アカウント抽象化ウォレットの導入率が低い理由

EIP-4337 は、スマート コンタクト ウォレットと関連インフラストラクチャを標準化しました。しかし、アカウントの抽象化はまだ初期段階にあり、採用率は低いです。たとえば、多くの Layer2 はまだサポートしていません。これらの制約は、ユーザーが依然として深い学習曲線と莫大な使用コストに直面していることを意味します。

プロキシ層を導入することにより、アカウント抽象化 (「AA」) ウォレットは個人ウォレットの参入障壁を下げ、ユーザーに使いやすいアカウント システムを提供することを目指しています。特に、AA ウォレットはスマート コントラクトをアカウントとして利用し、スマート コントラクトとユーザーの間にプロキシ層を導入し、プロキシがユーザーに代わってブロックチェーンと対話できるようにします。その結果、AA ウォレットは、秘密鍵などの複雑なブロックチェーン概念を扱う負担からエンドユーザーを解放し、電子メールや電話で簡単に管理できるようになります。

AA ウォレットはプログラム可能で、管理とアカウントの動作に高い柔軟性を提供します。また、アップグレード可能で高度にカスタマイズ可能なため、イーサリアムのコンセンサス メカニズム全体をアップグレードすることなく、新機能や改善を導入できます。

とはいえ、私たちはアカウントの抽象化にとってセキュリティが最重要であると考えています。ブロックチェーン上のトランザクションは改ざん防止されており、元に戻すことができないため、ユーザーのアカウントが侵害された場合、取り返しのつかない損失が発生する可能性があります。したがって、AA ウォレットを設計する際には、アカウントの管理と使用、秘密鍵の保管と保護、トランザクションの確認と承認などに関連するセキュリティのさまざまな側面を考慮する必要があります。

この記事では、AA ウォレットの安全機能と脆弱性を検討し、ユーザー エクスペリエンスとセキュリティのバランスをとる方法について説明し、AA ソリューションが次にどのように進化するかを探っていきます。

アカウントの抽象化とそのセキュリティ上の利点

イーサリアム上のアカウント抽象化を改善および標準化するために多くの提案が行われており、EIP-4337 が最新の進歩であり、後に ERC-4337 となります。 ERC-4337 は、プロトコルのコンセンサス層に変更を加えることなく、外部所有アカウント (EOA) ではなくスマート コントラクトによってトランザクションを開始できる革新的なアプローチを提供します。

ERC-4337 は、メインの Ethereum ネットワークのメモリプールとは別にトランザクションを処理するための代替メモリプールを作成します。アカウントアクションとそれに関連するデータフィールドはバドル化されてメモリプールにルーティングされ、そこからバリデータが収集して処理し、「バンドルトランザクション」を作成してイーサリアムブロックに含めます。

EIP-4337の目標は、ウォレットをより柔軟でアップグレード可能にし、マルチ署名やソーシャルリカバリ、さらにシンプルで効率的な署名アルゴリズムやポスト量子安全署名などの機能の導入を可能にすることです。 ERC-4337 ウォレットでは、ウォレット検証ロジックの柔軟性も向上し、任意の署名スキームとノンス検証ロジックをサポートします。

これらの機能は、重要なセキュリティ上の利点をもたらします。特に、AA ウォレットのセキュリティは次の点で強化されています。

• 検証ロジック: AA ウォレットは、署名などのより柔軟で高度な検証ロジックを通じて、ユーザー操作の正当性とセキュリティを保証します。
• ゲート付きエントリーポイント契約: AAウォレットは、複雑な安全機能をエントリーポイントと呼ばれるグローバル契約に委託しており、信頼できるエントリーポイントのみがウォレットにアクションを実行させたり料金を支払わせたりできるようにゲートされています。
• 分離された検証層と実行層: AA ウォレットは 2 つの別個の機能を使用してユーザー操作の検証と実行を処理し、セキュリティと柔軟性を向上させます。
• 検証と実行シミュレーション: ユーザー操作は、将来のブロックに含められるかどうかを確認するために、シミュレートされた実行を通じて正当性がチェックされます。これにより、AA ウォレットが DoS 攻撃から保護されます。

AA はウォレットのセキュリティと分散化を向上させます。マルチシグや秘密鍵のストレージと保護メカニズムなどの機能のサポートを追加することで、AA ウォレットはユーザー資産のセキュリティをより適切に保護し、トランザクションの信頼性を確保できます。ただし、これらの安全対策は、攻撃や抜け穴に対して 100% のセキュリティを提供するものではありません。継続的な研究と改善の余地はまだあります。現在、市場の焦点は依然としてユーザーのニーズや経験よりも技術パラダイムにあります。

アカウント抽象化ウォレットの脆弱性

秘密キーのストレージは、ウォレット内で最も脆弱なリンクです。 AA ウォレットでは、ユーザーの秘密鍵が安全な場所に確実に保管され、不正アクセスを防ぐための十分な対策が講じられていることが不可欠です。オンライン攻撃は、AA ウォレットのセキュリティに対するもう 1 つの大きな脅威です。ユーザーの秘密キーは、フィッシング、マルウェア、その他の手段を通じて攻撃者によって取得され、その結果デジタル資産が盗まれる可能性があります。

前述したように、AA ウォレットでは、イーサリアムのトランザクション メモリプールの機能が上位システムに複製されます。トランザクションをブロックチェーンに直接送信する代わりに、ユーザーは UserOperation オブジェクトを代替メモリプールに送信し、そこからバリデータまたはバンドラーがそれらを単一の「バンドル トランザクション」にパッケージ化し、エントリ ポイント コントラクトに送信します。エントリーポイント契約は、契約アカウントの実行を調整し、バリデータ/バンドラーが取引手数料を適切に補償することを保証します。

このスキームは、信頼できるエントリ ポイントのみがウォレットに手数料の支払いやノンスの増分などのトランザクションやアクションを実行させることを許可することで、ウォレットの安全性を確保します。また、ユーザー アカウントがより「プログラム可能」になります。

EIP-2938 や EIP-3074 などの他の提案と比較すると、EIP-4337 はコンセンサス層を変更することなく完全なアカウントの抽象化に最も近くなります。ただし、トランザクション プロセスがいくつかのステップに分割されるため、通常のトランザクションよりも複雑さが増し、ガス オーバーヘッドが増加します。そして、それは潜在的な抜け穴も生み出します。さらに、既存のウォレットプロトコルのワークフローと互換性がないため、その採用に影響が出る可能性があります。

前述のセキュリティ問題に対処するために、AA ウォレット ソリューションでは、優れたユーザー エクスペリエンスを維持しながらセキュリティをさらに強化するさまざまな手段を採用する場合があります。マルチシグもその 1 つです。つまり、トランザクションを実行するには複数のユーザーの確認が必要です。これにより、攻撃が成功する可能性が大幅に減少します。ハードウェア ウォレットは秘密キーをインターネットに接続されたデバイスから隔離して盗難から保護するため、ハードウェア ウォレットを使用してユーザーの秘密キーを保存すると、セキュリティも強化できます。

ユーザーエクスペリエンスとセキュリティのバランスを取る

AA ウォレットの設計では、セキュリティを最優先に考慮する必要があります。優れたユーザー エクスペリエンスを提供することは重要ですが、セキュリティに欠陥があるとユーザー資産が安全上の危険やリスクにさらされ、深刻な結果を招く可能性があります。開発者はセキュリティとユーザー エクスペリエンスのバランスをどのようにとるべきでしょうか?少なくとも以下の4つの点を考慮する必要があると考えます。

1. 秘密キーの管理:ユーザーの資産を潜在的な攻撃から保護するために、ユーザーの秘密キーが AA ウォレットで安全に管理されることが重要です。これは、暗号化アルゴリズム、ハードウェア ウォレット、多要素認証などの手段を使用することで実現できます。ただし、セキュリティ対策が厳しすぎると、頻繁な ID 認証や複数の認証手順が必要になるなど、ユーザー エクスペリエンスが低下する可能性があります。したがって、開発者は、秘密キーの安全性と、資産にアクセスするユーザーの認証プロセスの利便性の両方を確保するために、この 2 つのバランスを見つける必要があります。
2. トランザクション確認: AA ウォレットは、優れたユーザー エクスペリエンスを提供するために、タイムリーなトランザクション確認と高速なトランザクション処理を提供する必要があります。一方、二重支払いやその他の不正行為を検出して拒否できなければなりません。などの技術的手段を使用して、安全性とトランザクション速度の要件のバランスをとり、資産の安全性とスムーズなユーザー エクスペリエンスの両方を確保できます。
3. マルチチェーンのサポート:マルチチェーンの互換性は、すべての Web3 製品のトレンドです。将来性のある AA ウォレットは、さまざまなブロックチェーンに対するユーザーのニーズを満たすために、複数のブロックチェーンをサポートできる必要があります。ただし、各エコシステムは若干の差異を伴いながら AA を採用しているため、各チェーンと VM に対する AA の最終的な実装がどのようになるかについて不確実性が生じています。したがって、アカウントの抽象化を採用する場合、異なるエコシステム間での相互運用性を実現するために必要な作業を考慮する必要がある場合があります。また、各チェーンには独自のセキュリティ機能とユーザー エクスペリエンス要件があり、セキュリティとユーザー エクスペリエンスのバランスをとる際には、これらにも注意を払う必要があります。
4. コスト:オンチェーン トランザクションのコストは、アプリケーション開発の妨げとなる可能性があります。ほとんどのトランザクションがレイヤ 2 で行われ、料金が補助されると想定したとしても、大規模な導入とアップグレードのコストは依然として高額になる可能性があります。特に AA ウォレットの場合、ウォレットをアップグレードするには基盤となるスマート コントラクトをアップグレードする必要があるため、新たな脆弱性が発生し、非常に高価になる可能性があります。

アカウント抽象化ソリューションの未来

ユーザー エクスペリエンスやセキュリティなどの要素を考慮すると、イーサリアム上の AA ウォレット ソリューションには、成長と注目を集める最大の可能性があると考えられます。 zkSync、Fuse Network、zkSafe などのイーサリアム エコシステムの AA ソリューションは、通常、その設計が柔軟で安全で使いやすく、優れたユーザー エクスペリエンスを提供します。しかし、スマート コントラクトに関連する安全性リスクや、高いトランザクション ワークロードを処理する能力への課題など、セキュリティ上の課題やスケーラビリティの問題にも直面しています。また、Account Abstract はまだ初期段階にあり、導入率も低く、導入と成熟を促進するにはさらなる革新と開発が必要であることにも注意する必要があります。

AA ウォレットは、バンドラー、ペイマスター、署名アグリゲーターを含むパブリック ノードのパーミッションレス ネットワークを導入することでオープン マーケットを形成し、ユーザーが最低料金で高品質のサービスを受けられるようにします。短期および中期的な観点からは、バンドラー、ペイマスター、署名アグリゲーターをカスタマイズされた方法で迅速に展開するインフラストラクチャ プロバイダーの能力が試されることになります。結果として生じる競争はイノベーションを促進し、最終的にはセキュリティとユーザー エクスペリエンスの両方の最適化につながります。

一方、StackUp などのインフラストラクチャ プロバイダーは、モジュール式の Bundler サービスや Paymaster サービスを開発し、徐々にパーミッションレス化する可能性があります。また、開発者がビジネス ロジックにより集中できるように、フロントエンド開発をスピードアップするためのスキャフォールディング ツールも緊急に必要とされています。 ether.js などの dapp 開発に関連するライブラリも必要です。これらのツールは、Web2 ソーシャルや電子メールによるウォレットの作成、Paymasters や Signature Aggregator の迅速な展開、UserOperations の作成、署名、送信や関連イベントのモニタリングなどの機能をカプセル化できます。これらのツールは、さまざまな機能との dapps の統合を簡素化します。財布。

中長期的な観点から見ると、新しいアカウント標準が登場し、その中にはアカウント認証をスマートコントラクトウォレットから分離して、ユーザーが自分のアカウントデータをあるウォレットから別のウォレットに転送できるようになる可能性もあります。そして、技術的な障壁が低くなり、新製品がますます均一になるにつれて、AAウォレットをめぐる競争は激化するでしょう。柔軟性とユーザーエクスペリエンスを次のレベルにアップグレードするには、パーミッションレスでモジュール式のインフラストラクチャサービス、既存のサービスとの統合、dapp SDK、独立したアカウントレイヤーなど、より進歩的なイノベーションが必要になります。