下創建錢包2.通過改變簽名密鑰來保持錢包。3.通過簽名聚合減少30%gasfee。4.支持USDC支付交易。5.由第三方贊助,無需gasfee。6.將多筆交易捆綁在一起。
SoulWallet于3月16日完成310萬美元種子輪融資,??StruckCrypto、NGCVentures、Alchemy、SignumCapital等參投。其創始人ZengJiajun是字節跳動和美團的前產品經理,SoulWallet計劃在第三季度或第四季度推出。
Versa
Versa是一站式UX簡化的智能合約錢包,用戶可以通過它輕松訪問無密鑰和社交登錄的加密錢包,進行Gas管理和鏈上賬戶恢復,設置自動支出,自動化投資策略等。Versa于3月23日宣布完成種子輪融資,STEPN開發商FindSatoshiLab、FoliusVentures和一些天使投資人等參投。目前Versa處于封閉測試階段。
Peaze
Peaze是一款允許用戶通過電子郵件和信用卡訪問Web3應用程序的錢包。Peaze利用智能合約控制私鑰訪問和簽名,當用戶確認一筆交易時,會生成一個標準的交易簽名,然后觸發入口流程,向用戶的法定支付方式收費,并將適當數量的加密貨幣發送到他們的錢包。在此步驟中還會執行任何必要的交換/橋接程序。
Opclave
Opclave允許用戶創建和使用具有觸摸/面部ID的非托管錢包,而無需種子短語。Opclave利用ERC-4337改進了OPStack的SC帳戶,使用AppleEnclave抽象的簽名,其核心理念是將Apple設備、iPhone、Macbook變成硬件錢包。Opclave是以太坊擴容黑客松、HacktheStack的優勝者。
PatchWallet
PatchWallet是一款支持使用GitHub/Twitter/Email登錄的加密錢包,不需要種子短語,該錢包支持多種主流加密貨幣,用戶可以在同一個錢包中管理多種加密貨幣。用戶還可以輕松地管理和切換多個賬戶,而無需重新導入私鑰。此外,PatchWallet支持硬件錢包,用戶可以將私鑰存儲在硬件設備中以提高安全性。
ZeroDev
ZeroDev是一個建立在ERC-4337之上的SDK,用于構建由帳戶抽象提供支持的Web3應用程序。使用ZeroDev可以創建易于使用的應用程序,用戶可以無需助記詞而通過好友恢復賬戶、允許第三方支付用戶完全跳過GAS、合并交易步驟以改善用戶體驗,節省時間和成本并提高安全性。
SequenceSequenceWallet是一款旨在實現無縫集成的非托管錢包,兼容所有EVM公鏈,支持社交/電子郵件登錄,Moonpay、Ramp等法幣支付提供商,使用各種貨幣支付Gas費等等。
小結
基于ERC-4337的錢包注重于將底層功能進行抽象化,社交恢復、無需原生Gas費用、捆綁打包交易是可以大幅提升UI體驗的功能。此外,集成?ERC-4377?的模塊化開發平臺或將成為主流。如?Patch、Sequence?和未列舉的Gelote等。
賬戶抽象錢包可能需要一個更加“MakeSense”的案例才能得到大規模采用,現階段多個項目的“無Gas費”宣傳語存在一定的誤導性,其背后的邏輯只是允許用戶使用USDC等非ETH幣種來支付Gas,補貼策略似乎也收效甚微。另一方面,錢包的多鏈困境也沒有得到明顯改善。號稱能夠實現“多鏈”的錢包只是面向EVM兼容鏈,而zk系、Move系、Solana系等生態錢包還受困于孤島效應。
智能合約錢包正在成為趨勢,細分賽道中還出現了其他競爭者。MPC錢包將私鑰分散存儲在多個設備中,通過多方計算實現無私鑰、社交恢復等功能。例如,3月7日宣布完成由a16z領投的MPC錢包Capsule,通過引入可編程的MPC來擴展鏈上交易的使用場景。與此同時,擁有巨大用戶基礎的Telegram計劃推出加密錢包,目前已支持在應用聊天界面直接交易BTC、TON和USDT。這些競爭者也在爭奪用戶,并且在不斷地推出新的功能和服務。
Tags:ABUAVOENTGASABU價格Avocado Blockchain GroupContent Coinugas幣預估價值
原文標題:《ForgetArt,Let''sTrade:HowA10-PersonStartupCameToDominateNFTMarkets》受訪者:TieshunRoquerre.
1900/1/1 0:00:00原文作者:Trissy 原文編譯:深潮TechFlow在這篇文章中,加密分析師Trissy將繼續探討一些基于Arbitrum?部署的小型加密貨幣項目.
1900/1/1 0:00:00來源:ZhixiongPan在「以太坊上海升級峰會」活動中,我們邀請到了以太坊生態中,四個完全截然不同的擴容方案團隊,來聊聊以太坊的前沿技術.
1900/1/1 0:00:00自Web3多鏈錢包BitKeep宣布即將品牌升級為BitgetWallet后,其用戶規模進一步擴大,目前全球用戶數已突破1000萬.
1900/1/1 0:00:00作者:ChainCatcherzk賽道持續火熱。從去年開始zk系的擴容項目也開始持續發力,加快進度,預計今年將有更多zk-Rollup項目上線主網.
1900/1/1 0:00:00亞洲最大Web3多鏈錢包BitKeep發布其2023年新戰略路線圖,宣布進行全面的品牌升級,即將更名為BitgetWallet.
1900/1/1 0:00:00