跳到主要内容

112 篇博文 含有标签「Crypto」

加密货币新闻、分析和见解

查看所有标签

钱包革命:探索账户抽象的三条路径

· 阅读需 6 分钟
Dora Noda
Dora Noda
Software Engineer

多年来,加密世界一直被一个关键的可用性问题所困扰:钱包。传统钱包,即外部拥有账户(EOA),容错率极低。一次种子短语丢失就意味着资金永远失去。每一次操作都需要签名,且必须使用链的原生代币支付 gas 费。这种笨拙且高风险的体验是主流采用的主要障碍。

账户抽象(AA) 作为一种范式转变,正在重新定义我们与区块链的交互方式。其核心是将用户账户转变为可编程的智能合约,从而解锁社交恢复、一键交易以及灵活的 gas 支付等功能。

通往这一更智能未来的旅程正沿着三条不同的路径展开:经受实战检验的 ERC-4337、高效的 Native AA,以及备受期待的 EIP-7702。下面我们逐一解析每种方案对开发者和用户的意义。

💡 路径 1:先驱 — ERC-4337

ERC-4337 是将账户抽象引入以太坊及 EVM 链的突破性方案,无需更改底层协议。可以把它看作在现有系统之上添加了一层智能层。

它引入了全新的交易流程,涉及:

  • UserOperations:一种新对象,表示用户的意图(例如 “将 100 USDC 换成 ETH”)。
  • Bundlers:链下角色,收集 UserOperations,将其打包并提交到网络。
  • EntryPoint:全局智能合约,负责验证并执行打包后的操作。

优势:

  • 通用兼容性:可部署在任何 EVM 链上。
  • 灵活性:支持游戏会话密钥、多签安全、以及通过 Paymaster 实现的 gas 赞助等丰富功能。

权衡:

  • 复杂度与成本:需要运行 Bundlers,基础设施开销显著;且由于每笔操作都要经过额外的 EntryPoint 逻辑,gas 成本在三种方案中最高。因此,它的采用主要集中在 gas 友好的 L2 上,如 Base 和 Polygon。

ERC-4337 为其他 AA 方案铺平了道路,验证了需求并奠定了更直观 Web3 体验的基础。

🚀 路径 2:理想实现 — Native Account Abstraction

如果 ERC-4337 是插件,Native AA 则是将智能特性直接嵌入区块链底层。zkSync EraStarknet 等链从一开始就把 AA 设为核心原则。在这些网络上,每个账户本身就是智能合约。

优势:

  • 效率:AA 逻辑已内置于协议,省去额外层级,gas 成本显著低于 ERC-4337。
  • 开发者友好:无需管理 Bundlers 或独立的 mempool,交易流程更像标准交易。

权衡:

  • 生态碎片化:Native AA 是链特有的。zkSync 上的账户与 Starknet 上的账户不同,也都不是以太坊主网的原生账户。这导致跨链用户和开发者的体验被割裂。

Native AA 展示了效率的“终局”,但其普及度取决于所在生态的成长。

🌉 路径 3:务实桥梁 — EIP-7702

计划在以太坊 2025 年的 “Pectra” 升级中引入的 EIP-7702,旨在为海量现有 EOA 用户带来 AA 功能。它采用混合方式:允许 EOA 临时委托其权限给智能合约,以完成单笔交易。

可以把它看作给你的 EOA 加上临时的超能力。无需迁移资金或更换地址,只需在交易中添加授权,即可实现批量操作(如一次点击完成批准 + 兑换)或获得 gas 赞助。

优势:

  • 向后兼容:适用于已有的数十亿美元资产的 EOA,无需迁移。
  • 低复杂度:使用标准交易池,无需 Bundlers,基础设施大幅简化。
  • 大众采纳催化剂:让每个以太坊用户瞬间拥有智能特性,可能快速推动更佳 UX 模式的普及。

权衡:

  • 非“完整” AA:EIP-7702 并未解决 EOA 本身的密钥管理问题,私钥丢失仍然导致资金不可用。它更侧重于增强交易能力,而非彻底改造账户安全。

对比概览

功能ERC-4337(先驱)Native AA(理想)EIP-7702(桥梁)
核心思路通过 Bundlers 的外部智能合约系统协议层面的智能账户EOA 临时委托给智能合约
Gas 成本最高(因 EntryPoint 额外开销)低(协议优化)中等(单笔交易的少量额外开销)
基础设施需求高(需运行 Bundlers、Paymasters)低(链验证者自行处理)极低(使用现有交易基础设施)
关键用例任意 EVM 链的灵活 AA,尤其是 L2为专为 AA 设计的 L2 提供高效实现为所有现有 EOAs 添加批量与 gas 赞助功能
适用场景游戏钱包、需要免 gas 入门的 dApp仅在 zkSync、Starknet 等链上构建的项目为主流用户快速引入批量交易与 gas 赞助功能

未来:融合与以用户为中心

这三条路径并非相互排斥,而是正趋向于一个钱包不再是摩擦点的未来。

  1. 社交恢复成为标准 🛡️: “钥匙丢失,资金消失” 的时代即将结束。AA 让基于守护者的恢复成为可能,使自托管的安全性和宽容度堪比传统银行账户。
  2. 游戏体验再造 🎮:会话密钥将实现无缝游戏,无需频繁弹出 “批准交易” 窗口,让 Web3 游戏的体验接近 Web2。
  3. 钱包成为可编程平台:钱包将实现模块化。用户可以添加 “DeFi 模块” 实现自动收益,或添加 “安全模块” 为大额转账提供 2FA。

对于 Blockeden.xyz 这样的开发者与基础设施提供商而言,这一演进充满机遇。Bundlers、Paymasters 以及各种 AA 标准的复杂性,为提供稳健、可靠且抽象化的基础设施创造了巨大的市场空间。目标是打造统一体验:开发者只需简单接入 AA 功能,钱包会根据链的支持情况在 ERC-4337、Native AA 或 EIP-7702 之间智能切换。

钱包终于迎来了应有的升级。从静态的 EOA 到动态、可编程的智能账户,这不仅是一次改进,更是一场革命,将使 Web3 对下一代十亿用户变得可访问且安全。

迪拜的加密雄心:DMCC 如何打造中东最大的 Web3 中心

· 阅读需 4 分钟

当世界大多数地区仍在探索如何监管加密货币时,迪拜悄然构建基础设施,力争成为全球加密中心。此次转型的核心是迪拜多商品中心(DMCC)加密中心,它已成为中东加密与 Web3 企业最集中的平台,会员数量超过 600 家。

迪拜的加密雄心

战略布局

DMCC 的做法之所以引人注目,不仅在于规模,更在于其打造的完整生态系统。DMCC 并非仅提供注册场所,而是构建了一个全栈环境,针对加密企业常见的三大挑战——监管清晰、资本获取和人才招募——提供解决方案。

监管创新

监管框架尤为亮眼。DMCC 提供 15 种不同的加密许可证,形成业界可能最细化的监管结构。这并非官僚繁琐,而是一种功能。通过为不同业务活动设立专属许可证,DMCC 能在保持适度监管的同时提供明确指引。这与缺乏明确规则或采用“一刀切”政策的司法管辖区形成鲜明对比。

资本优势

更具吸引力的是 DMCC 在资本获取方面的布局。凭借与 Brinc 加速器及多家风险投资机构的战略合作,DMCC 构建了一个拥有超过 1.5 亿美元风险资本的融资生态系统。这不仅是资金的注入,更是打造自我循环生态的关键——成功孕育成功。

为什么重要

其影响力超出迪拜本身。DMCC 的模式为新兴科技中心提供了可复制的蓝图,展示了如何在监管清晰、资本获取和生态建设三方面形成竞争优势,从而与传统创新中心抗衡。

关键数据概览:

  • 600+ 加密与 Web3 企业(区域内最大聚集)
  • 超过 1.5 亿美元风险资本可对接
  • 15 种许可证类型
  • 8+ 生态合作伙伴
  • 超过 25,000 名跨行业潜在合作伙伴

领导团队与愿景

推动这一转型的核心人物有两位:

Ahmed Bin Sulayem,DMCC 执行主席兼 CEO,带领组织从 2003 年的 28 家会员公司成长至 2024 年的 25,000 多家。这一成绩表明,加密业务并非追随潮流的短期举措,而是将迪拜打造为全球商业枢纽的长期战略。

Belal Jassoma,生态系统总监,负责 DMCC 商业产品的规模化。其专注于加密、游戏、AI 与金融服务等垂直领域的战略合作与生态建设,体现了对跨行业协同效应的深刻理解。

前路展望

尽管 DMCC 已取得显著进展,仍有若干关键问题待解:

  1. 监管演进:随着加密行业成熟,DMCC 的细化监管框架将如何调整?当前的细粒度提供了清晰度,但保持其适应性将面临挑战。
  2. 可持续增长:DMCC 能否维持增长势头?600+ 家企业虽已是佳绩,真正的考验在于这些公司能否实现规模化。
  3. 全球竞争:其他司法管辖区若同步完善监管与生态,DMCC 能否保持竞争优势?

展望未来

DMCC 的做法为其他欲成为科技中心的地区提供了宝贵经验。其成功表明,吸引创新企业的关键不在于单纯的税收优惠或宽松监管,而在于构建一个同时满足监管、资本与生态需求的完整体系。

对于加密创业者与投资者而言,DMCC 提供了相较传统科技中心的另一种选择。虽尚未到达最终成功的定论,但早期成果已显示出值得关注的潜力。

最值得关注的或许是这对创新中心未来形态的启示。在人才与资本日益流动的时代,DMCC 的模式表明,只要提供监管清晰、资本可得与生态支持的组合,新兴科技中心即可快速崛起。

对关注全球科技中心演进的观察者而言,迪拜通过 DMCC 的实验为新兴市场在全球科技版图中定位提供了深刻洞见。该模型能否在其他地区复制仍有待观察,但它已经为后续研究提供了极具说服力的蓝图。

A16Z的加密2025展望:可能重塑下一个互联网的十二个想法

· 阅读需 8 分钟

每年,a16z 都会发布关于定义我们未来的技术的宏大预测。这一次,他们的加密团队描绘了一幅 2025 年区块链、人工智能和先进治理实验相互碰撞的生动画面。

我在下面总结并评论了他们的关键洞见,聚焦于我认为的改变杠杆——以及可能的绊脚石。如果你是技术构建者、投资者,或仅仅对下一波互联网感到好奇,这篇文章适合你。

1. AI 与加密钱包的结合

关键洞见:AI 模型正从后台的“NPC”转变为“主角”,在在线(甚至可能是实体)经济中独立行动。这意味着它们需要自己的加密钱包。

  • 这意味着:AI 不再只是输出答案,它可能持有、支出或投资数字资产——代表其人类所有者或完全自主操作。
  • 潜在收益:更高效的“代理 AI”可以帮助企业进行供应链协调、数据管理或自动化交易。
  • 需警惕:如何确保 AI 真正自主,而不是被人暗中操控?可信执行环境(TEE)可以提供技术保证,但让人们信任“带钱包的机器人”不会一蹴而就。

2. 去中心化自治聊天机器人(DAC)的崛起

关键洞见:在 TEE 中自主运行的聊天机器人可以自行管理密钥、在社交媒体发布内容、获取粉丝,甚至产生收入——全部无需直接的人类控制。

  • 这意味着:想象一个 AI 网红,它不会被任何个人沉默,因为它真正掌控自己。
  • 潜在收益:内容创作者不再是个人,而是拥有数百万(甚至数十亿美元)估值的自我治理算法。
  • 需警惕:如果 AI 触犯法律,谁承担责任?当“实体”是一段分布式服务器上的代码时,监管的护栏将异常棘手。

3. 人格证明(Proof of Personhood)变得必不可少

关键洞见:AI 降低了生成超逼真伪造品的成本,我们需要更好的方式来验证在线交互对象是真正的人类。隐私保护的唯一身份标识应运而生。

  • 这意味着:每位用户最终可能拥有一个经过认证的“人类印章”——希望在不牺牲个人数据的前提下实现。
  • 潜在收益:这可以大幅降低垃圾信息、诈骗和机器人军团的数量,为更可信的社交网络和社区平台奠定基础。
  • 需警惕:采纳是最大障碍。即便是最好的身份验证方案,也需要广泛接受,才能在恶意行为者超前之前发挥作用。

4. 从预测市场到更广泛的信息聚合

关键洞见:2024 年因选举驱动的预测市场抢占头条,但 a16z 看到更大的趋势:利用区块链设计新的真相揭示与聚合方式——无论是治理、金融还是社区决策。

  • 这意味着:分布式激励机制可以奖励人们提供诚实的输入或数据。我们可能会看到针对本地传感网络到全球供应链的专属“真相市场”。
  • 潜在收益:为社会提供更透明、难以被游戏的数据层。
  • 需警惕:流动性和用户参与度仍是挑战。对于小众问题,“预测池”可能规模太小,难以产生有意义的信号。

5. 企业级稳定币

关键洞见:稳定币已经是转移数字美元的最便宜方式,但大型企业尚未广泛采用——尚未

  • 这意味着:中小企业和高交易额商户可能会意识到,通过使用稳定币可以节省大量信用卡费用。年收入数十亿美元的企业同样如此,甚至可能为其利润底线提升 2%。
  • 潜在收益:更快、更便宜的全球支付,加上一波基于稳定币的金融产品创新。
  • 需警惕:企业需要新的欺诈防护、身份验证和退款机制——这些过去由信用卡提供商承担。

6. 区块链上的政府债券

关键洞见:政府探索链上债券可以创建带利息的数字资产,且不涉及央行数字货币的隐私问题。

  • 这意味着:链上债券可以在 DeFi 中作为高质量抵押品,使主权债务无缝接入去中心化借贷协议。
  • 潜在收益:更高透明度、潜在的发行成本降低,以及更民主化的债券市场。
  • 需警惕:监管机构的怀疑态度以及大型机构的惯性。传统清算系统不会轻易消失。

7. ‘DUNA’——DAO 的法律支柱

关键洞见:怀俄明州推出了“去中心化未注册非营利协会”(DUNA)这一新类别,旨在为美国的 DAO 提供法律地位。

  • 这意味着:DAO 现在可以持有资产、签订合同,并限制代币持有者的责任。这为更主流的使用和真实商业活动打开了大门。
  • 潜在收益:如果其他州效仿怀俄明(正如它们对 LLC 的做法),DAO 将成为普通商业实体。
  • 需警惕:公众对 DAO 的认知仍模糊。它们需要成功项目的记录,以转化为现实世界的价值。

8. 实体世界的流动民主

关键洞见:基于区块链的治理实验可能从线上 DAO 社区扩展到地方选举。选民可以委托投票或直接投票——“流动民主”。

  • 这意味着:更灵活的代表制。你可以选择在特定议题上投票,或将责任交给你信任的人。
  • 潜在收益:可能提升公民参与度和动态政策制定。
  • 需警惕:安全顾虑、技术素养以及将区块链与官方选举混合的普遍怀疑。

9. 基于现有基础设施构建(而非重新发明)

关键洞见:创业公司常常花时间重新打造底层技术(共识协议、编程语言),而不是专注于产品‑市场匹配。到 2025 年,他们将更多采用现成组件。

  • 这意味着:更快的上市速度、更可靠的系统以及更高的可组合性。
  • 潜在收益:减少从零构建新区块链的时间;将更多精力投入到要解决的用户问题上。
  • 需警惕:为了性能提升而过度专化是诱人的。但专用语言或共识层会给开发者带来更高的维护成本。

10. 用户体验优先,基础设施其次

关键洞见:加密需要“隐藏线路”。我们不会让消费者学习 SMTP 来发送邮件——为何要强迫他们学习 “EIP” 或 “rollup”?

  • 这意味着:产品团队会选择服务于卓越用户体验的技术底层,而不是相反。
  • 潜在收益:用户 onboarding 大幅提升,降低摩擦和行话。
  • 需警惕: “建好它他们就会来” 只有在真正打磨好体验时才成立。所谓的 “轻松加密 UX” 的营销口号毫无意义,如果用户仍需管理私钥或记忆晦涩缩写。

11. 加密自己的应用商店出现

关键洞见:从 Worldcoin 的 World App 市场到 Solana 的 dApp Store,加密友好平台提供了不受 Apple 或 Google 审核限制的分发与发现渠道。

  • 这意味着:如果你在构建去中心化应用,可以在不担心被突然下架的情况下触达用户。
  • 潜在收益:成千上万(甚至数十万)新用户在数天内发现你的 dApp,而不是在中心化应用商店的海洋中迷失。
  • 需警惕:这些商店需要足够的用户基数和动能,才能与 Apple、Google 竞争。这是巨大的门槛。硬件绑定(如专用加密手机)可能有所帮助。

12. 对‘非传统’资产进行代币化

关键洞见:随着区块链基础设施成熟、费用下降,对从生物特征数据到现实奇珍异宝的代币化变得更可行。

  • 这意味着:一条“长尾”独特资产可以被碎片化并在全球交易。人们甚至可以在受控、基于同意的方式下变现个人数据。
  • 潜在收益:为原本“锁定”的资产打开巨大的新市场,同时为 AI 提供有趣的新数据池。
  • 需警惕:隐私陷阱和伦理雷区。仅因为你可以代币化某物,并不意味着你应该这么做。

A16Z 的 2025 展望展示了一个正向更广泛采纳、更负责任治理以及更深度与 AI 融合的加密行业。相较于以往的投机或炒作周期,这一愿景围绕实用性展开:稳定币为商家每杯咖啡节省 2% 成本,AI 聊天机器人自行经营业务,地方政府尝试流动民主。

然而执行风险依然存在。全球监管机构仍保持警惕,用户体验仍然过于繁琐,难以触达主流。2025 可能是加密与 AI 终于“长大”的一年,也可能只是半步前进——这全取决于团队能否交付人们真正喜爱的产品,而非仅为行家打造的协议。

Radiant Capital 黑客攻击:朝鲜黑客如何利用单个 PDF 窃取数亿美元

· 阅读需 4 分钟

在 2023 年最为复杂的网络攻击之一中,基于 LayerZero 的去中心化跨链借贷协议 Radiant Capital 因黑客攻击损失约 5000 万美元。此次攻击的复杂性和精准度揭示了国家支持的朝鲜黑客的高级能力,突破了人们对加密安全漏洞的想象边界。

Radiant Capital 黑客攻击:朝鲜黑客如何利用单个 PDF 窃取数亿美元

完美的社会工程攻击

2023 年 9 月 11 日,Radiant Capital 的一名开发者收到一条看似无害的 Telegram 消息。发送者冒充前承包商,自称已转行做智能合约审计,并希望获得项目报告的反馈。这类请求在加密开发的远程工作文化中屡见不鲜,因而成为极具欺骗性的社会工程手段。

攻击者进一步制作了一个高度仿真的假网站,模仿所谓承包商的合法域名,为其欺骗行为增添了可信度。

特洛伊木马

当开发者下载并解压文件时,文件看起来是普通的 PDF 文档。然而,实际文件是一个名为 INLETDRIFT 的恶意可执行文件,伪装成 PDF 图标。打开后,它在 macOS 系统上悄悄安装后门,并与攻击者的指挥服务器 (atokyonews[.]com) 建立通信。

情况进一步恶化:受感染的开发者在寻求反馈时,将恶意文件分享给其他团队成员,无意中在组织内部传播了恶意软件。

高级的中间人攻击

后门植入后,黑客发起了精准的 “诱饵‑换位” 攻击。他们拦截了团队成员使用 Gnosis Safe 多签钱包时的交易数据。虽然交易在网页界面上显示正常,但当交易数据传递到 Ledger 硬件钱包进行签名时,恶意软件已将交易内容替换。

由于 Safe 多签交易采用盲签机制,团队成员无法察觉自己实际上在签署 transferOwnership() 函数调用,这将借贷池的控制权交给了攻击者。于是黑客成功提取了已授权给协议合约的用户资金。

快速清除痕迹

盗窃发生后,攻击者展现出卓越的作战安全性。仅在三分钟内,他们便删除了所有后门和浏览器扩展,彻底抹去痕迹。

行业关键教训

  1. 永不轻信文件下载:团队应统一使用在线文档工具(如 Google Docs、Notion),避免下载文件。例如,OneKey 的招聘流程只接受 Google Docs 链接,明确拒绝打开其他文件或链接。
  2. 前端安全至关重要:本次事件凸显攻击者如何轻易在前端伪造交易信息,使用户在不知情的情况下签署恶意交易。
  3. 盲签风险:硬件钱包往往只展示简化的交易摘要,导致用户难以验证复杂智能合约交互的真实意图。
  4. DeFi 协议安全:处理大额资本的项目应实现时间锁机制和完善的治理流程,为发现并响应可疑活动提供缓冲期,防止资金被快速转移。

Radiant Capital 的被攻击事件提醒我们,即使使用硬件钱包、交易模拟工具以及行业最佳实践,仍然可能被高度成熟的攻击者突破安全防线。它强调了在加密安全领域保持持续警惕和不断演进的必要性。

随着行业的成熟,我们必须从这些案例中汲取经验,构建更为坚固的安全框架,以抵御日益复杂的攻击向量。DeFi 的未来取决于此。