簡析 11 款賬戶抽象錢包：我們距離“絲滑”的加密體驗還有多遠？_ENT

作者：餅干，ChainCatcher

在加密貨幣領域，用戶不能為同一個錢包地址設置多個私鑰，也無法修改私鑰。因此，如果私鑰丟失，不僅會造成錢包資產丟失，該錢包也將永遠無法再被使用，只能作廢。

據?Coinbase產品戰略與業務運營總監ConorGrogan統計，約有11.5億美元的加密貨幣因人為過失而永久丟失。Grogan補充道，該統計數據遠低于因丟失錢包訪問權限而鎖住的ETH數量，因為鏈上存在大量長期不動的資產，無法判斷其中有多少丟失了私鑰。

加密錢包一直是以太坊創始人Vitalik長期關注的方向。Nethermind以及opengsn的研究人員在Vitalik的幫助下提出了EIP-4337，該提案提出了一種解決方法，無需更改任何共識層協議，就能為以太坊帶來“帳戶抽象”。最近，Vitalik在他的文章《如何為多簽錢包和社交恢復錢包選擇守護者？》中闡述了自己的觀點，致力于推動可信第三方在加密錢包中的采用。

近期，相比于Metamask、Imtoken等老牌加密錢包，一些基于EIP-4337的加密錢包開始嶄露頭角，它們試圖重新開啟加密錢包賽道的藍海。本文將簡要介紹EIP-4337的概念，以及Argent、Avocado、Braavos、PatchWallet、Unipass、Opclave、SoulWallet、Versa等11款賬戶抽象錢包。

EIP-4337有什么用？

目前，以太坊錢包地址分為EOA賬戶和合約賬戶，EIP-4337提案中提出了賬戶抽象的概念，可以用來管理多個合約賬戶和外部賬戶，以改善以太坊賬戶的安全性和可操作性。如果想深入了解機制，可查閱《EIP-4337賬戶抽象錢包方案能否開辟錢包新時代？》

LendHub被黑簡析：系LendHub中存在新舊兩市場:金色財經報道，據慢霧安全區情報，2023 年 1 月 13 日，HECO 生態跨鏈借貸平臺 LendHub 被攻擊損失近 600 萬美金。慢霧安全團隊以簡訊的形式分享如下：

此次攻擊原因系 LendHub 中存在兩個 lBSV cToken，其一已在 2021 年 4 月被廢棄但并未從市場中移除，這導致了新舊兩個 lBSV 都存在市場中。且新舊兩個 lBSV 所對應的 Comptroller 并不相同但卻都在市場中有價格，這造成新舊市場負債計算割裂。攻擊者利用此問題在舊的市場進行抵押贖回，在新的市場進行借貸操作，惡意套取了新市場中的協議資金。

目前主要黑客獲利地址為 0x9d01..ab03，黑客攻擊手續費來源為 1 月 12 日從 Tornado.Cash 接收的 100 ETH。截至此時，黑客已分 11 筆共轉 1,100 ETH 到 Tornado.Cash。通過威脅情報網絡，已經得到黑客的部分痕跡，慢霧安全團隊將持續跟進分析。[2023/1/13 11:11:00]

使用EIP-4337可以帶來以下好處：

更高效的合約部署和維護：由于多個合約可以共享同一個地址和私鑰，可以減少合約部署和維護的工作量。

更好的安全性：由于賬戶合約只代表一個地址和私鑰，可以減少私鑰泄露的風險。

更好的可擴展性：由于可以實現可重用的合約代碼，可以更容易地實現復雜的合約邏輯。

簡而言之，EIP-4337的愿景是實現用戶友好，主要從易用性和社交恢復兩個方面實現，通過提高加密錢包的UI體驗而吸引新用戶，例如新用戶在注冊時不再需要抄寫助記詞。用戶丟失錢包私鑰后也可以通過社交關系找回。其他擴展功能包括多賬戶/多鏈管理、捆綁打包交易等，例如讓錢包自動為服務續費。

安全團隊：Rubic被攻擊事件簡析:金色財經報道，據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示，Rubic項目被攻擊，Beosin安全團隊分析發現RubicProxy合約的routerCallNative函數由于缺乏參數校驗，_params可以指定任意的參數，攻擊者可以使用特定的integrator來讓RubicProxy合約可以幾乎零成本的調用自己傳入的函數data。攻擊者通過調用routerCallNative函數，把所有授權給RubicProxy合約的USDC全部通過transferFrom轉入了0x001B地址，被盜資金近1100個以太坊，通過Beosin Trace追蹤發現被盜資金已經全部轉入了Tornado cash。[2022/12/25 22:06:32]

而EIP-4337實現的難點在于，將錢包復雜化之后，開發成本、兼容性以及用戶隱私等方面的挑戰，以及復雜的交互合約產生更高的gas費用等。

賬戶抽象錢包?

Argent

Argent錢包是一款以安全性和易用性為重點設計的加密貨幣錢包，其主要特點包括：

社交恢復：Argent的社交恢復功能使用戶可以通過與信任的聯系人建立連接來恢復其錢包。這使得用戶可以更輕松地恢復其錢包，而無需記住復雜的助記詞或私鑰。

無需以ETH作為gas費：Argent采用MetaTransaction技術實現用戶在不擁有ETH的情況下發送交易。具體來說，Argent通過“GasStationNetwork”的中間層服務為用戶支付gas費，并從用戶賬戶中扣除相應的費用。

Beosin：Skyward Finance項目遭受攻擊事件簡析:金色財經報道，根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示，Near鏈上的Skyward Finance項目遭受漏洞攻擊，Beosin分析發現由于skyward.near合約的redeem_skyward函數沒有正確校驗token_account_ids參數，導致攻擊者5ebc5ecca14a44175464d0e6a7d3b2a6890229cd5f19cfb29ce8b1651fd58d39傳入相同的token_account_id，并多次領取了WNear獎勵。本次攻擊導致項目損失了約108萬個Near，約320萬美元。Beosin Trace追蹤發現被盜金額已被攻擊者轉走。[2022/11/3 12:12:36]

攻擊檢測：Argent錢包采用自行開發的"Guardians"智能合約自動檢測和防范釣魚攻擊、惡意軟件攻擊、重放攻擊等。例如，當用戶收到一個看似來自Argent錢包的電子郵件或短信時，Guardians合約會檢測該信息是否來自Argent官方渠道。如果檢測到該信息不是來自官方渠道，Guardians合約將自動阻止用戶執行任何與該信息相關的交易。

目前Argent已完成3輪融資，累計融資金額達到5600萬美元，參投方包括FabricVentures、Metaplanet、Paradigm、StarkWare、JumpCrypto、AnimocaBrands等。現階段Argent錢包的用戶群體較少，主要原因包括ZK網絡的穩定性、不支持多種加密貨幣的存儲和交易等。

安全團隊：Audius項目惡意提案攻擊簡析，攻擊者總共獲利約108W美元:7月24日消息，據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示，Audius項目遭受惡意提案攻擊。成都鏈安安全團隊簡析如下：攻擊者先部署惡意合約并在Audius: Community Treasury 合約中調用initialize將自己設置為治理合約的監護地址，隨后攻擊者調用ProposalSubmitted 提交惡意85號提案并被通過，該提案允許向攻擊合約轉賬1,856w個AudiusToken，隨后攻擊者將獲得的AudiusToken兌換為ETH，總共獲利約108W美元，目前獲利資金仍然存放于攻擊者地址上（0xa0c7BD318D69424603CBf91e9969870F21B8ab4c）。[2022/7/24 2:34:31]

Avocado

Instadapp是一種基于以太坊的DeFi協議，旨在使DeFi變得更加簡單和易于管理。該協議推出了一款基于賬戶抽象的錢包Avocado，其主要特點包括以下幾個方面：

多鏈支持：Avocado支持多條區塊鏈，用戶可以在同一個錢包中管理多種加密貨幣，所有gas費用使用USDC支付。

安全保障：Avocado錢包采用了多重簽名技術和智能合約保障用戶的數字資產安全，同時還支持硬件錢包的連接。

DeFi服務：用戶可以在Avocado錢包中直接訪問各種去中心化應用，例如借貸、交易、穩定幣等。此外，用戶可以免費使用所有當前的Instadapp策略。

慢霧：DEUS Finance 二次被黑簡析:據慢霧區情報，DEUS Finance DAO在4月28日遭受閃電貸攻擊，慢霧安全團隊以簡訊的形式將攻擊原理分享如下:

1.攻擊者在攻擊之前先往DeiLenderSolidex抵押了SolidexsAMM-USDC/DEI的LP。

2.在幾個小時后攻擊者先從多個池子閃電貸借出143200000USDC。

3.隨后攻擊者使用借來的USDC在BaseV1Pair進行了swap操作，兌換出了9547716.9個的DEI，由于DeiLenderSolidex中的getOnChainPrice函數是直接獲取DEI-USDC交易對的代幣余額進行LP價格計算。因此在此次Swap操作中將拉高getOnChainPrice函數獲取的LP價格。

4.在進行Swap操作后，攻擊者在DeiLenderSolidex合約中通過borrow函數進行借貸，由于borrow函數中用isSolvent進行借貸檢查，而在isSolvent是使用了getOnChainPrice函數參與檢查。但在步驟3中getOnChainPrice的結果已經被拉高了。導致攻擊者超額借出更多的DEI。

5.最后著攻擊者在把用借貸出來DEI兌換成USDC歸還從幾個池子借出來的USDC，獲利離場。

針對該事件，慢霧安全團隊給出以下防范建議：本次攻擊的原因主要在于使用了不安全的預言機來計算LP價格，慢霧安全團隊建議可以參考Alpha Finance關于獲取公平LP價格的方法。[2022/4/28 2:37:18]

社區治理：Avocado錢包采用了DAO的治理模式，用戶可以通過投票參與錢包的決策和發展。

目前Instadapp已完成2輪融資，累計融資金額為1240萬美元，參投方包括CoinbaseVentures、PanteraCapital、StandardCrypto、RobotVentures、BalajiSrinivasan等。現階段Instadapp多個產品的總TVL超過20億美元，而Avocado作為其開發的集成錢包，享有網絡效應的優勢，例如使用閃貸無需支付費用，贈送1USDC的Gas費用補貼，免費使用Instadapp的自動化投資策略等。

Braavos

Braavos是一個開源的賬戶抽象層，它提供了一種簡單的方式來管理多個賬戶，并為應用程序提供了一個統一接口。其特點包括：

多賬戶支持：Braavos支持管理多個賬戶，包括銀行賬戶、支付寶、PayPal等。

統一API：Braavos提供了一個統一的API，使得應用程序可以使用相同的代碼來處理不同的賬戶類型。

安全性：Braavos使用OAuth2協議來處理授權和認證，保證了數據的安全性。

易于擴展：Braavos的設計使得它可以很容易地擴展到支持新的賬戶類型和服務。

自動化：Braavos自動處理賬戶余額和交易歷史記錄，使得應用程序可以專注于核心業務邏輯。

目前Braavos已完成1000萬美元融資，PanteraCapital領投，StarkWare、Crypto.comCapital、MatrixportVentures等參投。Braavos的硬件安全模塊通過帳戶抽象實現，具有驗證任意簽名的能力。

UniPass

UniPassWallet是一款支持鏈上Email社交恢復的智能合約錢包解決方案，旨在提供Web2用戶熟悉的使用體驗，其特點如下：

兼容ERC-4337：用戶可以通過在MainModule中添加4337模塊事務來激活ERC-4337兼容模式。激活之后，用戶可以發起的交易將提交給Bundler，通過標準的ERC-4337驗證方式。用戶也可以對UniPasstx進行簽名，提交給Relayer進行鏈上處理。

電子郵件恢復：用戶可以設置多個互聯網郵箱作為賬戶的守護者，只需將郵件提交至鏈上智能合約，即可幫助用戶實現賬戶找回錢包私鑰。當用戶擁有超過2個監護人郵箱時，用戶可以使用這兩個郵箱提交賬戶恢復郵件，立即恢復賬戶。當用戶只有一個監護人郵箱時，通常需要等待48小時的鎖定期才能恢復帳戶。

無Gas體驗：UniPass提供一個默認的中繼節點，接受用戶使用原生代幣和主流穩定幣形式的Gas支付。

UniPass于2022年4月完成由HashKeyCapital參投的種子輪融資。與其他錢包相比，UniPass支持所有EVM區塊鏈，主流的非EVM鏈也在路線圖中。此外，UniPass重視開發人員的體驗，提供了多款用于集成到dApp的SDK。

SoulWallet

SoulWallet是一個插件錢包，使用戶能夠：1.不需要助記詞的情況下創建錢包2.通過改變簽名密鑰來保持錢包。3.通過簽名聚合減少30%gasfee。4.支持USDC支付交易。5.由第三方贊助，無需gasfee。6.將多筆交易捆綁在一起。

SoulWallet于3月16日完成310萬美元種子輪融資，??StruckCrypto、NGCVentures、Alchemy、SignumCapital等參投。其創始人ZengJiajun是字節跳動和美團的前產品經理，SoulWallet計劃在第三季度或第四季度推出。

Versa

Versa是一站式UX簡化的智能合約錢包，用戶可以通過它輕松訪問無密鑰和社交登錄的加密錢包，進行Gas管理和鏈上賬戶恢復，設置自動支出，自動化投資策略等。Versa于3月23日宣布完成種子輪融資，STEPN開發商FindSatoshiLab、FoliusVentures和一些天使投資人等參投。目前Versa處于封閉測試階段。

Peaze

Peaze是一款允許用戶通過電子郵件和信用卡訪問Web3應用程序的錢包。Peaze利用智能合約控制私鑰訪問和簽名，當用戶確認一筆交易時，會生成一個標準的交易簽名，然后觸發入口流程，向用戶的法定支付方式收費，并將適當數量的加密貨幣發送到他們的錢包。在此步驟中還會執行任何必要的交換/橋接程序。

Opclave

Opclave允許用戶創建和使用具有觸摸/面部ID的非托管錢包，而無需種子短語。Opclave利用ERC-4337改進了OPStack的SC帳戶，使用AppleEnclave抽象的簽名，其核心理念是將Apple設備、iPhone、Macbook變成硬件錢包。Opclave是以太坊擴容黑客松、HacktheStack的優勝者。

PatchWallet

PatchWallet是一款支持使用GitHub/Twitter/Email登錄的加密錢包，不需要種子短語，該錢包支持多種主流加密貨幣，用戶可以在同一個錢包中管理多種加密貨幣。用戶還可以輕松地管理和切換多個賬戶，而無需重新導入私鑰。此外，PatchWallet支持硬件錢包，用戶可以將私鑰存儲在硬件設備中以提高安全性。

ZeroDev

ZeroDev是一個建立在ERC-4337之上的SDK，用于構建由帳戶抽象提供支持的Web3應用程序。使用ZeroDev可以創建易于使用的應用程序，用戶可以無需助記詞而通過好友恢復賬戶、允許第三方支付用戶完全跳過GAS、合并交易步驟以改善用戶體驗，節省時間和成本并提高安全性。

SequenceSequenceWallet是一款旨在實現無縫集成的非托管錢包，兼容所有EVM公鏈，支持社交/電子郵件登錄，Moonpay、Ramp等法幣支付提供商，使用各種貨幣支付Gas費等等。

小結

基于ERC-4337的錢包注重于將底層功能進行抽象化，社交恢復、無需原生Gas費用、捆綁打包交易是可以大幅提升UI體驗的功能。此外，集成?ERC-4377?的模塊化開發平臺或將成為主流。如?Patch、Sequence?和未列舉的Gelote等。

賬戶抽象錢包可能需要一個更加“MakeSense”的案例才能得到大規模采用，現階段多個項目的“無Gas費”宣傳語存在一定的誤導性，其背后的邏輯只是允許用戶使用USDC等非ETH幣種來支付Gas，補貼策略似乎也收效甚微。另一方面，錢包的多鏈困境也沒有得到明顯改善。號稱能夠實現“多鏈”的錢包只是面向EVM兼容鏈，而zk系、Move系、Solana系等生態錢包還受困于孤島效應。

智能合約錢包正在成為趨勢，細分賽道中還出現了其他競爭者。MPC錢包將私鑰分散存儲在多個設備中，通過多方計算實現無私鑰、社交恢復等功能。例如，3月7日宣布完成由a16z領投的MPC錢包Capsule，通過引入可編程的MPC來擴展鏈上交易的使用場景。與此同時，擁有巨大用戶基礎的Telegram計劃推出加密錢包，目前已支持在應用聊天界面直接交易BTC、TON和USDT。這些競爭者也在爭奪用戶，并且在不斷地推出新的功能和服務。

Tags：ENTAVOGASALLENTERMETA價格AVO價格UGAS幣Sociall

DOGE