以太坊基金會在3月1日的WalletCon活動上宣布稱,以太坊智能合約ERC-4337經過部署、測試,將正式開啟智能賬戶的新時代。
據悉,這是一項被看作實現以太坊關鍵增強功能的新合約,名為“賬戶抽象”。以太坊基金會安全研究員YoavWeiss證實了該合約已經進行了全面的安全審計。
以太坊基金會安全研究員YoavWeiss
什么是賬戶抽象?
賬戶抽象概念
賬戶抽象是一個將用戶的錢包變成智能合約賬戶的概念,即把當前主流以太坊錢包轉換為智能合約錢包,實現賬戶抽象功能需要ERC-4337合約標準。
賬戶抽象通過省略以太坊賬戶體系中不必要細節,以此減少復雜性并提高有效性,消除對EOA的需求以及對智能合約錢包的特殊處理。
使用該功能在加密世界具有更大的靈活性。在以太坊生態安全性、隱私性都得到極大保障的同時,一旦基礎設施服務商接入“賬戶抽象”或ERC-4337合約標準,其生態項目及用戶都將迎來一波增長高峰。
Solana:Slope用戶或曾在Slope導入助記詞的設備或存在被盜風險:據官方消息,Solana發布8月2日Slope錢包事件更新:從UTC時間2022年8月2日22:37開始并持續約4小時,一個或多個惡意攻擊者盜取了9231個錢包中共計價值約410萬美元的資產。鏈上交易顯示,受影響錢包的私鑰已被泄露,并被用于簽署惡意交易。
在開發人員、分析公司和安全審計員的調查中,受影響的地址似乎曾在iOS和Android上的Slope錢包應用程序(由Slope Finance創建和發布)中創建、導入或使用。這些Slope用戶的私鑰資料被Slope無意中傳輸到應用程序監控服務,但黑客獲取或截獲這些信息的途徑仍在調查中。
此次攻擊沒有涉及與Solana Labs、Solana基金會或任何與Solana協議本身相關的核心代碼,這不是協議級別的漏洞。
這一漏洞似乎孤立于支持Solana和以太坊地址的一個錢包提供商,但其他軟件錢包(如Phantom和Solflare)上受影響的用戶可能是用戶重復使用在Slope中生成或存儲的助記詞的結果。
目前官方認為這不是與Slope以外的任何特定錢包實現直接相關的問題。由于以太坊和Solana都使用BIP39助記符,因此對使用以太坊錢包用戶的任何影響也可能是由于重復使用了助記詞。
無論是否使用Slope的硬件錢包沒有受到影響,任何從助記詞生成的從未被導入(或被Slope錢包使用)的錢包都沒有受到影響。然而,用戶只要將他們的助記詞導入Slope應用程序,就有受攻擊的風險。
Solana官方強調,Slope錢包用戶或者之前曾將助記詞導入Slope的設備,即使沒有資產被轉移,錢包也可能會被盜用。因此建議:
- 在另一個錢包應用程序中生成一個新的助記詞;
- 將所有資產(代幣和NFT)轉移到這個新錢包;
- 放棄舊地址,因為它可能會受到攻擊。
用戶不應該重復使用以前在Slope移動應用中使用過的助記詞衍生的錢包。[2022/8/9 12:11:42]
ERC-4337運行邏輯
派盾:發現一些假MetaMask網站,可能會套取用戶錢包助記詞:4月29日消息,派盾(PeckShield)在Twitter上表示,發現了一些假的MetaMask網站,這些網站可能會讓用戶下載假冒MetaMask插件錢包或盜取你現有錢包助記詞。[2022/4/29 2:38:47]
ERC-4337合約之所以被看作是實現賬戶抽象功能的設計之一,在于它部署較輕易。它無需修改區塊鏈底層核心協議,只通過在以太坊主網層添加新層、部署智能合約即可。
在ERC-4337出現之前,社區為了賬戶抽象的實現也提出了各種各樣的方案,如EIP-86、EIP-2938等,但因為一些問題沒有被廣泛接受。ERC-4337通過提供無需更改共識協議且安全性更高的方案,在社區中得到了更多的關注。
圖源:stackup
簡單來說,ERC-4337有四個主要組成部分:UserOperation、Bundler、EntryPoint和ContractAccount。同時這些可以用Paymasters和Aggregators來補充。
派盾:檢測到多個OpenSea相關釣魚網站竊取用戶錢包助記詞:4月26日消息,據派盾發推稱,已檢測到數十個OpenSea相關釣魚網站。這些網站插入虛假的MetaMask瀏覽器擴展程序,冒充OpenSea幫助中心以竊取用戶錢包助記詞。[2022/4/26 5:12:50]
·UserOperations:是用于與合約賬戶執行交易的偽交易對象。
·Bundlers:是把UserOperations從內存池中打包并將它們發送到EntryPoint區塊鏈上的合約參與者。
·EntryPoint:是處理交易驗證和執行邏輯的智能合約。
·ContractAccounts:是用戶擁有的智能合約帳戶。
·Paymasters:是可選的智能合約賬戶,可以輔助ContractAccounts。
·Aggregators:是可選的智能合約,可以驗證ContractAccounts。
動態 | 加密錢包GateHub的140萬個用戶賬戶信息被盜 包括密碼、密鑰和助記詞:金色財經報道,數據泄露索引網站“ Have I was Pwned”一名安全研究人員表示,加密錢包GateHub和RuneScape機器人提供商EpicBot 220萬用戶的密碼數據和個人信息已被泄露。Hunt稱,被盜信息包括來自GateHub加密貨幣錢包的多達140萬個用戶帳戶的個人信息,以及自稱為世界上最安全的多合一RuneScape機器人提供商EpicBot上約80萬個用戶帳戶的數據。 被盜信息包括注冊的電子郵件地址、密碼、雙因素身份驗證密鑰、助記詞和錢包哈希。GateHub官方表示,錢包哈希沒有被訪問。(cointelegraph)[2019/11/20]
賬戶抽象可以解決什么問題?
我們來對比一下以太坊錢包和智能合約錢包,以及了解賬戶抽象可以解決什么問題。
EOA錢包
簡化的EOA交易機制,來源:Nethermind
聲音 | 安全公司:錢包助記詞遭破解 手機root權限成關鍵因素:針對近日有數字錢包被破解助記詞一事,北京鏈安安全專家c00lman分析,視頻中的攻擊者采用了一臺越獄手機,利用root權限,打開了存在該錢包私有目錄下的配置文件preferences.xml,讀取加密后的助記符字段seedPhraseEntropy。而后攻擊者通過逆向手段,還原了加密算法,對加密后的助記符數據進行解密,還原了助記符。
但是這段攻擊視頻有個前提,攻擊者需要獲取root權限,這在大部分攻擊場景下是不具備的。事實上,該錢包已經對助記符進行了加密存儲,只是攻擊者逆向出了加密算法。對于這類問題,更關鍵的是相關應用廠商采用安全公司專業的root安全性檢查方案,在用戶手機系統被破解時及時提醒用戶。
對此,北京鏈安建議:相關錢包應用加強對手機環境進行root權限檢查,而各位用戶也應該避免在越獄手機上使用錢包、交易所App。[2018/11/22]
迄今為止,大多數在以太坊和其他EVM網絡上創建的賬戶都屬于外部擁有賬戶類別,是使用傳統密鑰的帳戶。也就是說,它們包含一個可用于進行交易和簽署消息的私鑰。這意味私鑰決定著資金的歸屬,如果您可以訪問該私鑰,您就可以完全控制該帳戶。
大多數流行的錢包,如Metamask、Coinbase和imToken都是EOA,甚至LedgerNano和Trezor等硬件錢包也是基于EOA。
智能合約錢包
智能合約錢包交易,來源:Nethermind
另一種類型的以太坊賬戶是合約賬戶,通過賬戶邏輯開發的合約賬戶稱為智能合約錢包。與EOA一樣,每個智能合約賬戶都有一個唯一的公共以太坊地址,智能合約賬戶也可以接收資金并進行類似EOA的交易。
關鍵區別在于沒有使用單個私鑰來驗證交易,賬戶如何完成交易背后的邏輯是在智能合約代碼中定義的。智能合約是在以太坊區塊鏈上運行并在滿足特定條件時執行的程序,此類賬戶可以指定由誰以及在什么條件下可以執行交易。
抽象賬戶解決的問題
“賬戶抽象”創造了一個新的賬戶類型:通過讓賬戶作為智能合約存在,把“交易驗證”和“交易執行”分開,讓每個賬戶都變成了一個具有自己邏輯的智能合約,并具有無縫的兼容性,解決了EOA存在的問題。這種方式它讓“個性化賬戶定制”成為可能,從而給普通用戶一個不犧牲自我主權性的安全網和更流暢的用戶體驗。
以太坊需要進行這項更新,是為了讓用戶的錢包使用更加友好。比如錢包私鑰一旦丟失,賬戶抽象功能即可輕松地恢復錢包賬戶,而無需擔心私鑰一旦丟失,則無法找回。
賬戶抽象帶來的變化
值得一提的是,賬戶抽象這一概念被以太坊創始人Vitalik多次提到過,他認為實現它一直是以太坊開發人員的長期“夢想”。通過昨天這一消息的宣布,可以說Vitalik及其開發人員的夢想終于實現了。
有了抽象賬戶功能,用戶能感受到什么變化呢?
①用戶可以創建“多重簽名錢包”,讓一組用戶訪問一個賬戶,并要求多個用戶簽署交易作為額外的安全機制;
②用戶可以用多個不同的密鑰來授權交易;
③用戶可以每周更改帳戶的簽名者;
④用戶無需借助助記詞也可實現賬戶恢復,如通過社交關系找回;
⑤用戶不再需要額外儲備ETH來支付其他ERC-20代幣gas費。
在目前,外部錢包要在以太坊上交互的gas費只能通過錢包中的ETH來支付,如果你的錢包中只有ERC-20代幣,沒有ETH,你將沒有辦法將這些代幣轉出。當ERC-4337采用后,用戶可以使用賬戶中的ERC-20代幣來支付費用,由礦工節點用合約作為中介來代為支付ETH上鏈并獲取用戶的ERC-20代幣。
抽象化實現后,由外部賬戶的所有者簽名交易并進行廣播將不再是發起交易的唯一方法。目前許多以太坊上的應用都依靠中繼者在區塊鏈上發布用戶交易,并需要向中繼者支付費用。如果錢包中可以內置更復雜的合約,有些中繼者就不再有存在的必要,也就不需要向他們支付額外的費用。
結語
錢包被看作是進入Web3或加密世界的入口,因此Web3錢包的形式、功能也決定了行業發展的進程。一個在加密世界進行交易隨時都有資金損失風險的錢包,肯定無法帶來行業的發展。
智能合約錢包的推出,無疑助推了行業的進步。以太坊Layer2Rollup+賬戶抽象的技術路徑已成發展定局,各個Rollup提供商也推出了兼容賬戶抽象的新版本。
目前ERC-4337的核心合約“賬戶抽象”已經通過了OpenZeppelin的審計,并將在每個以太坊虛擬機上兼容,可用網絡包括Polygon、Optimism、Arbitrum、BNBSmartChain、Avalanche和GnosisChain。關于“賬戶抽象”的協議也在不斷發展。
圖源:SevenX
這也意味著,未來新用戶將不再需要特別保存、記憶復雜的助記詞,設置錢包的相關專業技術,就能進入去中心化的加密世界。
可以說,Web3正向著越來越適用每個普通人的方向轉變,以太坊智能合約錢包的推出,也意味著一個智能賬戶的新時代已經開啟。這對于加密錢包行業無疑是顛覆性的變革,正如YoavWeiss所說,在一張紙上抄寫12個單詞的時代即將成為過去式。
參考:
鹿目圓《以太坊賬戶抽象和ERC-4337》
Coindesk:EthereumSaysERC-4337Deployed,Tested,BeginningEraofSmartAccounts
Cointelegraph:EthereumERC-4337'smartaccounts'launchatWalletCon:Accountabstractionishere
Stackup:AccountAbstraction;ERC-4337Overview
SevenXVentures《以太坊錢包的變革:賬戶抽象與ERC-4337的機遇與挑戰》
Tags:以太坊SLOPEUNTSOL以太坊最新價格行情分析美元Slope Financemhunt幣最新價格SOLVE token
本文來自:TheDeFiInvestor編譯:Odaily星球日報Azuma本文內容系TheDeFiInvestor推文的編譯與補充,并不代表?Odaily星球日報的觀點,也不構成投資建議.
1900/1/1 0:00:00原標題:法秩序統一性視域中非法獲取虛擬貨幣的行為性質認定作者:陳禹橦,北京市人民檢察院第一分院第三檢察部四級高級檢察官.
1900/1/1 0:00:00原文標題:《TheUSDCDepegImplicationsonDeFi:TwoPathsForward》 撰文:Igans 編譯:Frank.
1900/1/1 0:00:00作者:ChrisPowers熊市發展到現在,穩定幣市場已經暗流涌動。穩定幣是最成功的加密資產類別之一,或者至少可以說是最容易獲得大規模市場采用的產品之一.
1900/1/1 0:00:00撰文:JenWiecener,NewYorkfeatures編譯:angelilu,ForesightNewsBitMEX聯合創始人ArthurHayes在結束6個月的軟禁后回到了加密行業.
1900/1/1 0:00:001.金色觀察|Nansen:Arbitrum空投鏈上分發模型詳解Arbitrum空投鏈上分發發模型依賴于Nansen鏈上數據和標簽,根據錢包的鏈上歷史活動為其分配資格積分.
1900/1/1 0:00:00