最近,账户抽象以及EIP-4337在去中心化钱包圈子里很火,与当前市面上主流的EOA钱包相比,它不仅解决了助记词备份这个痛点,而且钱包的用户体验和安全性都提升到了Web2级别,有望成为web3未来的流量入口。
EOA钱包的竞争格局
迄今为止,在以太坊网络上创建的大多数钱包帐户都属于EOA(externally owned accounts)类型,它由用户通过私钥直接控制账户,钱包账户的创建是通过随机生成私钥、根据私钥计算出公钥、再根据公钥计算出钱包地址。用户发送交易的过程实际上是用私钥为交易数据签名的过程,由外部账户触发。根据私钥的保存和使用方式,EOA钱包可分为EOA软件钱包和EOA硬件钱包。
EOA软件钱包
EOA 软件钱包即我们通常所说的助记词钱包,这些钱包通过私钥来保护用户的资产,它由两对秘钥组成,一个公钥和一个私钥,用户注册钱包后,会生成一个公钥,即钱包地址,用来接收资金,而在钱包注册过程中,用户还会得到一个私钥,它通常是12个单词(或24个单词)有序组成的“助记词”,用来确保用户能够迁移以及恢复账户。如果用户不小心弄丢了自己的助记词,则意味着账户中的资产永远丢失。
大部分EOA 软件钱包都支持用户创建及管理多个账户,优点:可以免费创建钱包,使用成本较低;缺点:必须备份好自己的助记词,如果不慎弄丢,钱包资产将无法找回,其次用户在转账操作时经常需要授权应用,这给到恶意账户可乘之机,智能合约可以瞬间把资产转走,这也是EOA钱包经常出现资产被盗的主要原因。根据使用方法不同,EOA软件钱包又可以细分为浏览器插件钱包、网页端钱包和移动端钱包等。从当前市面上EOA软件钱包的使用情况来看,浏览器插件钱包(如Metamask)和移动端钱包(TokenPocket、Imtoken)更受用户欢迎,占了EOA软件钱包的绝大部分市场份额。
EOA硬件钱包
硬件钱包将我们的私钥保存在硬件设备里,其内置的安全芯片拥有独立的处理器和存储单元,可独立进行密钥生成,密钥被存储在硬件中,被窃的数据无法解密,从而保护用户隐私和数据安全。由于EOA硬件钱包与外界相对隔离,极大的降低了私钥暴露的风险,从而减少加密资产被盗的可能性。
EOA硬件钱包用户在钱包上生成账户时,密钥是在安全模块(secure enclave)内生成的。用户想要发起交易时,就在硬件钱包设备上完成签名,然后将交易广播到网络上,这个过程不会暴露私钥,也就确保了资产安全。与EOA软件钱包相比,它更加安全,但便携性较差。
智能合约钱包赛道的细分情况
智能合约钱包(Smart Contract Wallet)是指用合约账户作为地址的钱包,是基于智能合约而不是外部账户的钱包,它是一种行为类似于钱包的智能合约,即一个允许用户管理资金、可以使用 web2 账户登录并能与 dApp 交互的钱包。与私钥钱包不同的是,智能合约钱包由代码控制,可以实现任意逻辑,没有助记词。但它创建需要初始成本,因为智能合约需要部署在链上,目前市面上比较受欢迎的智能合约钱包有以下几款。
Avatar 钱包
Avatar是一款使用EIP-4337和OAuth协议的web3智能合约钱包,它利用账户抽象解决了私钥问题。账户抽象是指将签名者与账户分离开来,账户拥有自己的逻辑来定义什么是有效交易,不需要用ECDSA私钥签名算法来定义有效交易。而智能合约账户可以很好的达到账户抽象,它可以通过设置代码逻辑,使用非ECDSA的验证算法进行验证,用户不需要面对长长的密钥对和助记词,且可以根据用户的需求进行定制其他功能。
EIP-4337 的提出推动了账户抽象概念的落地,Avatar 钱包则是市面上第一个将该提案技术应用落地的去中心化钱包。结合OAuth协议,用户使用谷歌账户一键登录后,就能使用,省去安装网页端扩展程序或下载Dapp,重新注册钱包等繁琐操作。
Avatar钱包的安全性和易用性都达到了Web2级别,有助于为 Web3 用户搭建去中心化数字身份 (DID,Decentralized Identity) ,它的作用与电子邮件在互联网中的角色类似,旨在为传统互联网用户进入 Web3 铺平通路并降低使用门槛,助推 Web3 的大规模普及。
目前,Avatar钱包已经上线到100多家GameFi项目以及部分DeFi项目,为他们提供了智能合约钱包技术服务。且与PlaNFT达成深度战略合作。PlaNFT是一个以创新为核心驱动的web3交易平台,集多链NFT铸造、交易、Swap、盲盒发布、俱乐部搭建为一体,由Pioneer3 Innovation Labs Pte. Ltd于2022年建立。PlaNFT创建了一系列web3基础设施,将普通web2用户与NFT世界连接起来,用户连接Avatar钱包后,就可以无缝地铸造以及交易NFT。
PlaNFT的最终使命是将数十亿互联网用户引入Web 3.0时代,在这个时代里,用户数据归个人所有,并将为内容创作者带来巨额收益。在使命上,PlaNFT与Avatar钱包不谋而合。
Argent钱包
Argent是一款基于以太坊的智能合约钱包,属于非托管类型的移动端钱包,它完全支持WalletConnect协议,通过加入“守护人”这个角色来管理钱包,用户可以绑定亲人朋友的链上账户,从而实现无助记词账户恢复。
Argent具有以下特点:
➣在整个注册过程中,用户不需要备份Recovery Phase
➣私钥由智能合约(Smart Contracts)控制
➣支持元交易(Meta—tracsaction),用户不需要用ETH来支付gas费用
➣用户可以获得一个免费的ENS(Ethereum Name SerVice)域名
Argent最大的特点是添加“Guardian”(守卫者)角色来帮助恢复账户,用户可以选择其他Argent账户(合约账户)或硬件钱包、MetaMask等EOA账户充当Guardian。其次,它设定了一个每日限额调整功能,默认设为10 ETH,用户可自行进行调整,超过设置的最大限额则无法通过,目的是防止Guardian作恶的情况下,一次性盗走全部资产。
**不足:**不能添加邮件进行钱包账户恢复,合约代码的安全性较低,今年11月18日消息,Argent团队发布基于StarkNet的浏览器插件钱包Argen X 5.0版本,在向新账户发送传统交易导致Cairo虚拟机绕过验证方法与安全检查,出现合约漏铜。
Torus钱包
Torus是一款非托管的智能合约钱包,用户可以通过其Google、Facebook、Twitter、LinkedIn或其他OAuth账户进行登录使用和本地生物识别登录。
Torus使用MPC样式的密钥管理系统,该系统会产生具有各自份额的用户密钥,并安全地将它们分发给独立的节点运营商,节点运用商将这些密钥映射到“验证者”帐户(例如Google,Reddit),从而允许用户使用这些帐户进行身份登录验证。在预定义的时间段之后,它将跨节点迁移这些密钥,从而实现动态节点集。
作为一个去中心化智能钱包,Torus支持任何EVm链(并通过JRPC进行交互),它默认支持BSC,Matic/Polygon,SKALE链,使用它们只需要改变你的以太坊节点的JRPC端点。Torus的OAuth登录继承了现有账户管理系统的账户恢复和管理机制(例如,Google的密码恢复系统,或Facebook的安全问题)。如果用户忘记了他们的密码,他们可以直接使用熟悉的恢复工具来恢复他们的登录。
**不足:**服务高度依赖 OAuth,没有抗审查能力,严格意义上来说,不属于真正的智能合约钱包。
Unipass钱包
UniPass 是一个建立在 MPC 密钥管理之上的智能合约钱包。它继承智能合约和 MPC 钱包的双重功能。它使用守护邮件 (gardian email)的域名密钥(DKIM)来验证重置请求,通过链上电子邮件社交恢复解决方案,用户可以选择没有Web3经验的人作为账户的监护人,他们可以协助用户进行社交恢复,只需使用他们的电子邮件账户辅助验证即可。
为了保护电子邮件免受恶意修改、DNS欺骗和垃圾邮件的泛滥,Unipass引入了域名识别邮件(DKIM)。DKIM是一种标准化的电子邮件身份验证技术,发件人在发出的电子邮件中添加了数字签名,当电子邮件服务器收到签名邮件时,它可以验证该邮件是否来自真正的发件人,以及内容是否被修改。UniPass钱包使用基于多方计算(MPC)的阈值签名方案(TSS),在安全和可用性方面依赖EOA钱包,同时也完全避免了私钥这个最大的单点故障。
基于 DKIM 的重置机制是:用户以某种文件形式发送电子邮件,包含电子邮件地址的内容由 DomainKeys 进行哈希计算和签名,然后使用任何 RPC 服务广播已签名的哈希值,以调用智能合约中的重置功能,在链上验证监护人邮件的域密钥签名。
DKIM 的身份验证可以通过发送电子邮件简单地完成,整个流程不涉及任何需要授权用户请求的服务器,从而有效地消除了中心化风险。UniPass钱包采用零知识技术(zero knowledge technology),将用户的私人信息在链上完全脱敏,实现去中心化验证的同时,有效保护了用户的隐私。
不足:钱包存在一定的延迟性,用户不能通过社交账导登录使用,不能跨平台使用,更换设备时登录麻烦。
总结
EIP-4337 的提出推动了账户抽象概念的落地,Avatar 钱包以创新为驱动,成为市面上第一个将该提案技术应用落地的去中心化钱包,为传统互联网用户进入 Web3 铺平通路并降低使用门槛,有助于推动 Web3应用的大规模普及。而它与PlaNFT携手,强强联合,彼此赋能,也有助于推动PlaNFT在web3赛道上走得更远,一举发展成为加密独角兽。