작성자: 빙 벤처스

소개: EIP-4337은 스마트 계약 지갑 및 관련 인프라를 표준화하여 공공 표준을 만듭니다. 사용자 경험 향상 측면에서 계정 추상 지갑은 고급 의사 트랜잭션 및 단계별 처리를 도입하여 보다 유연하고 프로그래밍 가능한 기능을 제공합니다. 핵심 Ethereum 프로토콜을 업데이트하지 않고도 지갑을 업그레이드할 수 있으며 더 많은 사용자 정의 옵션을 제공합니다. 전반적으로 이더리움의 계정 추상화 지갑 솔루션은 사용자 경험과 기능 확장 측면에서 더 큰 잠재력을 가지고 있지만 보안 측면에서는 여전히 지속적인 개선이 필요합니다.

계정 추상화는 아직 초기 단계에 있어 채택률이 낮습니다. 많은 레이어 2는 아직 계정 추상화를 지원하지 않습니다. 이러한 제한으로 인해 사용자의 학습 및 사용 비용이 증가합니다.

계정 추상 지갑은 에이전시 메커니즘을 도입함으로써 개인 지갑의 진입 임계값을 약화시키는 동시에 더 간단하고 사용하기 쉬운 계정 시스템을 제공하는 것을 목표로 합니다. 스마트 계약을 지갑의 전달자로 사용하고 사용자와 스마트 계약 사이에 에이전트를 추가합니다. 에이전트는 사용자가 블록체인과의 상호 작용 프로세스를 완료하도록 돕습니다. 이러한 방식으로 사용자는 개인 키 니모닉과 같은 복잡한 개념을 직접 접촉하지 않고도 기존 계정 시스템(예: 이메일, 휴대폰 등)을 사용하여 작업할 수 있습니다.

저자는 계정 추상화에서 보안이 매우 중요하다고 믿습니다. 블록체인 거래의 되돌릴 수 없고 변조할 수 없는 특성으로 인해 일단 사용자 계정이 공격을 받으면 회복할 수 없는 손실이 발생할 수 있습니다. 따라서 계정 추상 지갑을 설계할 때 계정 관리 및 사용, 개인 키 저장 및 보호, 거래 확인 및 승인 등 보안의 모든 측면을 고려해야 합니다.

이번 Bing Ventures 연구의 목적은 계정 추상화 지갑 프로젝트의 보안 로직과 취약점을 분석하고, 사용자 경험과 보안의 균형을 맞추는 방법을 탐색하며, 지갑 추상화 솔루션의 향후 개발 방향에 대해 생각해 보는 것입니다.

계정 추상 지갑의 보안 로직

EIP-4337과 같은 이더리움의 계정 추상화 분야에는 여러 가지 기술 개선 및 표준화 계획이 있습니다. 이러한 제안은 계정 추상화 지갑 프로젝트의 개발 및 통합을 촉진하여 사용자에게 보다 일관되고 안정적인 경험을 제공합니다. 계정 추상화 개발의 주요 라인은 외부 소유 계정(EOA)이 아닌 계약에 의해 최상위 이더리움 거래가 시작될 수 있도록 허용하는 기능을 구현하기 위해 합의 계층 프로토콜을 변경할 필요가 없는 ERC-4337을 통한 방법을 제공하는 것입니다. ). 상위 시스템에서 트랜잭션 멤풀의 기능을 복제하여 사용자 작업의 검증 및 패키징을 실현하며 Ethereum 블록에 "번들 트랜잭션"으로 포함됩니다.

ERC-4337의 목표는 다중 서명 및 소셜 복구와 같은 기능은 물론 보다 효율적이고 단순화된 서명 알고리즘 및 포스트 퀀텀 보안 서명 알고리즘을 포함하여 지갑 유연성과 업그레이드 가능성을 달성하는 것입니다. 계정 추상 지갑의 주요 개발 라인에는 임의의 서명 및 임시 검증 논리를 추가하고 지갑 업그레이드를 지원할 수 있는 지갑 검증 논리의 유연성도 포함됩니다.

특정 보안 논리에는 다음이 포함됩니다.

Account Abstraction Wallet의 보안 및 분산화에 대한 강조는 매우 인정할 가치가 있습니다. 다중 서명, 개인 키 저장 및 보호와 같은 기술적 수단을 사용하여 이러한 지갑 애플리케이션은 사용자 자산의 보안과 거래의 신뢰성을 보장하기 위해 최선을 다하고 있습니다. 그러나 이러한 보안 조치는 공격과 취약점으로부터 완전히 면역되지 않으므로 지속적인 연구와 개선이 필요합니다. 현재 시장의 초점은 여전히 ​​사용자 경험의 실제 요구보다는 기술 패러다임 자체에 있습니다.

Account Abstraction Wallet의 보안 및 분산화에 대한 강조는 매우 인정할 가치가 있습니다. 다중 서명, 개인 키 저장 및 보호와 같은 기술적 수단을 사용하여 이러한 지갑 애플리케이션은 사용자 자산의 보안과 거래의 신뢰성을 보장하기 위해 최선을 다하고 있습니다. 그러나 이러한 보안 조치는 공격과 취약점으로부터 완전히 면역되지 않으므로 지속적인 연구와 개선이 필요합니다. 현재 시장의 초점은 여전히 ​​사용자 경험의 실제 요구보다는 기술 패러다임 자체에 있습니다.

추상 지갑의 보안 위험

개인 키 저장소는 가장 일반적인 보안 취약점 중 하나입니다. 계정 추상화 지갑은 사용자의 개인 키가 안전한 장소에 저장되어 있는지 확인하고 개인 키를 무단 액세스로부터 보호하기 위해 적절한 조치를 취해야 합니다. 동시에 사이버 공격은 지갑 추상화의 또 다른 주요 문제이기도 합니다. 공격자는 피싱, 악성 코드 또는 기타 수단을 사용하여 사용자의 개인 키를 획득하고 사용자의 디지털 자산을 훔칠 수 있습니다.

지갑은 계약 복사 메모리 풀을 통해 거래를 처리하며, 사용자는 더 이상 직접 거래를 수행하지 않습니다. 사용자는 지갑을 통해 UserOperations를 상위 레벨 멤풀로 보내고, 채굴자 또는 번들러는 Entry Point 계약을 패키징하여 전송하고 지갑 CA 실행을 조정하여 적절한 거래 수수료 보상을 보장하는 일을 담당합니다. 이 솔루션은 특정 게이트웨이(진입점)에 의해 시작된 거래에 대한 신뢰를 제한하여 지갑의 보안을 보장하고, 계약의 명령을 실행하고 가스를 지불하며 Nonce를 증가시켜 지갑 작업을 완료합니다. 신뢰할 수 있는 진입점을 통해 시작된 계약 지갑은 다양한 명령 작업과 가스 지불 작업을 수행할 수 있으므로 보다 고도로 프로그래밍 가능한 기능을 제공합니다.

이 접근 방식은 거래 프로세스를 여러 단계로 나누어 기존 직접 거래에 비해 복잡성과 오버헤드가 추가로 발생합니다. 합의 레이어 프로토콜 변경 제안(예: EIP-2938, EIP-3074)과 비교하여 EIP-4337은 기본 프로토콜 및 트랜잭션 유형을 수정하지 않고도 더 높은 수준의 계정 추상화를 달성합니다. 그러나 이로 인해 더 많은 가스 소비가 발생하고 보안 취약점이 발생할 수도 있습니다. 또한 기존 지갑 프로토콜 워크플로와의 비호환성으로 인해 채택이 제한됩니다.

위의 보안 문제에 대응하여 지갑 추상화 솔루션은 우수한 사용자 경험을 유지하면서 보안을 향상시키기 위해 다양한 조치를 취할 수 있습니다. 예를 들어, 일부 체계에서는 거래 보안을 보장하기 위해 다중 서명을 사용합니다. 다중 서명이란 거래를 완료하려면 여러 사용자의 확인이 필요하므로 공격자가 공격에 성공할 가능성을 크게 줄여준다는 의미입니다. 또한 일부 솔루션은 보안을 강화하기 위해 하드웨어 지갑을 사용하여 사용자의 개인 키를 저장하기도 합니다. 하드웨어 지갑은 일반적으로 개인 키가 도난당하는 것을 방지하기 위해 물리적 격리를 사용하여 보호합니다.

사용자 경험과 보안 사이의 균형

보안은 계정 추상화 지갑 설계에서 주요 고려 사항으로 간주되어야 합니다. 좋은 사용자 경험을 제공하는 것이 중요하지만, 보안에 결함이 있으면 사용자 자산이 위험에 처할 수 있습니다. 따라서 지갑 개발자는 보안을 매우 중요하게 생각하고 엄격한 암호화 및 인증 조치를 채택하여 사용자의 개인 키와 자산이 공격에 취약하지 않도록 해야 합니다. 그렇다면 보안과 사용자 경험 사이의 균형을 맞추는 방법은 무엇일까요? 저자는 최소한 다음 사항을 고려해야 한다고 생각합니다.

계정 추상화 솔루션의 미래

사용자 경험과 보안 요소를 고려하면 이더리움의 계정 추상 지갑 솔루션은 현재 개발 및 추세에서 더 많은 잠재력을 가지고 있습니다. zkSync, Fuse Network 및 zkSafe와 같은 Ethereum 생태계의 계정 추상화 솔루션은 유연하고 안전하며 사용하기 쉬운 설계 및 구현을 통해 더 나은 사용자 경험을 제공합니다. 그러나 스마트 계약의 보안 위험과 높은 트랜잭션 부하에 따른 확장성 문제를 포함하여 이더리움 계정 추상 지갑 솔루션에는 보안 문제와 확장성 문제도 있습니다. 계정 추상화 시장은 아직 채택률이 낮은 초기 단계이므로 시장 성숙도와 채택을 촉진하려면 혁신과 개발이 필요하다는 점에 유의하는 것이 중요합니다.

단기 및 중기적으로 Account Abstraction Wallet은 Bundler, Paymaster 및 Signature Aggregator의 무허가 퍼블릭 엔드포인트를 도입하여 공개 시장을 구축하여 사용자가 최저 비용으로 고품질 서비스를 얻을 수 있도록 합니다. Bundler, Paymaster 및 Signature Aggregator를 신속하게 배포하고 맞춤화할 수 있는지 여부는 지갑 인프라 서비스 제공업체의 능력을 테스트합니다. 이러한 대회는 혁신을 주도하고 보안과 사용자 경험을 향상시킬 것입니다.

동시에 Stackup과 같은 제3자 인프라 제공업체는 모듈식 Bundler 및 Paymaster를 개발하여 점차 무허가화될 것입니다. 또한 개발자가 계정 추상화 기능을 지원하는 ether.js와 유사한 dApp 개발 표준 라이브러리를 만들고, Web2 소셜 미디어 계정 및 이메일로 이메일 생성 지갑, UserOperations 생성, 서명, 전송 및 이벤트 모니터링, Paymaster 및 Signature Aggregator 및 기타 기능의 신속한 배포. 이러한 도구는 다양한 지갑을 사용하는 개발자의 통합 프로세스를 단순화합니다.

중장기적으로는 새로운 계정 표준이 등장할 것이고, 스마트 컨트랙트 지갑과 계정이 분리되는 일도 예상된다. 이는 향후 계정 추상 지갑 시장의 경쟁이 더욱 치열해지고, 기능적 동질성이 더욱 심각해지고, 기술적 장벽이 점점 낮아질 것임을 의미하기도 합니다. 미래의 계정 추상화 지갑에는 무허가 모듈식 인프라, 기존 서비스와의 통합, dApp SDK 및 독립적인 계정 계층을 포함하여 더 큰 유연성과 사용자 편의성을 허용하는 보다 급진적인 혁신이 필요합니다.