作者:餅干,ChainCatcher
在加密貨幣領域,用戶不能為同一個錢包地址設置多個私鑰,也無法修改私鑰。因此,如果私鑰丟失,不僅會造成錢包資產丟失,該錢包也將永遠無法再被使用,只能作廢。
據?Coinbase產品戰略與業務運營總監ConorGrogan統計,約有11.5億美元的加密貨幣因人為過失而永久丟失。Grogan補充道,該統計數據遠低于因丟失錢包訪問權限而鎖住的ETH數量,因為鏈上存在大量長期不動的資產,無法判斷其中有多少丟失了私鑰。
加密錢包一直是以太坊創始人Vitalik長期關注的方向。Nethermind以及opengsn的研究人員在Vitalik的幫助下提出了EIP-4337,該提案提出了一種解決方法,無需更改任何共識層協議,就能為以太坊帶來“帳戶抽象”。最近,Vitalik在他的文章《如何為多簽錢包和社交恢復錢包選擇守護者?》中闡述了自己的觀點,致力于推動可信第三方在加密錢包中的采用。
近期,相比于Metamask、Imtoken等老牌加密錢包,一些基于EIP-4337的加密錢包開始嶄露頭角,它們試圖重新開啟加密錢包賽道的藍海。本文將簡要介紹EIP-4337的概念,以及Argent、Avocado、Braavos、PatchWallet、Unipass、Opclave、SoulWallet、Versa等11款賬戶抽象錢包。
EIP-4337有什么用?
目前,以太坊錢包地址分為EOA賬戶和合約賬戶,EIP-4337提案中提出了賬戶抽象的概念,可以用來管理多個合約賬戶和外部賬戶,以改善以太坊賬戶的安全性和可操作性。如果想深入了解機制,可查閱《EIP-4337賬戶抽象錢包方案能否開辟錢包新時代?》
Beosin:Skyward Finance項目遭受攻擊事件簡析:金色財經報道,根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示,Near鏈上的Skyward Finance項目遭受漏洞攻擊,Beosin分析發現由于skyward.near合約的redeem_skyward函數沒有正確校驗token_account_ids參數,導致攻擊者5ebc5ecca14a44175464d0e6a7d3b2a6890229cd5f19cfb29ce8b1651fd58d39傳入相同的token_account_id,并多次領取了WNear獎勵。本次攻擊導致項目損失了約108萬個Near,約320萬美元。Beosin Trace追蹤發現被盜金額已被攻擊者轉走。[2022/11/3 12:12:36]
使用EIP-4337可以帶來以下好處:
更高效的合約部署和維護:由于多個合約可以共享同一個地址和私鑰,可以減少合約部署和維護的工作量。
更好的安全性:由于賬戶合約只代表一個地址和私鑰,可以減少私鑰泄露的風險。
更好的可擴展性:由于可以實現可重用的合約代碼,可以更容易地實現復雜的合約邏輯。
簡而言之,EIP-4337的愿景是實現用戶友好,主要從易用性和社交恢復兩個方面實現,通過提高加密錢包的UI體驗而吸引新用戶,例如新用戶在注冊時不再需要抄寫助記詞。用戶丟失錢包私鑰后也可以通過社交關系找回。其他擴展功能包括多賬戶/多鏈管理、捆綁打包交易等,例如讓錢包自動為服務續費。
安全團隊:獲利約900萬美元,Moola協議遭受黑客攻擊事件簡析:10月19日消息,據Beosin EagleEye Web3安全預警與監控平臺監測顯示,Celo上的Moola協議遭受攻擊,黑客獲利約900萬美元。Beosin安全團隊第一時間對事件進行了分析,結果如下:
第一步:攻擊者進行了多筆交易,用CELO買入MOO,攻擊者起始資金(182000枚CELO).
第二步:攻擊者使用MOO作為抵押品借出CELO。根據抵押借貸的常見邏輯,攻擊者抵押了價值a的MOO,可借出價值b的CELO。
第三步:攻擊者用貸出的CELO購買MOO,從而繼續提高MOO的價格。每次交換之后,Moo對應CELO的價格變高。
第四步:由于抵押借貸合約在借出時會使用交易對中的實時價格進行判斷,導致用戶之前的借貸數量,并未達到價值b,所以用戶可以繼續借出CELO。通過不斷重復這個過程,攻擊者把MOO的價格從0.02 CELO提高到0.73 CELO。
第五步:攻擊者進行了累計4次抵押MOO,10次swap(CELO換MOO),28次借貸,達到獲利過程。
本次遭受攻擊的抵押借貸實現合約并未開源,根據攻擊特征可以猜測攻擊屬于價格操縱攻擊。截止發文時,通過Beosin Trace追蹤發現攻擊者將約93.1%的所得資金 返還給了Moola Market項目方,將50萬CELO 捐給了impact market。自己留下了總計65萬個CELO作為賞金。[2022/10/19 17:32:31]
而EIP-4337實現的難點在于,將錢包復雜化之后,開發成本、兼容性以及用戶隱私等方面的挑戰,以及復雜的交互合約產生更高的gas費用等。
慢霧:DEUS Finance 二次被黑簡析:據慢霧區情報,DEUS Finance DAO在4月28日遭受閃電貸攻擊,慢霧安全團隊以簡訊的形式將攻擊原理分享如下:
1.攻擊者在攻擊之前先往DeiLenderSolidex抵押了SolidexsAMM-USDC/DEI的LP。
2.在幾個小時后攻擊者先從多個池子閃電貸借出143200000USDC。
3.隨后攻擊者使用借來的USDC在BaseV1Pair進行了swap操作,兌換出了9547716.9個的DEI,由于DeiLenderSolidex中的getOnChainPrice函數是直接獲取DEI-USDC交易對的代幣余額進行LP價格計算。因此在此次Swap操作中將拉高getOnChainPrice函數獲取的LP價格。
4.在進行Swap操作后,攻擊者在DeiLenderSolidex合約中通過borrow函數進行借貸,由于borrow函數中用isSolvent進行借貸檢查,而在isSolvent是使用了getOnChainPrice函數參與檢查。但在步驟3中getOnChainPrice的結果已經被拉高了。導致攻擊者超額借出更多的DEI。
5.最后著攻擊者在把用借貸出來DEI兌換成USDC歸還從幾個池子借出來的USDC,獲利離場。
針對該事件,慢霧安全團隊給出以下防范建議:本次攻擊的原因主要在于使用了不安全的預言機來計算LP價格,慢霧安全團隊建議可以參考Alpha Finance關于獲取公平LP價格的方法。[2022/4/28 2:37:18]
賬戶抽象錢包?
慢霧:BSC項目Value DeFi vSwap 模塊被黑簡析:據慢霧區情報,幣安智能鏈項目 Value DeFi 的 vSwap 模塊被黑,慢霧安全團隊第一時間介入分析,并將結果以簡訊的形式分享,供大家參考:
1. 攻擊者首先使用 0.05 枚 WBNB 通過 vSwap 合約兌換出 vBSWAP 代幣;
2. 攻擊者在兌換的同時也進行閃電貸操作,因此 vSwap 合約會將兌換的 vBSWAP 代幣與閃電貸借出的 WBNB 轉給攻擊者;
3. 而在完成整個兌換流程并更新池子中代幣數量前,會根據池子的 tokenWeight0 參數是否為 50 來選擇不同的算法來檢查池子中的代幣數量是否符合預期;
4. 由于 vSwap 合約的 tokenWeight0 參數設置為 70,因此將會采用第二種算法對池子中的代幣數量進行檢查;
5. 而漏洞的關鍵點就在于采用第二種算法進行檢查時,可以通過特殊構造的數據來使檢查通過;
6. 第二種算法是通過調用 formula 合約的 ensureConstantValue 函數并傳入池子中緩存的代幣數量與實時的代幣數量進行檢查的;
7. 在通過對此算法進行具體分析調試后我們可以發現,在使用 WBNB 兌換最小單位(即 0.000000000000000001) vBSWAP 時,池子中緩存的 WBNB 值與實時的值之間允許有一個巨大的波動范圍,在此范圍內此算法檢查都將通過;
8. 因此攻擊者可以轉入 WBNB 進行最小單位的 vBSWAP 代幣兌換的同時,將池子中的大量 WBNB 代幣通過閃電貸的方式借出,由于算法問題,在不歸還閃電貸的情況下仍可以通過 vSwap 的檢查;
9. 攻擊者只需要在所有的 vSwap 池子中,不斷的重復此過程,即可將池子中的流動性盜走完成獲利。詳情見原文鏈接。[2021/5/8 21:37:37]
Argent
Force DAO 代幣增發漏洞簡析:據慢霧區消息,DeFi 量化對沖基金 Force DAO 項目的 FORCE 代幣被大量增發。經慢霧安全團隊分析發現: 在用戶進行 deposit 操縱時,Force DAO 會為用戶鑄造 xFORCE 代幣,并通過 FORCE 代幣合約的 transferFrom 函數將 FORCE 代幣轉入 ForceProfitSharing 合約中。但 FORCE 代幣合約的 transferFrom 函數使用了 if-else 邏輯來檢查用戶的授權額度,當用戶的授權額度不足時 transferFrom 函數返回 false,而 ForceProfitSharing 合約并未對其返回值進行檢查。導致了 deposit 的邏輯正常執行,xFORCE 代幣被順利鑄造給用戶,但由于 transferFrom 函數執行失敗 FORCE 代幣并未被真正充值進 ForceProfitSharing 合約中。最終造成 FORCE 代幣被非預期的大量鑄造的問題。 此漏洞發生的主要原因在于 FORCE 代幣的 transferFrom 函數使用了`假充值`寫法,但外部合約在對其進行調用時并未嚴格的判斷其返回值,最終導致這一慘劇的發生。慢霧安全團隊建議在對接此類寫法的代幣時使用 require 對其返回值進行檢查,以避免此問題的發生。[2021/4/4 19:45:30]
Argent錢包是一款以安全性和易用性為重點設計的加密貨幣錢包,其主要特點包括:
社交恢復:Argent的社交恢復功能使用戶可以通過與信任的聯系人建立連接來恢復其錢包。這使得用戶可以更輕松地恢復其錢包,而無需記住復雜的助記詞或私鑰。
無需以ETH作為gas費:Argent采用MetaTransaction技術實現用戶在不擁有ETH的情況下發送交易。具體來說,Argent通過“GasStationNetwork”的中間層服務為用戶支付gas費,并從用戶賬戶中扣除相應的費用。
攻擊檢測:Argent錢包采用自行開發的"Guardians"智能合約自動檢測和防范釣魚攻擊、惡意軟件攻擊、重放攻擊等。例如,當用戶收到一個看似來自Argent錢包的電子郵件或短信時,Guardians合約會檢測該信息是否來自Argent官方渠道。如果檢測到該信息不是來自官方渠道,Guardians合約將自動阻止用戶執行任何與該信息相關的交易。
目前Argent已完成3輪融資,累計融資金額達到5600萬美元,參投方包括FabricVentures、Metaplanet、Paradigm、StarkWare、JumpCrypto、AnimocaBrands等。現階段Argent錢包的用戶群體較少,主要原因包括ZK網絡的穩定性、不支持多種加密貨幣的存儲和交易等。
Avocado
Instadapp是一種基于以太坊的DeFi協議,旨在使DeFi變得更加簡單和易于管理。該協議推出了一款基于賬戶抽象的錢包Avocado,其主要特點包括以下幾個方面:
多鏈支持:Avocado支持多條區塊鏈,用戶可以在同一個錢包中管理多種加密貨幣,所有gas費用使用USDC支付。
安全保障:Avocado錢包采用了多重簽名技術和智能合約保障用戶的數字資產安全,同時還支持硬件錢包的連接。
DeFi服務:用戶可以在Avocado錢包中直接訪問各種去中心化應用,例如借貸、交易、穩定幣等。此外,用戶可以免費使用所有當前的Instadapp策略。
社區治理:Avocado錢包采用了DAO的治理模式,用戶可以通過投票參與錢包的決策和發展。
目前Instadapp已完成2輪融資,累計融資金額為1240萬美元,參投方包括CoinbaseVentures、PanteraCapital、StandardCrypto、RobotVentures、BalajiSrinivasan等。現階段Instadapp多個產品的總TVL超過20億美元,而Avocado作為其開發的集成錢包,享有網絡效應的優勢,例如使用閃貸無需支付費用,贈送1USDC的Gas費用補貼,免費使用Instadapp的自動化投資策略等。
Braavos
Braavos是一個開源的賬戶抽象層,它提供了一種簡單的方式來管理多個賬戶,并為應用程序提供了一個統一接口。其特點包括:
多賬戶支持:Braavos支持管理多個賬戶,包括銀行賬戶、支付寶、PayPal等。
統一API:Braavos提供了一個統一的API,使得應用程序可以使用相同的代碼來處理不同的賬戶類型。
安全性:Braavos使用OAuth2協議來處理授權和認證,保證了數據的安全性。
易于擴展:Braavos的設計使得它可以很容易地擴展到支持新的賬戶類型和服務。
自動化:Braavos自動處理賬戶余額和交易歷史記錄,使得應用程序可以專注于核心業務邏輯。
目前Braavos已完成1000萬美元融資,PanteraCapital領投,StarkWare、Crypto.comCapital、MatrixportVentures等參投。Braavos的硬件安全模塊通過帳戶抽象實現,具有驗證任意簽名的能力。
UniPass
UniPassWallet是一款支持鏈上Email社交恢復的智能合約錢包解決方案,旨在提供Web2用戶熟悉的使用體驗,其特點如下:
兼容ERC-4337:用戶可以通過在MainModule中添加4337模塊事務來激活ERC-4337兼容模式。激活之后,用戶可以發起的交易將提交給Bundler,通過標準的ERC-4337驗證方式。用戶也可以對UniPasstx進行簽名,提交給Relayer進行鏈上處理。
電子郵件恢復:用戶可以設置多個互聯網郵箱作為賬戶的守護者,只需將郵件提交至鏈上智能合約,即可幫助用戶實現賬戶找回錢包私鑰。當用戶擁有超過2個監護人郵箱時,用戶可以使用這兩個郵箱提交賬戶恢復郵件,立即恢復賬戶。當用戶只有一個監護人郵箱時,通常需要等待48小時的鎖定期才能恢復帳戶。
無Gas體驗:UniPass提供一個默認的中繼節點,接受用戶使用原生代幣和主流穩定幣形式的Gas支付。
UniPass于2022年4月完成由HashKeyCapital參投的種子輪融資。與其他錢包相比,UniPass支持所有EVM區塊鏈,主流的非EVM鏈也在路線圖中。此外,UniPass重視開發人員的體驗,提供了多款用于集成到dApp的SDK。
SoulWallet
SoulWallet是一個插件錢包,使用戶能夠:1.不需要助記詞的情況下創建錢包2.通過改變簽名密鑰來保持錢包。3.通過簽名聚合減少30%gasfee。4.支持USDC支付交易。5.由第三方贊助,無需gasfee。6.將多筆交易捆綁在一起。
SoulWallet于3月16日完成310萬美元種子輪融資,??StruckCrypto、NGCVentures、Alchemy、SignumCapital等參投。其創始人ZengJiajun是字節跳動和美團的前產品經理,SoulWallet計劃在第三季度或第四季度推出。
Versa
Versa是一站式UX簡化的智能合約錢包,用戶可以通過它輕松訪問無密鑰和社交登錄的加密錢包,進行Gas管理和鏈上賬戶恢復,設置自動支出,自動化投資策略等。Versa于3月23日宣布完成種子輪融資,STEPN開發商FindSatoshiLab、FoliusVentures和一些天使投資人等參投。目前Versa處于封閉測試階段。
Peaze
Peaze是一款允許用戶通過電子郵件和信用卡訪問Web3應用程序的錢包。Peaze利用智能合約控制私鑰訪問和簽名,當用戶確認一筆交易時,會生成一個標準的交易簽名,然后觸發入口流程,向用戶的法定支付方式收費,并將適當數量的加密貨幣發送到他們的錢包。在此步驟中還會執行任何必要的交換/橋接程序。
Opclave
Opclave允許用戶創建和使用具有觸摸/面部ID的非托管錢包,而無需種子短語。Opclave利用ERC-4337改進了OPStack的SC帳戶,使用AppleEnclave抽象的簽名,其核心理念是將Apple設備、iPhone、Macbook變成硬件錢包。Opclave是以太坊擴容黑客松、HacktheStack的優勝者。
PatchWallet
PatchWallet是一款支持使用GitHub/Twitter/Email登錄的加密錢包,不需要種子短語,該錢包支持多種主流加密貨幣,用戶可以在同一個錢包中管理多種加密貨幣。用戶還可以輕松地管理和切換多個賬戶,而無需重新導入私鑰。此外,PatchWallet支持硬件錢包,用戶可以將私鑰存儲在硬件設備中以提高安全性。
ZeroDev
ZeroDev是一個建立在ERC-4337之上的SDK,用于構建由帳戶抽象提供支持的Web3應用程序。使用ZeroDev可以創建易于使用的應用程序,用戶可以無需助記詞而通過好友恢復賬戶、允許第三方支付用戶完全跳過GAS、合并交易步驟以改善用戶體驗,節省時間和成本并提高安全性。
SequenceSequenceWallet是一款旨在實現無縫集成的非托管錢包,兼容所有EVM公鏈,支持社交/電子郵件登錄,Moonpay、Ramp等法幣支付提供商,使用各種貨幣支付Gas費等等。
小結
基于ERC-4337的錢包注重于將底層功能進行抽象化,社交恢復、無需原生Gas費用、捆綁打包交易是可以大幅提升UI體驗的功能。此外,集成?ERC-4377?的模塊化開發平臺或將成為主流。如?Patch、Sequence?和未列舉的Gelote等。
賬戶抽象錢包可能需要一個更加“MakeSense”的案例才能得到大規模采用,現階段多個項目的“無Gas費”宣傳語存在一定的誤導性,其背后的邏輯只是允許用戶使用USDC等非ETH幣種來支付Gas,補貼策略似乎也收效甚微。另一方面,錢包的多鏈困境也沒有得到明顯改善。號稱能夠實現“多鏈”的錢包只是面向EVM兼容鏈,而zk系、Move系、Solana系等生態錢包還受困于孤島效應。
智能合約錢包正在成為趨勢,細分賽道中還出現了其他競爭者。MPC錢包將私鑰分散存儲在多個設備中,通過多方計算實現無私鑰、社交恢復等功能。例如,3月7日宣布完成由a16z領投的MPC錢包Capsule,通過引入可編程的MPC來擴展鏈上交易的使用場景。與此同時,擁有巨大用戶基礎的Telegram計劃推出加密錢包,目前已支持在應用聊天界面直接交易BTC、TON和USDT。這些競爭者也在爭奪用戶,并且在不斷地推出新的功能和服務。
Tags:ENTAVOGASFORGENT幣CAVO幣uGAS-JUN21 Token Expiring 30 Jun 2021Wrapped Ampleforth
針對HuntTown聯創指控幣安Bicasso產品竊取其在BNBChain黑客松上提出的創意,即Chatcasso項目.
1900/1/1 0:00:00作者:蜂巢研習社 萬向區塊鏈實驗室蜂巢研習社將于3月23日晚在TwitterSpace舉辦「GPT4引領的AI新時代,Web3的機遇和挑戰」線上圓桌討論.
1900/1/1 0:00:00作者:Bitget研究院過去一周,市場出現了不少新的熱門幣種和話題。1.市場焦點MarketTrends本周(?04.03-04.07)市場最關注的焦點話題為:LayerZero?融資引發交互熱.
1900/1/1 0:00:00埃隆·馬斯克周五要求美國法官駁回狗狗幣投資者對其提起的2580億美元集體訴訟。在向曼哈頓聯邦法院提交的一份文件中,馬斯克及其電動汽車公司特斯拉(TSLA.O)的律師稱,狗狗幣投資者對馬斯克的“無.
1900/1/1 0:00:00L2擴容方案Starknet基金會宣布任命五個委員會,以實現Starknet生態系統的完全去中心化。分別是供應委員會、早期采用者撥款委員會、開發者合作委員會、治理委員會、生態系統準入委員會.
1900/1/1 0:00:00DWFLabs管理合伙人AndreiGrachev在社交媒體上再次回應拋售代幣、洗盤交易等質疑.
1900/1/1 0:00:00