Cointime

Download App
iOS & Android

계정 추상 지갑의 사용자 경험 및 보안 분석

작성자: 빙 벤처스

소개: EIP-4337은 스마트 계약 지갑 및 관련 인프라를 표준화하여 공공 표준을 만듭니다. 사용자 경험 향상 측면에서 계정 추상 지갑은 고급 의사 트랜잭션 및 단계별 처리를 도입하여 보다 유연하고 프로그래밍 가능한 기능을 제공합니다. 핵심 Ethereum 프로토콜을 업데이트하지 않고도 지갑을 업그레이드할 수 있으며 더 많은 사용자 정의 옵션을 제공합니다. 전반적으로 이더리움의 계정 추상화 지갑 솔루션은 사용자 경험과 기능 확장 측면에서 더 큰 잠재력을 가지고 있지만 보안 측면에서는 여전히 지속적인 개선이 필요합니다.

계정 추상화는 아직 초기 단계에 있어 채택률이 낮습니다. 많은 레이어 2는 아직 계정 추상화를 지원하지 않습니다. 이러한 제한으로 인해 사용자의 학습 및 사용 비용이 증가합니다.

계정 추상 지갑은 에이전시 메커니즘을 도입함으로써 개인 지갑의 진입 임계값을 약화시키는 동시에 더 간단하고 사용하기 쉬운 계정 시스템을 제공하는 것을 목표로 합니다. 스마트 계약을 지갑의 전달자로 사용하고 사용자와 스마트 계약 사이에 에이전트를 추가합니다. 에이전트는 사용자가 블록체인과의 상호 작용 프로세스를 완료하도록 돕습니다. 이러한 방식으로 사용자는 개인 키 니모닉과 같은 복잡한 개념을 직접 접촉하지 않고도 기존 계정 시스템(예: 이메일, 휴대폰 등)을 사용하여 작업할 수 있습니다.

저자는 계정 추상화에서 보안이 매우 중요하다고 믿습니다. 블록체인 거래의 되돌릴 수 없고 변조할 수 없는 특성으로 인해 일단 사용자 계정이 공격을 받으면 회복할 수 없는 손실이 발생할 수 있습니다. 따라서 계정 추상 지갑을 설계할 때 계정 관리 및 사용, 개인 키 저장 및 보호, 거래 확인 및 승인 등 보안의 모든 측면을 고려해야 합니다.

이번 Bing Ventures 연구의 목적은 계정 추상화 지갑 프로젝트의 보안 로직과 취약점을 분석하고, 사용자 경험과 보안의 균형을 맞추는 방법을 탐색하며, 지갑 추상화 솔루션의 향후 개발 방향에 대해 생각해 보는 것입니다.

계정 추상 지갑의 보안 로직

EIP-4337과 같은 이더리움의 계정 추상화 분야에는 여러 가지 기술 개선 및 표준화 계획이 있습니다. 이러한 제안은 계정 추상화 지갑 프로젝트의 개발 및 통합을 촉진하여 사용자에게 보다 일관되고 안정적인 경험을 제공합니다. 계정 추상화 개발의 주요 라인은 외부 소유 계정(EOA)이 아닌 계약에 의해 최상위 이더리움 거래가 시작될 수 있도록 허용하는 기능을 구현하기 위해 합의 계층 프로토콜을 변경할 필요가 없는 ERC-4337을 통한 방법을 제공하는 것입니다. ). 상위 시스템에서 트랜잭션 멤풀의 기능을 복제하여 사용자 작업의 검증 및 패키징을 실현하며 Ethereum 블록에 "번들 트랜잭션"으로 포함됩니다.

ERC-4337의 목표는 다중 서명 및 소셜 복구와 같은 기능은 물론 보다 효율적이고 단순화된 서명 알고리즘 및 포스트 퀀텀 보안 서명 알고리즘을 포함하여 지갑 유연성과 업그레이드 가능성을 달성하는 것입니다. 계정 추상 지갑의 주요 개발 라인에는 임의의 서명 및 임시 검증 논리를 추가하고 지갑 업그레이드를 지원할 수 있는 지갑 검증 논리의 유연성도 포함됩니다.

특정 보안 논리에는 다음이 포함됩니다.

  • 검증 논리: 계정 추상 지갑은 검증 논리(예: 서명 및 비세슘 비교 알고리즘)를 통해 사용자 작업의 적법성과 보안을 보장합니다.
  • 진입점 제어: 공격으로부터 지갑을 보호하기 위해 Account Abstraction Wallet은 진입점 계약에 복잡한 스마트 계약 트릭을 추가하고 신뢰할 수 있는 진입점만 제한하여 지갑 운영 및 수수료 지불을 실행합니다.
  • 독립적인 검증 및 실행 계층: 계정 추상 지갑의 검증 및 실행은 두 가지 기능으로 나누어져 사용자 작업의 검증 및 실행 단계를 각각 처리하여 보안과 유연성을 향상시킵니다.
  • 시뮬레이션 실행 및 검증: 사용자 작업 검증은 시뮬레이션 실행을 통해 적법성을 확인하여 실제로 블록에 추가되었을 때 동일한 효과가 있는지 확인함으로써 잠재적인 DoS 공격을 방지할 수 있습니다.

Account Abstraction Wallet의 보안 및 분산화에 대한 강조는 매우 인정할 가치가 있습니다. 다중 서명, 개인 키 저장 및 보호와 같은 기술적 수단을 사용하여 이러한 지갑 애플리케이션은 사용자 자산의 보안과 거래의 신뢰성을 보장하기 위해 최선을 다하고 있습니다. 그러나 이러한 보안 조치는 공격과 취약점으로부터 완전히 면역되지 않으므로 지속적인 연구와 개선이 필요합니다. 현재 시장의 초점은 여전히 ​​사용자 경험의 실제 요구보다는 기술 패러다임 자체에 있습니다.

Account Abstraction Wallet의 보안 및 분산화에 대한 강조는 매우 인정할 가치가 있습니다. 다중 서명, 개인 키 저장 및 보호와 같은 기술적 수단을 사용하여 이러한 지갑 애플리케이션은 사용자 자산의 보안과 거래의 신뢰성을 보장하기 위해 최선을 다하고 있습니다. 그러나 이러한 보안 조치는 공격과 취약점으로부터 완전히 면역되지 않으므로 지속적인 연구와 개선이 필요합니다. 현재 시장의 초점은 여전히 ​​사용자 경험의 실제 요구보다는 기술 패러다임 자체에 있습니다.

추상 지갑의 보안 위험

개인 키 저장소는 가장 일반적인 보안 취약점 중 하나입니다. 계정 추상화 지갑은 사용자의 개인 키가 안전한 장소에 저장되어 있는지 확인하고 개인 키를 무단 액세스로부터 보호하기 위해 적절한 조치를 취해야 합니다. 동시에 사이버 공격은 지갑 추상화의 또 다른 주요 문제이기도 합니다. 공격자는 피싱, 악성 코드 또는 기타 수단을 사용하여 사용자의 개인 키를 획득하고 사용자의 디지털 자산을 훔칠 수 있습니다.

지갑은 계약 복사 메모리 풀을 통해 거래를 처리하며, 사용자는 더 이상 직접 거래를 수행하지 않습니다. 사용자는 지갑을 통해 UserOperations를 상위 레벨 멤풀로 보내고, 채굴자 또는 번들러는 Entry Point 계약을 패키징하여 전송하고 지갑 CA 실행을 조정하여 적절한 거래 수수료 보상을 보장하는 일을 담당합니다. 이 솔루션은 특정 게이트웨이(진입점)에 의해 시작된 거래에 대한 신뢰를 제한하여 지갑의 보안을 보장하고, 계약의 명령을 실행하고 가스를 지불하며 Nonce를 증가시켜 지갑 작업을 완료합니다. 신뢰할 수 있는 진입점을 통해 시작된 계약 지갑은 다양한 명령 작업과 가스 지불 작업을 수행할 수 있으므로 보다 고도로 프로그래밍 가능한 기능을 제공합니다.

이 접근 방식은 거래 프로세스를 여러 단계로 나누어 기존 직접 거래에 비해 복잡성과 오버헤드가 추가로 발생합니다. 합의 레이어 프로토콜 변경 제안(예: EIP-2938, EIP-3074)과 비교하여 EIP-4337은 기본 프로토콜 및 트랜잭션 유형을 수정하지 않고도 더 높은 수준의 계정 추상화를 달성합니다. 그러나 이로 인해 더 많은 가스 소비가 발생하고 보안 취약점이 발생할 수도 있습니다. 또한 기존 지갑 프로토콜 워크플로와의 비호환성으로 인해 채택이 제한됩니다.

위의 보안 문제에 대응하여 지갑 추상화 솔루션은 우수한 사용자 경험을 유지하면서 보안을 향상시키기 위해 다양한 조치를 취할 수 있습니다. 예를 들어, 일부 체계에서는 거래 보안을 보장하기 위해 다중 서명을 사용합니다. 다중 서명이란 거래를 완료하려면 여러 사용자의 확인이 필요하므로 공격자가 공격에 성공할 가능성을 크게 줄여준다는 의미입니다. 또한 일부 솔루션은 보안을 강화하기 위해 하드웨어 지갑을 사용하여 사용자의 개인 키를 저장하기도 합니다. 하드웨어 지갑은 일반적으로 개인 키가 도난당하는 것을 방지하기 위해 물리적 격리를 사용하여 보호합니다.

사용자 경험과 보안 사이의 균형

보안은 계정 추상화 지갑 설계에서 주요 고려 사항으로 간주되어야 합니다. 좋은 사용자 경험을 제공하는 것이 중요하지만, 보안에 결함이 있으면 사용자 자산이 위험에 처할 수 있습니다. 따라서 지갑 개발자는 보안을 매우 중요하게 생각하고 엄격한 암호화 및 인증 조치를 채택하여 사용자의 개인 키와 자산이 공격에 취약하지 않도록 해야 합니다. 그렇다면 보안과 사용자 경험 사이의 균형을 맞추는 방법은 무엇일까요? 저자는 최소한 다음 사항을 고려해야 한다고 생각합니다.

  • 개인 키 관리: 계정 추상화 지갑은 잠재적인 공격으로부터 사용자 자산을 보호하기 위해 사용자의 개인 키를 안전하게 관리해야 합니다. 이는 암호화 알고리즘, 하드웨어 지갑, 다단계 인증과 같은 보안 조치를 사용하여 달성할 수 있습니다. 그러나 너무 엄격한 보안 조치는 빈번한 인증 단계를 요구하는 등 사용자 경험을 저하시킬 수 있습니다. 이런 점에서 지갑은 개인 키의 보안을 보장하는 동시에 사용자가 자산에 편리하게 접근할 수 있는 간편한 인증 방법을 제공하는 균형을 찾아야 합니다.
  • 거래 확인 및 속도: 계정 추상화 지갑은 좋은 사용자 경험을 제공하기 위해 시기적절한 거래 확인과 빠른 거래 처리를 제공해야 합니다. 그러나 거래 속도를 보장하는 동시에 이중 지출 및 기타 사기를 방지하기 위해 주의를 기울여야 합니다. 지갑은 제로 확인 거래 및 AI 자동 위험 평가와 같은 기술적 조치를 채택하여 보안과 거래 속도 사이의 균형을 맞추고 사용자 자산의 안전을 보장하며 빠른 거래 경험을 제공할 수 있습니다.
  • 다중 체인 지원: 현재 추세는 다중 체인 개발 방향입니다. 계정 추상화 채택을 고려할 때 다양한 생태계와 가능한 차이점에 따른 AA 채택을 고려해야 하며, 이는 다양한 체인과 가상 머신에서 AA 구현에 불확실성을 가져올 것입니다. 애플리케이션 개발자이고 AA 채택을 고려하고 있다면 여러 체인 간의 상호 운용성을 달성하는 데 필요한 작업량을 고려해야 합니다. 앞으로 계정 추상 지갑은 다양한 체인에 있는 사용자의 요구를 충족하기 위해 여러 블록체인을 지원해야 합니다. 그러나 각 블록체인에는 고유한 보안 기능과 사용자 경험 요구 사항이 있습니다. 보안과 사용자 경험의 균형을 맞추는 측면에서 지갑은 각 체인의 보안 요구 사항이 적절하게 충족되는지 확인하는 동시에 사용자가 다른 체인의 자산을 쉽게 관리하고 상호 작용할 수 있도록 일관되고 직관적인 사용자 인터페이스를 제공해야 합니다.
  • 비용: 온체인 거래 비용은 애플리케이션 개발을 제한하는 중요한 요소입니다. 대부분의 거래가 2층에서 발생하고 수수료가 지원된다고 가정하더라도 대규모 배포 및 업그레이드에는 여전히 비용이 많이 들 수 있습니다. 특히 지갑을 업그레이드하려면 기본 스마트 계약을 업그레이드해야 하며, 이로 인해 새로운 취약점이 발생하고 높은 수수료가 발생할 수 있습니다.

계정 추상화 솔루션의 미래

사용자 경험과 보안 요소를 고려하면 이더리움의 계정 추상 지갑 솔루션은 현재 개발 및 추세에서 더 많은 잠재력을 가지고 있습니다. zkSync, Fuse Network 및 zkSafe와 같은 Ethereum 생태계의 계정 추상화 솔루션은 유연하고 안전하며 사용하기 쉬운 설계 및 구현을 통해 더 나은 사용자 경험을 제공합니다. 그러나 스마트 계약의 보안 위험과 높은 트랜잭션 부하에 따른 확장성 문제를 포함하여 이더리움 계정 추상 지갑 솔루션에는 보안 문제와 확장성 문제도 있습니다. 계정 추상화 시장은 아직 채택률이 낮은 초기 단계이므로 시장 성숙도와 채택을 촉진하려면 혁신과 개발이 필요하다는 점에 유의하는 것이 중요합니다.

단기 및 중기적으로 Account Abstraction Wallet은 Bundler, Paymaster 및 Signature Aggregator의 무허가 퍼블릭 엔드포인트를 도입하여 공개 시장을 구축하여 사용자가 최저 비용으로 고품질 서비스를 얻을 수 있도록 합니다. Bundler, Paymaster 및 Signature Aggregator를 신속하게 배포하고 맞춤화할 수 있는지 여부는 지갑 인프라 서비스 제공업체의 능력을 테스트합니다. 이러한 대회는 혁신을 주도하고 보안과 사용자 경험을 향상시킬 것입니다.

동시에 Stackup과 같은 제3자 인프라 제공업체는 모듈식 Bundler 및 Paymaster를 개발하여 점차 무허가화될 것입니다. 또한 개발자가 계정 추상화 기능을 지원하는 ether.js와 유사한 dApp 개발 표준 라이브러리를 만들고, Web2 소셜 미디어 계정 및 이메일로 이메일 생성 지갑, UserOperations 생성, 서명, 전송 및 이벤트 모니터링, Paymaster 및 Signature Aggregator 및 기타 기능의 신속한 배포. 이러한 도구는 다양한 지갑을 사용하는 개발자의 통합 프로세스를 단순화합니다.

중장기적으로는 새로운 계정 표준이 등장할 것이고, 스마트 컨트랙트 지갑과 계정이 분리되는 일도 예상된다. 이는 향후 계정 추상 지갑 시장의 경쟁이 더욱 치열해지고, 기능적 동질성이 더욱 심각해지고, 기술적 장벽이 점점 낮아질 것임을 의미하기도 합니다. 미래의 계정 추상화 지갑에는 무허가 모듈식 인프라, 기존 서비스와의 통합, dApp SDK 및 독립적인 계정 계층을 포함하여 더 큰 유연성과 사용자 편의성을 허용하는 보다 급진적인 혁신이 필요합니다.

댓글

모든 댓글

Recommended for you