作者:餅干,ChainCatcher
在加密貨幣領域,用戶不能為同一個錢包地址設置多個私鑰,也無法修改私鑰。因此,如果私鑰丟失,不僅會造成錢包資產丟失,該錢包也將永遠無法再被使用,只能作廢。
據?Coinbase產品戰略與業務運營總監ConorGrogan統計,約有11.5億美元的加密貨幣因人為過失而永久丟失。Grogan補充道,該統計數據遠低于因丟失錢包訪問權限而鎖住的ETH數量,因為鏈上存在大量長期不動的資產,無法判斷其中有多少丟失了私鑰。
加密錢包一直是以太坊創始人Vitalik長期關注的方向。Nethermind以及opengsn的研究人員在Vitalik的幫助下提出了EIP-4337,該提案提出了一種解決方法,無需更改任何共識層協議,就能為以太坊帶來“帳戶抽象”。最近,Vitalik在他的文章《如何為多簽錢包和社交恢復錢包選擇守護者?》中闡述了自己的觀點,致力于推動可信第三方在加密錢包中的采用。
近期,相比于Metamask、Imtoken等老牌加密錢包,一些基于EIP-4337的加密錢包開始嶄露頭角,它們試圖重新開啟加密錢包賽道的藍海。本文將簡要介紹EIP-4337的概念,以及Argent、Avocado、Braavos、PatchWallet、Unipass、Opclave、SoulWallet、Versa等11款賬戶抽象錢包。
EIP-4337有什么用?
目前,以太坊錢包地址分為EOA賬戶和合約賬戶,EIP-4337提案中提出了賬戶抽象的概念,可以用來管理多個合約賬戶和外部賬戶,以改善以太坊賬戶的安全性和可操作性。如果想深入了解機制,可查閱《EIP-4337賬戶抽象錢包方案能否開辟錢包新時代?》
安全團隊:Rubic被攻擊事件簡析:金色財經報道,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,Rubic項目被攻擊,Beosin安全團隊分析發現RubicProxy合約的routerCallNative函數由于缺乏參數校驗,_params可以指定任意的參數,攻擊者可以使用特定的integrator來讓RubicProxy合約可以幾乎零成本的調用自己傳入的函數data。攻擊者通過調用routerCallNative函數,把所有授權給RubicProxy合約的USDC全部通過transferFrom轉入了0x001B地址,被盜資金近1100個以太坊,通過Beosin Trace追蹤發現被盜資金已經全部轉入了Tornado cash。[2022/12/25 22:06:32]
使用EIP-4337可以帶來以下好處:
更高效的合約部署和維護:由于多個合約可以共享同一個地址和私鑰,可以減少合約部署和維護的工作量。
更好的安全性:由于賬戶合約只代表一個地址和私鑰,可以減少私鑰泄露的風險。
更好的可擴展性:由于可以實現可重用的合約代碼,可以更容易地實現復雜的合約邏輯。
簡而言之,EIP-4337的愿景是實現用戶友好,主要從易用性和社交恢復兩個方面實現,通過提高加密錢包的UI體驗而吸引新用戶,例如新用戶在注冊時不再需要抄寫助記詞。用戶丟失錢包私鑰后也可以通過社交關系找回。其他擴展功能包括多賬戶/多鏈管理、捆綁打包交易等,例如讓錢包自動為服務續費。
Beosin:UVT項目被黑客攻擊事件簡析,被盜資金已全部轉入Tornado Cash:金色財經報道,據Beosin EagleEye 安全預警與監控平臺檢測顯示,UVT項目被黑客攻擊,涉及金額為150萬美元。攻擊交易為0x54121ed538f27ffee2dbb232f9d9be33e39fdaf34adf993e5e019c00f6afd499
經Beosin安全團隊分析,發現攻擊者首先利用開發者部署的另一個合約的具有Controller權限的0xc81daf6e方法,該方法會調用被攻擊合約的0x7e39d2f8方法,因為合約具有Controller權限,所以通過驗證直接轉走了被攻擊合約的所有UVT代幣,Beosin安全團隊通過Beosin Trace進行追蹤,發現被盜資金已全部轉入Tornado Cash。[2022/10/27 11:48:46]
而EIP-4337實現的難點在于,將錢包復雜化之后,開發成本、兼容性以及用戶隱私等方面的挑戰,以及復雜的交互合約產生更高的gas費用等。
賬戶抽象錢包?
Argent
Argent錢包是一款以安全性和易用性為重點設計的加密貨幣錢包,其主要特點包括:
社交恢復:Argent的社交恢復功能使用戶可以通過與信任的聯系人建立連接來恢復其錢包。這使得用戶可以更輕松地恢復其錢包,而無需記住復雜的助記詞或私鑰。
無需以ETH作為gas費:Argent采用MetaTransaction技術實現用戶在不擁有ETH的情況下發送交易。具體來說,Argent通過“GasStationNetwork”的中間層服務為用戶支付gas費,并從用戶賬戶中扣除相應的費用。
安全團隊:獲利約900萬美元,Moola協議遭受黑客攻擊事件簡析:10月19日消息,據Beosin EagleEye Web3安全預警與監控平臺監測顯示,Celo上的Moola協議遭受攻擊,黑客獲利約900萬美元。Beosin安全團隊第一時間對事件進行了分析,結果如下:
第一步:攻擊者進行了多筆交易,用CELO買入MOO,攻擊者起始資金(182000枚CELO).
第二步:攻擊者使用MOO作為抵押品借出CELO。根據抵押借貸的常見邏輯,攻擊者抵押了價值a的MOO,可借出價值b的CELO。
第三步:攻擊者用貸出的CELO購買MOO,從而繼續提高MOO的價格。每次交換之后,Moo對應CELO的價格變高。
第四步:由于抵押借貸合約在借出時會使用交易對中的實時價格進行判斷,導致用戶之前的借貸數量,并未達到價值b,所以用戶可以繼續借出CELO。通過不斷重復這個過程,攻擊者把MOO的價格從0.02 CELO提高到0.73 CELO。
第五步:攻擊者進行了累計4次抵押MOO,10次swap(CELO換MOO),28次借貸,達到獲利過程。
本次遭受攻擊的抵押借貸實現合約并未開源,根據攻擊特征可以猜測攻擊屬于價格操縱攻擊。截止發文時,通過Beosin Trace追蹤發現攻擊者將約93.1%的所得資金 返還給了Moola Market項目方,將50萬CELO 捐給了impact market。自己留下了總計65萬個CELO作為賞金。[2022/10/19 17:32:31]
攻擊檢測:Argent錢包采用自行開發的"Guardians"智能合約自動檢測和防范釣魚攻擊、惡意軟件攻擊、重放攻擊等。例如,當用戶收到一個看似來自Argent錢包的電子郵件或短信時,Guardians合約會檢測該信息是否來自Argent官方渠道。如果檢測到該信息不是來自官方渠道,Guardians合約將自動阻止用戶執行任何與該信息相關的交易。
慢霧:Inverse Finance遭遇閃電貸攻擊簡析:據慢霧安全團隊鏈上情報,Inverse Finance遭遇閃電貸攻擊,損失53.2445WBTC和99,976.29USDT。慢霧安全團隊以簡訊的形式將攻擊原理分享如下:
1.攻擊者先從AAVE閃電貸借出27,000WBTC,然后存225WBTC到CurveUSDT-WETH-WBTC的池子獲得5,375.5個crv3crypto和4,906.7yvCurve-3Crypto,隨后攻擊者把獲得的2個憑證存入Inverse Finance獲得245,337.73個存款憑證anYvCrv3Crypto。
2.接下來攻擊者在CurveUSDT-WETH-WBTC的池子進行了一次swap,用26,775個WBTC兌換出了75,403,376.18USDT,由于anYvCrv3Crypto的存款憑證使用的價格計算合約除了采用Chainlink的喂價之外還會根據CurveUSDT-WETH-WBTC的池子的WBTC,WETH,USDT的實時余額變化進行計算所以在攻擊者進行swap之后anYvCrv3Crypto的價格被拉高從而導致攻擊者可以從合約中借出超額的10,133,949.1個DOLA。
3.借貸完DOLA之后攻擊者在把第二步獲取的75,403,376.18USDT再次swap成26,626.4個WBTC,攻擊者在把10,133,949.1DOLAswap成9,881,355個3crv,之后攻擊者通過移除3crv的流動性獲得10,099,976.2個USDT。
4.最后攻擊者把去除流動性的10,000,000個USDTswap成451.0個WBT,歸還閃電貸獲利離場。
針對該事件,慢霧給出以下防范建議:本次攻擊的原因主要在于使用了不安全的預言機來計算LP價格,慢霧安全團隊建議可以參考Alpha Finance關于獲取公平LP價格的方法。[2022/6/16 4:32:58]
目前Argent已完成3輪融資,累計融資金額達到5600萬美元,參投方包括FabricVentures、Metaplanet、Paradigm、StarkWare、JumpCrypto、AnimocaBrands等。現階段Argent錢包的用戶群體較少,主要原因包括ZK網絡的穩定性、不支持多種加密貨幣的存儲和交易等。
慢霧:Avalanche鏈上Zabu Finance被黑簡析:據慢霧區情報,9月12日,Avalanche上Zabu Finance項目遭受閃電貸攻擊,慢霧安全團隊進行分析后以簡訊的形式分享給大家參考:
1.攻擊者首先創建兩個攻擊合約,隨后通過攻擊合約1在Pangolin將WAVAX兌換成SPORE代幣,并將獲得的SPORE代幣抵押至ZABUFarm合約中,為后續獲取ZABU代幣獎勵做準備。
2.攻擊者通過攻擊合約2從Pangolin閃電貸借出SPORE代幣,隨后開始不斷的使用SPORE代幣在ZABUFarm合約中進行`抵押/提現`操作。由于SPORE代幣在轉賬過程中需要收取一定的手續費(SPORE合約收取),而ZABUFarm合約實際接收到的SPORE代幣數量是小于攻擊者傳入的抵押數量的。分析中我們注意到ZABUFarm合約在用戶抵押時會直接記錄用戶傳入的抵押數量,而不是記錄合約實際收到的代幣數量,但ZABUFarm合約在用戶提現時允許用戶全部提取用戶抵押時合約記錄的抵押數量。這就導致了攻擊者在抵押時ZABUFarm合約實際接收到的SPORE代幣數量小于攻擊者在提現時ZABUFarm合約轉出給攻擊者的代幣數量。
3.攻擊者正是利用了ZABUFarm合約與SPORE代幣兼容性問題導致的記賬缺陷,從而不斷通過`抵押/提現`操作將ZABUFarm合約中的SPORE資金消耗至一個極低的數值。而ZABUFarm合約的抵押獎勵正是通過累積的區塊獎勵除合約中抵押的SPORE代幣總量參與計算的,因此當ZABUFarm合約中的SPORE代幣總量降低到一個極低的數值時無疑會計算出一個極大的獎勵數值。
4.攻擊者通過先前已在ZABUFarm中有進行抵押的攻擊合約1獲取了大量的ZABU代幣獎勵,隨后便對ZABU代幣進行了拋售。
此次攻擊是由于ZabuFinance的抵押模型與SPORE代幣不兼容導致的,此類問題導致的攻擊已經發生的多起,慢霧安全團隊建議:項目抵押模型在對接通縮型代幣時應記錄用戶在轉賬前后合約實際的代幣變化,而不是依賴于用戶傳入的抵押代幣數量。[2021/9/12 23:19:21]
Avocado
Instadapp是一種基于以太坊的DeFi協議,旨在使DeFi變得更加簡單和易于管理。該協議推出了一款基于賬戶抽象的錢包Avocado,其主要特點包括以下幾個方面:
多鏈支持:Avocado支持多條區塊鏈,用戶可以在同一個錢包中管理多種加密貨幣,所有gas費用使用USDC支付。
安全保障:Avocado錢包采用了多重簽名技術和智能合約保障用戶的數字資產安全,同時還支持硬件錢包的連接。
DeFi服務:用戶可以在Avocado錢包中直接訪問各種去中心化應用,例如借貸、交易、穩定幣等。此外,用戶可以免費使用所有當前的Instadapp策略。
社區治理:Avocado錢包采用了DAO的治理模式,用戶可以通過投票參與錢包的決策和發展。
目前Instadapp已完成2輪融資,累計融資金額為1240萬美元,參投方包括CoinbaseVentures、PanteraCapital、StandardCrypto、RobotVentures、BalajiSrinivasan等。現階段Instadapp多個產品的總TVL超過20億美元,而Avocado作為其開發的集成錢包,享有網絡效應的優勢,例如使用閃貸無需支付費用,贈送1USDC的Gas費用補貼,免費使用Instadapp的自動化投資策略等。
Braavos
Braavos是一個開源的賬戶抽象層,它提供了一種簡單的方式來管理多個賬戶,并為應用程序提供了一個統一接口。其特點包括:
多賬戶支持:Braavos支持管理多個賬戶,包括銀行賬戶、支付寶、PayPal等。
統一API:Braavos提供了一個統一的API,使得應用程序可以使用相同的代碼來處理不同的賬戶類型。
安全性:Braavos使用OAuth2協議來處理授權和認證,保證了數據的安全性。
易于擴展:Braavos的設計使得它可以很容易地擴展到支持新的賬戶類型和服務。
自動化:Braavos自動處理賬戶余額和交易歷史記錄,使得應用程序可以專注于核心業務邏輯。
目前Braavos已完成1000萬美元融資,PanteraCapital領投,StarkWare、Crypto.comCapital、MatrixportVentures等參投。Braavos的硬件安全模塊通過帳戶抽象實現,具有驗證任意簽名的能力。
UniPass
UniPassWallet是一款支持鏈上Email社交恢復的智能合約錢包解決方案,旨在提供Web2用戶熟悉的使用體驗,其特點如下:
兼容ERC-4337:用戶可以通過在MainModule中添加4337模塊事務來激活ERC-4337兼容模式。激活之后,用戶可以發起的交易將提交給Bundler,通過標準的ERC-4337驗證方式。用戶也可以對UniPasstx進行簽名,提交給Relayer進行鏈上處理。
電子郵件恢復:用戶可以設置多個互聯網郵箱作為賬戶的守護者,只需將郵件提交至鏈上智能合約,即可幫助用戶實現賬戶找回錢包私鑰。當用戶擁有超過2個監護人郵箱時,用戶可以使用這兩個郵箱提交賬戶恢復郵件,立即恢復賬戶。當用戶只有一個監護人郵箱時,通常需要等待48小時的鎖定期才能恢復帳戶。
無Gas體驗:UniPass提供一個默認的中繼節點,接受用戶使用原生代幣和主流穩定幣形式的Gas支付。
UniPass于2022年4月完成由HashKeyCapital參投的種子輪融資。與其他錢包相比,UniPass支持所有EVM區塊鏈,主流的非EVM鏈也在路線圖中。此外,UniPass重視開發人員的體驗,提供了多款用于集成到dApp的SDK。
SoulWallet
SoulWallet是一個插件錢包,使用戶能夠:1.不需要助記詞的情況下創建錢包2.通過改變簽名密鑰來保持錢包。3.通過簽名聚合減少30%gasfee。4.支持USDC支付交易。5.由第三方贊助,無需gasfee。6.將多筆交易捆綁在一起。
SoulWallet于3月16日完成310萬美元種子輪融資,??StruckCrypto、NGCVentures、Alchemy、SignumCapital等參投。其創始人ZengJiajun是字節跳動和美團的前產品經理,SoulWallet計劃在第三季度或第四季度推出。
Versa
Versa是一站式UX簡化的智能合約錢包,用戶可以通過它輕松訪問無密鑰和社交登錄的加密錢包,進行Gas管理和鏈上賬戶恢復,設置自動支出,自動化投資策略等。Versa于3月23日宣布完成種子輪融資,STEPN開發商FindSatoshiLab、FoliusVentures和一些天使投資人等參投。目前Versa處于封閉測試階段。
Peaze
Peaze是一款允許用戶通過電子郵件和信用卡訪問Web3應用程序的錢包。Peaze利用智能合約控制私鑰訪問和簽名,當用戶確認一筆交易時,會生成一個標準的交易簽名,然后觸發入口流程,向用戶的法定支付方式收費,并將適當數量的加密貨幣發送到他們的錢包。在此步驟中還會執行任何必要的交換/橋接程序。
Opclave
Opclave允許用戶創建和使用具有觸摸/面部ID的非托管錢包,而無需種子短語。Opclave利用ERC-4337改進了OPStack的SC帳戶,使用AppleEnclave抽象的簽名,其核心理念是將Apple設備、iPhone、Macbook變成硬件錢包。Opclave是以太坊擴容黑客松、HacktheStack的優勝者。
PatchWallet
PatchWallet是一款支持使用GitHub/Twitter/Email登錄的加密錢包,不需要種子短語,該錢包支持多種主流加密貨幣,用戶可以在同一個錢包中管理多種加密貨幣。用戶還可以輕松地管理和切換多個賬戶,而無需重新導入私鑰。此外,PatchWallet支持硬件錢包,用戶可以將私鑰存儲在硬件設備中以提高安全性。
ZeroDev
ZeroDev是一個建立在ERC-4337之上的SDK,用于構建由帳戶抽象提供支持的Web3應用程序。使用ZeroDev可以創建易于使用的應用程序,用戶可以無需助記詞而通過好友恢復賬戶、允許第三方支付用戶完全跳過GAS、合并交易步驟以改善用戶體驗,節省時間和成本并提高安全性。
SequenceSequenceWallet是一款旨在實現無縫集成的非托管錢包,兼容所有EVM公鏈,支持社交/電子郵件登錄,Moonpay、Ramp等法幣支付提供商,使用各種貨幣支付Gas費等等。
小結
基于ERC-4337的錢包注重于將底層功能進行抽象化,社交恢復、無需原生Gas費用、捆綁打包交易是可以大幅提升UI體驗的功能。此外,集成?ERC-4377?的模塊化開發平臺或將成為主流。如?Patch、Sequence?和未列舉的Gelote等。
賬戶抽象錢包可能需要一個更加“MakeSense”的案例才能得到大規模采用,現階段多個項目的“無Gas費”宣傳語存在一定的誤導性,其背后的邏輯只是允許用戶使用USDC等非ETH幣種來支付Gas,補貼策略似乎也收效甚微。另一方面,錢包的多鏈困境也沒有得到明顯改善。號稱能夠實現“多鏈”的錢包只是面向EVM兼容鏈,而zk系、Move系、Solana系等生態錢包還受困于孤島效應。
智能合約錢包正在成為趨勢,細分賽道中還出現了其他競爭者。MPC錢包將私鑰分散存儲在多個設備中,通過多方計算實現無私鑰、社交恢復等功能。例如,3月7日宣布完成由a16z領投的MPC錢包Capsule,通過引入可編程的MPC來擴展鏈上交易的使用場景。與此同時,擁有巨大用戶基礎的Telegram計劃推出加密錢包,目前已支持在應用聊天界面直接交易BTC、TON和USDT。這些競爭者也在爭奪用戶,并且在不斷地推出新的功能和服務。
Tags:AVOABUENTGASEXCAVO ProtocolSHIBSHABU幣Transparent TokenOntology Gas
作者:JoeyWu,吳說 一、?比特幣購買歷程 2020年12月9日,MicroStrategy以約6.5億美元的現金購買了29646枚比特幣,平均價格約為21925美元.
1900/1/1 0:00:00來源:maik2hello.eth參與本次活動將會獲得現金獎勵以及早期參與者NFT憑證(正常交互情況下來抵扣手續費后大概一個賬戶有幾刀現金獎勵)dappOS開啟第一次和GMX的聯合活動.
1900/1/1 0:00:00DCOREUM去中心化商業網絡的重磅生態項目BAODAO早鳥計劃已全部售罄,并將于2023年04月12日15:31正式上線啟動.
1900/1/1 0:00:00原文:《INTHEUNITEDSTATESDISTRICTCOURTFORTHENORTHERNDISTRICTOFILLINOIS》編譯:麟奇,ChainCatcher原告商品期貨交易委員會.
1900/1/1 0:00:00作者:Surf 編譯:深潮TechFlow“銀行對以法幣支持的穩定幣構成風險”,這是否標志著去中心化穩定幣敘事的開端?加密分析師Surf在這里對穩定幣和LiquityProtocol的$LUSD.
1900/1/1 0:00:00作者:LDCapital 摘要 2023年加密市場從去年的深熊里大幅反彈,很多人可能還未來的及‘上車’.
1900/1/1 0:00:00