作者:餅干,ChainCatcher
在加密貨幣領域,用戶不能為同一個錢包地址設置多個私鑰,也無法修改私鑰。因此,如果私鑰丟失,不僅會造成錢包資產丟失,該錢包也將永遠無法再被使用,只能作廢。
據?Coinbase產品戰略與業務運營總監ConorGrogan統計,約有11.5億美元的加密貨幣因人為過失而永久丟失。Grogan補充道,該統計數據遠低于因丟失錢包訪問權限而鎖住的ETH數量,因為鏈上存在大量長期不動的資產,無法判斷其中有多少丟失了私鑰。
加密錢包一直是以太坊創始人Vitalik長期關注的方向。Nethermind以及opengsn的研究人員在Vitalik的幫助下提出了EIP-4337,該提案提出了一種解決方法,無需更改任何共識層協議,就能為以太坊帶來“帳戶抽象”。最近,Vitalik在他的文章《如何為多簽錢包和社交恢復錢包選擇守護者?》中闡述了自己的觀點,致力于推動可信第三方在加密錢包中的采用。
近期,相比于Metamask、Imtoken等老牌加密錢包,一些基于EIP-4337的加密錢包開始嶄露頭角,它們試圖重新開啟加密錢包賽道的藍海。本文將簡要介紹EIP-4337的概念,以及Argent、Avocado、Braavos、PatchWallet、Unipass、Opclave、SoulWallet、Versa等11款賬戶抽象錢包。
EIP-4337有什么用?
目前,以太坊錢包地址分為EOA賬戶和合約賬戶,EIP-4337提案中提出了賬戶抽象的概念,可以用來管理多個合約賬戶和外部賬戶,以改善以太坊賬戶的安全性和可操作性。如果想深入了解機制,可查閱《EIP-4337賬戶抽象錢包方案能否開辟錢包新時代?》
安全團隊:Defrost Finance被攻擊事件簡析:金色財經報道,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,Defrost Finance預言機被惡意修改,并且添加了假的抵押token清算當前用戶,損失超1300萬美元。攻擊者通過setOracleAddress函數修改了預言機的地址,隨后使用joinAndMint函數鑄造了100,000,000個H20代幣給0x6f31地址,最后調用liquidate函數通過虛假的價格預言機獲取了大量的USDT。后續攻擊者通過跨鏈的方式將被盜資金轉移到了以太坊的0x4e22上,目前有490萬美元的DAI在0x4e22地址上,有500萬美元的DAI在0xfe71地址上,剩余300萬美元的ETH被轉移到了0x3517地址上。[2022/12/25 22:06:35]
使用EIP-4337可以帶來以下好處:
更高效的合約部署和維護:由于多個合約可以共享同一個地址和私鑰,可以減少合約部署和維護的工作量。
更好的安全性:由于賬戶合約只代表一個地址和私鑰,可以減少私鑰泄露的風險。
更好的可擴展性:由于可以實現可重用的合約代碼,可以更容易地實現復雜的合約邏輯。
簡而言之,EIP-4337的愿景是實現用戶友好,主要從易用性和社交恢復兩個方面實現,通過提高加密錢包的UI體驗而吸引新用戶,例如新用戶在注冊時不再需要抄寫助記詞。用戶丟失錢包私鑰后也可以通過社交關系找回。其他擴展功能包括多賬戶/多鏈管理、捆綁打包交易等,例如讓錢包自動為服務續費。
Beosin:EthTeamFinance項目遭受到了漏洞攻擊事件簡析:據Beosin EagleEye 安全預警與監控平臺檢測顯示,ETH鏈上的EthTeamFinance項目遭受漏洞攻擊,攻擊合約0xCFF07C4e6aa9E2fEc04DAaF5f41d1b10f3adAdF4通過LockToken合約的migrate函數沒有正確驗證_id和params的漏洞,將WTH,CAW,USDC,TSUKA代幣從V2流動性池非法升級到V3流動性池,并且通過sqrtPriceX96打亂V3流動池的Initialize的價格,從而獲取大量refund套利。共計套利了約1300多萬美元。[2022/10/27 11:49:12]
而EIP-4337實現的難點在于,將錢包復雜化之后,開發成本、兼容性以及用戶隱私等方面的挑戰,以及復雜的交互合約產生更高的gas費用等。
賬戶抽象錢包?
Argent
Argent錢包是一款以安全性和易用性為重點設計的加密貨幣錢包,其主要特點包括:
社交恢復:Argent的社交恢復功能使用戶可以通過與信任的聯系人建立連接來恢復其錢包。這使得用戶可以更輕松地恢復其錢包,而無需記住復雜的助記詞或私鑰。
無需以ETH作為gas費:Argent采用MetaTransaction技術實現用戶在不擁有ETH的情況下發送交易。具體來說,Argent通過“GasStationNetwork”的中間層服務為用戶支付gas費,并從用戶賬戶中扣除相應的費用。
安全團隊:獲利約900萬美元,Moola協議遭受黑客攻擊事件簡析:10月19日消息,據Beosin EagleEye Web3安全預警與監控平臺監測顯示,Celo上的Moola協議遭受攻擊,黑客獲利約900萬美元。Beosin安全團隊第一時間對事件進行了分析,結果如下:
第一步:攻擊者進行了多筆交易,用CELO買入MOO,攻擊者起始資金(182000枚CELO).
第二步:攻擊者使用MOO作為抵押品借出CELO。根據抵押借貸的常見邏輯,攻擊者抵押了價值a的MOO,可借出價值b的CELO。
第三步:攻擊者用貸出的CELO購買MOO,從而繼續提高MOO的價格。每次交換之后,Moo對應CELO的價格變高。
第四步:由于抵押借貸合約在借出時會使用交易對中的實時價格進行判斷,導致用戶之前的借貸數量,并未達到價值b,所以用戶可以繼續借出CELO。通過不斷重復這個過程,攻擊者把MOO的價格從0.02 CELO提高到0.73 CELO。
第五步:攻擊者進行了累計4次抵押MOO,10次swap(CELO換MOO),28次借貸,達到獲利過程。
本次遭受攻擊的抵押借貸實現合約并未開源,根據攻擊特征可以猜測攻擊屬于價格操縱攻擊。截止發文時,通過Beosin Trace追蹤發現攻擊者將約93.1%的所得資金 返還給了Moola Market項目方,將50萬CELO 捐給了impact market。自己留下了總計65萬個CELO作為賞金。[2022/10/19 17:32:31]
攻擊檢測:Argent錢包采用自行開發的"Guardians"智能合約自動檢測和防范釣魚攻擊、惡意軟件攻擊、重放攻擊等。例如,當用戶收到一個看似來自Argent錢包的電子郵件或短信時,Guardians合約會檢測該信息是否來自Argent官方渠道。如果檢測到該信息不是來自官方渠道,Guardians合約將自動阻止用戶執行任何與該信息相關的交易。
慢霧:BSC項目Value DeFi vSwap 模塊被黑簡析:據慢霧區情報,幣安智能鏈項目 Value DeFi 的 vSwap 模塊被黑,慢霧安全團隊第一時間介入分析,并將結果以簡訊的形式分享,供大家參考:
1. 攻擊者首先使用 0.05 枚 WBNB 通過 vSwap 合約兌換出 vBSWAP 代幣;
2. 攻擊者在兌換的同時也進行閃電貸操作,因此 vSwap 合約會將兌換的 vBSWAP 代幣與閃電貸借出的 WBNB 轉給攻擊者;
3. 而在完成整個兌換流程并更新池子中代幣數量前,會根據池子的 tokenWeight0 參數是否為 50 來選擇不同的算法來檢查池子中的代幣數量是否符合預期;
4. 由于 vSwap 合約的 tokenWeight0 參數設置為 70,因此將會采用第二種算法對池子中的代幣數量進行檢查;
5. 而漏洞的關鍵點就在于采用第二種算法進行檢查時,可以通過特殊構造的數據來使檢查通過;
6. 第二種算法是通過調用 formula 合約的 ensureConstantValue 函數并傳入池子中緩存的代幣數量與實時的代幣數量進行檢查的;
7. 在通過對此算法進行具體分析調試后我們可以發現,在使用 WBNB 兌換最小單位(即 0.000000000000000001) vBSWAP 時,池子中緩存的 WBNB 值與實時的值之間允許有一個巨大的波動范圍,在此范圍內此算法檢查都將通過;
8. 因此攻擊者可以轉入 WBNB 進行最小單位的 vBSWAP 代幣兌換的同時,將池子中的大量 WBNB 代幣通過閃電貸的方式借出,由于算法問題,在不歸還閃電貸的情況下仍可以通過 vSwap 的檢查;
9. 攻擊者只需要在所有的 vSwap 池子中,不斷的重復此過程,即可將池子中的流動性盜走完成獲利。詳情見原文鏈接。[2021/5/8 21:37:37]
目前Argent已完成3輪融資,累計融資金額達到5600萬美元,參投方包括FabricVentures、Metaplanet、Paradigm、StarkWare、JumpCrypto、AnimocaBrands等。現階段Argent錢包的用戶群體較少,主要原因包括ZK網絡的穩定性、不支持多種加密貨幣的存儲和交易等。
慢霧:Polkatrain 薅羊毛事故簡析:據慢霧區消息,波卡生態IDO平臺Polkatrain于今早發生事故,慢霧安全團隊第一時間介入分析,并定位到了具體問題。本次出現問題的合約為Polkatrain項目的POLT_LBP合約,該合約有一個swap函數,并存在一個返傭機制,當用戶通過swap函數購買PLOT代幣的時候獲得一定量的返傭,該筆返傭會通過合約里的_update函數調用transferFrom的形式轉發送給用戶。由于_update函數沒有設置一個池子的最多的返傭數量,也未在返傭的時候判斷總返傭金是否用完了,導致惡意的套利者可通過不斷調用swap函數進行代幣兌換來薅取合約的返傭獎勵。慢霧安全團隊提醒DApp項目方在設計AMM兌換機制的時候需充分考慮項目的業務場景及其經濟模型,防止意外情況發生。[2021/4/5 19:46:39]
Avocado
Instadapp是一種基于以太坊的DeFi協議,旨在使DeFi變得更加簡單和易于管理。該協議推出了一款基于賬戶抽象的錢包Avocado,其主要特點包括以下幾個方面:
多鏈支持:Avocado支持多條區塊鏈,用戶可以在同一個錢包中管理多種加密貨幣,所有gas費用使用USDC支付。
安全保障:Avocado錢包采用了多重簽名技術和智能合約保障用戶的數字資產安全,同時還支持硬件錢包的連接。
DeFi服務:用戶可以在Avocado錢包中直接訪問各種去中心化應用,例如借貸、交易、穩定幣等。此外,用戶可以免費使用所有當前的Instadapp策略。
社區治理:Avocado錢包采用了DAO的治理模式,用戶可以通過投票參與錢包的決策和發展。
目前Instadapp已完成2輪融資,累計融資金額為1240萬美元,參投方包括CoinbaseVentures、PanteraCapital、StandardCrypto、RobotVentures、BalajiSrinivasan等。現階段Instadapp多個產品的總TVL超過20億美元,而Avocado作為其開發的集成錢包,享有網絡效應的優勢,例如使用閃貸無需支付費用,贈送1USDC的Gas費用補貼,免費使用Instadapp的自動化投資策略等。
Braavos
Braavos是一個開源的賬戶抽象層,它提供了一種簡單的方式來管理多個賬戶,并為應用程序提供了一個統一接口。其特點包括:
多賬戶支持:Braavos支持管理多個賬戶,包括銀行賬戶、支付寶、PayPal等。
統一API:Braavos提供了一個統一的API,使得應用程序可以使用相同的代碼來處理不同的賬戶類型。
安全性:Braavos使用OAuth2協議來處理授權和認證,保證了數據的安全性。
易于擴展:Braavos的設計使得它可以很容易地擴展到支持新的賬戶類型和服務。
自動化:Braavos自動處理賬戶余額和交易歷史記錄,使得應用程序可以專注于核心業務邏輯。
目前Braavos已完成1000萬美元融資,PanteraCapital領投,StarkWare、Crypto.comCapital、MatrixportVentures等參投。Braavos的硬件安全模塊通過帳戶抽象實現,具有驗證任意簽名的能力。
UniPass
UniPassWallet是一款支持鏈上Email社交恢復的智能合約錢包解決方案,旨在提供Web2用戶熟悉的使用體驗,其特點如下:
兼容ERC-4337:用戶可以通過在MainModule中添加4337模塊事務來激活ERC-4337兼容模式。激活之后,用戶可以發起的交易將提交給Bundler,通過標準的ERC-4337驗證方式。用戶也可以對UniPasstx進行簽名,提交給Relayer進行鏈上處理。
電子郵件恢復:用戶可以設置多個互聯網郵箱作為賬戶的守護者,只需將郵件提交至鏈上智能合約,即可幫助用戶實現賬戶找回錢包私鑰。當用戶擁有超過2個監護人郵箱時,用戶可以使用這兩個郵箱提交賬戶恢復郵件,立即恢復賬戶。當用戶只有一個監護人郵箱時,通常需要等待48小時的鎖定期才能恢復帳戶。
無Gas體驗:UniPass提供一個默認的中繼節點,接受用戶使用原生代幣和主流穩定幣形式的Gas支付。
UniPass于2022年4月完成由HashKeyCapital參投的種子輪融資。與其他錢包相比,UniPass支持所有EVM區塊鏈,主流的非EVM鏈也在路線圖中。此外,UniPass重視開發人員的體驗,提供了多款用于集成到dApp的SDK。
SoulWallet
SoulWallet是一個插件錢包,使用戶能夠:1.不需要助記詞的情況下創建錢包2.通過改變簽名密鑰來保持錢包。3.通過簽名聚合減少30%gasfee。4.支持USDC支付交易。5.由第三方贊助,無需gasfee。6.將多筆交易捆綁在一起。
SoulWallet于3月16日完成310萬美元種子輪融資,??StruckCrypto、NGCVentures、Alchemy、SignumCapital等參投。其創始人ZengJiajun是字節跳動和美團的前產品經理,SoulWallet計劃在第三季度或第四季度推出。
Versa
Versa是一站式UX簡化的智能合約錢包,用戶可以通過它輕松訪問無密鑰和社交登錄的加密錢包,進行Gas管理和鏈上賬戶恢復,設置自動支出,自動化投資策略等。Versa于3月23日宣布完成種子輪融資,STEPN開發商FindSatoshiLab、FoliusVentures和一些天使投資人等參投。目前Versa處于封閉測試階段。
Peaze
Peaze是一款允許用戶通過電子郵件和信用卡訪問Web3應用程序的錢包。Peaze利用智能合約控制私鑰訪問和簽名,當用戶確認一筆交易時,會生成一個標準的交易簽名,然后觸發入口流程,向用戶的法定支付方式收費,并將適當數量的加密貨幣發送到他們的錢包。在此步驟中還會執行任何必要的交換/橋接程序。
Opclave
Opclave允許用戶創建和使用具有觸摸/面部ID的非托管錢包,而無需種子短語。Opclave利用ERC-4337改進了OPStack的SC帳戶,使用AppleEnclave抽象的簽名,其核心理念是將Apple設備、iPhone、Macbook變成硬件錢包。Opclave是以太坊擴容黑客松、HacktheStack的優勝者。
PatchWallet
PatchWallet是一款支持使用GitHub/Twitter/Email登錄的加密錢包,不需要種子短語,該錢包支持多種主流加密貨幣,用戶可以在同一個錢包中管理多種加密貨幣。用戶還可以輕松地管理和切換多個賬戶,而無需重新導入私鑰。此外,PatchWallet支持硬件錢包,用戶可以將私鑰存儲在硬件設備中以提高安全性。
ZeroDev
ZeroDev是一個建立在ERC-4337之上的SDK,用于構建由帳戶抽象提供支持的Web3應用程序。使用ZeroDev可以創建易于使用的應用程序,用戶可以無需助記詞而通過好友恢復賬戶、允許第三方支付用戶完全跳過GAS、合并交易步驟以改善用戶體驗,節省時間和成本并提高安全性。
SequenceSequenceWallet是一款旨在實現無縫集成的非托管錢包,兼容所有EVM公鏈,支持社交/電子郵件登錄,Moonpay、Ramp等法幣支付提供商,使用各種貨幣支付Gas費等等。
小結
基于ERC-4337的錢包注重于將底層功能進行抽象化,社交恢復、無需原生Gas費用、捆綁打包交易是可以大幅提升UI體驗的功能。此外,集成?ERC-4377?的模塊化開發平臺或將成為主流。如?Patch、Sequence?和未列舉的Gelote等。
賬戶抽象錢包可能需要一個更加“MakeSense”的案例才能得到大規模采用,現階段多個項目的“無Gas費”宣傳語存在一定的誤導性,其背后的邏輯只是允許用戶使用USDC等非ETH幣種來支付Gas,補貼策略似乎也收效甚微。另一方面,錢包的多鏈困境也沒有得到明顯改善。號稱能夠實現“多鏈”的錢包只是面向EVM兼容鏈,而zk系、Move系、Solana系等生態錢包還受困于孤島效應。
智能合約錢包正在成為趨勢,細分賽道中還出現了其他競爭者。MPC錢包將私鑰分散存儲在多個設備中,通過多方計算實現無私鑰、社交恢復等功能。例如,3月7日宣布完成由a16z領投的MPC錢包Capsule,通過引入可編程的MPC來擴展鏈上交易的使用場景。與此同時,擁有巨大用戶基礎的Telegram計劃推出加密錢包,目前已支持在應用聊天界面直接交易BTC、TON和USDT。這些競爭者也在爭奪用戶,并且在不斷地推出新的功能和服務。
來源:Pocketbuff據官方消息,PocketBuff已與以太坊L2擴展鏈ArbitrumNova集成,為用戶提供更好的游戲體驗并加速GameFi行業的發展.
1900/1/1 0:00:00作者:霧海,PANews原文標題:《詳解幣安Launchpad項目SpaceID:經濟模型、空投細則及如何獲得后續空投》3月16日Binance官方宣布將上線第30個Launchpad項目Spa.
1900/1/1 0:00:00據福布斯報道,法庭文件顯示,在過去的一年里,不丹王國皇家持有和管理政府的主權財富基金DrukHoldings&Investments向比特幣、以太坊和其他數字資產投入了數千萬美元.
1900/1/1 0:00:00來源:ABCDECapital編譯:十文,Odaily星球日報ERC-721?于?2018?年?1?月創建,當時鏈上已經出現了一些?NFT?實驗.
1900/1/1 0:00:00據CoinDesk報道,一份法庭文件稱,如果美國政府提出的法律反對意見未能在4月13日之前得到解決,Voyager及其債權人將損失1億美元.
1900/1/1 0:00:00Avalanche宣布將于3月27日在Fuji測試網上發布AvalancheCortina升級的預發布代碼,Cortina升級將于3月30日23:00激活.
1900/1/1 0:00:00