随着以太坊的Pectra升级日益临近,Alchemy的Will Hennessy谈到了为什么EIP-7702不适合初学者,以及区块链开发者需要注意的事项。
以太坊开发者已宣布备受期待的Pectra升级将于4月8日推出。此次更新将引入新的机制,旨在提升以太坊的交易处理速度,降低燃料费用,并增加能够同时执行多个交易的智能账户,甚至可以使用不同的加密货币支付燃料费用。
虽然该更新计划于4月在主网正式上线,但已在以太坊的Holesky测试网上推出,尽管该推出面临了一些挑战,包括交易最终性问题和账户抽象功能的意外延迟。
Crypto.news与区块链基础设施公司Alchemy的产品经理Will Hennessy进行了交谈,探讨此次升级是否带来了潜在威胁,以及他为何认为EIP-7702这一Pectra的关键部分不适合初学者,以及钱包提供商在实施前需要了解的内容。
CN:以太坊最终希望每个钱包都像智能合约一样运作,而2025年的Pectra升级(EIP-7702)似乎在这一方向上迈出了重要一步,因为它将使常规钱包能够运行智能合约代码,而无需对账户进行全面改造。但这项更新不会让恶意行为者更容易将恶意智能合约伪装成常规EOA吗?
WH:EIP-7702实际上并没有使恶意合约伪装变得更加容易。原因如下:
委托机制要求用户明确授权——没有任何事情会自动发生或在用户不知情的情况下发生。EOA所有者必须主动选择通过特定签名将控制权委托给智能合约。此委托是永久性的,直到明确撤销。
重要的是要理解,EOA的私钥保持完全控制,并可以覆盖智能账户的行为。这实际上是一个安全特性——如果用户发现自己委托给了恶意合约,他们可以随时使用EOA的私钥撤销委托。
这就是我们不建议新用户使用EIP-7702的原因——他们最好从纯智能账户开始,这样可以实现更安全的密钥轮换和无法绕过的多签策略。EIP-7702对于升级已有资产或历史的EOA钱包最有价值,能够以受控的方式为它们提供智能合约功能。
对于钱包提供商,我们建议实施明确的安全措施:
– 当用户绕过智能账户安全时的可视指示。
– 对委托合约的自动信誉检查。
– 当委托状态在不同网络间有所差异时的链特定警告。
因此,虽然EIP-7702为EOA添加了新功能,但它在设计中包含了安全考虑,并通过明确的授权和撤销选项保持用户控制。目标不是让运行任意代码变得更容易,而是安全地使现有钱包能够访问智能合约功能。
CN:鉴于EOA现在可以执行智能合约逻辑,EIP-7702是否会导致网络钓鱼诈骗的增加?
WH:虽然EIP-7702为EOA增加了新功能,但它并不会固有地增加网络钓鱼风险。关键在于,执行智能合约逻辑仍然需要EOA所有者的明确授权。
可以把它想象成为您的电子邮件添加了账户恢复功能——这增加了新功能,但并没有使您的账户更加脆弱。实际上,EIP-7702可以通过启用更好的安全功能来帮助提高钱包的安全性,例如:
– 限时授权的会话密钥。
– 社交恢复选项。
– 更复杂的交易验证。
– 设置消费限额和其他安全控制的能力。
用户通过他们的EOA私钥保持完全控制,该私钥可以覆盖或撤销任何委托功能。这意味着如果用户发现恶意行为,他们可以立即撤销访问权限。
也就是说,钱包提供商需要实施适当的安全措施:
– 清晰的用户界面,显示何时使用智能合约功能。
– 对委托合约的强验证。
– 易于理解的委托管理。
– 当用户采取绕过智能账户安全的行动时的明确警告。
对于希望获得这些功能的现有EOA钱包用户而言,通过EIP-7702的升级路径实际上比创建新的智能合约钱包并转移所有资产更为简单。关键在于钱包提供商的适当实施和对这些新功能运作的清晰用户教育。
CN:我们是否应该期待像Alchemy这样的区块链提供商——甚至是钱包——加强对这些攻击的防护?
WH:是的,安全是我们的绝对首要任务。我们的智能账户已经过彻底审计,我们已经为以太坊生态系统提供关键基础设施安全超过7年。我们将继续保持同样严格的安全标准,以支持EIP-7702的采用。
我们已经在帮助应用程序为这一过渡做准备,在我们的智能钱包工具包Account Kit中支持EIP-7702。
CN:为什么以太坊花了这么长时间才实现账户抽象?
WH:以太坊的账户抽象之旅是经过深思熟虑的,原因很充分。在协议层面修改账户的工作方式需要极大的谨慎,因为这会影响网络上的每个用户和应用程序。
早期对账户抽象的尝试提议对以太坊核心架构进行更激进的更改。这些提案需要对以太坊虚拟机本身进行重大修改,这带来了显著的技术风险和实施复杂性。
相反,生态系统采取了逐步推进的方法。首先是ERC-4337,它启用了智能合约账户——实质上是绕过了对深层协议更改的需求。这使得社区能够在生产环境中测试和完善账户抽象的概念。
现在,随着EIP-7702的出现,我们看到了一个更优雅的解决方案,基于这些经验教训。它并没有完全重构账户的工作方式,而是使EOA能够将功能委托给智能合约,同时保持向后兼容性。这保留了用户信任的安全属性,同时解锁了新的功能。
每一步都需要进行广泛的测试、安全审计和社区共识。当您处理一个保护价值数千亿的网络时,这种对基本变化的谨慎方法至关重要。目标是扩大钱包功能,而不妨碍以太坊的核心安全性和可靠性。
我们现在看到的,不仅仅是账户抽象的到来——而是经过多年研究、测试和现实世界经验而正确实现的账户抽象。
