FX168财经网_全球视野外汇黄金加密货币NFT资讯网

出大事了！DeFi爆发大规模安全漏洞大型钱包遭恶意入侵技术长：暂时勿做任何互动

tter) 另外，加密货币钱包小狐狸(MetaMask)也在发文表示，已发现对Ledger Connect Kit的攻击，并警告用户停止使用Dapp程序。 “如果你是MetaMask用户，请在MetaMask Portfolio上执行任何交易之前，确保你已在MetaMask Extension中打开Blockaid功能。MetaMask Portfolio团队正在处理该问题，并已制定修复方案，很快将推出，”MetaMask官方强调。 (来源:Twitter) 根据最新处理状况，Ledger在北京时间周四晚间9点30分左右发文表示，他们已识别并删除了Ledger Connect Kit的恶意版本，目前正更新版本以替换恶意文件，同时也警告用户暂时仍然不要与任何Dapp进行交互。 (来源:Twitter) 至于投资者最为关注的确切有多少金额损失，目前官方仍在确认中。针对此次攻击事件，区块链安全团队慢雾创始人余弦稍晚发文分析表示，针对Ledger此次攻击的黑客组织米，在ledgerhq/connect-kit 1.1.5版本时就开始篡改代码，不过那时还并未植入恶意代码，仅是嘲讽类信息。他称：“1.1.6版本时则开始植入恶意代码，后续又发布了带有病毒的1.1.7版本。” (来源:Twitter) 当前未完成彻底排查前，提醒投资者与Dapp钱包、应用程序或任何相关的链接都必须谨慎，最好如Matthew所警告的，暂时不要与任何Dapp进行互动，避免资金曝露在风险中。最新进展： Ledger Support在周五发布更新，官方写道：“正版Ledger Connect Kit 1.1.8现已全面发布。 Ledger和WalletConnect可以确认恶意代码已被停用。你现在可以安全地使用Ledger Connect套件了。” 但MetaMask官方强调：“Ledger已解决了当前问题，但目前建议用户等待24小时，然后再使用Ledger Connect套件与Dapp进行交互。” (来源:Twitter)

小萧2023-12-15

从 Pixels深入了解菲律宾Web3游戏狂潮

初创公司。到 2021 年 11 月，MetaMask 的 2100 万用户中，17% 来自菲律宾。这场狂热引发了媒体热潮，并波及其他新兴经济体，如印尼、印度、委内瑞拉、巴西和尼日利亚。很快，各国都呈现出类似的趋势，我见证过的菲律宾游戏狂热，在其他国家也出现了，只是晚了大约三个月。我意识到，菲律宾所发生的一切，预示着 Web3 游戏将在全球范围内被广泛接受。菲律宾为 Web3 游戏做的准备菲律宾在 Web3 游戏领域的热度并不令人意外。根据 CoinGecko 的数据，菲律宾连续三年位居全球 Web3 游戏兴趣榜首，这要归功于其年轻、精通数字技术、主要未被纳入银行业的庞大人口，以及根深蒂固的汇款文化。 2015 年左右，区块链的主要应用场景之一就是加密资产支持的汇款，它降低了海外菲律宾劳工 (OFW) 将资金汇回国内的时间和成本。因此，当 Axie Infinity 突破重围时，即使身处菲律宾最偏远角落的玩家也几乎不需要引导，因为他们已经熟悉并使用加密货币。然而，早期 Axie 玩家的复杂操作水平甚至让菲律宾最热情的区块链倡导者感到惊讶。玩家们可以在 Coins.ph 或 PDAX 等持牌交易所将比索兑换为 ETH，然后将 ETH 转移到 MetaMask 上，在开放市场购买 NFT 资产，将它们送入 PvP 竞技场争夺 SLP 代币，再通过 Uniswap 等 DEX 将其换回 ETH，最后回到最初的平台进行操作。这些投入的玩家对 Axie 的虚拟经济进行了严峻的考验，在最初的版本中，它失败了。2021 年 5 月，SLP 曾飙升至 0.36 美元，但到 2022 年 1 月已跌至 0.01 美元。此后，数百万玩家不仅退出了 Axie，还因整个市场低迷而退出了 Web3 游戏。接着，朝鲜黑客针对 Sky Mavis 发动了一场价值 6.2 亿美元的攻击。该公司最终补偿了所有受害者，但媒体舆论一片混乱，曾经忠诚的支持者纷纷转向其他平台。 Axie 回归菲律宾尽管 2022 年 Axie 中断金融奖励机制，菲律宾仍有一小批忠诚玩家坚持玩耍，纯粹为了游戏本身的乐趣。因此，Jihoz 选择马尼拉作为宣布 Axie Classic 奖励回归的消息发布地绝非偶然，因为菲律宾玩家是 Web3 游戏的 “风向标”。虽然 Axie Classic 是 Axie 原始版本，因其缺乏趣味性而遭到全球其他地区诟病，却始终深受菲律宾玩家喜爱。它的回归让一些菲律宾朋友们激动不已，甚至唤起了怀旧情绪。因为 Axie 改变了他们的生活，打开了他们对未来游戏可能性的想象，是这一切的起点。关键时刻基于之前的经验，我认为这是一个关键时刻，Web3 游戏领域即将再次迎来爆炸式增长。周期的早期阶段将由 Web3 本土创新所驱动，就像我们在 ERC-6551 身上看到的。然后，一旦某个新游戏或模式获得关注，就会出现无数模仿者——例如，我已经看到了一些针对 Friend.Tech 的 GameFi 版本提案。这就像上一轮周期一样，当时出现了“Axie for this”和“Axie for that”的现象，与之前的“X for X”趋势非常相似。随着市场接近沸点，所有跳槽到 AI 领域的 Web3 顾问将带着全新的宣传手册回归游戏领域。这次，一些项目将获得资金支持，并经历巨大但不可持续的增长。当它们不可避免地下跌时，优秀的项目会回落，但不会归零。无论什么上涨的东西最终都会下跌，但它将在下跌之后比最初上升到一个更高的位置——拥有更多的社区成员，更高的 DAU，以及对 Web3 世界的机遇和危险有更好的理解。对于经验丰富的加密货币老手来说，这是一条熟悉的道路，但对于当前周期中的 Web3 爱好者来说，可能还是第一次经历。当我回想起上一轮牛市的开始，我想到的是一个菲律宾家庭在客厅地板上玩 Axie 的场景。现在，当我们站在下一轮周期的边缘时，顶级 Web3 游戏 Pixels 已经突破了 10 万 DAU，关于机器人玩家的争论也正在激烈进行。这次，数字和可能性都变得更大，但所有信号都相同，这一切都起源于菲律宾。正如马克·吐温所说：“历史不会重复，但它经常押韵。” 来源：金色财经

金色财经2023-12-14

CroPool使用说明书（上）手机版图文+视频质押教程

et、imToken、Bitkeep、MetaMask等钱包已经连上CroPool； 2.CroPool是在币安主网上线，因此用户需要将钱包网络切换成BSC链; 3.链接CroPool的钱包内有充足的BNB（大约0.001BNB）；温馨帮助：如果有用户没有办法自己购买BNB充当GAS费用，在交易所可通过Polygon链或BSC链转账1USDT至CyberVein官方兑换地址兑换等值的BNB-GAS费用。 CyberVein官方合约GAS兑换地址：0x16033aF5F6Ae925bcF06fEaE2A2BA482ecc69cf0 注意：转账网络主链只接收Polygon链和BSC链，并且只接收GAS兑换金额为1USDT 4.CroPool目前为1.0版本，会在手机钱包网页端和PC网页端进行全球公测； 5.1个地址可以多次参与质押操作，质押数量和次数无限制。 6.第二次质押会自动将原质押的收益加到已质押的数量里。质押CVT前需要完成钱包部署 CroPool是在币安主网上线，因此用户需要将钱包网络切换成BSC链，我们以TokenPocket为例进行教学。以下是手机钱包端质押CVT视频教程，请点击下方链接观看! 质押视频教程观看链接： https://www.cropool.net/cvt.mp4 CroPool手机网页端图文操作教程第一步：钱包先打开区块链钱包，在钱包首页点击左上角，切换币安智能链。如下图所示。 TokenPocket、imtoken、bitkeep、Metamask等钱包都可以进入CroPool平台参与质押BSC-CVT；第二步：切换BSC链认准币安LOGO，切换BSC币安智能链，并在钱包余额里放一定的BNB作为GAS费用，同时也需持有BSC-CVT才能进行质押操作。如下图所示。第三步：进入CroPool平台在钱包点击”发现“界面，输入CroPool官方平台链接，再点击下方“我知道了”进入DAPP界面。如下图所示。 CroPool官网： https://www.CroPool.net 第四步：进入质押中心在CroPool平台首页，请点击”质押“功能进入质押中心，并往下拉到”质押CVT“界面，点击滑轮横线滑动想要质押的数量。如下图所示。第五步：授权请点击”授权CVT“按钮进行下一步，支付GAS并确认授权。如下图所示。第六步：质押授权成功后，请点击“质押”按钮进行质押BSC-CVT，并确认支付GAS网络费用，若界面弹出显示“质押中”，则恭喜您成功质押CVT。质押收益率为每日0.1%CVT，每月3%CVT，每年36%CVT。质押期间用户可随时取出质押代币和质押收益。质押数量和次数没有限制。第七步：赎回如果想提现质押数量和质押收益，请选择“赎回CVT”功能进行操作。此外，用户质押的CVT数量以及质押收益可随时提现。请注意，第一次质押之后的每一次质押会自动将原质押的收益加到您的“已质押”数量里。插入一则CVT最新消息：由于BSC链的CVT流通率迅速提升，12月13日，CyberVein基金会从以太坊链上持续映射3亿枚已流通的 CVT 到币安生态链BSC上，截止当前，BSC链总共8亿枚CVT在进行流通，以此满足 CroPool 在 BSC上的正常运作！留言说一说 # 对CroPool的一句话评价或期待来源：金色财经

金色财经2023-12-14

波哥说九头蛇（1）

开发中的功能： EVM 支持，可直连 Metamask 和 Ledger。这一功能，目前已部署在洛可可测试网公测；清算引擎，这个功能采用“区块优先清算”机制，让用户获得清算先机。有什么好处呢？可避开与NFT、转账的竞争，减少或不增加 Moonbeam 上的 Gas 等。算法上的创新，很容易被其他 Dapp 借贷采用；借贷； XCM UI，跨链页面可利用 MRL 桥将以太坊 erc-20 直连到 HydraDX。 HydraDX 是一个充满活力、不断创新的协议。团队在代码的稳定交付上，真是没的说。相信未来还有更多功能，等待我们去发现和解锁。 HydraDX 的代币根据 HydraDX 官方文档（docs.hydradx.io）显示，HydraDX 协议的代币为 HDX，发行总量 65 亿，具体分布如下： LBP 参与者 - 30.5% (~1.983B)；创始人和团队 - 12.5% (810M)；投资者 - 10.6% (690M)； HDX 众贷 - 7.6% (~494.6M)； BSX 众贷赠送 - 1.9% (~120.7M)； DAO 国库 - 5.5% (~354.5M)；整理者 - 3.9% (~251.5M)；项目未来成长 - 27.6% (~1.796B)。根据官方文档介绍，HDX 目前具备如下功能：用于基本的网络交易费用支付（用户也可以改用其它资产作为交易费用）；对协议升级进行投票；对社区成员提出的提案进行投票（包括协议拥有的流动性分配等）。除此之外，持有HDX还有以下好处：用于质押，获取更多HDX；用于提供流动性（风险：无常损失）；获取未来可期的价值增长收益。 HydraDX 展望项目的联合创始人有一次在官方 TG 群回复粉丝提问时，将目标定在了 $0.5，这是一个有趣的信息。另外，我们还可以做个简单的比较：Cosmos 生态系统的头部 DeFi 项目 Osmosis，是 Uniswap 风格的传统 DEX，且为通胀模型。同样，作为立志成为 Polkadot 头部 DEX 的 HydraDX，从市场角度看其实和 Osmosis 颇具可比性。上个牛市 Osmosis（OSMO）价格，最高冲到了 11 美元，市值 110 亿美元，按此估算，HDX 的本轮牛市的价格冲到 1.69 美元左右也未可知。波哥声明，上面提到的这些，仅仅是信息和个人分析，并不构成投资建议。HDX 的价格表现到底如何，还要看 HydraDX 未来会采取什么样的市场行动。对于一个理性的投资者来说，接近 HydraDX 深入了解它，才有可能做出科学的判断。项目千万个，如何慧眼识金找到有增长潜力的项目，可能是我们每个人的梦想。截止目前，HydraDX 尚未真正爆发，随着能量的不断蓄积，在牛市中有个抢眼的表现而也就水到渠成了。之前，HydraDX 团队一直致力于代币交付，在中心化交易所上市上，并未有太多动作，HDX 目前也仅在全球排名第三的 Kraken 交易所上市，未来还会上市什么 CEX，值得期待。近期，HydraDX 中文社区发起了一场“HDX 在更多 CEX 上市”的讨论（https://hydradx.subsquare.io/posts/130 ），引起了广泛关注。据了解，社区会在 12 月 15 日前后会发起一项关于 HDX 在 MEXC（抹茶）上市的公投。如果公投通过，意味着 HydraDX 社区，将告别之前的成长理念，会有更多动作出现。如果已是 HDX 的持有者，诚挚欢迎您投票支持这个公投。关键时刻即将到来，让我们一起见证！作者：波哥 HydraDX 国际社区：https://t.me/hydradx HydraDX 中文社区：https://t.me/HydraDX_China 更多资讯，请关注微信公众号：蛇粉家园来源：金色财经

金色财经2023-12-13

1KX：钱包基础设施全览如何驱动下一代dApp

互时仅限使用专用密钥管理解决方案（例如Metamask、Ledger）。 · 丢失私钥后无法追索，而且控制帐户的密钥不能被替换。 · 无论是免费NFT的铸造还是数百万美元的转账，由该私钥发起的所有操作都被视为是平等的。帐户抽象使帐户成为一个智能合约，它的动态逻辑表明哪些密钥可以代表其执行操作以及范围权限，并根据用例进行更进一步的制衡。我们可以通过查看被抽象的内容进一步了解其中的好处。 AA账户抽象：抽象了什么？由于以太坊协议只识别源自EOA的交易，因此账户抽象需要链下基础设施将源自智能合约的交易转发到链上。 ERC-4337于2021年推出，是一种在不更改核心协议的情况下实现这一目标的标准化方法。然而，一些项目早在AA标准完全成熟之前就已经实现了AA的优势。 · Safe多签钱包于2017年推出，目前已发展至为DAO、企业和个人价值500多亿美元的资产保驾护航。 · Argent移动钱包自2018年以来一直由智能合约账户提供支持。 · Sequnce钱包于2021年推出，使Skyweaver能够通过电子邮件创建并登录他们的智能账户，并能使用非原生代币支付费用。这需要各项目构建并维护自定义中继基础设施。来看ERC-4337。该标准为中继层提供了一种去中心化和抗审查的替代方案，定义了一个面向账户、paymaster和签名聚合器的接口，通过一个共享的账户抽象交易（“User Operations”）备用内存池与第三方relayer中继器进行交互。 Relayer中继器（“bundler”）将多个UserOps捆绑打包成一个交易，发送给独立的EntryPoint合约，该合约随后验证费用将得到支付（由账户支付或通过paymaster支付），并在智能账户所对应的UserOps上执行。我们可以将其与提供原生帐户抽象的链上的验证和执行方式进行比较（不需要额外的中继操作，例如zkSync和Starknet），还有最近发布的针对以太坊及其rollup的原生AA的RIP-7560提案。 2023年3月，4337 EntryPoint合约部署至主网。其社区在让开发人员参与该帐户抽象运动方面取得了巨大的成功。这为该钱包生态带来了一波新的基础设施和服务提供商，并推动现有项目确保其业务战略和产品能够持续满足应用开发人员的需求，这些应用开发人员旨在利用AA为用户提供无缝顺畅的web3体验。 2、钱包基础设施及AA堆栈（1）签名者和密钥管理签名者（Signers）和密钥管理基础设施负责生成和保护用于签署消息、交易和UserOps的公钥对。这里最直接的例子就是传统的EOA钱包，但钱包即服务（wallet-as-a-service）提供商已经出现，可以通过社交和电子邮件等替代认证方法实现无助记词登录和钱包管理。在底层，这些服务要么将关键数据内容存储在HSM（如AWS KMS）中，只有用户才能通过身份验证凭据（Magic、Turnkey）访问，要么采用某些SSS/MPC方案（Privy、Web3Auth、Portal、Capsule）以保护这些内容的安全。 Lit通过去中心化密钥改进了这种服务器端密钥存储设计。网络中的每个节点存储通过DKG算法生成的ECDSA私钥的一部分，所有操作都在加密的虚拟环境中进行。可以将任意身份验证规则分配给密钥对，使应用程序或用户可以完全控制所允许的交互操作，并施加支出限制。该网络可以进一步被2/n的MPC钱包用作备份和恢复选项。今年，在利用硬件Signers和Passkeys作为账户签名者，为用户提供现代移动或桌面设备开箱即用的密钥管理方面，已经有了快速的试验进展。这些签名者使用生物识别身份验证（例如FaceID、TouchID），为熟悉的用户体验提供额外的安全性。 · 硬件Signers利用单独的子系统，如iPhone Secure Enclave和Android Titan HSM来生成密钥和签名消息，保证硬件级别的安全性。由于密钥无法从设备中提取，因此与其他恢复方法一起使用或作为2FA系统的一部分是非常强大的。 · Passkeys是建立在WebAuthn之上的无密码认证标准。其中，密钥对是在设备的操作系统中生成的，可以通过iCloud等服务在设备之间同步，所以如果用户选择的话，是有可能恢复的。这里的一个限制是，密码和硬件Signer生成的签名不能被比特币和以太坊等链原生识别。它们使用secp256r1 (R1)椭圆曲线，而比特币和以太坊则使用K1曲线。虽然目前正在进行无需信任和有效的R1验证工作，但一些支持Passkey的产品正在使用Lit和Turnkey等服务，一旦用户使用他们的密钥进行身份验证，就会产生K1签名。这里需要注意的一个标准是EIP-7212，它建议将R1曲线直接添加到EVM中作为预编译合约，这样每个现代设备都可以在没有第三方服务或中间人的情况下原生签署交易。随着账户抽象交易量的增长，使用BLS签名的签名聚合可能会导致智能账户费用比L2上的EOA更便宜。4337标准为聚合器助手合约定义了一个接口，该接口验证单个聚合签名，批准多个UserOps，而不是单独验证每个UserOps。（2）Relayer中继器 Relayer（例如4337 Bundler）将交易或UserOps转发到内存池。在具有原生AA的链上，网络运营商和排序器（sequencers）扮演Relayer这一角色，从而消除了对外部专用中继器的需求。就像以太坊有多个客户端部署（例如geth、erigon、reth）一样， 4337生态也有不同语言的多个bundler部署，使网络更加稳健，可以抵御单一部署的漏洞风险。4337规范包括一套测试套件，以确保整个网络中的bundler兼容性。部署方有Stackup (Golang)、Pimlico、Bionomy、Etherspot (Typescript)、Candide (Python)、OKX (Java)和Alchemy (Rust)。 Bundler的激励模式与区块建设者类似，从捆绑的用户操作（而非交易）中收取费用。在实践中，bundler需要在区块构建器中加入一个API来查看当前区块，并创建一个对该区块有效的包，因此应将其视为区块构建器的一部分。随着4337的增长，我们有望看到建设者也成为bundler，因为这种混合模式比起只做建设者将更加有利可图，他们可以从交易池和UserOps池两个池中进行选择。（3）Paymasters 通过允许dapps为用户支付gas费，允许用户使用非原生代币支付费用，或通过传统支付轨道进行链下结算，Paymasters实现了费用抽象。Paymaster服务有两个主要组成部分： · Gas策略管理器，用于让开发人员定义赞助gas费的条件。这可以限定在整个项目范围内，也可以基于各合约或钱包地址来界定。开发人员还可以定义他们所希望的限制gas赞助的方式，例如对gas价格、请求、或每月赞助金额进行限制。gas赞助费通常会计入服务提供商的开发商每月发票中，并根据赞助金额收取约5%的附加费。 · Paymaster智能合约根据链上状态（如账户余额）或链下gas管理策略，验证给定交易是否有资格被支付。Paymaster合约持有用于支付gas费的原生代币余额，并且可能包含定期检查付款代币（例如USDC）和原生代币（例如ETH）之间汇率的价格oracle逻辑。 Paymaster可以分为链上、链下两种： · 链上Paymaster（例如ERC20Paymaster、StablecoinPaymaster）仅依赖于链上状态来验证交易是否能够被paymaster支付。这意味着某些paymaster，比如那些接受使用ERC-20支付gas费的paymaster，可以是无需许可的，但需要注意的是，paymaster必须得到账户的批准才能进行支付代币转账。Paymaster合约管理员可以提取代币并兑换回原生代币以回填（refill）合约，在ERC20价格之上设置标记，为Paymaster更新下一个UserOp的ERC20价格设置价格差异阈值，或者手动更新价格。 · 链下Paymaster（例如VerifyingPaymaster）涉及与服务提供商的paymaster API交互，以赞助UserOp。链下服务查验资格并使用paymaster密钥签署交易。虽然这种解决方案是无需许可的，但链下paymaster可以通过最小化链上检查来节省gas费。Gas策略可以更加细化，并将Discord活动等链下活动纳入考量。（4）账户厂商和框架账户厂商和框架提供“headless”（无头）智能账户部署和SDK，dapp和钱包客户端可以在此基础上进行建设，代表用户创建自我托管的嵌入式账户。账户本身是智能合约钱包，具有自己的签名验证、执行和重放保护（nonce管理）逻辑。所有者使用密钥授权来自智能帐户的用户操作。从高层来看，智能账户供应商提供了3个核心内容： · 智能合约钱包的核心部署，使用自己的一套逻辑来验证、执行交易，以及在交易执行前后执行其他额外操作。它还包含如何通过原生模块及第三方模块向钱包添加附加功能的逻辑。 · 厂商合约，部署钱包实现的新实例，由帐户的初始签名者发起。在ERC-4337下，dapp可以通过指定他们所选供应商的厂商合约地址为他们的用户创建智能账户。 · 一个SDK，为开发人员正在创建的智能帐户提供即插即用的定制能力。这可以是不同的签名选项、出/入金方式和中继技术。在ERC-4337下，UserOp的“sender”字段是指正在进行交易的智能帐户。如果帐户尚未部署，EntryPoint将从“initCode”中指定的厂商合约中部署帐户。用户的密钥可以用来申领智能账户，以进行后续的dapp交互。 Safe、Zerodev和Bionomy等账户提供商与密钥管理器和身份验证基础设施集成，为dapp提供了希望用户如何管理智能账户的选择。例如，Safe的Web3Auth集成让用户能够通过社交或电子邮件使用他们的帐户，Zerodev与Turnkey的集成提供了使用Passkeys管理帐户的选择。 Safe以其久经考验的智能钱包产品而闻名，被个人用户、团队和DAO广泛使用。迄今为止，在至少12个区块链上部署了500多万个Safe账户执行2200多万笔交易。在v1.4.1（2023年7月发布）之前，开发人员已经能够使用Gelato relay来进行gas抽象交易。这种集成目前支持Gnosis Pay和BasedApp等加密借记卡产品，用户可以使用其Safe账户中的资金从任何接受Visa支付的供应商处进行购买操作。v1.4.1通过模块支持ERC-4337，为中继器供应商提供了更多选择。 ZeroDev是今年早些时候推出的智能账户提供商，最初就是为ERC-4337构建的。Zerodev聚合了多个bundler提供商来抽象UserOp中继服务，并公开了一个gas管理器仪表板，开发人员可以在其中定义范围和限制逻辑，从而为用户提供费用赞助。Zerodev和Bionomy（也运行自己的bundler网络）目前在4337账户市场占据主导地位。 Alchemy的AccountKit具有4337兼容的智能账户部署“LightAccount”，它基于EF部署，并添加了EIP-1271支持（验证来自智能合约的签名）以及所有权转移、密钥轮换和命名空间（namespace）存储。（5）账户模块账户模块是充当智能账户的可安装组件的智能合约。虽然模块基础设施仍处于非常早期的阶段，但我们认为模块将通过以下方式被发现和安装： · 开发人员：嵌入式智能账户可以配备由dapp开发人员选择的“预装”模块，构建具有针对具体用例定制功能的入门钱包。 · 最终用户：钱包接口可以展示一个“模块存储”界面，用户可以在其中发现新特性并将其添加到钱包中。通过AA将UserOp验证和执行正式分离，模块可以包含仅验证或仅执行的逻辑。 · Validators（验证者）。在UserOperation的验证阶段调用。他们的主要功能是验证UserOperation的签名，并确定其有效性及是否应该执行。示例包括multisig、ECDSA、passkeys、多链验证和会话密钥等。会话密钥使dapp能够代表用户进行签名以简化用户体验，就像具有自定义权限和期限的临时私钥一样。 · Executors（执行者）。在UserOperation的执行阶段调用。他们扩展了帐户的执行逻辑，并支持更多样化的可本地执行的操作，比如在常规ERC-4337执行流程之外触发的自动操作，例如当价格达到某个阈值时自动进行代币兑换。 · Hooks。在执行前/后运行，并对帐户实施控制。例如，Hook可以在执行后运行，并恢复任何符合特定标准的交易，从而加强用户的安全性。虽然像Candide这样的一些钱包已经开发了用户可以直接安装的模块，但我们预计会出现一个丰富的第三方模块生态，可以在钱包的应用商店界面中找到，或者由dapp开发人员集成到一个嵌入式“入门”钱包中。智能账户框架已经在设计时进行了模块考量。Safe的核心合约处理模块管理逻辑，用于从账户中添加和删除模块，但将真正的模块相关逻辑和存储完全限定在一个单独的合约中。这种分离降低了第三方模块覆盖同一状态的风险，损害了帐户的安全性和预期行为。 Safe{Core}协议引入了一个带有模块、hooks、管理器和注册表的开放框架，旨在培育一个受Safe钱包产品启发的可组合智能账户生态。 ZeroDev明确地将他们的模块（“插件”）划分为验证或执行两类。Executor模块被设计为与Validator模块配对，允许自定义函数通过不同的validator“路由”。例如，“NFT转移”功能只允许通过2FA转移NFT。构建强大的模块化智能账户生态有一些考虑因素：互操作性。由于多个智能帐户供应商都对于如何让第三方向帐户添加新功能都有自己的一套方法，模块开发人员正朝着供应商锁定的方向前进，或者不得不应对开发相同功能以兼容多个帐户部署的技术开销。有一些解决方案可以缓解这种情况： · 面向模块化智能合约账户和插件的ERC-6900定义了模块化智能合约账户（MSCA）的接口，模块（“插件”）允许任何符合标准的账户部署和插件进行互操作。 · Rhinestone的* ModuleKit用于构建和测试智能账户模块，提供了针对不同账户部署测试模块的模板和框架、集成库（例如DeFi协议）、预构建的执行条件，以及解析模块代码和标记安全漏洞的安全自动化。安全。赋予用户在钱包中安装第三方软件的能力存在一个重要问题，那就是接口应该如何管理并展示模块的相关信息。 EIP-7484提供了一种验证独立构建的智能账户模块合法性和安全性的手段。在这里，注册表允许审计人员对这些模块的安全性进行认证。前端和智能账户可以查询注册表以获取认证数据，验证模块是否可以安全使用。更广泛地说，EIP-7512旨在为审计报告的链上表达创建一个标准，该标准可通过智能合约解析，以提取有关审计以执行者及已验证标准的相关信息。可发现性。注册表可以通过智能帐户平台和钱包接口展示和查询，并由开发人员或最终用户安装。扩展钱包功能的能力使账户成为web3产品和服务的开发者平台和新的分发渠道。我们已经在Metamask Snaps上看到了这一点，Metamask Snaps允许用户通过安全警报（WalletGuard）、隐私功能（Nocturne）以及与非EVM链（如Starknet和比特币）的互操作性来定制他们的浏览器扩展钱包。当Chrome为开发者提供了一个通过扩展程序扩展浏览器功能的生态时，就推动了他们的市场主导地位，尽管他们晚出现十年。虽然我们大多数人都很难想象，当模块化账户成为主流时，钱包体验会是什么样子，但无需许可的创新已经开始走上正轨。 3、新兴开发模式及其影响不断发展的钱包堆栈意味着： · 开发者可以在他们的应用中为用户创建非托管账户，并将寻求SDK连接器等工具，提供端到端登录的构建选择。 · 嵌入式钱包是一种新的钱包类别，每个供应商在帐户可移植性、可定制性和信任假设方面都有各自的功能和权衡。如果你在2018年操作过以太坊dapp，你可能还记得在加载网站时会有一个Metamask弹窗。这是由于在连接钱包和dapp方面缺乏良好的用户体验实践，开发人员经常采用硬编码检查来查看用户是否使用浏览器的“windou.ethereum”对象安装了扩展钱包。如果用户安装了多个扩展钱包，将导致不可预测的行为，用户将不得不选择一个钱包从而创建一个竞争较小的钱包市场。 WalletConnect通信协议的出现让用户可以将任何钱包连接到任何dapp，当时一起出现的还有Web3Modal，Web3Modal是一个包含按钮和模块组件的库，让用户选择他们想要与dapp一起使用的钱包。如今，Web3Modal是多个钱包连接器库（如RainbowKit、Web3Onboard和ConnectKit）中的一个，为dapp开发人员简化了钱包检测和基于钱包的身份验证过程。这些库提供了开箱即用的主题选项、钱包搜索功能以及可以引导用户安装钱包的屏幕（如果用户还没有安装钱包的话）。最近，EIP-6963最终被确定为替代“window.ethereum”的另一种钱包发现机制，允许dapp和扩展程序提供的注入脚本以可预测的方式进行通信。得益于该标准，用户现在在选择连接到dapp的扩展钱包时有了更多的选择余地，并为钱包打开了一个更具竞争力的市场。虽然连接器库已经显著改善了开发者体验和用户体验，但期望用户已经安装或将会安装额外的软件来与dapp交互仍然是一个很大的采用障碍。我们已经看到了dapp登录用户体验的未来，下一代钱包库（我们将在这里称之为完全成熟的“Onboarding SDK”）正获得更多关注。除了基于钱包的身份验证之外，这些SDK还提供了其他注册和登录选项，如电子邮件、社交、短信，并为用户创建了嵌入式钱包，而无需用户安装额外的软件或退出dapp。开发人员可以直接集成由密钥提供商提供的连接器（例如Magic、Privy、Web3Auth），或者使用那些打包多个服务的连接器（例如Dynamic、Thirdweb、0xPass），为他们想要公开的身份验证选项和他们想要创建的钱包类型提供即插即用的选项，从而实现完全自定义的登录流程。Onboarding SDK还可以与智能账户提供商集成，以创建嵌入式智能钱包，提供进一步的用户体验增强功能，如无gas交易和出入金方式。随着越来越多的人采用“headless”钱包，以及钱包领域向嵌入式钱包的倾斜，钱包和dapp之间曾经清晰的界限开始变得模糊。（1）独立钱包、嵌入式钱包及特定应用钱包今天的Web3用户习惯于通过独立钱包（如Metamask或WalletConnect提供的钱包）与dapp交互，将他们的资产和链上足迹积累到一个或几个账户上。随着越来越多的dapp通过嵌入式钱包和多家供应商来吸引用户，对于dapp开发者和最终用户来说，账户管理很快变得复杂起来。Dapp开发人员将不得不评估和管理多个供应商，同时尽力避免锁定单一供应商。对于最终用户来说，为每个dapp创建一个新的钱包将导致资产和身份管理体验不连贯。虽然特定应用钱包对于某些用例（如游戏）来说是可取的，但在许多情况下，用户可能会登录他们的第一个dapp，使用他们的web2 signers或Passkey创建一个嵌入式钱包，并希望通过使用相同的signer登录另一个dapp，使用他们在帐户中积累的资产。 · Capsule是一个基于MPC的嵌入式钱包提供商，其主打功能是跨使用其服务的dapp的钱包可移植性，使用户可以使用相同的电子邮件登录访问现有钱包。我们可以预期，这将很快成为跨WaaS提供商的必备产品。 · Moonchute在此期间帮助用户管理多个智能账户。他们的统一账户管理器是一个app和API，用于发现由给定签名者创建的智能钱包，允许用户在一个地方管理多个账户的资产。 · ERC-7555提议了一个受SSO启发的标准化接口和请求/响应模式，用于应用程序发现使用其他签名方案创建的用户帐户。在这里，应用程序将用户重定向到给定供应商的URI（可以是自托管域），并解析签名者和关联的智能帐户地址的响应。（2）迁离EOA AA的另一个突出挑战是为现有用户提供向智能账户迁移的无缝体验，这些用户已经在多个EOA上积累了一定资产和链上历史。 EIP-7377提议了一种协议内机制，允许EOA发送一次性交易，该交易在其账户上部署代码，有效地将EOA“升级”为智能钱包。 Aarc旨在解决dapp和最终用户的资产迁移问题。他们的UI和SDK索引了特定源地址的资产和权限，并允许用户选择他们想要移动到目标地址的资产，目标地址可能是一个智能账户、其他EOA，或者是使用社交登录创建的嵌入式MPC钱包。对于现有用户已经习惯了独立钱包流程的dapp，当他们希望在其产品中添加嵌入式钱包或AA功能时，Aarc提供了一个简化迁移过程的解决方案。（3）AA对多链账户管理的影响考虑到AA和L2活动的势头，我们可以预见未来智能账户将成为EOA的主流，用户将拥有跨多个链的资产。 EOA的一个用户体验优势是，用户可以使用相同的私钥自动访问不同EVM链上的相同地址。缺点是无法更改控制给定地址的密钥，并且如果用户弄丢私钥的话，全部资金都可能丢失。由于帐户抽象将密钥存储与资产存储相分离，因此可以为给定帐户轮换密钥，而不必在保持相同地址的情况下迁移资金。智能帐户能够使用CREATE2跨链维护相同的地址，即使合约尚未部署在给定链上，用户也可以使用相同的初始验证密钥和帐户部署访问帐户。然而，从长远来看，跨链维护相同的地址可能是一种反模式。 · CREATE2只能在具有EVM字节码等效的链上使用。在zk-Rollup（例如zkSync）的多链世界中，这种方法是不够的。 · 我们可以预期，访问各种帐户所需的密钥将随着时间的推移而变化，钱包展示了更多的签名和密钥轮换功能。在当前设置下，这可能很快导致跨链的帐户权限状态的漂移，因为一个链上帐户的签名者的更改不会自动将新权限传递给其他链上的签名者。针对多链AA提出的长期解决方案有： · 一个专用密钥存储合约，跨链用户帐户在检查权限时读取该合约。 · 使用ENS多链解析器（resolver）作为不同地址的抽象层。跨链账户和签名者管理仍然是一个活跃的研究领域。研究的最终目标是，用户可以在不进行大量交易的情况下更改访问不同链上多个帐户的密钥。 4、结论 · 账户抽象是一种将签名者与账户相分离的活动，通过将基于合约的账户（而非EOA）作为区块链上的一级实体，为用户提供密钥管理和账户权限的灵活性。 · ERC-4337作为中继智能账户发起交易的标准，促进了适应AA的钱包基础设施的发展，从而产生了新的市场结构、钱包类别、dapp开发和用户登录模式。 · 钱包堆栈被分为signers（签名者）、relayers（中继者）、帐户提供者和帐户模块，为开发人员提供了定制最终用户体验的选择。这带来了额外的开销，以评估每个提供商在gas开销、抗审查性、供应商锁定和互操作性方面的权衡。 · 从EOA的迁移路径和多链背景下的帐户抽象仍然是正在进行中的研究领域。我们期望在明年看到首批解决方案提议的实施。我们认为，这些发展对整个生态都有重大影响： · 对于新用户来说，钱包不再是进入web3的唯一入口。应用程序将通过嵌入式钱包、无gas交易和钱包内入金方式显著改进登录体验。 · 对于当前用户来说，随着应用程序利用会话密钥等功能，链上体验将变得更加顺畅。高级用户可以通过模块对帐户权限和其他钱包功能进行更细粒度的控制。 · 对于开发人员来说，模块化的账户基础设施将钱包变成了操作系统。模块市场是web3产品和服务的一种新的无需许可的分发渠道。来源：金色财经

金色财经2023-12-13

RIP-7560 ：从共识层实现标准化的原生账户抽象

rrod Watts也表示尚未看到像 Metamask 这样的主流钱包在实现 EIP-4337 的账户抽象方式上取得重大进展。这可能意味着应用层对于新特性的采纳尚未达到理想水平。所以 RIP-7560 的提出是一个突破口。 Particle Network联合创始人Peter Pan非常看好这个提案，认为保持了 4337 的兼容性，优化了 Gas，并且解决了捆绑者私有的问题，这对于账户抽象的采用非常重要。 Delegate 创始人foobar认为4337 是因为增加了太多的开销，根本无法得到广泛采用。7560 这个提案正在朝着在协议层面将账户抽象正式固定下来的方向发展，所以最好的做法是直接去除这些冗余的部分，而不是试图使其与 4337 保持「向后兼容」，尤其是考虑到 4337 还没有存在很长时间。尽管意见不一，RIP-7560 也为账户抽象标准化提供一种新的参考方法。随着以太坊社区的深入讨论，账户抽象框架的发展将继续向前推进。我们相信，无论哪种方式，账户抽象最终将被广泛采用。来源：金色财经

金色财经2023-12-13

从以太坊交易生命周期观察订单流创新、

行动。在潜在的舆论压力之下，我们相信 Metamask 和 Infura 会谨慎行事。但不管怎么样，「依赖代理人做正确的事并非区块链的精神所在」。 ·去中心化 Builder 的角色。Vitalik 在 SBC MEV Workshop 中分享了他的观点。Jon 随后在他的文章中进行了进一步解释，讨论了算法、资源、Builder 服务和订单流等方面。诚然，分布式的 Builder 能够提供抗审查和更强的信任保障，对比单一实体而言。然而，为了实现特定的目标，技术总是存在权衡的。当它实现某个好处的时候，必然有另一些方面被牺牲，例如效率和低延迟。分布式的 Builder 可能的确是一个潜在的解决方案，但我们认为，这个解决方案想要在一个竞争性的市场中占据领先地位是充满挑战的。特别是在供应链中的各个角色都对时间极其敏感的情况下。当然，这是实现去中心化不可避免的成本。 ·默认设置。上游的玩家需要对发送订单流有一定的灵活性，不止是默认发送给 Top Builder，而应该对新进者也进行支持和鼓励。在合规方面，Alex 在推文中提到：获取私人订单流的 Integrated Searcher-builder 可能在不知不觉中进行了内幕交易。在传统金融中，利用重大非公开信息（MNPI）进行有利于个人的股票和证券交易是违法的。 Evan 在这篇文章中提供了在 MEV 供应链中关于 OFAC 风险的详尽分析。对于 Builder 来说，他们的 OFAC 风险是与 Searcher 类似的。然而，他们需要更主动的评估他们收到的订单流，并且拒绝触碰到特别指定国民和被封锁人员（SDN List）的订单。在传统金融中，Pay For Order Flow 一直充满争议。在加密世界中，我们相信仍然需要进行更多的合规探索。 User Flow 当前，MEV 流经钱包、dApp、RPC、Searcher、Builder 和 Validator，用户对他们产生的 MEV 并没有大多的控制权。来源：mempool.pics Frontier 的研究显示，约六个月内，在所有给 Validator 的付款中，约有 71% 来自至少包含一次 Swap 的交易。上图中我们也可以看到，当我们把私人订单流按不同类型进行拆分，Swap 对比 Atomic Searcher Flow 而言仍然占据绝大多数。来源：Dune@angelfish Angelfish 的 Dashboard 中显示，主要订单流仍然来自 DEX，例如 1inch 和 Uniswap。值得一提的是，例如 Metamask Swap 和 Tokenlon (by imToken) 的垂直整合也占据一定的份额。此外，包括 Unibot、Maestro 和 Banana Gun 在内的 Telegram Bot 的增长也是很有趣的。TG Bot 的主要卖点是易用性，钱包的抽象和 dApp 的简化交互。它们也提供了一些如 Front-running Protection 和 Revert Protection 的功能。在订单流中，这些 Bot 的流量在过去的一段时间中有着显著增长。数月前，Maestro 和 bloXroute 签订了独家协议，所有发送 Maestro 的订单都会流经 bloXroute 的私有 RPC。有趣的是，Stephane (Frontier) 和 Vadym (Kolibrio) 最近也推出了 TG Bot Alfred，获得了不少关注。 Telegram 有着很大的用户基础。虽然现在说通过 TG Bot 实现 Mass Adoption 还为时尚早，但我们期待通过 TG Bot 的不断迭代，许多有意思的事情将会在订单流中出现，并且影响整个供应链。 Current State Summary of Orderflow Types 来源：Danning Sui (@sui414) 总结来说，上表展示了不同类型订单流的区别。如前所述，对比 Neutral Builder 而言，Integrated Searcher-builder 在 Non-atomic Searcher Flow 中具有显著优势。这是因为他们有对内部订单流的独占访问权限，并且可以通过自己的 Searcher 产生的利润来反哺 Builder，在拍卖中提高出价。通过巩固他们的市场份额，他们也可以获得更多的 Atomic Searcher Flow。另一方面，Neutral Builder 通常不会收到 Non-atomic Searcher Flow，而较小的 Atomic Searcher 也没有运行自己的 Builder，不得不把 Bundle 提交给所有人。总而言之，各种不同的因素使得 Integrated Searcher-builder 在如今的区块构建市场中占据着主导地位。 Orderflow Auction (OFA) ·Overview 来源: Frontier Research OFA 是使订单流实现价格发现的一种方法。通过订单流的买家和卖家的交互，实现对订单流大致的定价。 Frontier 和 Monoceros 已经对 OFA 作了相当详尽的阐述，包括设计空间、权衡等方面。Frontier 的研究让我们从零开始很好地思考 OFA 的设计思路。许多公司例如 Kolibrio、DFlow 等也在积极探索这个领域。在本章节中，我们就不再赘述这些细节。来源: Dune@cowprotocol 来源：金色财经

金色财经2023-12-13

金色早报 | 美国前总统特朗普推出新NFT系列以太坊质押网络SSV推无需许可主网

inbow积分； 2.过去12个月内在MetaMask进行过兑换的MetaMask用户，根据其交易量，有资格获得奖励积分； 3. 在Rainbow中参与交换或桥接、在快照日期持有至少1个Rainbow NFT、拥有钱包余额的Rainbow忠实用户可追溯获得奖励积分。 ▌DeFi协议Conic Finance计划推出v2版本去中心化金融 (DeFi) 协议Conic Finance在7月份遭受攻击后，于周二公布了部署其升级版本 (v2) 的计划。根据治理帖子，该协议将在两天内就支持的Omnipool资产列表、每个Omnipool的白名单Curve池以及初始流动性分配权重进行投票。投票结束后，有关v2部署的单独治理提案将包括新功能、奖励计划和激励措施。行情数据显示，该协议的治理代币CNC在公告发布后短线拉升约50%至2.20美元。加密货币 ▌标普全球评级稳定币评估报告：USDC排名榜首，DAI、USDT中等标普全球评级（S&P Global Ratings）公布其关于稳定币的稳定性评估，涵盖DAI、FDUSD、USDT、FRAX、TUSD和USDC、USDP、GUSD。分析师主要关注“支持稳定币的资产的质量”。整体质量通过托管风险、信用和市场价值来衡量。据其分析，USDC、USDP和GUSD位居榜首，均获得了strong评级，USDT、DAI和FDUSD被评为“constrained”，处于中间等级，FRAX和TUSD评级为“不佳”（weak）。分析师称，第一次评估中列出的稳定币都没有获得“非常强”（very strong）的评价，这是最高评级，其中有4种稳定币受到了“负面调整”的影响。 ▌Dash宣布将在48小时内推出DashCore v.20硬分叉达世币（DASH）在X平台发文称，将在48小时内推出DashCore v.20硬分叉。DashCore v20.0是一个主要版本，将是所有主节点、矿工和用户的强制升级。20.0 版本为 Dash 引入了许多功能和改进，包括基于ChainLock的随机信标、Sentinel弃用、治理金库的扩展以及通过比特币向后移植的众多功能。 ▌Cantor Fitzgerald CEO：持有大量Tether的国债金融服务公司Cantor Fitzgerald CEO Howard Lutnick在CNBC播客节目中表示：“我是Tether这种稳定币的忠实粉丝，我持有他们的国债，他们有很多国债，他们现在超过900亿美元，所以我是Tether的忠实粉丝”。 Howard Lutnick没有具体说明900亿美元是否为该公司为Tether持有的国债数量。行情数据显示，Tether的市值目前为905亿美元。 ▌Fairlead Strategies：尽管本周出现回调，但比特币前景仍看涨 Fairlead Strategies分析师表示，尽管本周出现回调，但比特币前景仍看涨。该公司创始人Katie Stockton认为，比特币在2023年一直在飙升，而且随着看涨趋势持续到年底，比特币的涨势可能会持续下去。分析师在报告中表示：“我们的长期指标已显示出改善，但尚未决定性看涨。突破42,200美元上方将确认长期看涨逆转”。 ▌去中心化交易所Vertex新增跨链充值功能去中心化交易所Vertex宣布新增跨链充值功能，此功能是通过与Axelar合作达成的，将Squid Router集成至Vertex应用程序。交易者现在可以桥接并从8个不同的区块链直接存入交易账户，平均2分钟即可无缝存款，无需离开Vertex应用程序。该平台表示，未来将支持更多区块链。 ▌两名男子因运营2500万美元加密庞氏骗局而被美司法部指控根据美国司法部公告，该执法机构指控一名澳大利亚公民（Saffron）和一名加州男子（Mazzotta）经营加密货币庞氏骗局，诈骗受害者超过2500 万美元。二人诱使受害者投资各种交易项目，这些项目虚假承诺使用人工智能自动交易机器人可以在加密货币市场上交易并赚取高收益，并以各种名义推广投资项目，二人挪用受害者资金来支付个人开支。二人被指控串谋实施电汇欺诈、电汇欺诈、串谋妨碍司法公正、串谋洗钱和洗钱。如果罪名成立，他们每项共谋实施电信欺诈和洗钱罪名将面临最高20年监禁，每项电信欺诈罪名最高可判处20年监禁，每项洗钱罪名最高可判处10年监禁，共谋罪名可判处5年监禁。Saffron在审前释放期间因犯下重罪，还将面临最高10年的监禁。重要经济动态 ▌耶伦称美国经济将实现软着陆，通胀正在“显著下降” 美国财政部长耶伦（Janet Yellen）周二表示，她不认为将通胀率恢复到美联储2%目标的“最后一公里”会特别困难，美国经济正朝着在不出现严重经济放缓的情况下抑制通胀的方向发展，实现所谓的“软着陆”。金色百科 ▌DeFi 中的可组合性是什么？在去中心化金融（DeFi）中，可组合性是指各种应用程序和协议相互无缝通信的能力，允许将它们的构建块组合和集成以创建新的功能或金融服务。这种互操作性类似于乐高积木，不同的协议可以组装并灵活组合。免责声明：金色财经作为区块链资讯平台，所发布的文章内容仅供信息参考，不作为实际投资建议。请大家树立正确投资理念，务必提高风险意识。来源：金色财经

金色财经2023-12-13

密钥管理糟透了？试试新方案：WebAuthn和Passkey

：责任、存储和访问 · 现有玩家分析：MetaMask、Trust Wallet、Privy和Particle · 新解决方案：密钥层：WebAuthn、Secure Enclave和Passkey；账户层：智能合约账户（SCA）、外部账户（EOA）；签名层：协议r1预编译、第三方服务、 Solidity和ZK验证者（verifier） · 部署案例研究：（密钥）+（账户） Clave钱包：（Secure Enclave webAuthn）+（SCA） Soul钱包：（Passkey）+（4337 SCA） OKX钱包：（MPC-TSS + Passkey）+（4337 SCA） Web3Auth：（MPC-TSS + Passkey）+（EOA/SCA） Lit协议：（MPC-TSS +去中心化节点+ Passkey）+（EOA/SCA） · 结论要点：私钥是允许我们在以太坊上签署交易的核心，但私钥管理一直以来都是一场噩梦，即使是以“助记词”这种可读形式进行管理。然而，我们的目标从来都不是把区块链变成一个复杂的游戏。对授权用户进行身份验证对于安全的交易来说至关重要。随着互联网安全和用户体验的发展，我们已经从密码认证方式转向面部识别和指纹等生物识别技术。WebAuthn是这一进程中的一个关键发展。本文将详细探讨以下三个词语：（1）WebAuthn：这是一项使用通常由外部验证者创建的基于公钥凭证的web认证标准。它消除了密码需求，支持安全的用户身份验证。（2）Secure Enclave：Secure Enclave是计算设备内部基于硬件的安全区域，旨在保护敏感数据。Secure Enclave各版本适用于iOS、Android和Windows设备。它可以通过实现WebAuthn作为安全的验证器，但是绑定到Secure Enclave的私钥通常会带来跨设备操作的挑战。（3）Passkey：操作系统级别的WebAuthn部署，由各种设备和系统提供商定制。例如，苹果的Passkey使用存储在iCloud Keychain中的密钥进行跨设备同步。然而，这种方法通常只应用于特定的平台或系统。如上所述，WebAuthn部署与我们日常区块链用户的目标是一致的，以实现高水平的反网络钓鱼安全性和友好的体验。以下是将它们融入到区块链中的一点想法： · 密钥层：用户身份验证使用无缝的生物识别方法，如面部识别或指纹。从底层来看，它是基于硬件的安全处理器（如Secure Enclave）或云服务（如iCloud和Google Cloud）来处理密钥管理的。稍后我将深入讨论跨设备和跨平台方面的问题。 · 账户层：智能合约账户（SCA）具有分配任意签名者（如SE和Passkey）和阈值机制的能力。此外，其模块化设计增强了灵活性和可升级性。例如，SCA可以根据交易数量、时间或IP地址等因素动态调整其签名需求。另一方面，传统的外部帐户（EOA）可以使用MPC服务进行扩展，与SCA相比，这种组合提供了更好的互操作性和成本效益，但不具备SCA所提供的高级功能，尤其是密钥轮换。 · 签名层：以太坊原生支持k1曲线，但WebAuthn的签名验证会产生更高的成本，因为它使用r1曲线来生成密钥。因此，一些L2解决方案（如zkSync）计划进行原生EIP-7212 r1曲线预编译。此外，还有第三方服务、Solidity验证器、零知识（ZK）验证器和分布式密钥管理系统，以更经济高效的方式促进r1曲线签名。 1、加密用户体验很糟糕？密钥管理糟透了！在区块链领域，区块链资产的真正控制权并不在用户或钱包提供商手中，而是掌握在私钥手中。密钥是在以太坊上执行交易整个过程中最不可或缺的。为了更好地理解这一点，让我们以EOA为例： · 密钥生成：从secp256k1椭圆曲线中选择一个随机数作为私钥。然后将该密钥乘以曲线上一个预定义的点来生成公钥。以太坊地址来自公钥哈希值的最后20个字节。“助记词”通常用作人类可读的备份，从而实现私钥和公钥的确定性派生。 · 签署交易：使用私钥对包含nonce（序列号）、金额、gas价格和接收方地址等详细信息的交易进行签名。这个过程涉及到ECDSA，一种使用椭圆曲线加密的数字签名算法，采用secp256k1曲线，生成一个由（r、s、v）值组成的签名，然后将签名和原始交易广播到网络上。 · 验证交易：一旦交易到达以太坊节点，就会在节点的内存池中经历验证过程。为了验证签名者（signer），节点使用签名和散列交易来提取发送方的公钥，并通过将提取的地址与发送方的地址进行匹配来确认交易的真实性。如上所述，私钥是链上的基本实体。最初，被称为外部账户（EOA）的以太坊账户仅依赖于单个私钥，这存在重大风险，因为丢失密钥就意味着失去了对账户的访问权限。许多人可能认为账户抽象（AA）是解决所有糟糕的用户体验相关问题的方法，而我认为并不完全如此。AA是将有效性规则变为可编程的，而智能合约账户（SCA）的可编程性使其成为可能。AA功能强大，可以并行发送多个交易（抽象nonce），使用ERC20进行gas赞助和gas支付（抽象gas），并且与本文的主题更密切的一点是，可以打破固定的签名验证（抽象ECDSA签名）。与EOA不同，SCA可以分配任意签名者和签名机制，如多重签名（multisigs）或限定范围的密钥（会话密钥）。然而，尽管AA的灵活性和可升级性有所提高，但交易签名对密钥的基本依赖仍然没有改变。即使将私钥转换为12字的助记词，管理私钥仍然具有挑战性，存在丢失或网络钓鱼攻击的风险。用户必须在去中心化解决方案的复杂性和中心化服务的热情拥抱之间进行选择，但两者都不是很理想。为什么加密体验很糟糕？这在很大程度上是因为密钥管理很糟糕，总是需要在经验、安全性和去中心化方面进行权衡。本文将探讨密钥管理的潜在最佳解决方案。 2、密钥管理永远不会有一刀切的解决方案，保管密钥的最佳方法是针对特定的用户场景进行定制，受用户类型（机构还是个人）、资金量、交易频率和交互类型等因素的影响。提前澄清，我不会使用目前流行的“自我托管、半托管和完全托管”等字眼。在我看来，真正的自我托管意味着独立签署交易，而不依赖于另一方，即使解决方案不是传统意义上的托管（比如存储在去中心化节点的TEE中），这一点也适用。仅仅根据托管类型将解决方案分类为“好”或“坏”太过于简单，并且没有考虑到它们适用性的不同。要对密钥管理方法进行更细致的评估，我建议通过三个不同层面来进行分析：（1）责任是否将管理密钥的责任划分给不同方。鉴于个人在管理密钥方面常常面临着这样那样的挑战，分配密钥保管的责任就成为一种自然的风险缓解策略。这类方法包括使用多个密钥进行协作签名，如多重签名（Multi-sig）系统所示，以及通过秘密共享方案（SSS）或多方计算（MPC）将私钥分为多个部分（shares）。 · 多重签名（Multi-sig）：需要多个完整的私钥来生成交易签名。这种方法需要不同签名者之间进行链上通信，交易费用更高，并对隐私性具有一定影响，因为签名者的数量在链上是可见的。 · 密钥共享方案（SSS）：私钥在单个位置生成，然后被分为多个部分分发给不同的各方。各方必须重建完整的私钥以签署交易。然而，这种临时性重建可能会引入漏洞。 · MPC-TSS（阈值签名方案）：作为MPC的一种实现，MPC-TSS是一种加密方法，使多方能够在保护其输入整体隐私性的情况下进行计算。每一方都独立地创建一部分密钥（share），并且各方不需要实际见面就可以签署交易。这种方法费用较低，因为是链下操作，并且不存在密钥共享方案的单点故障风险。（2）存储存储密钥或部分密钥，受安全性、可访问性、成本和去中心化因素的影响。 · 中心化云服务，如AWS、iCloud及其他服务器。它们便于频繁交易，但更易受审查。 · 去中心化存储，如IPFS和Filecoin。 · 本地计算机/移动设备：密钥本地存储在浏览器的安全存储中。 · 纸钱包：打印出私钥或二维码。 · 可信执行环境（TEE）：TEE在主处理器内提供了一个安全区域，独立于主操作系统执行或存储敏感数据。 · Secure Enclave：现代设备上的Secure Enclave独立于主处理器，以提供额外的安全性，即使在应用程序处理器内核受到威胁时，也可以保护敏感用户数据的安全。 · 硬件钱包：像Ledger和Trezor这样的物理设备，专用于安全存储私钥。 · 硬件安全模块（HSM）：HSM是专为安全密钥管理和加密操作设计的硬件设备。它们通常用于企业环境，提供高级别的安全特性。（3）访问如何验证用户身份以访问存储的密钥？访问存储的密钥需要进行身份验证，验证试图访问的个人是否确实被授权进行访问。回顾过去，我们可以将访问方式分类如下： · 你所知道的：密码、PIN（个人识别码）、安全问题的答案或特定图形。 · 你所拥有的：智能卡、硬件代币（基于时间的一次性密码）、或数字因素（如社交账户验证和发送到手机的SMS短信代码）等。 · 你的身份：用户独特的身体特征，如指纹、面部识别（如苹果的Face ID或Windows Hello）、语音识别或虹膜/视网膜扫描。在此基础上，2FA和MFA是将两种或多种因素相结合的方法，如结合SMS的推送通知，可以为用户帐户带来更大的安全性。 3、现有玩家分析 MetaMask允许用户使用密码访问保存在用户本地浏览器存储中的密钥。 Trust Wallet允许用户使用密码或faceID访问保存在用户本地浏览器存储中的密钥，用户也可以选择云服务来备份私钥。 Privy允许用户使用电子邮件等多种社交登录方式，使用SSS方案将密钥分成三部分：设备部分：浏览器——iFrame，移动端——Secure Enclave。 Auth认证部分：由privy存储，链接到privy ID。 Recovery恢复部分：用户密码或经Privy加密存储在HSM硬件安全模块中。 Particle允许用户使用社交登录，使用MPC-TSS方案，将密钥分为两部分：设备部分：浏览器——iFrame。服务器密钥部分：Particle的服务器。 4、新解决方案（1）密钥层：WebAuthn、Secure Enclave和Passkey 上述现有的解决方案在吸引用户关注web3方面起到了关键作用。然而，它们通常会带来一系列问题：密码可能会被遗忘或成为网络钓鱼攻击的目标，甚至是2FA虽然更安全，但由于其步骤繁琐，可能会很麻烦。此外，并不是每个人都愿意委托第三方进行密钥管理的。这就让我们思考是否有更有效的解决方案——提供最接近无需信任、高安全性和无缝用户体验的解决方案。这引导我们找到最优的web2方法。正如我在文章开头所描述的，有几个词语与该主题密切相关，WebAuthn是身份验证标准，而Secure Enclave和Passkey是与该标准相关的部署或组件。 WebAuthn WebAuthn规范了对基于web的应用程序进行用户身份验证的接口。它允许用户使用外部验证器而非密码登录互联网账户。验证器可以是漫游验证器（Yubikey、Titan key）或平台验证器（Apple设备上的内置keychain）等等。 FIDO （Fast IDentity Online）联盟是WebAuthn背后技术的最初开发者。它于2019年3月被W3C正式宣布为网络标准，随着其标准化发展，Google Chrome、Mozilla Firefox、Microsoft Edge和Apple Safari等主要浏览器都采用了WebAuthn，大大提高了其覆盖范围和可用性。现在许多先进的设备都支持WebAuthn。 WebAuthn的好处： · 增强的安全性：消除对密码的依赖，减少网络钓鱼、暴力破解和重放攻击相关漏洞。 · 优化的用户体验：提供更简单、更快速的登录过程，通常只需要一次点击或生物识别验证就可登录。 · 隐私保护：在身份验证过程中不会传输共享秘密内容，个别网站也不会接收到任何个人身份信息。 · 可扩展性和标准化：作为一种web标准，WebAuthn确保了不同浏览器和平台之间的一致性和互操作性。 Secure Enclave，基于设备的WebAuthn 现如今，我们可以使用硬件处理器作为身份验证器，如Apple设备的Secure Enclave、Android的Trustzone和Google Pixel的Strongbox。 · 密钥生成：使用公钥加密，根据WebAuthn标准生成密钥对，通常使用P-256 r1曲线。公钥被发送给服务，而私钥永远不会离开Secure Enclave。用户永远不会处理纯文本密钥，这使得私钥很难被泄露。 · 密钥存储：私钥安全地存储在设备的Secure Enclave中，这是一个与主处理器隔离的强化子系统。它保护敏感数据安全，确保即使主系统遭到破坏，原始密钥材然无法访问。破解Secure Enclave的门槛非常高，因此即使是最敏感的数据类型，如Apple Pay和FaceID数据都存储在其中。下图是对Secure Enclave工作原理的深入解释。 · 身份验证：用户使用面部识别或指纹获得访问权限，Secure Enclave使用私钥对来自服务的挑战进行签名，服务使用公钥进行验证。基于设备的WebAuthn的优点： · 硬件级安全性：Secure Enclave（一个独立的基于硬件的密钥管理器）提供额外的安全性。 · 防网络钓鱼：不要在可能受到威胁的设备或网站上输入任何信息。 · 便捷的体验：更加人性化的体验，用户不再需要记住不同网站的复杂密码。基于设备的WebAuthn的缺点： · 设备限制：如果设备丢失或损坏，私钥无法导出或恢复，不能跨设备操作。 Passkey，基于云的WebAuthn 为了解决跨设备功能的挑战，科技巨头已经推出了基于云的WebAuthn部署，Passkey因为苹果而被广泛熟悉。让我们以苹果的Passkey为例： · 密钥生成：用户的macOS、iOS或iPadOS设备作为验证器，在用户创建帐户时生成公私钥对。然后将公钥发送到服务器，私钥存储在设备的iCloud keychain上。iCloud Keychain数据使用硬件绑定密钥对加密，并存储在硬件安全模块（HSM）中。苹果公司无法访问该密钥。 · 跨设备同步：此过程与访问iCloud相同。通过iCloud帐号认证，接收SMS短信码，然后将密码输入其中一台设备。基于云的WebAuthn的优势： · 跨设备：密码设计便捷，并且可以通过所有经常使用的设备访问。但目前仅限于苹果设备，对于Android来说更具挑战性，因为Android版本和硬件种类繁多。 · 防网络钓鱼：同上。 · 便捷体验：同上。基于云的Passkey的缺点： · 依赖云服务：与基于设备的WebAuthn相比，基于云的密钥将安全级别从Secure Enclave的硬件转移到了iCloud keychain，有些人可能会认为它托管在你的云服务上。需要考虑的一些关键方面包括：用户使用iCloud的AppleID账户是否被泄露；虽然iCloud Keychain采用端到端加密来保护数据安全，但操作错误或漏洞会招致风险。 · 平台限制：例如，在Android设备上使用基于iCloud的密码是极具挑战性的。此外，与传统方法不同，苹果和谷歌不发送特定于设备的断言（assertions）。这意味着目前无法验证生成密钥的设备类型，这引发了对密钥及其相关元数据的可靠性的质疑。（2）账户层：智能合约账户（SCA）和外部账户（EOA）到目前为止，我们可以看到在处理跨设备和跨平台兼容性的同时维护硬件级安全性是有很大难度的。同样重要的还有社交恢复选项，例如增加多个守护者（guardians）以增强安全性。在这种情况下，区块链可以向我们展示一条道路。当我们尝试将web2 WebAuthn部署到web3时，一个显著的差距是：web2只需要证明所有权，而web3还需要同时授权交易。使用Passkey，开发人员无法控制签名信息，签名信息通常是通用的，比如“sign in”。这可能导致潜在的前端操作问题，即用户盲目地签署消息——这是一个看似微不足道但至关重要的问题。智能合约账户（SCA）本身就是智能合约，作为链上实体，它能够分配任意签名者。这种灵活性允许对各种设备和平台的编程，例如将Android手机、Macbook和iPhone设置为签名者。此外，模块化智能合约账户还支持升级，交换新的签名者，将签名阈值从2/3更改为更复杂的配置。设想一个基于背景情况调整其安全需求的钱包：当用户在熟悉的本地IP地址上时，它支持单签名者身份验证，但对于来自未知IP地址或高于一定值的交易，它就需要多个签名者了。有了模块化和可编程性，创新的唯一限制就是我们的想象力了。许多SCA服务提供商正在积极建设该领域，包括Safe、Zerodev、Bionomy、Etherspots、Rhinestone等。同时也要感谢Stackup、Plimico、Alchemy等基础设施让这一切成为可能。 EOA可以通过MPC服务实现社交恢复和跨设备/平台兼容性。尽管EOS有固定的签名者，但MPC提供商可以将密钥分为多个部分，以增强安全性和灵活性。这种方法不具备SCA的可编程性和可升级特性，例如时间锁恢复以及轻松停用实现密钥。然而，它仍然通过链无关特性提供优越的跨链功能，并且目前比SCA更具成本效益。著名的MPC提供商有Privy、Particle Network、web3Auth、OKX钱包、币安钱包等。（3）签名层：R1支持让我们退一步来理解：在以太坊上，私钥是从k1曲线中选择的随机数，签名过程也利用了这条曲线。但是，根据WebAuthn标准生成的密钥对使用的是r1曲线。因此，在以太坊上验证r1签名的成本大约是k1签名的三倍。下面是解决这个问题的一些方法：协议解决方案： · 解决方案：EIP7212，预编译支持secp256r1曲线，由Clave团队提议。 · 评估：该提案创建了一个预编译的合约，该合约通过给定的消息哈希值参数、签名的r和s分量以及公钥的x、y坐标在“secp256r1”椭圆曲线中执行签名验证。因此，任何EVM链——主要是以太坊rollup——都能够轻松地集成这个预编译合约。到目前为止，协议预编译可能是最省gas费的解决方案。 · 实现：zkSync 第三方服务： · 解决方案：Turnkey · 评估：Turnkey TEE确保私钥只能由用户通过他们的PassKey访问，而不能由Turnkey访问，但是这仍然需要服务的活跃性。 · 实现：Goldfinch Solidity Verifier解决方案： · 解决方案：FCL的Solidity Verifier，FCL带预计算的Solidity Verifier，Daimo的P256Verifier。 · 实现：Clave、Obvious Wallet 零知识（ZK）Verifier： · 解决方案：Risc0 Bonsai、Axiom的halo2-ecc · 评估：这种方法使用零知识证明来验证以太坊虚拟机（EVM）之外的计算，从而降低链上计算成本。 · 实现：Bonfire钱包（Risc0）、Know Nothing Labs（Axiom）这些解决方案每一个都提供了一种不同的方法，以在以太坊生态中实现更便宜可行的r1签名验证。 5、部署案例研究（1）Clave钱包：（Secure Enclave webAuthn）+（SCA）基本信息： · Demo: https://getclave.io/ · 账户：SCA · 链：ZkSync 交易流程： · 密钥创建：用户提供生物识别认证，如指纹或面部识别，密钥对在Secure Enclave内生成，永远不会泄露或离开外面。 · 密钥签名：该应用程序接收所需的交易消息并将签名请求转发给Secure Enclave，用户提供生物认证来批准签名，Secure Enclave使用该密钥签名消息，并广播到区块链节点。 · 额外功能：智能合约账户支持许多强大功能。首先是gas赞助。使用paymaster，dApp或广告商等其他方可以为用户支付gas费，使交易过程更加顺畅，并且他们还可以允许用户使用ERC20而不是Ether或本地代币支付gas费。使用会话密钥，用户可以在一段时间内进行无签名交易。恢复机制：恢复过程是由Clave在zkSync上的智能合约进行的，用户可以在48小时的时间锁定内取消恢复，以防止未经授权的恶意活动。 · 云备份：当用户选择云备份时将创建一个EOA账户，EOA的私钥存储在iCloud或Google Drive中，用户可以使用该云存储的私钥从不同的设备访问他们的帐户，并且用户可以随时删除或覆盖此备份。 · 社交恢复：用户可以指定自己的家人或朋友的clave地址作为备份，如果M或N名守护者进行恢复确认，如果恢复请求未取消，将在锁定48小时后执行恢复。（2）Soul钱包：（Passkey）+（4337 SCA）基本信息： · Demo：https://alpha.soulwallet.io/wallet · 账户：ERC4337 SCA · 链：Ethereum、Optimism、Arbitrum，即将全面支持EVM L2。交易流程： · 密钥创建：用户提供指纹或面部识别等生物识别认证，操作系统生成Passkey并使用云服务进行备份。可以跨设备、跨平台添加多个密钥。 · 添加守护者（可选）：用户可以为不同的EVM EOA地址指定守护者，并设置账户恢复阈值。 · 帐户生成：用户在首次交易之前不需要支付任何费用。恢复机制： · Passkey：使用定义的Passkey从任一设备上登录钱包。 · 守护者恢复：指定的守护者可以根据阈值轮换钱包，并且可以稍后解决时间锁定问题，以防止恶意行为。（3）OKX钱包：（MPC-TSS + Passkey）+（4337 SCA）基本信息： · Demo：https://www.okx.com/help/what-is-an-aa-smart-contract-wallet · 链：30+链 · 密钥：MPC-TSS，2/3 · 账户：4337 SCA 交易流程： · 密钥创建：通过创建钱包，OKX将单个私钥分为三个单独的部分。一部分存储在OKX服务器上，一部分保存在用户设备的本地存储上，还有一部分由设备生成，经过加密，可以备份到设备首选的云服务，如Google Could、iCloud和Huawei Cloud。 · 密钥签名：OKX使用MPC-TSS技术，用户在签署交易时使用三部分私钥中的两部分就可以获得完整的签名。恢复机制： · 2/3机制：当用户登出、设备不可用或设备上的某个密钥被泄露时，可以使用新的设备登录OKX钱包（获得服务器存储的密钥）并获得云服务存储的密钥，使用这2部分密钥恢复钱包，OKX钱包将生成新的各部分秘密。（4）Web3Auth：（MPC-TSS + Passkey）+（EOA/SCA）基本信息： · Demo：https://w3a.link/passkeysDemo · 链：全部EVM和Solana链 · 密钥：MPC-TSS，通常为2/3 · 账户：任何EOA、4337 SCA账户或常规SCA账户交易流程： · 密钥创建：通过创建钱包，生成了三部分密钥。一部分是社交登录密钥，用户可以输入他们的电子邮件，并且有一个去中心化节点网络为每个用户存储密钥；一部分是保存在用户设备本地存储上的设备密钥；一部分是由本地计算机生成，并通过用户首选的云服务进行备份的密钥。 · 密钥签名：Web3Auth MPC-TSS架构确保用户的密钥始终可用，即使使用阈值签名，密钥也不会重构或存储在单个位置。恢复机制： · 阈值恢复：当用户登出、设备不可用或设备上的某个密钥被泄露时，你可以使用社交登录方式登录webAuthn帐户并获取云存储部分密码，使用这两不分密码恢复钱包。（5）Lit协议：（MPC-TSS +去中心化节点+ Passkey）+（EOA/SCA）基本信息： · Demo：https://lit-pkp-auth-demo.vercel.app/ · 链：大部分EVM、Cosmos、Solana链。 · 账户：MPC-TSS、可被SCA和EOA采用。交易流程： · 密钥创建：当用户想要创建钱包时，首先选择验证方法（支持passkey、oAuth社交登录），然后发送请求给relayer中继器创建密钥对并将验证逻辑存储到智能合约中。每个密钥对由Lit节点通过分布式密钥生成（DKG）的过程共同生成。作为一个去中心化的网络，TEE内部运行30个Lit节点，每个节点都持有一部分密钥，但私钥永远不会全部存于TEE中。 · 密钥签名：接收请求后，Lit节点根据指定的身份验证方法独立验证或拒绝请求，并使用MPC-TSS技术。密钥收集超过阈值（30个中的20个）时生成签名，并由客户端结合使用密钥以满足请求。恢复机制： · 2/3机制：使用智能合约中存储的认证方法访问账户，Lit节点对请求进行验证，如果超过2/3的节点确认，则继续处理请求。 6、结论在L2、L3和数据可用性解决方案的热情推动下，我们热衷于提高区块链的性能。我们同时也追求真正的安全，将零知识证明隐私与透明性相结合。所有的努力都朝着一个目标：为那些经常与区块链互动的真实用户做好准备，并将加密技术应用到他们的日常生活中。我们很容易困在一个理想的技术梦里，但我们必须问这样一个问题：我们的目标是达成什么样的体验？我们设想一个世界，在这个世界里，加密很容易被理解，而非一堆堆令人生畏的技术术语，在这个世界里，用户可以毫不迟疑毫不费力地跳进兔子洞。想象一个用户Rui：她发现了一个很棒的dApp，使用面部识别或指纹轻松完成注册，并可以选择设置备份或守护者。她使用该dApp顺利地执行交易，可能只收取少量的ERC20费用，甚至根本不收取任何费用。之后，她自定义钱包设置——可能是为自动交易激活时间锁，添加另一个设备作为备份签名者，或者是修改她的守护者名单。我们的建设者让这一切成为可能。将WebAuthn和Passkey结合，我们增强了私钥管理，使其既安全又方便。在此基础上，SCA作为一个实体开启了个性化安全和功能的领域。至于gas费？借助Paymaster，提供商可以为swap交易创建一个“金库”，甚至允许广告商为用户支付费用，这些交易变得不那么麻烦了。这一演变的核心，特别是对于以太坊主网及其等效L2来说，就是ERC4337。它引入了另一种内存池，可以将SCA交易与EOA分离，而无需对协议进行重大修改。另一方面，一些L2网络甚至原生采用SCA，将它们无缝集成到系统中。要使一切变得简单，需要付出巨大的努力。存在方方面面的挑战，比如降低SCA的部署、验证和执行费用；标准化接口，增加账户互操作性；跨链同步账户状态，等等。感谢所有的建设者们，让我们一天比一天更接近成功。来源：金色财经

金色财经2023-12-12

XION 发布通用抽象白皮书：加密术语抽象殆尽, XION 是如何做到的？

Web3 钱包（例如 Keplr 或 MetaMask）登录。因此，XION 能够满足所有受众的需求，同时为非加密用户保留非常简单的用户体验。此外，前文提到，元账户还可以提供额外的安全性、灵活性和易用性，例如多重身份验证、私钥轮换、自定义规则等。简而言之，XION 的协议级账户抽象与签名抽象相结合，使用户能够以安全、无摩擦的方式跨多个设备无缝访问其元账户。 3.4. 抽象 Gas 费用为了实现无缝用户体验所需的许多功能，XION 采用了一种新的网络费用处理方法，其中包括： a. 完全抽象 Gas 费用 b. 建立 PlatformSend（一种新型费用机制） c. 将 a 和 b 与 FeeGrant 的使用相结合。 3.4.1 完全抽象 Gas 费用 XION 允许用户使用任何代币来支付交易费用。这是通过将用户支付的交易费用收集到“费用收集器”（fee collector）中，将这些非原生代币交换为 XION 代币，并将 XION 代币分发回费用收集器来实现的。有多种方式可以将收取的费用兑换为 XION 代币，例如通过定期从所需的去中心化交易所（DEX）检索数据，使用时间加权平均价格（TWAP）来确定汇率。在图 2 中我们使用异步链间查询模块 (Async-ICQ) 进行了演示。 3.4.2 PlatformSend 和 FeeGrant XION 网络上的交易可以分为两大类，价值交换和非价值交换。当发生第一类交易时，PlatformSend 就会生效。由于代币是在参与方（用户、dApp）之间交换的，因此收取代币的一小部分作为手续费用可以防止女巫攻击（与 Gas 费用防止女巫攻击有着异曲同工之妙）。如图 3 所示，用户直接用任意货币进行交易，手续费用被 PlatformSend 收集，转换成 XION 代币支付（补偿）给网络验证者。在这个过程中不涉及 Gas 费用。当第二类交易发生时，XION 会收取常规的 Gas 费用，以防止女巫攻击。但本着抽象 Gas 的原则，XION 对于这类交易实施了 FeeGrant。如图 4 所示，开发人员可以赞助用户的交易，以提供无 Gas 体验。赞助可以通过多种方式实现，例如利用质押奖励、采用最低交易阈值或其他可配置参数。 3.4.3 结果：定价和支付抽象通过上述的抽象 Gas 费用，XION 是第一个能够使用 USDC 作为其主要交易货币的区块链。图 5 介绍了费用收集器中 USDC 费用自动交换为 XION 代币的流程，使得所有基于 XION 构建的产品都可以允许用户简单地使用 USDC 进行支付。这消除了获取 XION 代币的传统摩擦，使用户能够以熟悉的定价方式使用区块链应用程序，同时减少 XION 代币不必要的波动和投机。此外，XION 本身可以与每个集成的区块链生态系统互操作，因为用户可以使用任何代币进行支付。结合 Gas 费用抽象，XION 可以因其简化用户体验和推动 Web3 被主流用户采用的能力而脱颖而出。 3.5 动态代币铸造 XION 网络的代币铸造是动态的，由铸造参数的细微差别决定，以平衡网络参与者激励和长期可持续性，这对于生态系统的长期生存能力至关重要。XION 对代币铸造模块进行了两项重大更改： • 如有可能，积累的手续费用可用于抵消新代币铸造产生的通货膨胀。 • 新代币铸造仅根据质押代币计算。 3.5.1 代币铸造模块概述代币铸币模块的目标是维持生态系统中质押代币与流动代币的预设比例。这是通过设置三个值来实现的：通货膨胀率上限、通货膨胀率下限和目标质押率。一旦确定了通货膨胀率，该模块将计算一个区块中需要生成多少代币才能满足通货膨胀率。质押代币和流动代币（市场流动性）之间需要实现重要的平衡，因为它会影响网络的长期安全和增长，下面的公式证明了这种平衡。注：IR 代表当前的通货膨胀率；Pbonded 代表当前质押代币的百分比；Pgoal 代表质押代币的目标百分比；IRmax 代表通货膨胀率上限；IRmin 代表通货膨胀率下限。如果 Pbonded < Pgoal ： IR = min(IR + ΔIR, IRmax) 。在这种情况下，ΔIR 是当 Pbonded 低于 Pgoal 时通货膨胀增加的速率。如果 Pbonded = Pgoal : IR = 常数。在这种情况下，当 Pbonded 达到目标时，通货膨胀率不会改变。如果 Pbonded > Pgoal ： IR = max(IR − ΔIR, IRmin) 。在这种情况下，ΔIR 是当 Pbonded 超过 Pgoal 时通货膨胀下降的速率。这些公式根据当前质押代币百分比与目标质押代币百分比之间的关系，以及最大和最小通胀率的约束，有效地捕获了通胀率的动态调整。 3.5.2 通过手续费用抵消通货膨胀除了每个区块铸造的新代币，Cosmos SDK 默认的代币铸造模块目前也收取区块中累积的手续费用，并将其分配给验证者。这可以表示为： Tnet = Tminted + Fcollected 其中，Tminted 代表某个区块新铸造的代币，Tminted = Ttotal × IR；Ttotal 是当前代币的总供应量；Fcollected 代表某个区块收集的手续费用。 XION 实施的第一个改变是使用区块中已收取的费用，并将其抵消该区块中需要铸造的新代币数量。这可以表示为： Tnet = Tminted − Fcollected 如果 Fcollected 足够大，实际上可以减少 Tnet，从而通过使用收取的手续费用来抵消新铸造的代币，从而有效地降低通货膨胀。随着链上使用量的增加，通货膨胀将大幅下降，因为手续费用的积累不断抵消新铸造的代币。当某个区块收集到的手续费用超过该区块需要铸造的新代币时，多余的代币就会被销毁，代币供应量就会减少，自然会出现通货紧缩。 3.5.3 质押代币的代币膨胀关于代币通胀，Cosmos SDK 默认的代币铸造模块是根据所有代币计算通胀。这可以表示为： Tminted = IR × Ttotal 因此，质押者的年收益率（APY）可以表示为： APY = IR ÷ Pbonded 如果 APY ≥ IR，这通常会导致已实现的质押年收益率 (APY) 高于通货膨胀率，因为并非所有代币都被质押。 XION 的代币铸造模块实现了重大改变。它不是针对所有代币进行计算，而是仅针对质押代币进行计算。这可以表示为： Tmintedx = IR × Tbonded 由于 Tbonded ＜ Ttotal，因此对于相同的 IR，Tmintedx 的总通货膨胀影响将 ≤ Tminted。结果是通货膨胀的影响将减少，质押者和验证者将始终看到 APY = IR。XION 通过更改代币铸造模块创造了一个更加稳定的环境，能吸引长期验证者来确保网络的安全。 4. 抽象互操作性 XION 对互操作性的抽象是通用抽象的一个关键方面，可以显著增强跨链用户的体验。这是通过使用“Package Forwarding Middleware”来实现的，该中间件使用户能够从控制链（例如 XION）对任何其他公链执行操作。通过将该中间件与现有的通用抽象框架集成，创建了简化的协议级接口。如图 6 所示，XION 允许用户在任何与 XION 集成的链上执行操作，同时仍享受 XION 的无缝用户体验。 XION 对互操作性的抽象解决了目前用户在多链环境中账户碎片化的常见问题。用户可以将他们在多个链上拥有的账户链接到他们的 XION 元账户，为他们提供一种从一个“中央账户”管理所有链资产的方式。 XION 通过多种实现方法利用对称通信来实现这一目标。XION 在不同的区块链之间建立了可靠、有序且经过身份验证的通信通道，如图 7 所示。XION 对互操作性的抽象促进了新的跨链创新用例的出现和无缝的多链用户体验，这在以前是无法实现的。 5. 通用抽象的创新应用 XION 的通用抽象既可以极大增强现有应用程序的用户体验，也可以实现一系列新颖的应用程序。接下来，我们先后探索一些可以通过 XION 通用抽象实现的创新用例和跨链用例。 5.1. XION 可以实现的创新用例 5.1.1 数字银行利用通用抽象，数字银行应用程序可以允许客户设置临时私钥以进行有时间限制的访问，确保更高的交易安全性，同时允许用户自定义自己的交易限制和条件。此外，客户还可以为大额交易设置多个身份验证要求，以及在失去某些身份验证方法时恢复账户的能力。 5.1.2 去中心化聊天应用利用通用抽象，去中心化聊天服务可以使用户能够使用同一账户安全地发送消息，无论他们使用智能手机、平板电脑还是 PC。用户能够在全球范围内进行转账，使用熟悉的法定面额直接在对话框中通过无 Gas 交易向好友跨境发送代币。 5.1.3 创作者经济应用利用通用抽象，去中心化内容服务可以使用户创建基于订阅的账户，通过智能合约触发器每月自动付费，而无需手动续订。 5.1.4 增强的游戏体验利用通用抽象，链上游戏允许玩家批量交易和无 Gas 交易，从而实现流畅、安全的游戏体验，而不会危及用户的资产。 5.1.5 用户友好的 DAO 利用通用抽象，在线协作平台可以建立 DAO（去中心化自治组织），成员具有不同的权限级别，使非技术用户能够通过直观、熟悉的 Web2 界面参与治理或决策过程。 5.2 多链用例 5.2.1 万链归一 XION 可以接入所有现有的 Web3 应用程序。例如，用户通过使用社交应用程序 FriendTech 在 Base 网络上持有资金。该用户现在想要使用 Solana 网络上的健身应用 StepN，并使用 FriendTech 资金购买数字鞋。用户仅通过使用一个 XION 元账户就可以实现。他可以将 Base 和 Solana 账户连接到 XION 元账户。在后台，他的 Base 资金被转移、转换并用于在 Solana 市场上购买数字鞋。 5.2.2 全球去中心化交易市场一个很好的用例是跨多条区块链的去中心化交易市场，用户可以在其中使用各种加密货币买卖商品或服务。用户仅通过使用一个 XION 元账户就可以实现。 5.2.3 跨链游戏游戏玩家可以参与跨链游戏体验，其中一个区块链游戏中的资产和成就可以在其他链上的游戏中使用或交易。用户仅通过使用一个 XION 元账户就可以实现。 5.3 DAOs DAO 可以跨多个区块链无缝运行，这使得它能够有效地利用不同的应用程序、更广泛的用户基础、更灵活和高效的治理。 5.4 全球身份统一可以建立跨链身份验证系统，用户可以跨多个区块链使用相同的凭证和声誉。这带来了无数的可能性，因为可识别的声誉允许用户通过一个可验证的身份访问广泛的服务，从而使所有生态系统更加紧密地结合在一起。 6. 总结 XION 通过其通用抽象解决了阻碍 Web3 被主流用户采用的关键挑战。 XION 简化了用户体验，使区块链技术更容易被主流受众所接受。它消除了与账户创建、交互、Gas 费用和互操作性相关的复杂性，取而代之的是主流受众更熟悉的 Web2 交互方式。此外，它还进一步扩展了这种无缝的用户体验，以涵盖跨链交互。通过多方面的通用抽象，XION 提供了可持续、灵活且以用户为中心的区块链基础设施范式，能够推动 Web3 和 Crypto 行业迈向被广泛采用的新时代。来源：金色财经

金色财经2023-12-10

24小时热点