木星链 木星链
Ctrl+D收藏木星链
首页 > OKB > 正文

AVO:简析 11 款账户抽象钱包:我们距离“丝滑”的加密体验还有多远?

作者:

时间:1900/1/1 0:00:00

作者:饼干,ChainCatcher

在加密货币领域,用户不能为同一个钱包地址设置多个私钥,也无法修改私钥。因此,如果私钥丢失,不仅会造成钱包资产丢失,该钱包也将永远无法再被使用,只能作废。

据?Coinbase产品战略与业务运营总监ConorGrogan统计,约有11.5亿美元的加密货币因人为过失而永久丢失。Grogan补充道,该统计数据远低于因丢失钱包访问权限而锁住的ETH数量,因为链上存在大量长期不动的资产,无法判断其中有多少丢失了私钥。

加密钱包一直是以太坊创始人Vitalik长期关注的方向。Nethermind以及opengsn的研究人员在Vitalik的帮助下提出了EIP-4337,该提案提出了一种解决方法,无需更改任何共识层协议,就能为以太坊带来“帐户抽象”。最近,Vitalik在他的文章《如何为多签钱包和社交恢复钱包选择守护者?》中阐述了自己的观点,致力于推动可信第三方在加密钱包中的采用。

近期,相比于Metamask、Imtoken等老牌加密钱包,一些基于EIP-4337的加密钱包开始崭露头角,它们试图重新开启加密钱包赛道的蓝海。本文将简要介绍EIP-4337的概念,以及Argent、Avocado、Braavos、PatchWallet、Unipass、Opclave、SoulWallet、Versa等11款账户抽象钱包。

EIP-4337有什么用?

目前,以太坊钱包地址分为EOA账户和合约账户,EIP-4337提案中提出了账户抽象的概念,可以用来管理多个合约账户和外部账户,以改善以太坊账户的安全性和可操作性。如果想深入了解机制,可查阅《EIP-4337账户抽象钱包方案能否开辟钱包新时代?》

安全公司:AurumNodePool合约遭受漏洞攻击简析:金色财经报道,据区块链安全审计公司Beosin EagleEye监测显示,2022年11月23日,AurumNodePool合约遭受漏洞攻击。

Beosin分析发现由于漏洞合约的changeRewardPerNode函数未进行验证,导致攻击者可以调用该函数进行任意值设置。

攻击者首先调用changeRewardPerNode函数将每日奖励值设置成一个极大数,接下来调用claimNodeReward函数提取节点奖励,而节点奖励的计算取决于攻击者设置的rewardPerDay值,导致计算的节点奖励非常高。而在这一笔交易之前,攻击者便通过一笔交易(0xb3bc6ca257387eae1cea3b997eb489c1a9c208d09ec4d117198029277468e25d)向合约存入了1000AUR,创建了攻击者的节点记录,从而使得攻击者能够提取出该节点奖励。最终攻击者通过该漏洞获得约50个BNB($14,538.04)。[2022/11/23 8:01:04]

使用EIP-4337可以带来以下好处:

更高效的合约部署和维护:由于多个合约可以共享同一个地址和私钥,可以减少合约部署和维护的工作量。

更好的安全性:由于账户合约只代表一个地址和私钥,可以减少私钥泄露的风险。

更好的可扩展性:由于可以实现可重用的合约代码,可以更容易地实现复杂的合约逻辑。

简而言之,EIP-4337的愿景是实现用户友好,主要从易用性和社交恢复两个方面实现,通过提高加密钱包的UI体验而吸引新用户,例如新用户在注册时不再需要抄写助记词。用户丢失钱包私钥后也可以通过社交关系找回。其他扩展功能包括多账户/多链管理、捆绑打包交易等,例如让钱包自动为服务续费。

Beosin:BSC链上的gala.games项目遭受攻击事件简析:金色财经报道,根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示,BSC链上的gala.games项目遭受攻击,Beosin分析发现由于pNetwork项目的bridge配置错误导致pTokens(GALA) 代币增发,累计增发55,628,400,000枚pTokens(GALA),攻击者已经把部分pTokens(GALA) 兑换成12,976个BNB,攻击者(0x6891A233Bca9E72A078bCB71ba02aD482A44e8C1)累计获利约434万美元。Beosin Trace追踪发现被盗金额还存在攻击者地址中。

第一笔攻击交易:0x4b239b0a92b8375ca293e0fde9386cbe6bbeb2f04bc23e7c80147308b9515c2e

第二笔攻击交易:0x439aa6f526184291a0d3bd3d52fccd459ec3ea0a8c1d5bf001888ef670fe616d[2022/11/4 12:17:00]

而EIP-4337实现的难点在于,将钱包复杂化之后,开发成本、兼容性以及用户隐私等方面的挑战,以及复杂的交互合约产生更高的gas费用等。

账户抽象钱包?

Argent

Argent钱包是一款以安全性和易用性为重点设计的加密货币钱包,其主要特点包括:

社交恢复:Argent的社交恢复功能使用户可以通过与信任的联系人建立连接来恢复其钱包。这使得用户可以更轻松地恢复其钱包,而无需记住复杂的助记词或私钥。

安全团队:LPC项目遭受闪电贷攻击简析,攻击者共获利约45,715美元:7月25日,据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示,LPC项目遭受闪电贷攻击。成都链安安全团队简析如下:攻击者先利用闪电贷从Pancake借入1,353,900个LPC,随后攻击者调用LPC合约中的transfer函数向自己转账,由于 _transfer函数中未更新账本余额,而是直接在原接收者余额recipientBalance值上进行修改,导致攻击者余额增加。随后攻击者归还闪电贷并将获得的LPC兑换为BUSD,最后兑换为BNB获利离场。本次攻击项目方损失845,631,823个 LPC,攻击者共获利178 BNB,价值约45,715美元,目前获利资金仍然存放于攻击者地址上(0xd9936EA91a461aA4B727a7e3661bcD6cD257481c),成都链安“链必追”平台将对此地址进行监控和追踪。[2022/7/25 2:36:51]

无需以ETH作为gas费:Argent采用MetaTransaction技术实现用户在不拥有ETH的情况下发送交易。具体来说,Argent通过“GasStationNetwork”的中间层服务为用户支付gas费,并从用户账户中扣除相应的费用。

攻击检测:Argent钱包采用自行开发的"Guardians"智能合约自动检测和防范钓鱼攻击、恶意软件攻击、重放攻击等。例如,当用户收到一个看似来自Argent钱包的电子邮件或短信时,Guardians合约会检测该信息是否来自Argent官方渠道。如果检测到该信息不是来自官方渠道,Guardians合约将自动阻止用户执行任何与该信息相关的交易。

慢雾:Inverse Finance遭遇闪电贷攻击简析:据慢雾安全团队链上情报,Inverse Finance遭遇闪电贷攻击,损失53.2445WBTC和99,976.29USDT。慢雾安全团队以简讯的形式将攻击原理分享如下:

1.攻击者先从AAVE闪电贷借出27,000WBTC,然后存225WBTC到CurveUSDT-WETH-WBTC的池子获得5,375.5个crv3crypto和4,906.7yvCurve-3Crypto,随后攻击者把获得的2个凭证存入Inverse Finance获得245,337.73个存款凭证anYvCrv3Crypto。

2.接下来攻击者在CurveUSDT-WETH-WBTC的池子进行了一次swap,用26,775个WBTC兑换出了75,403,376.18USDT,由于anYvCrv3Crypto的存款凭证使用的价格计算合约除了采用Chainlink的喂价之外还会根据CurveUSDT-WETH-WBTC的池子的WBTC,WETH,USDT的实时余额变化进行计算所以在攻击者进行swap之后anYvCrv3Crypto的价格被拉高从而导致攻击者可以从合约中借出超额的10,133,949.1个DOLA。

3.借贷完DOLA之后攻击者在把第二步获取的75,403,376.18USDT再次swap成26,626.4个WBTC,攻击者在把10,133,949.1DOLAswap成9,881,355个3crv,之后攻击者通过移除3crv的流动性获得10,099,976.2个USDT。

4.最后攻击者把去除流动性的10,000,000个USDTswap成451.0个WBT,归还闪电贷获利离场。

针对该事件,慢雾给出以下防范建议:本次攻击的原因主要在于使用了不安全的预言机来计算LP价格,慢雾安全团队建议可以参考Alpha Finance关于获取公平LP价格的方法。[2022/6/16 4:32:58]

目前Argent已完成3轮融资,累计融资金额达到5600万美元,参投方包括FabricVentures、Metaplanet、Paradigm、StarkWare、JumpCrypto、AnimocaBrands等。现阶段Argent钱包的用户群体较少,主要原因包括ZK网络的稳定性、不支持多种加密货币的存储和交易等。

Force DAO 代币增发漏洞简析:据慢雾区消息,DeFi 量化对冲基金 Force DAO 项目的 FORCE 代币被大量增发。经慢雾安全团队分析发现: 在用户进行 deposit 操纵时,Force DAO 会为用户铸造 xFORCE 代币,并通过 FORCE 代币合约的 transferFrom 函数将 FORCE 代币转入 ForceProfitSharing 合约中。但 FORCE 代币合约的 transferFrom 函数使用了 if-else 逻辑来检查用户的授权额度,当用户的授权额度不足时 transferFrom 函数返回 false,而 ForceProfitSharing 合约并未对其返回值进行检查。导致了 deposit 的逻辑正常执行,xFORCE 代币被顺利铸造给用户,但由于 transferFrom 函数执行失败 FORCE 代币并未被真正充值进 ForceProfitSharing 合约中。最终造成 FORCE 代币被非预期的大量铸造的问题。 此漏洞发生的主要原因在于 FORCE 代币的 transferFrom 函数使用了`假充值`写法,但外部合约在对其进行调用时并未严格的判断其返回值,最终导致这一惨剧的发生。慢雾安全团队建议在对接此类写法的代币时使用 require 对其返回值进行检查,以避免此问题的发生。[2021/4/4 19:45:30]

Avocado

Instadapp是一种基于以太坊的DeFi协议,旨在使DeFi变得更加简单和易于管理。该协议推出了一款基于账户抽象的钱包Avocado,其主要特点包括以下几个方面:

多链支持:Avocado支持多条区块链,用户可以在同一个钱包中管理多种加密货币,所有gas费用使用USDC支付。

安全保障:Avocado钱包采用了多重签名技术和智能合约保障用户的数字资产安全,同时还支持硬件钱包的连接。

DeFi服务:用户可以在Avocado钱包中直接访问各种去中心化应用,例如借贷、交易、稳定币等。此外,用户可以免费使用所有当前的Instadapp策略。

社区治理:Avocado钱包采用了DAO的治理模式,用户可以通过投票参与钱包的决策和发展。

目前Instadapp已完成2轮融资,累计融资金额为1240万美元,参投方包括CoinbaseVentures、PanteraCapital、StandardCrypto、RobotVentures、BalajiSrinivasan等。现阶段Instadapp多个产品的总TVL超过20亿美元,而Avocado作为其开发的集成钱包,享有网络效应的优势,例如使用闪贷无需支付费用,赠送1USDC的Gas费用补贴,免费使用Instadapp的自动化投资策略等。

Braavos

Braavos是一个开源的账户抽象层,它提供了一种简单的方式来管理多个账户,并为应用程序提供了一个统一接口。其特点包括:

多账户支持:Braavos支持管理多个账户,包括银行账户、支付宝、PayPal等。

统一API:Braavos提供了一个统一的API,使得应用程序可以使用相同的代码来处理不同的账户类型。

安全性:Braavos使用OAuth2协议来处理授权和认证,保证了数据的安全性。

易于扩展:Braavos的设计使得它可以很容易地扩展到支持新的账户类型和服务。

自动化:Braavos自动处理账户余额和交易历史记录,使得应用程序可以专注于核心业务逻辑。

目前Braavos已完成1000万美元融资,PanteraCapital领投,StarkWare、Crypto.comCapital、MatrixportVentures等参投。Braavos的硬件安全模块通过帐户抽象实现,具有验证任意签名的能力。

UniPass

UniPassWallet是一款支持链上Email社交恢复的智能合约钱包解决方案,旨在提供Web2用户熟悉的使用体验,其特点如下:

兼容ERC-4337:用户可以通过在MainModule中添加4337模块事务来激活ERC-4337兼容模式。激活之后,用户可以发起的交易将提交给Bundler,通过标准的ERC-4337验证方式。用户也可以对UniPasstx进行签名,提交给Relayer进行链上处理。

电子邮件恢复:用户可以设置多个互联网邮箱作为账户的守护者,只需将邮件提交至链上智能合约,即可帮助用户实现账户找回钱包私钥。当用户拥有超过2个监护人邮箱时,用户可以使用这两个邮箱提交账户恢复邮件,立即恢复账户。当用户只有一个监护人邮箱时,通常需要等待48小时的锁定期才能恢复帐户。

无Gas体验:UniPass提供一个默认的中继节点,接受用户使用原生代币和主流稳定币形式的Gas支付。

UniPass于2022年4月完成由HashKeyCapital参投的种子轮融资。与其他钱包相比,UniPass支持所有EVM区块链,主流的非EVM链也在路线图中。此外,UniPass重视开发人员的体验,提供了多款用于集成到dApp的SDK。

SoulWallet

SoulWallet是一个插件钱包,使用户能够:1.不需要助记词的情况下创建钱包2.通过改变签名密钥来保持钱包。3.通过签名聚合减少30%gasfee。4.支持USDC支付交易。5.由第三方赞助,无需gasfee。6.将多笔交易捆绑在一起。

SoulWallet于3月16日完成310万美元种子轮融资,??StruckCrypto、NGCVentures、Alchemy、SignumCapital等参投。其创始人ZengJiajun是字节跳动和美团的前产品经理,SoulWallet计划在第三季度或第四季度推出。

Versa

Versa是一站式UX简化的智能合约钱包,用户可以通过它轻松访问无密钥和社交登录的加密钱包,进行Gas管理和链上账户恢复,设置自动支出,自动化投资策略等。Versa于3月23日宣布完成种子轮融资,STEPN开发商FindSatoshiLab、FoliusVentures和一些天使投资人等参投。目前Versa处于封闭测试阶段。

Peaze

Peaze是一款允许用户通过电子邮件和信用卡访问Web3应用程序的钱包。Peaze利用智能合约控制私钥访问和签名,当用户确认一笔交易时,会生成一个标准的交易签名,然后触发入口流程,向用户的法定支付方式收费,并将适当数量的加密货币发送到他们的钱包。在此步骤中还会执行任何必要的交换/桥接程序。

Opclave

Opclave允许用户创建和使用具有触摸/面部ID的非托管钱包,而无需种子短语。Opclave利用ERC-4337改进了OPStack的SC帐户,使用AppleEnclave抽象的签名,其核心理念是将Apple设备、iPhone、Macbook变成硬件钱包。Opclave是以太坊扩容黑客松、HacktheStack的优胜者。

PatchWallet

PatchWallet是一款支持使用GitHub/Twitter/Email登录的加密钱包,不需要种子短语,该钱包支持多种主流加密货币,用户可以在同一个钱包中管理多种加密货币。用户还可以轻松地管理和切换多个账户,而无需重新导入私钥。此外,PatchWallet支持硬件钱包,用户可以将私钥存储在硬件设备中以提高安全性。

ZeroDev

ZeroDev是一个建立在ERC-4337之上的SDK,用于构建由帐户抽象提供支持的Web3应用程序。使用ZeroDev可以创建易于使用的应用程序,用户可以无需助记词而通过好友恢复账户、允许第三方支付用户完全跳过GAS、合并交易步骤以改善用户体验,节省时间和成本并提高安全性。

SequenceSequenceWallet是一款旨在实现无缝集成的非托管钱包,兼容所有EVM公链,支持社交/电子邮件登录,Moonpay、Ramp等法币支付提供商,使用各种货币支付Gas费等等。

小结

基于ERC-4337的钱包注重于将底层功能进行抽象化,社交恢复、无需原生Gas费用、捆绑打包交易是可以大幅提升UI体验的功能。此外,集成?ERC-4377?的模块化开发平台或将成为主流。如?Patch、Sequence?和未列举的Gelote等。

账户抽象钱包可能需要一个更加“MakeSense”的案例才能得到大规模采用,现阶段多个项目的“无Gas费”宣传语存在一定的误导性,其背后的逻辑只是允许用户使用USDC等非ETH币种来支付Gas,补贴策略似乎也收效甚微。另一方面,钱包的多链困境也没有得到明显改善。号称能够实现“多链”的钱包只是面向EVM兼容链,而zk系、Move系、Solana系等生态钱包还受困于孤岛效应。

智能合约钱包正在成为趋势,细分赛道中还出现了其他竞争者。MPC钱包将私钥分散存储在多个设备中,通过多方计算实现无私钥、社交恢复等功能。例如,3月7日宣布完成由a16z领投的MPC钱包Capsule,通过引入可编程的MPC来扩展链上交易的使用场景。与此同时,拥有巨大用户基础的Telegram计划推出加密钱包,目前已支持在应用聊天界面直接交易BTC、TON和USDT。这些竞争者也在争夺用户,并且在不断地推出新的功能和服务。

标签:AVOENTGASORCFAVORDENT币gas币前景FORCE

OKB热门资讯
以太坊:上海升级后的以太坊:展望质押赛道与抛售潮

作者:Darren,EverestVenturesGroup上海升级暂定于4月13日进行,将首次允许验证者从信标链撤出以及提款。相关预期叠加,市场又一次将注意力聚焦于以太坊流动性.

1900/1/1 0:00:00
WEB:为什么公共产品对 Web3 至关重要?

原文标题:TheWorldOfWeb3撰文:AzeemKhan编译:aididiaojp.eth,ForesightNewsa16z合伙人ChrisDixon曾解释道,Web1是「读」.

1900/1/1 0:00:00
MAN:Manta Network 正式在先行网 Calamari 上线 ZK 隐私转账协议 MantaPay

纽约时间3月14日,基于零知识证明的隐私转账协议MantaPay,正式在MantaNetwork先行网Calamari上线,待MantaNetwork主网上线后,将正式于主网部署.

1900/1/1 0:00:00
区块链:晚报 | 某 MEV 机器人遭攻击损失达 2000 万美元; B 站上线用于链上资产管理的“高能链”App

整理:flowie,ChainCatcher“过去24小时都发生了哪些重要事件”?1、B站上线用于链上资产管理的“高能链”AppBilibili上线用于链上资产管理的“高能链”App.

1900/1/1 0:00:00
FTX:FTX 债务人发布“FTX 及相关业务控制失败”的中期报告

FTX债务人发布了第一份关于FTX及相关业务控制失败的中期报告,该报告确定并讨论了FTX集团前任管理团队的控制失误在关键领域,包括管理和治理、财务和会计、数字资产管理、信息安全和网络安全.

1900/1/1 0:00:00
AVA:Avalanche 启动 Evergreen 子网测试网 Spruce

Avalanche宣布启动Evergreen子网的测试网Spruce。该测试网的初始机构合作伙伴包括T.RowePriceAssociates、WisdomTree、WellingtonMana.

1900/1/1 0:00:00