以太坊:以太坊賬號抽象ERC4337的過審方案解讀(上）_ETHB

前言

在?2023.3.1?號丹佛的WalletCon上，官宣由以太坊基金會開發人員設計實現的ERC-4337的核心合約已經通過了OpenZeppelin的審計，通過各項測試，目前審計后的合約已經順利部署在以太坊主網以及若干測試網，后續可在各?EVM?兼容鏈上運作包括Polygon、Optimism、Arbitrum、BNBSmartChain、Avalanche和GnosisChain?等。

本文將梳理?4337?標準的實現機制、審計報告結論與最新行業進展

1、賬號抽象的背景

1.1、為什么產權分離是賬戶抽象的目標？

目前在以太坊中有兩種賬戶，分別為外部賬戶和合約賬戶。外部賬戶的所有權和簽名權理論上是同一個體單位持有的；簡單來講，持有私鑰的人不只擁有這個賬戶的「所有權」，同時還有權利「簽名轉移所有資產」。所以當前以太坊上所有權和簽名權是一體的，這樣的外部賬戶設計可能會衍伸出一些值得討論的問題：

私鑰難保護：用戶失去私鑰意味著地失去所有資產。

簽名算法少：原生協議在驗證交易上只能使用ECDSA簽名和驗簽算法。

簽名權限高：無原生多簽，單簽即可執行任意操作

多幣種受限：交易手續費只能通過ETH支付，并不支持批量交易。

交易隱私泄露：一對一交易容易分析賬戶持有者的隱私信息。

其次單純的合約錢包也有一定問題：

對合約錢包的操作必須由EOA發起，每筆交易將多消耗21000?Gas。（當前以太坊交易的驗證方式是固定的，只有持有了有效的ECDSA簽名、Nonce值和足夠

數據：過去12個月以太坊區塊鏈已激活近2700萬個新錢包:金色財經報道，區塊鏈基金Variant Fund鏈上分析師Jack Gorman在社交媒體披露數據顯示，過去12個月以太坊區塊鏈上創建激活了超過2669萬個新錢包，這意味著平均每30天就有超過200萬個新ETH地址在鏈上活動。不過Jack Gorman也指出，每月以太坊鏈上至少授權一筆交易的地址數量只有450-700萬個，而且超過70%的錢包會在活動3 天后沉寂，而66%的活躍交易地址僅活躍一天，95.5%的活躍交易地址過去12個月內活躍時間少于10天，分析認為低活躍度的以太坊鏈上錢包占據主導地位可能由投資者熱衷追求代幣空投導致。（U.today）[2023/7/30 16:07:07]

的賬戶余額，一筆交易才算有效）。

需要EOA有足夠的ETH來支付Gas，或者依靠Relayer支付Gas。

上訴的約束讓普通用戶很難使用以太坊：

首先，使用以太坊上的任何應用，用戶都必須持有以太

其次，用戶需要處理復雜的費用邏輯，Gasprice、Gaslimit、事務阻塞這些概念對用戶來說過于復雜。

最后，雖然許多區塊鏈錢包或應用試圖通過產品優化提高用戶體驗，但它們的實際效果甚微。

破局之道在于實現賬戶抽象，將所有權和簽名權解耦，從而才能逐個解決上述問題

拓展閱讀：

以太坊賬戶抽象萬字研報：拆解10個相關EIP提案與沖擊千萬級日活用戶瓶頸的七年之路

雖然也有出現若干折中方案，如多簽錢包和無需?Gas?的元交易機制，接下來咱們展開探討。

Statemind已審計以太坊質押解決方案Lido:金色財經報道，鏈上安全審計公司Statemind公布了對以太坊流動性質押解決方案Lido的MEV-boost 節點許可名單的深入審計結果。Statemind在以太坊合并之前對Lido進行審計，Statemind發布了一份報告，詳細介紹了其對Lido的最新審計，總的來說，沒有發現任何關鍵、高度或中度優先的漏洞。有7個信息性錯誤被報告給Lido團隊，涉及到輕微的、容易修復的漏洞，不構成實質性威脅。（prnewswire）[2022/9/23 7:15:42]

1.2、EIP-4337?與折中方案對比

1.2.1、折中?1-多簽合約錢包方案

多簽錢包，即用智能合約實現多簽功能的錢包合約賬戶。以Safe多簽錢包為例，可以設定錢包的多簽規則，如三人共管、兩人簽名可執行交易，而?Argent錢包的做法也類似，創新點是引入所謂的監護人機制，對用戶更友好，用戶可以設定其他EOA賬戶或郵件/手機作為監護人，監護人可以許可交易、鎖定錢包、協助恢復錢包。這樣的做法給用戶帶來了便利，但由于它的錢包軟件、錢包合約及后端程序的功能很復雜，它的方案很難成為行業通行的標準做法。

總之，這里很多的優點都源于合約本身的高度定制能力，同樣的缺點則是依賴于?EOA?賬戶做管理員來驅動，這本質是簽名算法的局限性。

相比之下對比傳統多簽合約錢包的方案，?4337?的優勢則是可以自定義簽名算法。這里的簽名只需和合約中簽名的算法綁定的，而簽名這件事本身可以有多種算法實現，不同算法性能和交互模式不同，而這將帶來的核心變化是，如更好的將簽名的功能轉入手機設備端實現從而實現便攜的硬件錢包。這點主要的挑戰是安卓等設備開放性過高，不可能私鑰存手機，需要單獨的簽名芯片等。

亞馬遜旗下托管服務Amazon Managed Blockchain已支持以太坊網絡:12月28日，由亞馬遜推出的可創建和管理區塊鏈網絡的托管服務Amazon Managed Blockchain宣布支持以太坊，已推出預覽版。亞馬遜表示，AWS客戶可以在幾分鐘內輕松預置以太坊節點，并連接到公共的以太坊主網絡和測試網絡，例如Rinkeby和Ropsten。另外，借助Amazon Managed Blockchain，客戶可以獲得安全的網絡，快速可靠地同步到以太坊區塊鏈，用于存儲分類帳數據的持久彈性存儲、靜態加密和傳輸中加密，以及通過標準開源以太坊API安全訪問網絡。[2020/12/28 15:53:05]

1.2.2、折中?2-元交易標準

這點優化折中針對的是用戶執行鏈上行為必須依賴已有?ETH?作為手續費，采用元交易標準后

用戶體驗上：用戶雖然賬戶中沒有ETH，但可仍通過網?界面鑄造NFT：用戶僅需簽即可，我們創建交易、為之代付燃料費、將之提交上鏈執行。

幕后執行上：

用戶對結構化數據進行簽名，這個數據與簽名是要求NFT合約鑄造一個NFT給他

數據與簽名被發送給中繼器

鏈下中繼器向鏈上發起交易，送到鏈上可信的傳遞者合約（Forwarder)

而?NFT合約是定制的，會將這樣方式傳遞的交易中的原始發起者視為是用戶，而非?msg.sender

因此在最終的NFT合約中，執行的?NFTMint?得到的對象就不是原始標準中的交易發起者了

例如最近火熱的?Lens?免?gas?方案，就是非常標準的元交易執行模式，已經累計有上千萬筆代付交易了

觀點：以太坊2.0正在改變DeFi項目的運作方式:以太坊2.0仍處于非常早期的開發階段（即第0階段），在舊鏈完全轉移到新鏈之前，還有很長的路要走。盡管如此，由于其快速發展，對市場的影響已經顯現出來。OctoFi DeFi協議聯合創始人Dr. Octavius表示，這在DeFi領域尤其如此，“大多數人誤解了Eth2及其對整個行業的意義，尤其是DeFi。當其他區塊鏈在競爭解決以太坊上的一些擴容問題時，我認為網絡效應是相當深遠的，以太坊是超越其他鏈的。如果說有什么不同的話，那就是2.0的出現讓人們對以太坊的持久力充滿信心。”（Cointelegraph）[2020/12/26 16:35:17]

這個方案是有效的，但有兩個缺點：

它引入了一個我們必須信任的鏈下?色中繼器。如果他宕機了，或者有作惡的動機，則可能存在?險。

我們最終交互的合約必須定制。這導致而無法與鏈上已經存在的、未定制的合約進行交互，這大幅減少能夠適用的范圍。

為什么用這么多篇幅來講述合約錢包和元交易呢？因為?4337?的實現里本身幾乎就能涵蓋上述的優點

拓展閱讀：

EIP-4337標準智能錢包實踐研究報告：全景式呈現4337標準實例實現過程及機遇探討

https://research.web3?caff.com/zh/archives/4660?

2、為什么?4337?可以實現產權分離？

現在在去中心化的領域是不存在免費的信任，身份驗證必須基于密碼學證明，所以無論哪種提案都是需要管理某種意義的私鑰，而要實現體驗上的折中，首要打破的就是目前賬戶權限的過于集中，整體改造方式按針對的對象或者環節可以分成三種大方向：

動態 | 微軟工程師提出利用以太坊區塊鏈使機器學習和人工智能“民主化”:據Crypto Slate報道，微軟的工程師們正在使用Ethereum區塊鏈來“民主化”人工智能和機器學習，使這些典型的集中化且成本高昂的系統更容易被所有人使用。微軟高級軟件開發工程師Justin Harris表示，使用精心設計的機器學習算法可能會產生問題，因為這些算法往往是集中式的。因此，他為微軟介紹了一項新的開源計劃：區塊鏈上的去中心化和協作式AI。 在新模式中，Harris設想以獎勵來激勵人們與這些機器學習算法進行交互和改進。這些算法可以自由地用于評估預測，這對于構建個人助理或制作帶有用戶推薦的系統是理想的。[2019/7/28]

改造鏈上交易類型

改造鏈上主體對象

改造上鏈交易打包過程

在下圖，EIP-4337方案納入了最新路線圖，這也宣告著以太坊最終在這兩條路徑中做出了決定。

EIP-4337是迄今為止是AA的最佳方案。

被選用的核心原因是EIP-4337完全避免了共識層協議更改，使用標準中提出了新的事務對象?UserOperation，用戶將此對象發送到內存池中由?bundlers?從礦工維度批量打包交付合約執行交易事務。是個任何人可以開發鏈上合約，任何人可以自運行捆綁器的去中心化模式。

2.1、?4337?運作原理

后續深入理解最新進展所面臨的難題和挑戰還是需要先理解原理，咱們從涉及的角色，分工，對照傳統交易的執行流程來梳理。

2.1.1、?4337?標準涉及的角色

ERC-4337有五個主要組成部分：?UserOperation、Bundler、EntryPoint、WalletContract?和?PaymasterContract。

UserOperations用戶操作對象，是用于與合約賬戶執行交易的偽交易對象。這些是由創建者的應用程序所創建的。

Bundlers捆綁器，可能是某個礦工，從內存池中打包UserOperations并將它們發送到區塊鏈上的EntryPoint合約的參與者。

EntryPoint入口點合約，是處理交易驗證和執行邏輯的智能合約。

WalletContracts是用戶最終擁有的鏈上身份，屬于智能合約帳戶。

PaymasterContracts是可選的代付智能合約。

2.1.2、?4337?交易的執行流程

我們來重新按完成一筆以太坊轉賬的流程來梳理下按照ERC-4337實現的交易是怎樣的：

打開錢包：用戶管理持有的私鑰工具，如Metamask，Bitkeep，Bitizen等。

交易簽名：用私鑰對新的若干字段做簽名操作，稱之為?UserOperation用戶操作對象。

發送交易：稱之為Bundlers打包者或是捆綁器，本質仍是由某個負責出塊的礦工操作。

礦工打包：bundlers把用戶發送的操作簽名解析驗證后由礦工單獨再簽名一筆交易來包裹用戶的指令，批量地將用戶的操作指令轉發到某個合約錢包中再由合約來驗證用戶的簽名并執行。

由于交易是礦工簽名并發送的，因此from是礦工，原先用戶的簽名和指令在則在參數之中。

打包發送到作為路由器的智能合約中，執行驗證并且進一步轉發到各用戶獨立的合約錢包。

入口點合約驗證：EntryPoint?是處理交易驗證和執行邏輯的智能合約。會反復和用戶的合約賬戶進行交互以及驗證，確保最終鏈上打包必然成功，否則全部交易都要回退。

出塊流程：完全不變。

2.2、功能舉例：入口點合約

遷入?4337?后，對任何賬戶的調度都需要先經過入口點合約，他需要解決的是

如果用戶的「錢包合約」尚未部署，則用?UO?中的initCode字段去部署合約

循環驗證組合交易中?UserOperation

既有鏈下模擬驗證

也在合約也提供鏈上驗證

管理質押費

計算?gas?成本，既要用于收取用戶，也需要面對失敗交易補償捆綁器

3、為什么持續要關注ERC-4337?？

ERC-4337的高開發投入以及快速的迭代進度，說明他能快速成為最終提案、并被各種應用廣泛接納、真正成為事實性行業標準，他帶來的核心價值是大幅度降低普通用戶使用Web3應用的門檻。

屆時，一個應用能否兼容ERC-4337?，則將影響自己能否利用整個以太坊生態的其他組件、以快速發展。后續的DApp應用，也將必然需要能兼容從賬戶主體已然轉移向ERC-4337的用戶們。

最終驗證市場的還是用戶本身，實現的方案是復雜的，這也僅僅是對于應用方的復雜

對于用戶本身而言，最終他們能夠看到的是：

更流暢的交易體驗，類似購物車，即使面對?10?個市場也能夠一筆交易完成打包。

更安全的接入入口，借助?4337?的自定義簽名算法能力，使用手機專屬安全芯片而無需攜帶硬件錢包，

更沉浸的游戲環境，借助?paymaster?的代付能力，乃至可以定義半小時內的不超過?XX?金額的交易免除簽名，避免了一場游戲被場外打斷。

真正的鏈上主體，可以被社交恢復，可以更換私鑰密碼，可以做交易的風險分層分級，兼容安全與使用便捷。

如此種種對終端用戶體驗的提升，都是最終為什么要如此費力的推進ERC-4337的原因。

上篇更多是圍繞?ERC-4337?運作機制、背景進行說明。

下篇詳細講述當前被審計方案的優缺與實施細節，但涉及較多以太坊底層所以閱讀難度較高，投稿在Web3?Caff?平臺的?research?頻道。

閱讀原文：https://research.web3?caff.com/zh/archives/6900?

參考文獻

https://cointelegraph.com/news/ethereum-erc-4337-smart-accounts-launch-at-walletcon-account-abstraction-is-here

https://blog.openzeppelin.com/eip-4337-ethereum-account-abstraction-incremental-audit/#conclusions

https://blog.openzeppelin.com/eth-foundation-account-abstraction-audit/

https://eips.ethereum.org/EIPS/eip-4337?

https://hackmd.io/@erc?4337/test-suite

https://www.youtube.com/watch??v=eyT?6?WzJmWyc

https://notes.ethereum.org/@yoav/unified-erc-4337-mempool#What-does-censorship-resistance-require-of-ERC-4337?

https://github.com/eth-infinitism/account-abstraction/issues/188?

https://notes.ethereum.org/@yoav/unified-erc-4337-mempool

https://github.com/eth-infinitism/account-abstraction/blob/develop/reports/gas-checker.txt#enroll-beta

Tags：以太坊ETHIONTPS以太坊官網下載ETHBCrypto Makers Foundationtps幣圈

SHIB