以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads

簡析賬戶抽象和EIP-4337:未來智能合約錢包落地情況如何?_USD:CKUSD價格

Author:

Time:1900/1/1 0:00:00

最近,賬戶抽象以及EIP-4337在開發者圈子里很火。賬戶抽象指的是未來錢包簽名機制概念化。目前,主流錢包采用的簽名機制是CDSA,而未來錢包的簽名機制可以多樣化:采用多簽、其他的加密算法以及ZK驗證等。EIP-4337的提出則推動賬戶抽象概念的落地,未來將可能開啟智能合約錢包新紀元。

那么,賬戶抽象所帶來的錢包改革會帶來什么實質性的好處嗎?在Metamask、MathWallet等錢包已經成了主流應用的情況下,智能合約錢包還機會興起嗎?本文在科普的基礎上也對上述話題進行探討。

(本文由FenbushiCapital原創,有匪撰文,感謝MathWalletCTOEric的分享。)

EOA錢包&智能合約錢包

錢包的賬戶都有兩部分構成:分別為外部賬戶。EOA錢包是用戶通過私鑰直接控制賬戶的錢包。其中,錢包賬戶的創建是通過隨機生成私鑰、根據私鑰計算出公鑰、根據公鑰計算出地址的方式。用戶發送交易的過程實際上是用私鑰為交易數據簽名的過程,由外部賬戶觸發。

LendHub被黑簡析:系LendHub中存在新舊兩市場:金色財經報道,據慢霧安全區情報,2023 年 1 月 13 日,HECO 生態跨鏈借貸平臺 LendHub 被攻擊損失近 600 萬美金。慢霧安全團隊以簡訊的形式分享如下:

此次攻擊原因系 LendHub 中存在兩個 lBSV cToken,其一已在 2021 年 4 月被廢棄但并未從市場中移除,這導致了新舊兩個 lBSV 都存在市場中。且新舊兩個 lBSV 所對應的 Comptroller 并不相同但卻都在市場中有價格,這造成新舊市場負債計算割裂。攻擊者利用此問題在舊的市場進行抵押贖回,在新的市場進行借貸操作,惡意套取了新市場中的協議資金。

目前主要黑客獲利地址為 0x9d01..ab03,黑客攻擊手續費來源為 1 月 12 日從 Tornado.Cash 接收的 100 ETH。截至此時,黑客已分 11 筆共轉 1,100 ETH 到 Tornado.Cash。通過威脅情報網絡,已經得到黑客的部分痕跡,慢霧安全團隊將持續跟進分析。[2023/1/13 11:11:00]

安全團隊:Rubic被攻擊事件簡析:金色財經報道,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,Rubic項目被攻擊,Beosin安全團隊分析發現RubicProxy合約的routerCallNative函數由于缺乏參數校驗,_params可以指定任意的參數,攻擊者可以使用特定的integrator來讓RubicProxy合約可以幾乎零成本的調用自己傳入的函數data。攻擊者通過調用routerCallNative函數,把所有授權給RubicProxy合約的USDC全部通過transferFrom轉入了0x001B地址,被盜資金近1100個以太坊,通過Beosin Trace追蹤發現被盜資金已經全部轉入了Tornado cash。[2022/12/25 22:06:32]

EOA錢包的優劣勢包括,優勢:

Beosin:BSC鏈上的gala.games項目遭受攻擊事件簡析:金色財經報道,根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示,BSC鏈上的gala.games項目遭受攻擊,Beosin分析發現由于pNetwork項目的bridge配置錯誤導致pTokens(GALA) 代幣增發,累計增發55,628,400,000枚pTokens(GALA),攻擊者已經把部分pTokens(GALA) 兌換成12,976個BNB,攻擊者(0x6891A233Bca9E72A078bCB71ba02aD482A44e8C1)累計獲利約434萬美元。Beosin Trace追蹤發現被盜金額還存在攻擊者地址中。

第一筆攻擊交易:0x4b239b0a92b8375ca293e0fde9386cbe6bbeb2f04bc23e7c80147308b9515c2e

第二筆攻擊交易:0x439aa6f526184291a0d3bd3d52fccd459ec3ea0a8c1d5bf001888ef670fe616d[2022/11/4 12:17:00]

1.可以免費創建錢包。

Force DAO 代幣增發漏洞簡析:據慢霧區消息,DeFi 量化對沖基金 Force DAO 項目的 FORCE 代幣被大量增發。經慢霧安全團隊分析發現: 在用戶進行 deposit 操縱時,Force DAO 會為用戶鑄造 xFORCE 代幣,并通過 FORCE 代幣合約的 transferFrom 函數將 FORCE 代幣轉入 ForceProfitSharing 合約中。但 FORCE 代幣合約的 transferFrom 函數使用了 if-else 邏輯來檢查用戶的授權額度,當用戶的授權額度不足時 transferFrom 函數返回 false,而 ForceProfitSharing 合約并未對其返回值進行檢查。導致了 deposit 的邏輯正常執行,xFORCE 代幣被順利鑄造給用戶,但由于 transferFrom 函數執行失敗 FORCE 代幣并未被真正充值進 ForceProfitSharing 合約中。最終造成 FORCE 代幣被非預期的大量鑄造的問題。 此漏洞發生的主要原因在于 FORCE 代幣的 transferFrom 函數使用了`假充值`寫法,但外部合約在對其進行調用時并未嚴格的判斷其返回值,最終導致這一慘劇的發生。慢霧安全團隊建議在對接此類寫法的代幣時使用 require 對其返回值進行檢查,以避免此問題的發生。[2021/4/4 19:45:30]

2.轉賬是gas費用較為低廉。

Harvest.Finance被黑事件簡析:10月26號,據慢霧區消息 Harvest Finance 項目遭受閃電貸攻擊,損失超過 400 萬美元。以下為慢霧安全團隊對此事件的簡要分析。

1. 攻擊者通過 Tornado.cash 轉入 20ETH 作為后續攻擊手續費;

2. 攻擊者通過 UniswapV2 閃電貸借出巨額 USDC 與 USDT;

3. 攻擊者先通過 Curve 的 exchange_underlying 函數將 USDT 換成 USDC,此時 Curve yUSDC 池中的 investedUnderlyingBalance 將相對應的變小;

4. 隨后攻擊者通過 Harvest 的 deposit 將巨額 USDC 充值進 Vault 中,充值的同時 Harvest 的 Vault 將鑄出 fUSDC,而鑄出的數量計算方式如下:

amount.mul(totalSupply()).div(underlyingBalanceWithInvestment());

計算方式中的 underlyingBalanceWithInvestment 一部分取的是 Curve 中的 investedUnderlyingBalance 值,由于 Curve 中 investedUnderlyingBalance 的變化將導致 Vault 鑄出更多的 fUSDC;

5. 之后再通過 Curve 把 USDC 換成 USDT 將失衡的價格拉回正常;

6. 最后只需要把 fUSDC 歸還給 Vault 即可獲得比充值時更多的 USDC;

7. 隨后攻擊者開始重復此過程持續獲利;

其他攻擊流程與上訴分析過程類似。參考交易哈希:0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877。

此次攻擊主要是 Harvest Finance 的 fToken(fUSDC、fUSDT...) 在鑄幣時采用的是 Curve y池中的報價(即使用 Curve 作為喂價來源),導致攻擊者可以通過巨額兌換操控預言機的價格來控制 Harvest Finance 中 fToken 的鑄幣數量,從而使攻擊者有利可圖。[2020/10/26]

3.可以同時操作多個賬戶。

劣勢:

1.用戶在生成一個錢包后,需要保留相應的私鑰。一旦私鑰流出,錢包因資產將面臨被盜風險而被棄用。

2.用戶在轉賬操作時經常需要授權應用,這給到惡意賬戶可乘之機,智能合約可以瞬間把資產轉走。

3.用戶必須用ETH進行支付gas費用。

而合約錢包在保留公私鑰的同時,不同點在于錢包本身由智能合約操作,發起交易則直接通過合約賬戶來完成。

合約錢包具備以下優劣勢,優勢:

1. 無需助記詞,可恢復錢包并更換私鑰。

2. 無需購買ETH作為gas費用支付。

3. 可管理,在基礎的轉賬上增添更多功能:隱私交易、多簽、代付gas費用等。

4. 可編程、可升級,定制化。

劣勢:

1.創建錢包需要一定的成本,無法批量創建免費錢包。

2.在Layer1的gas費成本高昂,之后搭建在Layer2上會好一點。

3.一筆交易一次操作,多筆交易無法打包成一次。

4.合約漏洞會影響錢包安全。

對比下來,EOA錢包像是ATM機,只支持存取、轉賬、余額查詢等基本服務。而合約錢包則更像是智能化的銀行系統,用戶可以設置白名單賬戶、最大提取額度;在轉賬操作上更加寬宥,允許項目方、好朋友代付等等。由于各種操作都需要調用智能合約,提高了用戶管理錢包的便捷度。安全方面,EOA錢包和智能合約錢包各自存在隱患:前者容易在私鑰泄露和授權應用上出問題,后者則可能出現合約漏洞。有一點壞處是,用戶在使用合約錢包時每次調用智能合約費用較高。不過,此次以太坊基金會強推賬戶抽象,必有深意,下文繼續分說。

以太坊路線圖&EIP-4337

賬戶抽象概念自2015年就被提出,經歷過多次的EIP提案也未成型。而最新的EIP-4337之所以受到以太坊基金會的重視,在于以太坊路線圖的確定。在合并之后,以太坊未來升級(proto-danksharding)都會圍繞著為Roll-up服務的基調。Rollup會顯著降低gas費用,而Proto-danksharding在降低gas費上又添助益。這為智能合約錢包的普及奠定了良好的基礎,解決了gas費用貴的主要問題。

EIP-4337無需在以太坊共識層面進行改動,而是推出了由Useroperation、Bundler以及Paymaster等角色構成的解決方案。解決方案如下:

1、Alice(用戶)發起一個“用戶操作”,并包含它想要執行的交易。

2、她將操作發送到高級別的“用戶操作內存池”。

3、操作被部分驗證并廣播到P2P內存池節點網絡。

4、操作由“Bundler”負責,Bundler可以是任何人——MEV搜索者、驗證者、你或我,等等。所有的操作被打包者打包成一筆大額交易。

5、打包者將該區塊與其他交易一起包含在以太坊區塊中。

接著是打包者的功能,來了解交易將如何被執行和驗證。

1、打包者將交易路由到一個全局的“入口點”智能合約。

2、全局合約通過每個用戶操作并調用智能合約錢包中的“驗證函數”。

3、錢包運行這個函數來驗證用戶操作的簽名,并對打包者打包這些交易進行補償。

4、錢包運行一個執行操作來操作指定的交易。

5、執行操作后,剩余的gas會退還至錢包。

關于EIP-4337,其中新的mempool相當于在更高級別的系統中復制原先的交易內存池,bundler相當于sequencer對于交易進行排序并可能獲取一定的MEV收入,entrypointcontract作為可信入口點用以檢索和檢查打包內容是否有垃圾交易。Paymaster的模塊未來可以接入token/法幣通道,代付的應用場景也很豐富:第一,允許應用開發者代用戶付費;第二,允許用戶以ERC20代幣支付費用,合約作為中介收取ERC20并以ETH支付。總得來說,EIP-4337中的useroperationmempool以及paymaster有機會創造出全新的業態,值得開發者深入探索!

短期&長期智能合約錢包落地情況

短期來看,Argent已經實現了部分智能合約錢包的功能,包括無需助記詞和私鑰,僅憑手機號和郵箱賬戶即可創建賬戶;添加可信第三方“guardian”實現無私鑰恢復;支持更復雜的功能,通過DAI/WETH進行gas費用支付等等。不過,智能合約錢包并非無后顧之憂,依舊存有風險敞口。

長期來看,智能合約錢包的普及會面對如下阻力:

1.合約錢包的門檻較高,創建錢包需要花錢。從用戶的角度來看,如果項目方不進行補貼,就難以有動力去使用產品。

2.合約錢包的廣泛應用有賴于以太坊Layer2的蓬勃生態。就短期來說,Layer2生態還遠未達到成熟的水平。

3.主流的錢包已經獲取太多用戶了,基于安全等因素的考慮,目前缺乏動力進行改革。

綜上所述,智能合約錢包因其可編程型、智能性、復合功能而備受關注,可能成為主流錢包的發展方向。不過辯證得看,它并不是十全十美、萬無一失,它的普及仍依賴于Layer2生態的成熟。最后是市場因素,這取決于用戶選擇對賬戶的”控制權“還是”便捷性“。

Tags:ORCUSDFORCEFORorc幣能堅持多久CKUSD價格force幣最新映射InnitForTheTECH

火幣APP下載
金色早報 | 美聯儲9月會議紀要顯示將持續加息_比特幣:數字資產

頭條 ▌德克薩斯州比特幣礦工面臨立法者的審查金色財經報道,美國立法者們正在向德克薩斯州電力可靠性委員會尋求有關過去六年采礦業所消耗的電力的信息.

1900/1/1 0:00:00
金色Web3.0日報 | 推特正式宣布測試NFT磁吸功能NFTTweetTiles_HYD:HydraMeta

DeFi數據 1、DeFi代幣總市值:460.5億美元 DeFi總市值及前十代幣數據來源:coingecko2、過去24小時去中心化交易所的交易量29.

1900/1/1 0:00:00
金色觀察 | SEC vs. BAYC 業內人士如何看待這場“斗爭”?_ALAB:ALA

金色財經區塊鏈10月19日訊近日美國證券交易委員會調查YugaLabs的消息引發了NFT世界巨大震動.

1900/1/1 0:00:00
楊歌:金融電路與 Web3 經濟模型原理 (轉載及導言)_WEB3:web3.0幣龍頭

引介 孟巖 楊歌先生近期發表的《金融電路與Web3經濟模型原理》成為中文Web3核心圈的一篇刷屏文。本公眾號得到作者本人的授權,全文轉載這篇重要的文章,并略作評介,希望啟發更多人的關注與思考.

1900/1/1 0:00:00
盤點6大游戲公會現狀:收益下降 急需轉型_GUILD:Futurov Governance Token

原文標題:《GamingGuildsUpdate》原文作者:JaydenAndrew,DelphiDigital分析師 一、介紹 對于crypto投資者來說.

1900/1/1 0:00:00
Aptos 理性分析:Move 是亮點 但仍缺乏創新_MOV:APT

原文作者:0xFishylosopher 編譯:白澤研究院 隨著Aptos最近主網的發布以及它在Binance和其他加密貨幣交易平臺的代幣發布.

1900/1/1 0:00:00
ads