GAS:解析会话密钥：Web3版“免密支付”

钱包授权一直是与DApp交互的必要流程，但我们在DeFi、GameFi中交互的过程中往往会需要在短时间内多次授权，这非常影响用户体验。Odaily星球日报最近关注的“会话密钥”技术，则允许用户对DApp仅授权一次就可以在后台默认签署后续交易并支付gas，实现类似Web2免密支付的功能，从而极大地优化用户体验。

会话密钥是如何工作的？

简单来讲，会话密钥允许用户在与应用交互之前签署一个token以提前批准特定的交易，用户可以自定义频率、gas最高价、每日限额等参数，当用户签署该token再与该应用交互的时候，符合之前参数条件的交易就会在后台被自动执行并支付gas。但目前会话密钥并不支持所有的钱包，仅仅支持智能合约钱包，它是基于账户抽象的智能合约钱包的子技术。在进一步介绍会话密钥之前需要先介绍一下以太坊上的地址、智能合约账户以及账户抽象的发展情况。关于地址、智能合约账户、账户抽象

Beosin：Avalanche链上Platypus项目损失850万美元攻击事件解析:2月17日，据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、 预警与阻断平台监测显示，Avalanche链上的Platypus项目合约遭受闪电贷攻击，Beosin安全团队分析发现攻击者首先通过闪电贷借出4400万USDC之后调用Platypus Finance合约的deposit函数质押，该函数会为攻击者铸造等量的LP-USDC，随后攻击者再把所有LP-USDC质押进MasterPlatypusV4合约的4号池子当中，然后调用positionView函数利用_borrowLimitUSP函数计算出可借贷余额，_borrowLimitUSP函数会返回攻击者在MasterPlatypusV4中质押物品的价值的百分比作为可借贷上限，利用该返回值通过borrow函数铸造了大量USP（获利点），由于攻击者自身存在利用LP-USDC借贷的大量债务（USP），那么在正常逻辑下是不应该能提取出质押品的，但是MasterPlatypusV4合约的emergencyWithdraw函数检查机制存在问题，仅检测了用户的借贷额是否超过该用户的borrowLimitUSP（借贷上限）而没有检查用户是否归还债务的情况下，使攻击者成功提取出了质押品（4400万LP-USDC）。归还4400万USDC闪电贷后， 攻击者还剩余41,794,533USP，随后攻击者将获利的USP兑换为价值8,522,926美元的各类稳定币。[2023/2/17 12:12:32]

目前以太坊上有两种地址：第一种地址就是通常的钱包地址，也称为外部拥有账户，具有发送与接收代币、支付gas、执行交易的功能；一种是智能合约地址，各种部署在以太坊上的dapp就是以智能合约的方式运行着。

1inch：分配给解析器激励计划的1000万枚INCH已启动发放:1月26日消息，DEX聚合器1inch Network表示，此前分配给解析器激励计划的1000万枚INCH Token已启动发放，旨在激励更多1INCH利益相关者将其UnicornPower委托给解析器，同时补偿解析器为满足用户的Fusion订单而支付的Gas费用。

据悉，每个解析器收到的Token数量将取决于其网络份额，预计每周将分发25万枚1INCHToken。此前消息，去年12月，1inch宣布推出1inch Resolver激励计划，旨在为补偿解析器为满足用户的Fusion订单而支付的Gas费用。该计划于2022年12月24日启动，总计将发放1000万枚1INCH Token。[2023/1/26 11:30:44]

Beosin解析Reaper Farm遭攻击事件：_withdraw中owner地址可控且未作任何访问控制:8月2日消息，据 Beosin EagleEye 安全舆情监控数据显示，Reaper Farm 项目遭到黑客攻击，Beosin 安全团队发现由于_withdraw 中 owner 地址可控且未作任何访问控制，导致调用 withdraw 或 redeem 函数可提取任意用户资产。攻击者（0x5636 开头）利用攻击合约（0x8162 开头）通过漏洞合约（0xcda5 开头）提取用户资金，累计获利 62 ETH 和 160 万 DAI，约价值 170 万美元，目前攻击者（0x2c17 开头）已通过跨链将所有获利资金转入 Tornado.Cash。[2022/8/2 2:54:18]

但是这样的地址设计存在很多问题，许多以太坊开发者认为EOA地址的设计阻碍了钱包在多签、隐私保护、gas优化等方面的发展，并且不利于交易的可编程。因此，V神、AnsgarDietrichs、MattGarnett,、WillVillanueva、SamWilson等人提出并完成了以太坊改进提案EIP-2938，并提出了“用户抽象”的概念。关于账户抽象，简单来讲就是让智能合约地址可以支付gas和执行交易，使之具备钱包地址的所有功能。基于账户抽象的智能合约地址就是智能合约账户，也由此衍生出了智能合约钱包概念。而会话密钥是基于账户抽象的智能合约钱包的子技术。前面已经提到，支持会话密钥的钱包支持用户自定义免密支付的参数，但是这些参数的可选项完全取决于钱包开发商。且会话密钥并不支持所有DApp，所支持的DApp取决于你所使用的智能合约钱包是否允许调用该Dapp的合约，这个过程是中心化的。总结一下，会话密钥就是Web3的免密支付，允许用户对DApp仅授权一次就可以在后台默认签署后续交易并支付gas。那么现在有哪些用例呢？用例

动态 | EOSCanada 解析 B1 源代码解释相关期权兑现计划:据 IMEOS 报道，EOSCanada 发布文章解析 B1 源代码，以解释相关期权兑现计划。文中经过源代码分析得出结论，截至2019年1月1日，Block.one 可以赎回共计5879120个代币。分析结果认为，如果 Block.one 想要以小于其全部权重的票数进行投票，则他们必须赎回当前最大数量的代币。然后，他们必须将这些代币转移到一个单独的帐户，抵押，然后投票。截至撰写该文时（2019年3月中旬），这笔金额约为785万美元。因此，虽然 Block.one 以外的任何人都不知道他们投票的想法或他们想要用他们的代币做什么，但我们现在都能理解实际存在的限制。[2019/3/21]

StarkNet上的链游孵化器MatchBoxDAO在《HowtoMakeOn-ChainGamingCompetitive:‘SessionKeys’》中提出了会话密钥的一些用例，它们包括：用户友好的且不间断的游戏；设置多个DeFi仓位的能力；填写包含许多输入项的表单时进行确认；非托管和自我指导的IRA；重新管理钱包/库存中的资产……

从工作原理来看，由于会话密钥可以允许用户提前批准一些交易，从而减少用户批准次数，因此所有有高频授权、交互的应用场景都会用得到它。我们可以据此推理，会话密钥可以解决Web3社交媒体的高频链上交互影响用户体验的问题。以Lenster为例，基于社交协议LensProtocol开发的链上社交媒体Lenster上的所有交互都需要授权并支付Matic，每次评论和转发都需要钱包授权，非常影响用户体验。

如果Lenster实现了会话密钥，这将让用户省去繁琐的多次授权，有更加顺滑的产品体验，极大缩小与Twitter这些Web2应用巨大的产品差距，我们也许可以期待在未来的某天可以用上一些产品体验媲美Web2产品，但架构却是Web3的去中心社交媒体。参考链接

1.ArgentX关于会话密钥的推文2.《HowtoMakeOn-ChainGamingCompetitive:‘SessionKeys’》——MatchBoxDAO3.《FromSign-InwithEthereumtoSessionKeys》——WayneChang4.《AnoverviewofAccountAbstractioninEthereumblockchain》——YashKamalChaturvedi5.EIP-86：Abstractionoftransactionoriginandsignature6.EIP-2938：AccountAbstraction7.EIP-4337：AccountAbstractionviaEntryPointContractspecification相关阅读

主动拒绝“投攻击”——合约钱包的登场机会

标签：IONEOSINCGASCrypto Makers FoundationEOSC价格rheincoinTOGASHI价格

火必APP热门资讯