以太坊基金会在3月1日的WalletCon活动上宣布称,以太坊智能合约ERC-4337经过部署、测试,将正式开启智能账户的新时代。
据悉,这是一项被看作实现以太坊关键增强功能的新合约,名为“账户抽象(account abstraction,AA)”。以太坊基金会安全研究员Yoav Weiss证实了该合约已经进行了全面的安全审计。
什么是账户抽象(ERC-4377)?
(1)账户抽象概念
账户抽象是一个将用户的钱包变成智能合约账户的概念,即把当前主流以太坊钱包(指EOA钱包)转换为智能合约钱包(Smart Contract Wallet),实现账户抽象功能需要ERC-4337合约标准。
账户抽象通过省略以太坊账户体系中不必要细节,以此减少复杂性并提高有效性,消除对EOA的需求以及对智能合约钱包的特殊处理。
使用该功能在加密世界具有更大的灵活性。在以太坊生态安全性、隐私性都得到极大保障的同时,一旦基础设施服务商接入“账户抽象”或ERC-4337合约标准,其生态项目及用户都将迎来一波增长高峰。
Aptos 上钱包 Martian 已将助记词标准升级为 Aptos 官方钱包设定的新标准:金色财经消息,Aptos 链上钱包 Martian 表示刚将助记词标准升级为 Aptos 官方钱包设定的新标准,以确保互操作性,没有用户的地址或资产丢失。[2022/8/27 12:52:23]
(2)ERC-4337运行逻辑
ERC-4337合约之所以被看作是实现账户抽象功能的设计之一,在于它部署较轻易。它无需修改区块链底层核心协议,只通过在以太坊主网层添加新层、部署智能合约即可。
在ERC-4337出现之前,社区为了账户抽象的实现也提出了各种各样的方案,如EIP-86、EIP-2938等,但因为一些问题没有被广泛接受。ERC-4337通过提供无需更改共识协议且安全性更高的方案,在社区中得到了更多的关注。
图源:stackup
简单来说,ERC-4337有四个主要组成部分:UserOperation、Bundler、EntryPoint和Contract Account。同时这些可以用Paymasters和Aggregators来补充。
欧易Web3钱包通过慢雾及OKLink安全审计,未将任何私钥或助记词上传服务器:8月18日,OKLink安全审计团队发布推文称经过审计,欧易Web3钱包未将用户的私钥或助记词上传外部服务器。此前,慢雾安全审计也已经发布同样安全审计结果。据欧易相关负责人介绍,其Web3钱包私钥或助记词完全本地加密存储,只有用户可以解密,不触网,无泄漏风险。
据介绍,欧易Web3钱包是最全面的异构多链钱包,包含数字货币钱包、链上交易、NFT 市场、DApp 探索4大板块。支持30+公链、1000+Defi协议。[2022/8/19 12:35:31]
·UserOperations:是用于与合约账户执行交易的伪交易对象。
·Bundlers:是把UserOperations从内存池中打包并将它们发送到EntryPoint区块链上的合约参与者。
·EntryPoint:是处理交易验证和执行逻辑的智能合约。
·Contract Accounts:是用户拥有的智能合约帐户。
·Paymasters:是可选的智能合约账户,可以辅助Contract Accounts。
·Aggregators:是可选的智能合约,可以验证Contract Accounts。
Solana:Slope用户或曾在Slope导入助记词的设备或存在被盗风险:据官方消息,Solana发布8月2日Slope钱包事件更新:从UTC时间2022年8月2日22:37开始并持续约4小时,一个或多个恶意攻击者盗取了9231个钱包中共计价值约410万美元的资产。链上交易显示,受影响钱包的私钥已被泄露,并被用于签署恶意交易。
在开发人员、分析公司和安全审计员的调查中,受影响的地址似乎曾在iOS和Android上的Slope钱包应用程序(由Slope Finance创建和发布)中创建、导入或使用。这些Slope用户的私钥资料被Slope无意中传输到应用程序监控服务,但黑客获取或截获这些信息的途径仍在调查中。
此次攻击没有涉及与Solana Labs、Solana基金会或任何与Solana协议本身相关的核心代码,这不是协议级别的漏洞。
这一漏洞似乎孤立于支持Solana和以太坊地址的一个钱包提供商,但其他软件钱包(如Phantom和Solflare)上受影响的用户可能是用户重复使用在Slope中生成或存储的助记词的结果。
目前官方认为这不是与Slope以外的任何特定钱包实现直接相关的问题。由于以太坊和Solana都使用BIP39助记符,因此对使用以太坊钱包用户的任何影响也可能是由于重复使用了助记词。
无论是否使用Slope的硬件钱包没有受到影响,任何从助记词生成的从未被导入(或被Slope钱包使用)的钱包都没有受到影响。然而,用户只要将他们的助记词导入Slope应用程序,就有受攻击的风险。
Solana官方强调,Slope钱包用户或者之前曾将助记词导入Slope的设备,即使没有资产被转移,钱包也可能会被盗用。因此建议:
- 在另一个钱包应用程序中生成一个新的助记词;
- 将所有资产(代币和NFT)转移到这个新钱包;
- 放弃旧地址,因为它可能会受到攻击。
用户不应该重复使用以前在Slope移动应用中使用过的助记词衍生的钱包。[2022/8/9 12:11:42]
BTFS即将上线二维码助记词扫描导入功能:据最新消息,BTFS团队发布公告称,为方便BTFS矿工安全快捷的备份助记词,BTFS团队为助记词增加了对应的二维码,供TronLink钱包(手机App版)扫描直接导入。用户在创建/恢复BTFS钱包时,可以打开TronLink钱包App,找到扫一扫导入助记词按钮,扫描该二维码完成快速导入。扫描导入不再需要手动粘贴复制,也可以不再需要明文存储助记词,更加安全。[2020/11/9 12:05:23]
账户抽象可以解决什么问题?
我们来对比一下以太坊钱包(EOA)和智能合约钱包(Smart Contract Wallet),以及了解账户抽象可以解决什么问题。
(1)EOA钱包
简化的EOA交易机制,来源:Nethermind
迄今为止,大多数在以太坊和其他 EVM 网络上创建的账户都属于外部拥有账户类别(Externally Owned Accounts,EOA),是使用传统密钥的帐户。也就是说,它们包含一个可用于进行交易和签署消息的私钥。这意味私钥决定着资金的归属,如果您可以访问该私钥,您就可以完全控制该帐户。
动态 | 加密钱包GateHub的140万个用户账户信息被盗 包括密码、密钥和助记词:金色财经报道,数据泄露索引网站“ Have I was Pwned”一名安全研究人员表示,加密钱包GateHub和RuneScape机器人提供商EpicBot 220万用户的密码数据和个人信息已被泄露。Hunt称,被盗信息包括来自GateHub加密货币钱包的多达140万个用户帐户的个人信息,以及自称为世界上最安全的多合一RuneScape机器人提供商EpicBot上约80万个用户帐户的数据。 被盗信息包括注册的电子邮件地址、密码、双因素身份验证密钥、助记词和钱包哈希。GateHub官方表示,钱包哈希没有被访问。(cointelegraph)[2019/11/20]
大多数流行的钱包,如Metamask、Coinbase和imToken都是EOA,甚至Ledger Nano和Trezor等硬件钱包也是基于EOA。
(2)智能合约钱包
智能合约钱包交易,来源:Nethermind
另一种类型的以太坊账户是合约账户(Contract Accounts,CA),通过账户逻辑开发的合约账户称为智能合约钱包(Smart Contract Wallet/Account,SCW)。与EOA一样,每个智能合约账户都有一个唯一的公共以太坊地址,智能合约账户也可以接收资金并进行类似EOA的交易。
关键区别在于没有使用单个私钥来验证交易,账户如何完成交易背后的逻辑是在智能合约代码中定义的。智能合约是在以太坊区块链上运行并在满足特定条件时执行的程序,此类账户可以指定由谁以及在什么条件下可以执行交易。
(3)抽象账户解决的问题
“账户抽象”创造了一个新的账户类型:通过让账户作为智能合约存在,把“交易验证”和“交易执行”分开,让每个账户都变成了一个具有自己逻辑的智能合约,并具有无缝的兼容性,解决了EOA存在的问题。这种方式它让“个性化账户定制”成为可能,从而给普通用户一个不牺牲自我主权性的安全网和更流畅的用户体验。
以太坊需要进行这项更新,是为了让用户的钱包使用更加友好。比如钱包私钥一旦丢失,账户抽象功能即可轻松地恢复钱包账户,而无需担心私钥一旦丢失,则无法找回。
账户抽象带来的变化
值得一提的是,账户抽象这一概念被以太坊创始人Vitalik多次提到过,他认为实现它一直是以太坊开发人员的长期“梦想”。通过昨天这一消息的宣布,可以说Vitalik及其开发人员的梦想终于实现了。
有了抽象账户功能,用户能感受到什么变化呢?
① 用户可以创建“多重签名钱包”,让一组用户访问一个账户,并要求多个用户签署交易作为额外的安全机制;
② 用户可以用多个不同的密钥来授权交易;
③ 用户可以每周更改帐户的签名者;
④ 用户无需借助助记词也可实现账户恢复,如通过社交关系找回;
⑤ 用户不再需要额外储备ETH来支付其他ERC-20代币gas费。
在目前,外部钱包要在以太坊上交互的gas费只能通过钱包中的ETH来支付,如果你的钱包中只有ERC-20代币,没有ETH,你将没有办法将这些代币转出。当ERC-4337采用后,用户可以使用账户中的ERC-20代币来支付费用,由矿工节点用合约作为中介来代为支付ETH上链并获取用户的ERC-20代币。
抽象化实现后,由外部账户的所有者签名交易并进行广播将不再是发起交易的唯一方法。目前许多以太坊上的应用都依靠中继者在区块链上发布用户交易,并需要向中继者支付费用。如果钱包中可以内置更复杂的合约,有些中继者就不再有存在的必要,也就不需要向他们支付额外的费用。
结语
钱包被看作是进入Web3或加密世界的入口,因此Web3钱包的形式、功能也决定了行业发展的进程。一个在加密世界进行交易随时都有资金损失风险的钱包,肯定无法带来行业的发展。
智能合约钱包的推出,无疑助推了行业的进步。以太坊Layer 2 Rollup+账户抽象的技术路径已成发展定局,各个Rollup提供商也推出了兼容账户抽象的新版本。
目前ERC-4337的核心合约“账户抽象”已经通过了Open Zeppelin的审计,并将在每个以太坊虚拟机(EVM)上兼容,可用网络包括 Polygon、Optimism、Arbitrum、BNB Smart Chain、Avalanche和Gnosis Chain。关于“账户抽象”的协议也在不断发展。
图源:SevenX
这也意味着,未来新用户将不再需要特别保存、记忆复杂的助记词,设置钱包的相关专业技术,就能进入去中心化的加密世界。
可以说,Web3正向着越来越适用每个普通人的方向转变,以太坊智能合约钱包的推出,也意味着一个智能账户的新时代已经开启。这对于加密钱包行业无疑是颠覆性的变革,正如Yoav Weiss所说,在一张纸上抄写12个单词的时代即将成为过去式。
参考:
鹿目圆《以太坊账户抽象和ERC-4337》
Coindesk:Ethereum Says ERC-4337 Deployed, Tested, Beginning Era of Smart Accounts
Cointelegraph:Ethereum ERC-4337 'smart accounts' launch at WalletCon: Account abstraction is here
Stackup:Account Abstraction;ERC-4337 Overview
SevenX Ventures《以太坊钱包的变革:账户抽象与ERC-4337的机遇与挑战》
金色财经 善欧巴
金色早8点
Odaily星球日报
欧科云链
Arcane Labs
MarsBit
深潮TechFlow
BTCStudy
澎湃新闻
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。