智能钱包的风险：在Web3中驾驭账户抽象

ERC-4337 令人激动，但使用它的缺点可能很严重

Web3 中的账户抽象引入了可编程的智能合约钱包，旨在弥合非托管钱包和托管钱包之间的差距。虽然 ERC-4337 提供了令人兴奋的可能性，但了解其潜在的缺点至关重要。

理解钱包类型

非托管钱包 (EOA):

· 完整的用户控制和所有权

· 技术上需要高要求来管理

· 也被称为外部拥有账户 (EOA)

托管钱包：

· 由第三方管理

· 更方便但用户控制权较少

· 所有权受用户协议约束

目前的情况是二元的：你的钱包要么使用起来很麻烦，要么你失去对加密货币的控制。这两种情况都不是最佳的。在弥合这一差距的尝试中，账户抽象是其中之一。目前，账户抽象最重要的用途是 ERC-4337 中描述的智能钱包。

ERC-4337 和账户抽象

ERC-4337 引入了智能钱包作为中间地带，在保持用户控制的同时提供可编程性。然而，这项创新也带来了一系列挑战。

主要风险和限制

安全问题

1. 增加 DoS 漏洞：ERC-4337 中复杂的验证过程可能会使系统暴露于拒绝服务攻击。

2. 账户接管的潜力：研究人员发现了一些与 ERC-4337 兼容的钱包中存在允许完全账户接管的漏洞。

技术限制

1. 部分实现：ERC-4337 提供了一个链下交易管理系统，而不是完整的协议级别账户抽象。

2. 交易限制：ERC-4337 账户一次只能向 内存池 发送一笔交易，这可能会限制吞吐量。

实施挑战

1. 增加的复杂性：ERC-4337 引入了新的组件，如 Bundler、EntryPoint 和 UserOperation，可能会创建更多的故障点。

2. 兼容性问题：并行账户和交易处理系统在与现有以太坊基础设施集成时可能会面临挑战。

信任和采用障碍

1. EntryPoint 合约依赖：符合 ERC-4337 的账户必须完全信任 EntryPoint 合约，这引入了潜在的安全风险。

2. 基础设施要求：在没有 ERC-4337 的情况下实现账户抽象可能需要资源密集型基础设施，如 relayer。

3. 用户教育：过渡到智能合约钱包可能需要大量的用户适应。

生态系统影响

1. 不同账户抽象实现的共存可能导致生态系统碎片化，从而可能使互操作性和用户体验复杂化。

经济影响

1. 更高的 Gas 成本：与标准 EOA 交易相比，ERC-4337 交易可能会产生显著更高的 gas 费用。

代码比较：标准转账 vs. ERC-4337 转账

// Standard EOA Transfer
// 标准 EOA 转账
function standardTransfer(address token, address to, uint256 amount) external {
IERC20(token).transfer(to, amount);
}
// ERC-4337 UserOperation for Transfer
// 用于转移的 ERC-4337 UserOperation
function erc4337Transfer(address token, address to, uint256 amount) external {
UserOperation memory userOp = UserOperation({
sender: address(this),
nonce: nonce++,
initCode: "",
callData: abi.encodeWithSelector(
IERC20(token).transfer.selector,
to,
amount
),
callGasLimit: 100000,
verificationGasLimit: 100000,
preVerificationGas: 21000,
maxFeePerGas: 1 gwei,
maxPriorityFeePerGas: 1 gwei,
paymasterAndData: "",
signature: ""
});
entryPoint.handleOps([userOp], beneficiary);
}

Gas 成本比较

EOA 转账：21,000 gas

ERC-4337 转账：92,901 gas

ERC-4337 中 gas 消耗的增加是由于以下几个因素：

额外的开销： ERC-4337 方法需要创建和处理 UserOperation 结构，其中包括 nonce、initCode、callGasLimit、verificationGasLimit 和 preVerificationGas1 等额外字段。

验证步骤： ERC-4337 引入了一个单独的验证阶段，该阶段会消耗额外的 gas。

EntryPoint 交互： 对 Entry Point 合约的 handleOps 函数调用增加了另一层复杂性和 gas 使用量。

Bundler 补偿： preVerificationGas 字段用于补偿 bundler 提供的服务，从而增加了总 gas 成本。

虽然 ERC-4337 和账户抽象在 Web3 钱包技术方面提供了有希望的进步，但对于开发人员、投资者和用户而言，仔细考虑这些风险和限制至关重要。

关于 Dana:

Dana Love 博士 是一位拥有 33 年技术经验的资深人士，自 2011 年以来一直活跃于比特币和区块链领域，自 2007 年以来一直活跃于 AI 和 ML 领域。2024 年，Love 博士是一家去中心化 AI 平台的 CTO，该平台旨在用于 RWA 代币化。从 2022 年到 24 年，Love 博士是基于 Cosmos 的 Dyme Protocol 的加密经济学家和核心贡献者，他还开发了一个屡获殊荣的 Cosmos 区块链 web3 社交网络。从 2018 年到 22 年，Love 博士创立并领导了区块链支付平台 Radpay，在那里，500 Startups 和亚利桑那州商务局认可他为金融科技创新者。从 2012 年到 18 年，Dana 领导了四个区块链 ICO，并在不同的企业担任领导职务。从 2007 年到 12 年，作为军事承包商 Bright Dawn 的 CEO，Dana 领导了复杂实时数据系统、大数据和数据融合项目以及 IC、国防和民用机构的各种数字和动态工作的发展。从 1995 年到 2007 年，Love 创立或曾在多家公司担任领导职务，包括思科投资支持的 Metacloud 和 Warburg Pincus 支持的 Radnet，并领导了上市公司（包括 GTE（现在的 Verizon）、Prosodie（现在的 Cap Gemini）和 ADC）的部门。Dana 的职业生涯始于为美国政府提供民事服务。Dana Love 拥有格拉斯哥大学的公共政策经济学博士学位，是哈佛商学院的 Baker 学者，毕业于里士满大学。

• 原文链接： medium.com/@DanaFLove/th...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～