作者: Bing Ventures

はじめに: EIP-4337 はスマート コントラクト ウォレットと関連インフラストラクチャを標準化し、公的標準を作成します。ユーザーエクスペリエンスの向上という点では、アカウント抽象ウォレットは、高度な疑似トランザクションと段階的な処理を導入することにより、より柔軟でプログラム可能な機能を提供します。これにより、コアのイーサリアムプロトコルを更新せずにウォレットをアップグレードできるようになり、より多くのカスタマイズオプションが提供されます。全体として、イーサリアムのアカウント抽象化ウォレット ソリューションは、ユーザー エクスペリエンスと機能拡張の点で大きな可能性を秘めていますが、セキュリティの点ではまだ継続的な改善が必要です。

アカウントの抽象化はまだ初期段階にあり、導入率は低いです。多くのレイヤー 2 はまだアカウントの抽象化をサポートしていません。これらの制限により、ユーザーの学習コストと使用コストが増加します。

代理店メカニズムの層を導入することにより、アカウント抽象ウォレットは、よりシンプルで使いやすいアカウント システムを提供しながら、個人ウォレットへの参入の敷居を弱めることを目的としています。ウォレットのキャリアとしてスマート コントラクトを使用し、ユーザーとスマート コントラクトの間にエージェントを追加し、ユーザーがブロックチェーンとの対話プロセスを完了できるように支援します。このようにして、ユーザーは従来のアカウント システム (電子メール、携帯電話など) を使用して、秘密キー ニーモニックなどの複雑な概念に直接触れることなく操作できます。

著者は、アカウントの抽象化においてセキュリティが重要であると考えています。ブロックチェーントランザクションは不可逆的かつ改ざん不可能な性質を持っているため、ユーザーのアカウントが攻撃されると、取り返しのつかない損失が発生する可能性があります。したがって、アカウント抽象ウォレットを設計するときは、アカウントの管理と使用、秘密キーの保管と保護、トランザクションの確認と承認などを含むセキュリティのあらゆる側面を考慮する必要があります。

Bing Ventures のこの号の調査は、アカウント抽象化ウォレット プロジェクトのセキュリティ ロジックと脆弱性を分析し、ユーザー エクスペリエンスとセキュリティのバランスをとる方法を検討し、ウォレット抽象化ソリューションの将来の開発方向について考えることを目的としています。

アカウント抽象ウォレットのセキュリティロジック

EIP-4337 など、イーサリアムのアカウント抽象化の分野では、複数の技術的改善と標準化の取り組みが行われています。これらの提案は、アカウント抽象化ウォレット プロジェクトの開発と統合を促進し、より一貫性のある信頼性の高いエクスペリエンスをユーザーに提供します。アカウント抽象化の開発の主な方針は、トップレベルのイーサリアムトランザクションを外部所有アカウント (EOA) ではなくコントラクトによって開始できるようにする機能を実装するために、コンセンサス層プロトコルの変更を必要としないメソッドを ERC-4337 を通じて提供することです。 ）。トランザクションmempoolの機能を上位システムに複製することでユーザー操作の検証とパッケージ化を実現し、イーサリアムブロックに「バンドルトランザクション」として組み込まれます。

ERC-4337 の目標は、マルチ署名やソーシャル リカバリなどの機能、より効率的で簡素化された署名アルゴリズム、ポスト量子安全署名アルゴリズムなどの機能を含む、ウォレットの柔軟性とアップグレード可能性を実現することです。アカウント抽象ウォレットの主な開発ラインには、任意の署名とナンス検証ロジックを追加し、ウォレットのアップグレードをサポートできるウォレット検証ロジックの柔軟性も含まれています。

特定のセキュリティ ロジックには次のものが含まれます。

アカウントの抽象化 Wallet がセキュリティと分散化に重点を置いている点は、非常に評価に値します。これらのウォレット アプリケーションは、マルチ署名、秘密キーの保存と保護などの技術的手段を使用して、ユーザーの資産のセキュリティとトランザクションの信頼性を確保することに努めています。ただし、これらのセキュリティ対策は攻撃や脆弱性の影響を完全に受けないわけではないため、継続的な研究と改善が必要です。現在の市場の焦点は、ユーザーエクスペリエンスの真のニーズではなく、依然としてテクノロジーパラダイム自体にあります。

アカウントの抽象化 Wallet がセキュリティと分散化に重点を置いている点は、非常に評価に値します。これらのウォレット アプリケーションは、マルチ署名、秘密キーの保存と保護などの技術的手段を使用して、ユーザーの資産のセキュリティとトランザクションの信頼性を確保することに努めています。ただし、これらのセキュリティ対策は攻撃や脆弱性の影響を完全に受けないわけではないため、継続的な研究と改善が必要です。現在の市場の焦点は、ユーザーエクスペリエンスの真のニーズではなく、依然としてテクノロジーパラダイム自体にあります。

抽象ウォレットのセキュリティ上の危険性

秘密キーのストレージは、最も一般的なセキュリティ脆弱性の 1 つです。アカウント抽象化ウォレットは、ユーザーの秘密キーが安全な場所に保管されていることを確認し、秘密キーを不正アクセスから保護するための適切な措置を講じる必要があります。同時に、サイバー攻撃もウォレットの抽象化におけるもう一つの重要な問題です。攻撃者は、フィッシング、マルウェア、またはその他の手段を使用してユーザーの秘密キーを入手し、ユーザーのデジタル資産を盗む可能性があります。

ウォレットはコントラクト コピー メモリ プールを通じてトランザクションを処理し、ユーザーはトランザクションを直接実行しなくなります。ユーザーは、ウォレットを介して上位レベルのメモリプールに UserOperations を送信します。マイナーまたはバンドラーは、パッケージ化してエントリ ポイント コントラクトに送信し、適切な取引手数料補償を確保するためにウォレット CA の実行を調整する責任を負います。このソリューションは、特定のゲートウェイ (エントリ ポイント) によって開始されたトランザクションへの信頼を制限することでウォレットのセキュリティを確保し、コントラクト内の指示を実行し、Gas を支払い、Nonce をインクリメントすることでウォレットの操作を完了します。信頼できるエントリ ポイントを通じて開始されるコントラクト ウォレットは、さまざまなコマンド アクションやガス支払い操作を実行できるため、より高度にプログラム可能な機能が提供されます。

このアプローチでは、トランザクション プロセスが複数のステップに分割され、従来の直接トランザクションと比較してさらなる複雑さとオーバーヘッドが生じます。コンセンサス層プロトコル変更の提案 (EIP-2938、EIP-3074 など) と比較して、EIP-4337 は、基礎となるプロトコルやトランザクション タイプを変更することなく、より高度なアカウント抽象化を実現します。ただし、これによりガス消費量が増加し、セキュリティ上の脆弱性が発生する可能性もあります。さらに、既存のウォレット プロトコル ワークフローとの互換性がないため、採用が制限されます。

上記のセキュリティ問題に対応して、ウォレット抽象化ソリューションでは、優れたユーザー エクスペリエンスを維持しながらセキュリティを向上させるために、さまざまな対策を講じることができます。たとえば、一部のスキームではトランザクションのセキュリティを確保するためにマルチ署名を採用しています。マルチ署名とは、トランザクションを完了するために複数のユーザーからの確認が必要であることを意味し、これにより攻撃者による攻撃が成功する可能性が大幅に減少します。さらに、一部のソリューションでは、ハードウェア ウォレットを使用してユーザーの秘密キーを保存し、セキュリティを向上させています。ハードウェア ウォレットは通常、物理的な隔離を使用して秘密キーを保護し、秘密キーが盗まれるのを防ぎます。

ユーザーエクスペリエンスとセキュリティのバランス

アカウント抽象化ウォレットの設計では、セキュリティを最優先に考慮する必要があります。優れたユーザー エクスペリエンスを提供することは重要ですが、セキュリティに欠陥がある場合、ユーザーの資産が危険にさらされる可能性があります。したがって、ウォレット開発者はセキュリティを非常に重視し、ユーザーの秘密鍵と資産が攻撃に対して脆弱でないことを保証するために厳格な暗号化と認証対策を採用する必要があります。では、セキュリティとユーザー エクスペリエンスのバランスを取るにはどうすればよいでしょうか?著者は、少なくとも次の点を考慮する必要があると考えています。

アカウント抽象化ソリューションの将来

ユーザーエクスペリエンスとセキュリティ要素を考慮すると、イーサリアムのアカウント抽象ウォレットソリューションは、現在の開発とトレンドにおいてより多くの可能性を秘めています。 zkSync、Fuse Network、zkSafe などのイーサリアム エコシステムのアカウント抽象化ソリューションは、柔軟で安全で使いやすい設計と実装を通じて、より優れたユーザー エクスペリエンスを提供します。ただし、イーサリアム アカウントの抽象ウォレット ソリューションには、スマート コントラクトのセキュリティ リスクやトランザクション負荷が高い場合のスケーラビリティの課題など、セキュリティの課題やスケーラビリティの問題もあります。アカウント抽象化市場はまだ初期段階にあり、導入率も低いため、市場の成熟と導入を促進するにはイノベーションと開発が必要であることに注意することが重要です。

短期および中期的には、アカウント アブストラクション ウォレットは、バンドラー、ペイマスター、署名アグリゲーターの許可のないパブリック エンドポイントを導入することでオープン マーケットを確立し、ユーザーが最低コストで高品質のサービスを取得できるようにします。 Bundler、Paymaster、Signature Aggregator を迅速に導入してカスタマイズできるかどうかは、ウォレット インフラストラクチャ サービス プロバイダーの能力をテストします。これらのコンテストはイノベーションを推進し、セキュリティとユーザー エクスペリエンスを向上させます。

同時に、サードパーティのインフラストラクチャ プロバイダー (Stackup など) がモジュール式の Bundler と Paymaster を開発し、徐々にパーミッションレスになるでしょう。さらに、迅速なフロントエンド展開のためのスキャフォールディング ツールの開発が急務となっており、開発者はアカウント抽象化機能をサポートする ether.js に似た dApp 開発標準ライブラリの作成や、次のようなものをカプセル化するなど、ビジネス ロジックの開発に集中できます。 Web2 ソーシャル メディア アカウントと電子メールとして、電子メールの作成ウォレット、UserOperations の作成、署名、送信およびイベントの監視、Paymaster および Signature Aggregator の迅速な導入、およびその他の機能。これらのツールは、さまざまなウォレットを使用する開発者の統合プロセスを簡素化します。

中長期的には、新しいアカウント標準が登場することは間違いなく、アカウントをスマートコントラクトウォレットから分離することさえ予想されます。これは、将来、アカウント抽象ウォレット市場における競争がより激化し、機能の同質性がますます深刻になり、技術的な障壁がますます低くなることを意味します。将来のアカウント抽象化ウォレットには、より大きな柔軟性とユーザーの利便性を可能にする、パーミッションレスのモジュラーインフラストラクチャ、既存のサービスとの統合、dApp SDK、独立したアカウントレイヤーなど、より抜本的なイノベーションが必要になります。