AVO:简析 11 款账户抽象钱包：我们距离“丝滑”的加密体验还有多远？

作者：饼干，ChainCatcher

在加密货币领域，用户不能为同一个钱包地址设置多个私钥，也无法修改私钥。因此，如果私钥丢失，不仅会造成钱包资产丢失，该钱包也将永远无法再被使用，只能作废。

据?Coinbase产品战略与业务运营总监ConorGrogan统计，约有11.5亿美元的加密货币因人为过失而永久丢失。Grogan补充道，该统计数据远低于因丢失钱包访问权限而锁住的ETH数量，因为链上存在大量长期不动的资产，无法判断其中有多少丢失了私钥。

加密钱包一直是以太坊创始人Vitalik长期关注的方向。Nethermind以及opengsn的研究人员在Vitalik的帮助下提出了EIP-4337，该提案提出了一种解决方法，无需更改任何共识层协议，就能为以太坊带来“帐户抽象”。最近，Vitalik在他的文章《如何为多签钱包和社交恢复钱包选择守护者？》中阐述了自己的观点，致力于推动可信第三方在加密钱包中的采用。

近期，相比于Metamask、Imtoken等老牌加密钱包，一些基于EIP-4337的加密钱包开始崭露头角，它们试图重新开启加密钱包赛道的蓝海。本文将简要介绍EIP-4337的概念，以及Argent、Avocado、Braavos、PatchWallet、Unipass、Opclave、SoulWallet、Versa等11款账户抽象钱包。

EIP-4337有什么用？

目前，以太坊钱包地址分为EOA账户和合约账户，EIP-4337提案中提出了账户抽象的概念，可以用来管理多个合约账户和外部账户，以改善以太坊账户的安全性和可操作性。如果想深入了解机制，可查阅《EIP-4337账户抽象钱包方案能否开辟钱包新时代？》

安全团队：Defrost Finance被攻击事件简析:金色财经报道，据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示，Defrost Finance预言机被恶意修改，并且添加了假的抵押token清算当前用户，损失超1300万美元。攻击者通过setOracleAddress函数修改了预言机的地址，随后使用joinAndMint函数铸造了100,000,000个H20代币给0x6f31地址，最后调用liquidate函数通过虚假的价格预言机获取了大量的USDT。后续攻击者通过跨链的方式将被盗资金转移到了以太坊的0x4e22上，目前有490万美元的DAI在0x4e22地址上，有500万美元的DAI在0xfe71地址上，剩余300万美元的ETH被转移到了0x3517地址上。[2022/12/25 22:06:35]

使用EIP-4337可以带来以下好处：

更高效的合约部署和维护：由于多个合约可以共享同一个地址和私钥，可以减少合约部署和维护的工作量。

更好的安全性：由于账户合约只代表一个地址和私钥，可以减少私钥泄露的风险。

更好的可扩展性：由于可以实现可重用的合约代码，可以更容易地实现复杂的合约逻辑。

简而言之，EIP-4337的愿景是实现用户友好，主要从易用性和社交恢复两个方面实现，通过提高加密钱包的UI体验而吸引新用户，例如新用户在注册时不再需要抄写助记词。用户丢失钱包私钥后也可以通过社交关系找回。其他扩展功能包括多账户/多链管理、捆绑打包交易等，例如让钱包自动为服务续费。

Beosin：SEAMAN合约遭受漏洞攻击简析:金色财经报道，根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示，2022年11月29日，SEAMAN合约遭受漏洞攻击。Beosin分析发现是由于SEAMAN合约在每次transfer函数时，都会将SEAMAN代币兑换为凭证代币GVC，而SEAMAN代币和GVC代币分别处于两个交易对，导致攻击者可以利用该函数影响其中一个代币的价格。

攻击者首先通过50万BUSD兑换为GVC代币，接下来攻击者调用SEAMAN合约的transfer函数并转入最小单位的SEAMAN代币，此时会触发合约将能使用的SEAMAN代币兑换为GVC，兑换过程是合约在BUSD-SEAMAN交易对中将SEAMAN代币兑换为BUSD，接下来在BUSD-GVC交易对中将BUSD兑换为GVC，攻击者通过多次调用transfer函数触发_splitlpToken()函数，并且会将GVC分发给lpUser，会消耗BUSD-GVC交易对中GVC的数量，从而抬高了该交易对中GVC的价格。最后攻击者通过之前兑换的GVC兑换了50.7万的BUSD，获利7781 BUSD。Beosin Trace追踪发现被盗金额仍在攻击者账户（0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c），将持续关注资金走向。[2022/11/29 21:10:04]

而EIP-4337实现的难点在于，将钱包复杂化之后，开发成本、兼容性以及用户隐私等方面的挑战，以及复杂的交互合约产生更高的gas费用等。

Beosin：SheepFarm项目遭受攻击事件简析:金色财经报道，根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示，BNB链上的SheepFarm项目遭受漏洞攻击，Beosin分析发现由于SheepFarm合约的register函数可以多次调用，导致攻击者0x2131c67ed7b6aa01b7aa308c71991ef5baedd049多次利用register函数增大自身的gems，再利用upgradeVillage函数在消耗gems的同时累加yield属性，最后调用sellVillage方法把yield转换为money后再提款。本次攻击导致项目损失了约262个BNB，约7.2万美元。Beosin Trace追踪发现被盗金额仍在攻击者账户，将持续关注资金走向。[2022/11/16 13:10:39]

账户抽象钱包?

Argent

Argent钱包是一款以安全性和易用性为重点设计的加密货币钱包，其主要特点包括：

社交恢复：Argent的社交恢复功能使用户可以通过与信任的联系人建立连接来恢复其钱包。这使得用户可以更轻松地恢复其钱包，而无需记住复杂的助记词或私钥。

无需以ETH作为gas费：Argent采用MetaTransaction技术实现用户在不拥有ETH的情况下发送交易。具体来说，Argent通过“GasStationNetwork”的中间层服务为用户支付gas费，并从用户账户中扣除相应的费用。

慢雾：BSC项目Value DeFi vSwap 模块被黑简析:据慢雾区情报，币安智能链项目 Value DeFi 的 vSwap 模块被黑，慢雾安全团队第一时间介入分析，并将结果以简讯的形式分享，供大家参考：

1. 攻击者首先使用 0.05 枚 WBNB 通过 vSwap 合约兑换出 vBSWAP 代币；

2. 攻击者在兑换的同时也进行闪电贷操作，因此 vSwap 合约会将兑换的 vBSWAP 代币与闪电贷借出的 WBNB 转给攻击者；

3. 而在完成整个兑换流程并更新池子中代币数量前，会根据池子的 tokenWeight0 参数是否为 50 来选择不同的算法来检查池子中的代币数量是否符合预期；

4. 由于 vSwap 合约的 tokenWeight0 参数设置为 70，因此将会采用第二种算法对池子中的代币数量进行检查；

5. 而漏洞的关键点就在于采用第二种算法进行检查时，可以通过特殊构造的数据来使检查通过；

6. 第二种算法是通过调用 formula 合约的 ensureConstantValue 函数并传入池子中缓存的代币数量与实时的代币数量进行检查的；

7. 在通过对此算法进行具体分析调试后我们可以发现，在使用 WBNB 兑换最小单位(即 0.000000000000000001) vBSWAP 时，池子中缓存的 WBNB 值与实时的值之间允许有一个巨大的波动范围，在此范围内此算法检查都将通过；

8. 因此攻击者可以转入 WBNB 进行最小单位的 vBSWAP 代币兑换的同时，将池子中的大量 WBNB 代币通过闪电贷的方式借出，由于算法问题，在不归还闪电贷的情况下仍可以通过 vSwap 的检查；

9. 攻击者只需要在所有的 vSwap 池子中，不断的重复此过程，即可将池子中的流动性盗走完成获利。详情见原文链接。[2021/5/8 21:37:37]

攻击检测：Argent钱包采用自行开发的"Guardians"智能合约自动检测和防范钓鱼攻击、恶意软件攻击、重放攻击等。例如，当用户收到一个看似来自Argent钱包的电子邮件或短信时，Guardians合约会检测该信息是否来自Argent官方渠道。如果检测到该信息不是来自官方渠道，Guardians合约将自动阻止用户执行任何与该信息相关的交易。

Force DAO 代币增发漏洞简析:据慢雾区消息，DeFi 量化对冲基金 Force DAO 项目的 FORCE 代币被大量增发。经慢雾安全团队分析发现： 在用户进行 deposit 操纵时，Force DAO 会为用户铸造 xFORCE 代币，并通过 FORCE 代币合约的 transferFrom 函数将 FORCE 代币转入 ForceProfitSharing 合约中。但 FORCE 代币合约的 transferFrom 函数使用了 if-else 逻辑来检查用户的授权额度，当用户的授权额度不足时 transferFrom 函数返回 false，而 ForceProfitSharing 合约并未对其返回值进行检查。导致了 deposit 的逻辑正常执行，xFORCE 代币被顺利铸造给用户，但由于 transferFrom 函数执行失败 FORCE 代币并未被真正充值进 ForceProfitSharing 合约中。最终造成 FORCE 代币被非预期的大量铸造的问题。 此漏洞发生的主要原因在于 FORCE 代币的 transferFrom 函数使用了`假充值`写法，但外部合约在对其进行调用时并未严格的判断其返回值，最终导致这一惨剧的发生。慢雾安全团队建议在对接此类写法的代币时使用 require 对其返回值进行检查，以避免此问题的发生。[2021/4/4 19:45:30]

目前Argent已完成3轮融资，累计融资金额达到5600万美元，参投方包括FabricVentures、Metaplanet、Paradigm、StarkWare、JumpCrypto、AnimocaBrands等。现阶段Argent钱包的用户群体较少，主要原因包括ZK网络的稳定性、不支持多种加密货币的存储和交易等。

Avocado

Instadapp是一种基于以太坊的DeFi协议，旨在使DeFi变得更加简单和易于管理。该协议推出了一款基于账户抽象的钱包Avocado，其主要特点包括以下几个方面：

多链支持：Avocado支持多条区块链，用户可以在同一个钱包中管理多种加密货币，所有gas费用使用USDC支付。

安全保障：Avocado钱包采用了多重签名技术和智能合约保障用户的数字资产安全，同时还支持硬件钱包的连接。

DeFi服务：用户可以在Avocado钱包中直接访问各种去中心化应用，例如借贷、交易、稳定币等。此外，用户可以免费使用所有当前的Instadapp策略。

社区治理：Avocado钱包采用了DAO的治理模式，用户可以通过投票参与钱包的决策和发展。

目前Instadapp已完成2轮融资，累计融资金额为1240万美元，参投方包括CoinbaseVentures、PanteraCapital、StandardCrypto、RobotVentures、BalajiSrinivasan等。现阶段Instadapp多个产品的总TVL超过20亿美元，而Avocado作为其开发的集成钱包，享有网络效应的优势，例如使用闪贷无需支付费用，赠送1USDC的Gas费用补贴，免费使用Instadapp的自动化投资策略等。

Braavos

Braavos是一个开源的账户抽象层，它提供了一种简单的方式来管理多个账户，并为应用程序提供了一个统一接口。其特点包括：

多账户支持：Braavos支持管理多个账户，包括银行账户、支付宝、PayPal等。

统一API：Braavos提供了一个统一的API，使得应用程序可以使用相同的代码来处理不同的账户类型。

安全性：Braavos使用OAuth2协议来处理授权和认证，保证了数据的安全性。

易于扩展：Braavos的设计使得它可以很容易地扩展到支持新的账户类型和服务。

自动化：Braavos自动处理账户余额和交易历史记录，使得应用程序可以专注于核心业务逻辑。

目前Braavos已完成1000万美元融资，PanteraCapital领投，StarkWare、Crypto.comCapital、MatrixportVentures等参投。Braavos的硬件安全模块通过帐户抽象实现，具有验证任意签名的能力。

UniPass

UniPassWallet是一款支持链上Email社交恢复的智能合约钱包解决方案，旨在提供Web2用户熟悉的使用体验，其特点如下：

兼容ERC-4337：用户可以通过在MainModule中添加4337模块事务来激活ERC-4337兼容模式。激活之后，用户可以发起的交易将提交给Bundler，通过标准的ERC-4337验证方式。用户也可以对UniPasstx进行签名，提交给Relayer进行链上处理。

电子邮件恢复：用户可以设置多个互联网邮箱作为账户的守护者，只需将邮件提交至链上智能合约，即可帮助用户实现账户找回钱包私钥。当用户拥有超过2个监护人邮箱时，用户可以使用这两个邮箱提交账户恢复邮件，立即恢复账户。当用户只有一个监护人邮箱时，通常需要等待48小时的锁定期才能恢复帐户。

无Gas体验：UniPass提供一个默认的中继节点，接受用户使用原生代币和主流稳定币形式的Gas支付。

UniPass于2022年4月完成由HashKeyCapital参投的种子轮融资。与其他钱包相比，UniPass支持所有EVM区块链，主流的非EVM链也在路线图中。此外，UniPass重视开发人员的体验，提供了多款用于集成到dApp的SDK。

SoulWallet

SoulWallet是一个插件钱包，使用户能够：1.不需要助记词的情况下创建钱包2.通过改变签名密钥来保持钱包。3.通过签名聚合减少30%gasfee。4.支持USDC支付交易。5.由第三方赞助，无需gasfee。6.将多笔交易捆绑在一起。

SoulWallet于3月16日完成310万美元种子轮融资，??StruckCrypto、NGCVentures、Alchemy、SignumCapital等参投。其创始人ZengJiajun是字节跳动和美团的前产品经理，SoulWallet计划在第三季度或第四季度推出。

Versa

Versa是一站式UX简化的智能合约钱包，用户可以通过它轻松访问无密钥和社交登录的加密钱包，进行Gas管理和链上账户恢复，设置自动支出，自动化投资策略等。Versa于3月23日宣布完成种子轮融资，STEPN开发商FindSatoshiLab、FoliusVentures和一些天使投资人等参投。目前Versa处于封闭测试阶段。

Peaze

Peaze是一款允许用户通过电子邮件和信用卡访问Web3应用程序的钱包。Peaze利用智能合约控制私钥访问和签名，当用户确认一笔交易时，会生成一个标准的交易签名，然后触发入口流程，向用户的法定支付方式收费，并将适当数量的加密货币发送到他们的钱包。在此步骤中还会执行任何必要的交换/桥接程序。

Opclave

Opclave允许用户创建和使用具有触摸/面部ID的非托管钱包，而无需种子短语。Opclave利用ERC-4337改进了OPStack的SC帐户，使用AppleEnclave抽象的签名，其核心理念是将Apple设备、iPhone、Macbook变成硬件钱包。Opclave是以太坊扩容黑客松、HacktheStack的优胜者。

PatchWallet

PatchWallet是一款支持使用GitHub/Twitter/Email登录的加密钱包，不需要种子短语，该钱包支持多种主流加密货币，用户可以在同一个钱包中管理多种加密货币。用户还可以轻松地管理和切换多个账户，而无需重新导入私钥。此外，PatchWallet支持硬件钱包，用户可以将私钥存储在硬件设备中以提高安全性。

ZeroDev

ZeroDev是一个建立在ERC-4337之上的SDK，用于构建由帐户抽象提供支持的Web3应用程序。使用ZeroDev可以创建易于使用的应用程序，用户可以无需助记词而通过好友恢复账户、允许第三方支付用户完全跳过GAS、合并交易步骤以改善用户体验，节省时间和成本并提高安全性。

SequenceSequenceWallet是一款旨在实现无缝集成的非托管钱包，兼容所有EVM公链，支持社交/电子邮件登录，Moonpay、Ramp等法币支付提供商，使用各种货币支付Gas费等等。

小结

基于ERC-4337的钱包注重于将底层功能进行抽象化，社交恢复、无需原生Gas费用、捆绑打包交易是可以大幅提升UI体验的功能。此外，集成?ERC-4377?的模块化开发平台或将成为主流。如?Patch、Sequence?和未列举的Gelote等。

账户抽象钱包可能需要一个更加“MakeSense”的案例才能得到大规模采用，现阶段多个项目的“无Gas费”宣传语存在一定的误导性，其背后的逻辑只是允许用户使用USDC等非ETH币种来支付Gas，补贴策略似乎也收效甚微。另一方面，钱包的多链困境也没有得到明显改善。号称能够实现“多链”的钱包只是面向EVM兼容链，而zk系、Move系、Solana系等生态钱包还受困于孤岛效应。

智能合约钱包正在成为趋势，细分赛道中还出现了其他竞争者。MPC钱包将私钥分散存储在多个设备中，通过多方计算实现无私钥、社交恢复等功能。例如，3月7日宣布完成由a16z领投的MPC钱包Capsule，通过引入可编程的MPC来扩展链上交易的使用场景。与此同时，拥有巨大用户基础的Telegram计划推出加密钱包，目前已支持在应用聊天界面直接交易BTC、TON和USDT。这些竞争者也在争夺用户，并且在不断地推出新的功能和服务。

标签：AVOENTGASFORIdavoll NetworkContentosUGAS价格MoonForce

瑞波币热门资讯