Nghiên cứu chuyên sâu về Redline DAO - tại sao chúng ta lại lạc quan về tương lai của ví Web3?

Tác giả: Ggg, Redline DAO

Vào năm 2010, Vitalik Buterin, người sáng lập Ethereum, có tài khoản warlock trong World of Warcraft. Một ngày nọ, Blizzard quyết định giảm mạnh nhân vật warlock và loại bỏ phần sát thương phép thuật của bùa hút sự sống. Anh ấy đã khóc đến mất ngủ và vào ngày hôm đó, nhận ra sự khủng khiếp của các máy chủ tập trung, anh ấy quyết định nghỉ việc và tạo ra mạng phi tập trung Ethereum . Vào tháng 11 năm 2022, FTX, sàn giao dịch phái sinh lớn nhất thế giới, bị phát hiện đã biển thủ tiền của người dùng. Người sáng lập SBF đã bị cảnh sát Bahamas bắt giữ và chuẩn bị chuyển sang Hoa Kỳ để xét xử.

Từ người chơi Warlock bị Blizzard đâm sau lưng một cách không thể giải thích được 13 năm trước cho đến những người dùng FTX là nạn nhân đang bảo vệ quyền lợi của mình ngày nay, chúng tôi ngày càng nhận thức được tầm quan trọng của cụm từ "Không phải Key của bạn, không phải đồng xu của bạn": ngay cả khi có kẻ thứ ba- kiểm toán bên / Cơ quan quản lý và máy chủ tập trung vẫn có thể giả mạo và xóa dữ liệu theo ý muốn, nhưng trên mạng phi tập trung, sổ cái Chuỗi rất minh bạch và không thể bị giả mạo, miễn là chúng tôi có private key của tài khoản của mình. có quyền kiểm soát tuyệt đối đối với tài sản cá nhân của chúng tôi.

• Trong mắt những người dùng theo đuổi sự bảo mật, họ hy vọng có thể gửi tiền vào ngân hàng với các bước mở tài khoản phức tạp nhưng có quy mô lớn: Bảo mật quỹ ( rủi ro) của các ngân hàng lớn > Các bước mở tài khoản tiêu chuẩn và nghiêm ngặt (trách nhiệm)

• Trong mắt những người dùng theo đuổi tính thực tế, họ chỉ cần bỏ tiền vào WeChat và Alipay là có thể dễ dàng hoàn tất các giao dịch P2P và chỉ cần có CMND và số điện thoại di động để hoàn tất đăng ký, mặc dù WeChat và Alipay chỉ là Hai. các công ty niêm yết thay vì các tổ chức ngân hàng được nhà nước hậu thuẫn: sự tiện lợi (trách nhiệm pháp lý) của WeChat > ​​Tình trạng hoạt động của WeChat (rủi ro)

Quay lại web3, chúng ta có hai cách để lưu trữ tài sản trong web3, ví lưu ký và ví không quản lý. Trước đó, chúng ta cần giới thiệu ngắn gọn về nguyên tắc của ví:

Ví và private key

1. Lấy tài khoản EOA làm ví dụ,

• Bằng cách tạo một số ngẫu nhiên 256 bit làm private key, sau đó sử dụng private key để lấy khóa chung tương ứng bằng thuật toán SHA3, sau đó sử dụng keccak-256 để tính địa chỉ (20 byte cuối cùng của hàm băm ban đầu) , một tài khoản cá nhân duy nhất tương ứng với private key. Trong quá trình này, private key sẽ tính toán và tạo ra 12 Cụm từ hạt giống và chúng ta có thể sử dụng Cụm từ hạt giống để lấy lại private key.

• Hiện tại, ví dApp phổ biến nhất trên Chuỗi chính lớn là ví EOA, như Metamask, Phantom (Solana), BSC Wallet (BSC) và Keplr (Cosmos).

• Tài khoản thông minh là một đoạn mã EVM được triển khai trên Chuỗi thông qua tài khoản EOA, có thể thực hiện các chức năng khác nhau. Nhưng không giống như tài khoản EOA, tài khoản hợp đồng không có private key và không thể được thực thi chủ động. Do đó, quyền kiểm soát cuối cùng của ví hợp đồng thông minh = private key của tài khoản EOA được sử dụng để triển khai. Hợp đồng được hiểu ở cấp độ này, tài khoản hợp đồng thông minh cũng được kiểm soát bằng private key. Miễn là địa chỉ ví là hợp đồng thì đó là ví hợp đồng thông minh.

• Ví hợp đồng thông minh được chia thành ví đa chữ ký (tài khoản Multisig) và Trừu tượng hóa tài khoản trừu tượng tài khoản (tài khoản trừu tượng):

• Ví đa chữ ký: Ngay từ năm 2013, ví đa chữ ký đã trở thành lựa chọn hàng đầu của các tổ chức quỹ. Công nghệ này ban đầu được phát triển trong hệ sinh thái Bitcoin và hiện nay có các ví đa chữ ký tuyệt vời trong Ethereum(chẳng hạn như Gnosis Safe): Ethereum Foundation sử dụng ví đa chữ ký 4 trên 7 (Nghĩa là, một hợp đồng thông minh được được tạo để lưu trữ tiền và hợp đồng được kiểm soát thông qua 7 tài khoản EOA. Chỉ khi có hơn 4/7 tài khoản EOA ký thì chữ ký mới có thể hoàn thành)

• Trừu tượng hóa tài khoản sử dụng một ví EOA duy nhất để kiểm soát địa chỉ hợp đồng nhằm đạt được hiệu quả mô phỏng EOA với các hợp đồng thông minh. Các dự án phổ biến như Argent/ Loopring đều thuộc về ví Trừu tượng hóa tài khoản.

Địa chỉ hợp đồng ApeCoin

Vì private key là thông tin xác thực duy nhất của chúng tôi để tương tác với blockchain nên chúng tôi có trách nhiệm giữ an toàn cho private key và Cụm từ hạt giống của mình. Tất nhiên, cách an toàn nhất để tạo tài khoản là tạo tài khoản trong hoàn cảnh ngoại tuyến và tạo địa chỉ của riêng bạn bằng cách chạy các số ngẫu nhiên (private key) và thuật toán SHA256 thông qua mã. Tuy nhiên, ngưỡng này chắc chắn là quá cao và không phù hợp. cho hầu hết người dùng. Do đó, khi chọn ví, người dùng cần cân nhắc 3 điểm: tính bảo mật, ngưỡng và khả năng chống kiểm duyệt:

1. Bảo mật: Chi phí cho hacker để bẻ private key/ Cụm từ hạt giống?

   Lấy ví phần cứng làm ví dụ, hacker chỉ có thể lấy được private key của người dùng thông qua Phishing hoặc đánh cắp private key ngoại tuyến.

2. Ngưỡng: Ví có dễ sử dụng không?

   Quá trình đăng ký của Metamask yêu cầu người dùng ghi lại 12 Cụm từ hạt giống. Khi thay đổi thiết bị, người dùng cần nhập lại 12 Cụm từ hạt giống. Quá trình đăng ký sàn giao dịch của Binance và đăng nhập thiết bị có thể được hoàn tất chỉ bằng một cú nhấp chuột thông qua đăng nhập email.

3. Khả năng chống kiểm duyệt: Liệu quyền kiểm soát cuối cùng của ví có thuộc về người dùng hay không

   Nếu ứng dụng ví lưu văn bản rõ ràng của Cụm từ hạt giống do người dùng nhập và tải lên máy chủ, hacker có thể đánh cắp ví của người dùng bằng cách bẻ khóa máy chủ. Và ngay cả khi không có sự tấn công hacker thì vẫn có khả năng phía dự án Slope đã thực hiện hành vi trộm cắp và chưa đạt được khả năng chống kiểm duyệt.

   Có hai loại ví chính: ví không quản lý và ví giám sát tập trung.

4. Ví không quản lý: người dùng giữ Cụm từ hạt giống của riêng họ

   a. Lấy ví chính thống Crypto làm ví dụ. Không giám sát có nghĩa là MetaMask không lưu trữ bất kỳ dữ liệu về ví và dữ liệu private key nằm trong trình duyệt hoặc ứng dụng di động ở cấp địa phương. Khi người dùng cần thực hiện các hoạt động ký Chuỗi, MetaMask sẽ gọi private key. từ tệp cục bộ để ký. Và nếu private key và Cụm từ hạt giống của người dùng bị mất/đánh cắp, Metamask sẽ không thể giúp người dùng khôi phục nó và tài sản của người dùng sẽ bị mất vĩnh viễn.

   b. Được công nhận là ví phần cứng an toàn nhất (chẳng hạn như Ledger), một thiết bị phần cứng được sử dụng để tạo private key và địa chỉ ví ngoại tuyến, sau đó khóa chung của địa chỉ sẽ được nhập vào ví web như Metamask. Cần phải có chữ ký, Sổ cái phần cứng được xác nhận ngoại tuyến Vì private key hoàn toàn không chạm vào Internet nên hacker khó có thể đánh cắp private key trong ví phần cứng. Tuy nhiên, nếu người dùng mất Cụm từ hạt giống hoặc bị Phishing, tác dụng bảo vệ của ví phần cứng sẽ giảm xuống 0 và tài sản của người dùng vẫn sẽ bị đánh cắp.
5. Ví được lưu trữ

Các ví sàn giao dịch như Coinbase/Binance áp dụng phương thức ví được quản lý là tài khoản được hiển thị trong Coinbase không giữ private key riêng của người dùng mà chỉ hiển thị số tài khoản trong chương trình Coinbase chứ không phải hiển thị trên Etherscan. tài sản Chuỗi có thể hiểu là người dùng tin tưởng Coinbase và ủy thác tài sản cho Coinbase thay vì tự sở hữu chúng, vì vậy tài khoản coinbase không thể tương tác với các dAPP như Uniswap.

Nguồn: Binance

Nói chung, trong ví lưu ký, bên dự án thay mặt họ giữ Cụm từ hạt giống và ngưỡng đăng ký và khôi phục ví thấp, nhưng tính bảo mật của ví phụ thuộc vào bên dự án chứ không phải chính người dùng và bên dự án có quyền kiểm soát thực tế đối với ví; ví không quản lý Cụm từ hạt giống nằm trong tay người dùng và ngưỡng đăng ký và khôi phục ví cao nhưng khả năng chống bảo mật và kiểm duyệt đều cao.

Nhược điểm của sơ đồ Cụm từ hạt giống

Khi WEB3 tiếp tục phát triển, ngày càng có nhiều nhu cầu và kịch bản ứng dụng xuất hiện, đồng thời hệ sinh thái trên Chuỗi đang bùng nổ. Đặc biệt, Mùa hè Defi năm 2021 đã thu hút một lượng lớn người dùng ban đầu chỉ giao dịch trên sàn giao dịch để chuyển tài sản sang On. Chuỗi, tính đến tháng 3 năm 2022, MetaMask đã đạt 3.000 người dùng hoạt động hàng tháng Hàng ngàn người, nhưng đồng thời, là giải pháp khôi phục tài khoản Cụm từ hạt giống phổ biến nhất, Cụm từ hạt giống đã trở thành mục tiêu chính của hacker: đối với người dùng thông thường, vụ trộm ví phổ biến nhất là Cụm từ hạt giống bị xóa khỏi bảng nhớ tạm. Sao chép hoặc gặp phải một trang web Phishing và đánh cắp tệp private key được lưu trữ cục bộ.

• Khi hacker tấn công, anh ta cần đo lường chi phí của cuộc tấn công và phần thưởng thu được. Tất cả private key(12 Cụm từ hạt giống) là tập hợp con của từ điển. Miễn là từ điển đã cạn kiệt, hacker có thể lấy được tất cả tài sản trên Chuỗi . . Tuy nhiên, tỷ lệ đầu vào-đầu ra này không tốt nếu từ điển sắp xếp tất cả các kết hợp thông qua thuật toán vũ phu;

• Cụm từ hạt giống chính thống hiện nay là 12 từ tiếng Anh và từ điển đồng nghĩa có tổng cộng 2048 từ. Nghĩa là, 2048^12=5,44e39 loại (544451787073500000000000000000000000000000);

• Nếu tỷ lệ băm khổng lồ như vậy được sử dụng, hacker có thể kiểm soát mạng BTC thông qua cuộc tấn công 51%;

• Do đó, phương pháp có tỷ lệ trả về cao hơn đối với hacker là lấy Cụm từ hạt giống của người dùng thông qua Phishing hoặc đánh cắp private key được lưu trên thiết bị cục bộ của người dùng.

Tiếp tục với ví dụ về Metamask, có hai nơi mà hacker có thể lấy được Cụm từ hạt giống đã lưu và private key:

1. Cụm từ hạt giống

   a. Sau khi ví được tạo, người dùng cần giữ lại Cụm từ hạt giống đã tạo. Nói chung, nên sao chép nó trên một tờ giấy trắng bằng bút và giấy và giữ nó đúng cách. sao chép, dán và lưu nó vào Tài liệu hoặc thậm chí lịch sử trò chuyện WeChat;
   b. Nếu hacker đã cài đặt phần mềm độc hại trên điện thoại/máy tính của người dùng và luôn theo dõi clipboard của người dùng, kẻ đó có thể đánh cắp private key mới được tạo. Ví dụ: QuickQ VPN đã bị phát hiện sao chép bảng nhớ tạm của người dùng để đánh cắp Cụm từ hạt giống.

2. private key

   a. Đồng thời, Metamask thường crypto private key và lưu nó trên thiết bị cục bộ nơi ví được tạo để có thể gọi nó bất cứ lúc nào nếu plug-in Metamask được cài đặt trên Chrome:

b. Tính bảo mật của Metamask phụ thuộc vào tính bảo mật của Chrome. Khi tường lửa của Chrome bị hacker xâm phạm, hacker có thể lấy private key của địa chỉ người dùng và chuyển tất cả tài sản. Đây là lý do tại sao ví phần cứng an toàn hơn ví plug-in như Metamask.

Ngoài Metamask, một số ví không quản lý thậm chí không thể đạt được khả năng chống kiểm duyệt cao, chẳng hạn như vụ trộm ví Slope trên Solana : Ứng dụng di động của Slope đã gửi Cụm từ hạt giống đến máy chủ Sentry của Cụm từ hạt giống thông qua TLS khi tạo ví Phantom. được lưu trữ ở dạng văn bản rõ ràng, nghĩa là bất kỳ ai có quyền truy cập vào Sentry đều có thể truy cập vào private key của người dùng.

Tài khoản EOA bị đánh cắp

1. Ví của người sáng lập Fenbushi Capital bị đánh cắp:

   Nguyên nhân ví của Shen Bo bị mất là do rò rỉ Cụm từ hạt giống. Ví được sử dụng vào thời điểm bị trộm là Trust Wallet. Số tiền bị đánh cắp bao gồm khoảng 38,23 triệu USDC, 1.607 ETH, 720.000 USDT và 4,13 BTC.

2. Ví Wintermute bị tấn công và mất khoảng 160 triệu USD Nguyên nhân vụ trộm là do Wintermute đã sử dụng Profanity để tạo ví Vanity nhằm tiết kiệm phí gas (bắt đầu bằng 0x0000000, có thể đạt được hiệu quả tiết kiệm gas khi gọi thông minh. hợp đồng):

   Ngôn từ tục tĩu được thiết kế để giúp mọi người tạo tài khoản có hiệu ứng hình ảnh đặc biệt, chẳng hạn như tài khoản bắt đầu hoặc kết thúc bằng các ký tự đặc biệt. Mặt khác, một số nhà phát triển sử dụng nó để tạo tài khoản bắt đầu bằng nhiều số 0.

   Sau khi Profanity lấy được private key 32 bit đầu tiên SeedPrivateKey, để va chạm với địa chỉ tài khoản được yêu cầu, nó sẽ liên tục lặp lại private key thông qua một thuật toán cố định, lên tới 2 triệu lần(giá trị đến từ bài viết được tiết lộ bởi 1inch) . Khi biết PublicKey, chúng ta có thể lấy SeedPrivateKey bằng cách liệt kê đầy đủ SeedPrivateKey và Iterator. Số lượng tính toán là khoảng 2^32 nhân 2 triệu lần. Một card đồ họa có tỷ lệ băm mạnh mẽ có thể hoàn thành nó trong vài ngày hoặc thậm chí vài ngày. giờ.

Tài khoản hợp đồng bị đánh cắp

1. Địa chỉ triển khai hợp đồng của Paraswap đã bị đánh cắp:

   Theo báo cáo điều tra của SlowMist : địa chỉ hacker(0xf358..7036) đã có được quyền private key của ParaSwap Deployer và QANplatform Deployer. Hacker rút 1.000 USD từ Trình triển khai ParaSwap và chuyển số tiền đó đến và đi từ địa chỉ của nhà triển khai QANplatform để thử nghiệm. Chúng tôi đã sử dụng nền tảng AML để phân tích 0xf358..7036 và phát hiện ra rằng hacker cũng đã đánh cắp The SolaVerse Deployer và nhiều địa chỉ đẹp khác. Cho đến nay, hacker đã đánh cắp hơn 170.000 USD.

2. Cầu Ronin đã bị hacker vào tháng 3 năm nay, dẫn đến thiệt hại 173.600 ETH và 25,5 triệu USDC:

   Hacker đã thành lập một công ty không tồn tại, liên kết với kỹ sư cấp cao của Axie thông qua Linkedin và WhatsApp, dụ dỗ anh ta bằng những cơ hội việc làm mới, sắp xếp một cuộc phỏng vấn và cuối cùng đưa ra mức lương hậu hĩnh. xâm chiếm hệ thống Axie và đánh cắp Kỹ sư triển khai private key địa chỉ EOA của hợp đồng.

1. Khi tạo ví, bạn cần sao chép thủ công 12 từ vì lý do bảo mật và tốt nhất không nên chụp ảnh tờ giấy trắng này và lưu lại. Ngay cả khi sử dụng phần mềm lưu mật khẩu mã nguồn mở đáng tin cậy (chẳng hạn như 1password), chúng tôi cũng không thể sử dụng tính năng lưu sao chép-dán tiện lợi vì có rủi ro bị đánh cắp clipboard

2. Khi khôi phục ví, tức là khi thay đổi thiết bị đăng nhập, bạn cần bật ra tờ giấy trắng này và nhập lại 12 từ.

Giữ một tờ giấy trắng có viết 12 từ trên đó nghe có vẻ rất không đáng tin cậy và không có web3: Chúng tôi mong muốn được sống trong tương lai metaverse, nhưng tính bảo mật cho tài khoản của chúng tôi phụ thuộc vào một tờ giấy trắng được phát minh vào thời nhà Tống. Tại thời điểm này, hai bước này đủ để thuyết phục hầu hết người chơi web2. Xét cho cùng, trong thế giới web2, hầu hết các quy trình đăng ký đều có thể được đăng nhập bằng một cú nhấp chuột bằng tài khoản Google/tài khoản ios.

Để hạ ngưỡng của ví và thu hút nhiều người dùng vào WEB3 hơn, chúng ta cần sử dụng các giải pháp đăng nhập tài khoản xã hội như Web2 mà không làm mất đi tính bảo mật và khả năng chống kiểm duyệt của ví. Vì vậy, chúng ta cần một giải pháp khôi phục tài khoản thuận tiện và an toàn hơn. Tất cả các cuộc thảo luận hiện tại đều hướng đến kết quả: Cụm từ hạt giống. Hiện tại có hai phương án thực hiện Cụm từ hạt giống: phương án MPC và phương án phục hồi xã hội.

1. Giải pháp MPC: Private key được tính toán và tạo bởi bên long, từ đó tránh được các tai nạn điểm đơn do mất/đánh cắp private key riêng của người dùng.

   Có thể hiểu là: MPC là 3FA. Mỗi phương thức xác minh giữ một mảnh chìa khóa. Khóa cửa không có chìa khóa riêng. Khi mất trong đó trong các mảnh chìa khóa, người dùng có thể sử dụng các phương pháp xác minh khác để lấy lại chìa khóa bị mất. . đoạn khóa

2. Giải pháp phục hồi xã hội: Lưu trữ tiền trong hợp đồng thông minh, được kiểm soát bởi ví EOA thông qua giải pháp đa chữ ký/chữ ký đơn và chỉ định người giám hộ bên thứ ba đáng tin cậy Khi private key của ví EOA bị mất, người giám hộ bên thứ ba sẽ thay thế. việc kiểm soát hợp đồng, do đó người dùng không cần phải lưu lại Cụm từ hạt giống.

   Các cuộc thảo luận hiện tại thường thảo luận song song về việc khôi phục xã hội và ví Trừu tượng hóa tài khoản. Cần lưu ý rằng giải pháp khôi phục xã hội là một tiêu chuẩn và chức năng trên hợp đồng thông minh, được EIP-2429 đề xuất vào năm 2019, có nghĩa là người dùng có thể kiểm soát hợp đồng thông qua người giám hộ. . Private key được thay thế; EIP-4337 được thảo luận gần đây là một cuộc thảo luận về Trừu tượng hóa tài khoản mà chúng ta sẽ thảo luận trong các chương sau.

1. Tính toán bên long(MPC) là một nhánh của crypto bắt đầu từ công trình tiên phong của Andrew C. Yao gần 40 năm trước. Sử dụng tính toán bên long, việc tạo private key không còn cần phải hoàn thành tại một điểm duy nhất mà có thể được tính toán và nắm giữ bởi một nhóm gồm bên long(n bên) không tin cậy lẫn nhau (n private key bị phân mảnh) Công nghệ này là DKG (Tạo Key phân tán).

2. Việc tạo khóa phân tán có thể được thực hiện theo cách cho phép các loại cấu trúc truy cập khác nhau: cài đặt "t out of n" thông thường (chữ ký hợp lệ có thể được chứng minh miễn là t trong số n đoạn private key tham gia vào chữ ký) sẽ có thể Chịu đựng lần đa t lỗi tùy ý trong các hoạt động liên quan đến private key mà không ảnh hưởng đến bảo mật.

3. Lược đồ chữ ký ngưỡng (TSS) là tên được đặt cho sự kết hợp giữa Tạo khóa phân tán (DKG) và chữ ký phân tán.

4. Đồng thời, khi các đoạn private key của một trong đó các bên bị mất/lộ, giải pháp MPC hỗ trợ khôi phục và thay thế các đoạn private key, đảm bảo an toàn tài khoản mà không cần thay đổi tài khoản.

1. bảo vệ

   a. Không có khóa riêng/ Cụm từ hạt giống: Trong quá trình tạo ví, mỗi bên (bên dự án ví và người dùng) tạo ra các đoạn private key thông qua MPC. Private key hoàn chỉnh không bao giờ xuất hiện trong toàn bộ quá trình. ví không cần chìa khóa riêng;

   b. Chi phí cho các cuộc tấn công hacker tăng lên rất nhiều: Ngay cả khi hacker xâm nhập vào thiết bị cục bộ của người dùng, hắn cũng chỉ có thể lấy được các đoạn private key. Chỉ khi hacker làm chủ máy chủ của ví + thiết bị cục bộ của người dùng thì hắn mới có thể đánh cắp tài sản của người dùng.

2. ngưỡng:

   Đăng nhập xã hội: Người dùng có thể tạo tài khoản trên ví MPC thông qua các phương thức xác minh danh tính như email (giả sử rằng ví MPC áp dụng sơ đồ chữ ký 2/2, nghĩa là phải sử dụng hai đoạn private key cùng lúc để ký).

3. Chống kiểm duyệt:

   Cơ quan tập trung(ví/thiết bị dự phòng) chỉ giữ các đoạn private key của tài khoản và không thể kiểm soát tài khoản của người dùng.

• Ví hợp đồng thông minh không phải là giải pháp không cần khóa riêng vì ví EOA được kiểm soát có private key;
• Nhưng ví hợp đồng thông minh có thể thay đổi việc ký private key của người dùng thông qua các chương trình phục hồi xã hội;

• Giải pháp phục hồi xã hội là yêu cầu người giám hộ của bạn thay thế chìa khóa của bạn sau khi bị mất.

1. Khi tạo ví hợp đồng thông minh, người dùng có thể chỉ định các địa chỉ EOA khác làm "người giám hộ". Địa chỉ "người giám hộ" cần được ký và xác nhận trên Chuỗi và trả giá phí gas ;

2. Tài khoản EOA của người dùng đóng vai trò là "private key ký" và có thể được sử dụng để phê duyệt các giao dịch;

3. Có ít nhất 3 (hoặc nhiều) "người giám hộ" tài khoản EOA không thể phê duyệt giao dịch nhưng có thể thay đổi "ký private key". Việc thay đổi “private key ký” cũng yêu cầu “người giám hộ”trả giá phí gas cho việc xác nhận chữ ký;

4. Private key ký có chức năng thêm hoặc xóa người giám hộ, nhưng toàn bộ quá trình mất một khoảng thời gian (thường là 1-3 ngày).

5. Trong các tình huống sử dụng hàng ngày, người dùng có thể sử dụng ví hợp đồng thông minh có khả năng khôi phục xã hội (chẳng hạn như Argent và Loopring) giống như ví thông thường, xác nhận giao dịch bằng khóa ký của họ. Bằng cách này, mọi giao dịch được hoàn thành nhanh chóng chỉ với một xác nhận duy nhất, giống như trong các ví truyền thống như Metamask:

Ví trừu Trừu tượng hóa tài khoản không khác gì Metamask trong việc tạo private key.

Vì ví EOA kiểm soát hợp đồng chỉ được sử dụng làm "private key chữ ký" và có thể chuyển quyền kiểm soát thông qua người giám hộ nên người dùng không cần phải giữ cụ thể Cụm từ hạt giống.

○ Nhưng vì nó đang kêu gọi một hợp đồng nên nó hỗ trợ việc sử dụng các token không phải gốc như USDC/USDT để thanh toán (ví dụ: ETH là token gốc được sử dụng để trả phí gas trên Ethereum. Điều này chắc chắn sẽ giảm thiểu đáng kể khó khăn). về tương tác dành cho người chơi Web3 mới: về nguyên tắc, Trong cùng một giao dịch, nhóm dự án swap USDC của người dùng thành ETH và sau đó thay mặt họ trả phí gas .

① Người dùng lần đầu tiên sử dụng web3 và muốn đăng ký ví nhưng cần tìm ba người bạn đáng tin cậy đã có ví EOA trên web3 và yêu cầu họ trả giá phí gas để trở thành người giám hộ của họ;

Nếu người dùng mất khóa ký, họ có thể yêu cầu sử dụng tính năng khôi phục xã hội. Người dùng cần liên hệ với người giám hộ của họ và yêu cầu họ ký một giao dịch đặc biệt (người dùng hoặc người giám hộ trả phí gas ) và thay đổi khóa công khai chữ ký đã đăng ký trong hợp đồng ví thành chữ ký mới. Điều này đơn giản hơn nhiều: người giám hộ có thể xem yêu cầu khôi phục và ký vào yêu cầu đó bằng cách truy cập một trang web như Loopring.

1. Chi phí bị tấn công: Hacker vẫn có thể lấy được private key hoàn chỉnh bằng cách xâm nhập vào thiết bị của người dùng Nói cách khác, người dùng sử dụng ví hợp đồng thông minh chỉ có một cách nữa để lấy lại private key trong trường hợp mất private key .

2. Khả năng chống kiểm duyệt thấp: Do chương trình phục hồi xã hội yêu cầu chỉ định “người giám hộ” nên có khả năng các “người giám hộ” thông đồng với nhau để làm điều ác.

3. Những rủi ro chính của phục hồi xã hội là:
   ① Thông đồng: Nếu một số người dùng biết rằng họ là một phần của quá trình khôi phục, họ có thể muốn thực hiện cuộc tấn công khôi phục;
   ②Tấn công mục tiêu: Tác nhân bên ngoài có thể biết chủ sở hữu khôi phục và nhắm mục tiêu vào điểm yếu nhất cần thiết để thực hiện tấn công khôi phục;
   ③ Lộ diện chung: Nếu kẻ tấn công cố gắng lây nhiễm một phần phụ thuộc hoàn cảnh cơ sở người dùng lớn và giành được quyền truy cập vào nhiều danh tính, thì điều đó cũng có thể gây ra tác dụng phụ đối với những người dùng không bị ảnh hưởng thông qua quá trình khôi phục.

Với giải pháp khôi phục tài khoản Cụm từ hạt giống, chúng ta có thể mong đợi một thế hệ ví Web3 mới, tức là những ví có thể được đăng ký và đăng nhập bằng email. Chúng tôi đã chọn các dự án đại diện của ví MPC và ví Trừu tượng hóa tài khoản để phân tích tương ứng: về mặt quyền truy cập của người dùng, chúng đã đạt đến ngưỡng thấp của Cụm từ hạt giống. Chúng tôi đánh giá chúng một cách riêng biệt từ góc độ bảo mật và khả năng chống kiểm duyệt——

Bitizen

1. Bảo vệ:

   a.Tạo

   Để đạt được khả năng kiểm tra mạnh mẽ, sau khi hoàn tất đăng ký ví, người dùng có thể sử dụng thiết bị thứ hai để sao lưu các đoạn private key qua Bluetooth, sử dụng giải pháp 2/3TSS: máy chủ Bitizen, thiết bị cục bộ của người dùng và thiết bị thứ hai của người dùng.

   b.Giữ

   Do private key hoàn chỉnh không được tạo trong quá trình tạo ví nên không có Cụm từ hạt giống: tài khoản Bitizen của người dùng sẽ được liên kết với đĩa đám mây và email của người dùng và người dùng chỉ cần đăng nhập qua email để sử dụng ví Bitizen bình thường .

   c.Sử dụng

   ① Người dùng có thể lấy các đoạn private key được lưu trữ trên đám mây Bitizen và các đoạn private key được lưu trữ trên thiết bị cục bộ thông qua xác thực nhận dạng khuôn mặt cho chữ ký (2/3);

   ②Sau khi thiết bị thứ hai sao lưu các đoạn private key qua Bluetooth, nó có thể được lưu hoàn toàn ngoại tuyến và không cần sử dụng vào các ngày trong tuần (việc ký chỉ yêu cầu máy chủ Bitizen và thiết bị chính của người dùng hoàn tất).

   d.Sao lưu

① Sao lưu các đoạn private key cục bộ vào đĩa đám mây của người dùng;
② Khi người dùng cần thay đổi thiết bị để đăng nhập, anh ta chỉ cần xác thực qua email và khuôn mặt Bitizen sẽ yêu cầu người dùng khôi phục bản sao lưu các đoạn private key từ đĩa đám mây. e. Khôi phục ① Tương tự, khi thiết bị của người dùng bị mất/vô tình xóa các tệp cục bộ của Bitizen, các đoạn private key có thể được khôi phục thông qua đĩa đám mây;
② Khi người dùng thậm chí không thể đăng nhập vào đĩa đám mây, Bitizen sẽ tính toán lại các đoạn private key thông qua các đoạn private key trên máy chủ và thiết bị sao lưu thứ hai của người dùng, cho phép người dùng tiếp tục sử dụng bình thường.

Nguồn: Bitizen

1. Chống kiểm duyệt:

   2/3 giải pháp TSS cho phép người dùng có quyền kiểm soát tuyệt đối đối với ví của mình (2/3 private key nằm trong tay người dùng. Ngay cả khi Bitizen vỡ nợ hoặc bỏ chạy, người dùng vẫn có thể thực hiện quyền kiểm soát bình thường). ví của họ.

Unipass

1. Trong các giao dịch, bạn có thể sử dụng bất kỳ token nào được ví hỗ trợ ( token chính thống, thanh khoản ) để thanh toán phí gas ;

   Về mặt lưu trữ private key, công nghệ MPC (2/2) và TSS được sử dụng để tạo private key theo cách phân tán, do đó không có khả năng hacker lấy được private key tại một điểm duy nhất - private key được chia thành hai phần và một phần được lưu trữ trong Unipass. Trên máy chủ, một bản sao được lưu trên thiết bị cục bộ của người dùng;

2. Để khôi phục private key, Unipass sử dụng giải pháp DomainKeys Identified Mail (DKIM). Người dùng có thể sử dụng địa chỉ email làm "người giám hộ" thay vì các địa chỉ EOA khác. Điều này giúp giảm đáng kể ngưỡng để người dùng tìm người giám hộ: không cần người giám hộ sử dụng. blockchain chỉ yêu cầu địa chỉ email của người giám hộ.

Nguồn: Unipass

Ví ngưỡng thấp không phải là điểm dừng của các ứng dụng ví. Cơ sở hạ tầng Web3 hiện tại vẫn còn kém xa so với tài chính truyền thống của Web2. Chức năng khấu trừ tự động và thanh toán tự động định kì do Visa cung cấp mang lại sự tiện lợi lớn cho người dùng, tuy nhiên vẫn khó thực hiện trên Ethereum. Tài khoản Trừu tượng hóa tài khoản có thể là câu chuyện ví blockchain có tính ứng dụng cao tiếp theo: Visa đã xuất bản bài viết "Thanh toán tự động cho ví tự lưu ký giám sát" để khám phá việc sử dụng ví Trừu tượng hóa tài khoản Argent để triển khai trên mạng StarNet Thanh toán tự động có thể lập trình, cho phép người dùng tự động hóa thanh toán sử dụng ví tự lưu ký mà không cần phải ký mọi giao dịch. Ví trừu Trừu tượng hóa tài khoản được triển khai như thế nào? Khái niệm này thực ra đã có nguồn gốc từ rất lâu.

①Rốt cuộc, ví Trừu tượng hóa tài khoản Argent đã hoàn thành khoản tài trợ 56,2 triệu đô la Mỹ kể từ năm 2018. Sau 4 năm phát triển, nó chỉ có 7,40.000 địa chỉ: ngay sau sự gia tăng của defi, người dùng cộng đồng tiền điện tử đã chuyển từ sàn giao dịch sang Metamask Sự nổi lên của Metamask là do mỏ APY cao. Hiện tại, cơn sốt ví hợp đồng thông minh vẫn cần một chất xúc tác mới;

Nguồn: Dune

Nguồn: Dune

③Tuy nhiên, với việc triển khai Đề án Trừu tượng hóa tài khoản của mainnet ETH , điều đó có nghĩa là người dùng Argent có thể kết nối liền mạch từ StarkNet với mainnet Ethereum. Những tia lửa được khơi dậy trong quá trình này cũng rất đáng mong đợi.

• Trường hợp sử dụng

  ①Kiểm soát quyền tinh tế: Tinh chỉnh quyền chữ ký duy nhất của EOA:
  ▽Cung cấp cho người dùng A giới hạn chuyển X TokenB trong hợp đồng
  ▽Cấp quyền giao dịch tokenC được ủy quyền của hợp đồng người dùng B thay vì quyền chuyển nhượng
  ▽Khi không có ai sử dụng hợp đồng trong thời gian dài thì quyền sử dụng hợp đồng sẽ tự động được chuyển giao

  ②Phương thức thanh toán đa dạng cho Gas: thanh toán bởi người khác hoặc thanh toán bằng bất kỳ token

  ③Tự động khấu trừ/hoàn tiền tự động

Nói một cách sáo rỗng, có 4,8 tỷ người dùng web2 và người dùng web3 chỉ vượt quá 100 triệu vào năm 2022. Chúng tôi vẫn đang trong giai đoạn đầu phát triển blockchain .

Quay trở lại câu hỏi ở đầu bài viết: “Tôi sẵn sàng chấp nhận bao nhiêu rủi ro và trách nhiệm đối với tài sản của mình?”, liệu tôi có thể đảm bảo rằng ví của mình không bị mất mà không cần phải nhớ private key của mình không?

Tôi luôn nghe những câu hỏi truyền thống của VC: Có kịch bản nào mà chỉ web3 mới làm được còn web2 thì không? Chúng tôi cho rằng rằng ví Web3 trong đó một ví dụ về việc tát thẳng vào Web2 truyền thống: chỉ trong mạng lưới phi tập trung của Web3, chúng ta mới có thể mong đợi một chiếc ví tốt đáp ứng khả năng chống kiểm duyệt, bảo mật và trải nghiệm người dùng. Người dùng không cần phải chịu rủi ro cũng như không cần phải chấp nhận. trách nhiệm. Sự xuất hiện của một loại ví như vậy cũng là nền tảng quan trọng để 4,7 tỷ người dùng Web2 đón nhận tương lai của Web3: ví không chỉ là lối vào đầu tiên vào Web3 mà còn là tên miền trên Chuỗi (chẳng hạn như ENS), Token ràng buộc linh hồn (Soul-Bounded Token), Cơ sở để phát triển hệ thống danh tiếng trên Chuỗi(Mã định danh phi tập trung), nếu không có hoàn cảnh ví an toàn, việc xây dựng Web3 Lego sẽ không có nền tảng vững chắc.

Chúng ta cần suy nghĩ nghiêm túc hơn. Không có nhiều cơ hội để tham gia thị trường gấu. MPC cho chúng ta thấy một tương lai nơi ví EOA dễ sử dụng hơn, an toàn hơn và có thể thích ứng với tất cả Chuỗi EVM hiện tại. Vẫn còn một chặng đường dài phía trước. trước khi hợp đồng thông minh có thể được kết nối với dAPP Vẫn còn một chặng đường dài phía trước. Kế hoạch phục hồi xã hội hiện có vẻ vô dụng, nhưng khả năng tương lai của hợp đồng thông minh rất thú vị. Chúng ta sẽ đặt cược vào ai? để đưa ra câu trả lời này.

Năm 2022 là một năm đen tối crypto, nhưng chúng tôi vẫn tin rằng tương lai sẽ tươi sáng. Chúng tôi là những pháp sư đã thức tỉnh trong World of Warcraft và chúng tôi muốn tạo ra một thế giới nơi không ai có thể lấy đi ống hút sự sống của chúng tôi (trừ khi Đề án được bỏ phiếu chấp thuận).