STA:簡析 11 款賬戶抽象錢包：我們距離“絲滑”的加密體驗還有多遠？

作者：餅干，ChainCatcher

在加密貨幣領域，用戶不能為同一個錢包地址設置多個私鑰，也無法修改私鑰。因此，如果私鑰丟失，不僅會造成錢包資產丟失，該錢包也將永遠無法再被使用，只能作廢。

據?Coinbase產品戰略與業務運營總監ConorGrogan統計，約有11.5億美元的加密貨幣因人為過失而永久丟失。Grogan補充道，該統計數據遠低于因丟失錢包訪問權限而鎖住的ETH數量，因為鏈上存在大量長期不動的資產，無法判斷其中有多少丟失了私鑰。

加密錢包一直是以太坊創始人Vitalik長期關注的方向。Nethermind以及opengsn的研究人員在Vitalik的幫助下提出了EIP-4337，該提案提出了一種解決方法，無需更改任何共識層協議，就能為以太坊帶來“帳戶抽象”。最近，Vitalik在他的文章《如何為多簽錢包和社交恢復錢包選擇守護者？》中闡述了自己的觀點，致力于推動可信第三方在加密錢包中的采用。

近期，相比于Metamask、Imtoken等老牌加密錢包，一些基于EIP-4337的加密錢包開始嶄露頭角，它們試圖重新開啟加密錢包賽道的藍海。本文將簡要介紹EIP-4337的概念，以及Argent、Avocado、Braavos、PatchWallet、Unipass、Opclave、SoulWallet、Versa等11款賬戶抽象錢包。

EIP-4337有什么用？

目前，以太坊錢包地址分為EOA賬戶和合約賬戶，EIP-4337提案中提出了賬戶抽象的概念，可以用來管理多個合約賬戶和外部賬戶，以改善以太坊賬戶的安全性和可操作性。如果想深入了解機制，可查閱《EIP-4337賬戶抽象錢包方案能否開辟錢包新時代？》

安全團隊：Defrost Finance被攻擊事件簡析:金色財經報道，據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示，Defrost Finance預言機被惡意修改，并且添加了假的抵押token清算當前用戶，損失超1300萬美元。攻擊者通過setOracleAddress函數修改了預言機的地址，隨后使用joinAndMint函數鑄造了100,000,000個H20代幣給0x6f31地址，最后調用liquidate函數通過虛假的價格預言機獲取了大量的USDT。后續攻擊者通過跨鏈的方式將被盜資金轉移到了以太坊的0x4e22上，目前有490萬美元的DAI在0x4e22地址上，有500萬美元的DAI在0xfe71地址上，剩余300萬美元的ETH被轉移到了0x3517地址上。[2022/12/25 22:06:35]

使用EIP-4337可以帶來以下好處：

更高效的合約部署和維護：由于多個合約可以共享同一個地址和私鑰，可以減少合約部署和維護的工作量。

更好的安全性：由于賬戶合約只代表一個地址和私鑰，可以減少私鑰泄露的風險。

更好的可擴展性：由于可以實現可重用的合約代碼，可以更容易地實現復雜的合約邏輯。

簡而言之，EIP-4337的愿景是實現用戶友好，主要從易用性和社交恢復兩個方面實現，通過提高加密錢包的UI體驗而吸引新用戶，例如新用戶在注冊時不再需要抄寫助記詞。用戶丟失錢包私鑰后也可以通過社交關系找回。其他擴展功能包括多賬戶/多鏈管理、捆綁打包交易等，例如讓錢包自動為服務續費。

Beosin：ULME代幣項目遭受黑客攻擊事件簡析:金色財經報道，10月25日，據Beosin EagleEye 安全預警與監控平臺檢測顯示，ULME代幣項目被黑客攻擊，目前造成50646 BUSD損失，黑客首先利用閃電貸借出BUSD，由于用戶前面給ULME合約授權，攻擊者遍歷了對合約進行授權的地址，然后批量轉出已授權用戶的BUSD到合約中,提高價格ULME價格，然后黑客賣掉之前閃電貸借出的ULME，賺取BUSD，歸還閃電貸獲利離場。Beosin安全團隊建議用戶用戶取消BUSD對ULME合約的授權并及時轉移資金減少損失。[2022/10/25 16:38:21]

而EIP-4337實現的難點在于，將錢包復雜化之后，開發成本、兼容性以及用戶隱私等方面的挑戰，以及復雜的交互合約產生更高的gas費用等。

賬戶抽象錢包?

Argent

Argent錢包是一款以安全性和易用性為重點設計的加密貨幣錢包，其主要特點包括：

社交恢復：Argent的社交恢復功能使用戶可以通過與信任的聯系人建立連接來恢復其錢包。這使得用戶可以更輕松地恢復其錢包，而無需記住復雜的助記詞或私鑰。

無需以ETH作為gas費：Argent采用MetaTransaction技術實現用戶在不擁有ETH的情況下發送交易。具體來說，Argent通過“GasStationNetwork”的中間層服務為用戶支付gas費，并從用戶賬戶中扣除相應的費用。

攻擊檢測：Argent錢包采用自行開發的"Guardians"智能合約自動檢測和防范釣魚攻擊、惡意軟件攻擊、重放攻擊等。例如，當用戶收到一個看似來自Argent錢包的電子郵件或短信時，Guardians合約會檢測該信息是否來自Argent官方渠道。如果檢測到該信息不是來自官方渠道，Guardians合約將自動阻止用戶執行任何與該信息相關的交易。

慢霧：DEUS Finance 二次被黑簡析:據慢霧區情報，DEUS Finance DAO在4月28日遭受閃電貸攻擊，慢霧安全團隊以簡訊的形式將攻擊原理分享如下:

1.攻擊者在攻擊之前先往DeiLenderSolidex抵押了SolidexsAMM-USDC/DEI的LP。

2.在幾個小時后攻擊者先從多個池子閃電貸借出143200000USDC。

3.隨后攻擊者使用借來的USDC在BaseV1Pair進行了swap操作，兌換出了9547716.9個的DEI，由于DeiLenderSolidex中的getOnChainPrice函數是直接獲取DEI-USDC交易對的代幣余額進行LP價格計算。因此在此次Swap操作中將拉高getOnChainPrice函數獲取的LP價格。

4.在進行Swap操作后，攻擊者在DeiLenderSolidex合約中通過borrow函數進行借貸，由于borrow函數中用isSolvent進行借貸檢查，而在isSolvent是使用了getOnChainPrice函數參與檢查。但在步驟3中getOnChainPrice的結果已經被拉高了。導致攻擊者超額借出更多的DEI。

5.最后著攻擊者在把用借貸出來DEI兌換成USDC歸還從幾個池子借出來的USDC，獲利離場。

針對該事件，慢霧安全團隊給出以下防范建議：本次攻擊的原因主要在于使用了不安全的預言機來計算LP價格，慢霧安全團隊建議可以參考Alpha Finance關于獲取公平LP價格的方法。[2022/4/28 2:37:18]

目前Argent已完成3輪融資，累計融資金額達到5600萬美元，參投方包括FabricVentures、Metaplanet、Paradigm、StarkWare、JumpCrypto、AnimocaBrands等。現階段Argent錢包的用戶群體較少，主要原因包括ZK網絡的穩定性、不支持多種加密貨幣的存儲和交易等。

安全公司：Starstream Finance被黑簡析:4月8日消息，據Agora DeFi消息，受 Starstream 的 distributor treasury 合約漏洞影響，Agora DeFi 中的價值約 820 萬美金的資產被借出。慢霧安全團隊進行分析后以簡訊的形式分享給大家。

1. 在 Starstream 的 StarstreamTreasury 合約中存在 withdrawTokens 函數，此函數只能由 owner 調用以取出合約中儲備的資金。而在 April-07-2022 11:58:24 PM +8UTC 時，StarstreamTreasury 合約的 owner 被轉移至新的 DistributorTreasury 合約(0x6f...25)。

2. 新的 DistributorTreasury 合約中存在 execute 函數，而任意用戶都可以通過此函數進行外部調用，因此攻擊者直接通過此函數調用 StarstreamTreasury 合約中的 withdrawTokens 函數取出合約中儲備的 532,571,155.859 個 STARS。

3. 攻擊者將 STARS 抵押至 Agora DeFi 中，并借出大量資金。一部分借出的資金被用于拉高市場上 STARS 的價格以便借出更多資金。[2022/4/8 14:12:38]

Avocado

Instadapp是一種基于以太坊的DeFi協議，旨在使DeFi變得更加簡單和易于管理。該協議推出了一款基于賬戶抽象的錢包Avocado，其主要特點包括以下幾個方面：

Force DAO 代幣增發漏洞簡析:據慢霧區消息，DeFi 量化對沖基金 Force DAO 項目的 FORCE 代幣被大量增發。經慢霧安全團隊分析發現： 在用戶進行 deposit 操縱時，Force DAO 會為用戶鑄造 xFORCE 代幣，并通過 FORCE 代幣合約的 transferFrom 函數將 FORCE 代幣轉入 ForceProfitSharing 合約中。但 FORCE 代幣合約的 transferFrom 函數使用了 if-else 邏輯來檢查用戶的授權額度，當用戶的授權額度不足時 transferFrom 函數返回 false，而 ForceProfitSharing 合約并未對其返回值進行檢查。導致了 deposit 的邏輯正常執行，xFORCE 代幣被順利鑄造給用戶，但由于 transferFrom 函數執行失敗 FORCE 代幣并未被真正充值進 ForceProfitSharing 合約中。最終造成 FORCE 代幣被非預期的大量鑄造的問題。 此漏洞發生的主要原因在于 FORCE 代幣的 transferFrom 函數使用了`假充值`寫法，但外部合約在對其進行調用時并未嚴格的判斷其返回值，最終導致這一慘劇的發生。慢霧安全團隊建議在對接此類寫法的代幣時使用 require 對其返回值進行檢查，以避免此問題的發生。[2021/4/4 19:45:30]

多鏈支持：Avocado支持多條區塊鏈，用戶可以在同一個錢包中管理多種加密貨幣，所有gas費用使用USDC支付。

安全保障：Avocado錢包采用了多重簽名技術和智能合約保障用戶的數字資產安全，同時還支持硬件錢包的連接。

DeFi服務：用戶可以在Avocado錢包中直接訪問各種去中心化應用，例如借貸、交易、穩定幣等。此外，用戶可以免費使用所有當前的Instadapp策略。

社區治理：Avocado錢包采用了DAO的治理模式，用戶可以通過投票參與錢包的決策和發展。

目前Instadapp已完成2輪融資，累計融資金額為1240萬美元，參投方包括CoinbaseVentures、PanteraCapital、StandardCrypto、RobotVentures、BalajiSrinivasan等。現階段Instadapp多個產品的總TVL超過20億美元，而Avocado作為其開發的集成錢包，享有網絡效應的優勢，例如使用閃貸無需支付費用，贈送1USDC的Gas費用補貼，免費使用Instadapp的自動化投資策略等。

Braavos

Braavos是一個開源的賬戶抽象層，它提供了一種簡單的方式來管理多個賬戶，并為應用程序提供了一個統一接口。其特點包括：

多賬戶支持：Braavos支持管理多個賬戶，包括銀行賬戶、支付寶、PayPal等。

統一API：Braavos提供了一個統一的API，使得應用程序可以使用相同的代碼來處理不同的賬戶類型。

安全性：Braavos使用OAuth2協議來處理授權和認證，保證了數據的安全性。

易于擴展：Braavos的設計使得它可以很容易地擴展到支持新的賬戶類型和服務。

自動化：Braavos自動處理賬戶余額和交易歷史記錄，使得應用程序可以專注于核心業務邏輯。

目前Braavos已完成1000萬美元融資，PanteraCapital領投，StarkWare、Crypto.comCapital、MatrixportVentures等參投。Braavos的硬件安全模塊通過帳戶抽象實現，具有驗證任意簽名的能力。

UniPass

UniPassWallet是一款支持鏈上Email社交恢復的智能合約錢包解決方案，旨在提供Web2用戶熟悉的使用體驗，其特點如下：

兼容ERC-4337：用戶可以通過在MainModule中添加4337模塊事務來激活ERC-4337兼容模式。激活之后，用戶可以發起的交易將提交給Bundler，通過標準的ERC-4337驗證方式。用戶也可以對UniPasstx進行簽名，提交給Relayer進行鏈上處理。

電子郵件恢復：用戶可以設置多個互聯網郵箱作為賬戶的守護者，只需將郵件提交至鏈上智能合約，即可幫助用戶實現賬戶找回錢包私鑰。當用戶擁有超過2個監護人郵箱時，用戶可以使用這兩個郵箱提交賬戶恢復郵件，立即恢復賬戶。當用戶只有一個監護人郵箱時，通常需要等待48小時的鎖定期才能恢復帳戶。

無Gas體驗：UniPass提供一個默認的中繼節點，接受用戶使用原生代幣和主流穩定幣形式的Gas支付。

UniPass于2022年4月完成由HashKeyCapital參投的種子輪融資。與其他錢包相比，UniPass支持所有EVM區塊鏈，主流的非EVM鏈也在路線圖中。此外，UniPass重視開發人員的體驗，提供了多款用于集成到dApp的SDK。

SoulWallet

SoulWallet是一個插件錢包，使用戶能夠：1.不需要助記詞的情況下創建錢包2.通過改變簽名密鑰來保持錢包。3.通過簽名聚合減少30%gasfee。4.支持USDC支付交易。5.由第三方贊助，無需gasfee。6.將多筆交易捆綁在一起。

SoulWallet于3月16日完成310萬美元種子輪融資，??StruckCrypto、NGCVentures、Alchemy、SignumCapital等參投。其創始人ZengJiajun是字節跳動和美團的前產品經理，SoulWallet計劃在第三季度或第四季度推出。

Versa

Versa是一站式UX簡化的智能合約錢包，用戶可以通過它輕松訪問無密鑰和社交登錄的加密錢包，進行Gas管理和鏈上賬戶恢復，設置自動支出，自動化投資策略等。Versa于3月23日宣布完成種子輪融資，STEPN開發商FindSatoshiLab、FoliusVentures和一些天使投資人等參投。目前Versa處于封閉測試階段。

Peaze

Peaze是一款允許用戶通過電子郵件和信用卡訪問Web3應用程序的錢包。Peaze利用智能合約控制私鑰訪問和簽名，當用戶確認一筆交易時，會生成一個標準的交易簽名，然后觸發入口流程，向用戶的法定支付方式收費，并將適當數量的加密貨幣發送到他們的錢包。在此步驟中還會執行任何必要的交換/橋接程序。

Opclave

Opclave允許用戶創建和使用具有觸摸/面部ID的非托管錢包，而無需種子短語。Opclave利用ERC-4337改進了OPStack的SC帳戶，使用AppleEnclave抽象的簽名，其核心理念是將Apple設備、iPhone、Macbook變成硬件錢包。Opclave是以太坊擴容黑客松、HacktheStack的優勝者。

PatchWallet

PatchWallet是一款支持使用GitHub/Twitter/Email登錄的加密錢包，不需要種子短語，該錢包支持多種主流加密貨幣，用戶可以在同一個錢包中管理多種加密貨幣。用戶還可以輕松地管理和切換多個賬戶，而無需重新導入私鑰。此外，PatchWallet支持硬件錢包，用戶可以將私鑰存儲在硬件設備中以提高安全性。

ZeroDev

ZeroDev是一個建立在ERC-4337之上的SDK，用于構建由帳戶抽象提供支持的Web3應用程序。使用ZeroDev可以創建易于使用的應用程序，用戶可以無需助記詞而通過好友恢復賬戶、允許第三方支付用戶完全跳過GAS、合并交易步驟以改善用戶體驗，節省時間和成本并提高安全性。

SequenceSequenceWallet是一款旨在實現無縫集成的非托管錢包，兼容所有EVM公鏈，支持社交/電子郵件登錄，Moonpay、Ramp等法幣支付提供商，使用各種貨幣支付Gas費等等。

小結

基于ERC-4337的錢包注重于將底層功能進行抽象化，社交恢復、無需原生Gas費用、捆綁打包交易是可以大幅提升UI體驗的功能。此外，集成?ERC-4377?的模塊化開發平臺或將成為主流。如?Patch、Sequence?和未列舉的Gelote等。

賬戶抽象錢包可能需要一個更加“MakeSense”的案例才能得到大規模采用，現階段多個項目的“無Gas費”宣傳語存在一定的誤導性，其背后的邏輯只是允許用戶使用USDC等非ETH幣種來支付Gas，補貼策略似乎也收效甚微。另一方面，錢包的多鏈困境也沒有得到明顯改善。號稱能夠實現“多鏈”的錢包只是面向EVM兼容鏈，而zk系、Move系、Solana系等生態錢包還受困于孤島效應。

智能合約錢包正在成為趨勢，細分賽道中還出現了其他競爭者。MPC錢包將私鑰分散存儲在多個設備中，通過多方計算實現無私鑰、社交恢復等功能。例如，3月7日宣布完成由a16z領投的MPC錢包Capsule，通過引入可編程的MPC來擴展鏈上交易的使用場景。與此同時，擁有巨大用戶基礎的Telegram計劃推出加密錢包，目前已支持在應用聊天界面直接交易BTC、TON和USDT。這些競爭者也在爭奪用戶，并且在不斷地推出新的功能和服務。

Tags：STAENTAVOUSD星鏈幣starl未來價格PotentiamSCAVO幣xusd幣是啥

世界幣