- Java锁的逻辑(结合对象头和ObjectMonitor)
- 还在用饼状图?来瞧瞧这些炫酷的百分比可视化新图形(附代码实现)⛵
- 自动注册实体类到EntityFrameworkCore上下文,并适配ABP及ABPVNext
- 基于Sklearn机器学习代码实战
抽象账户(也有叫合约钱包)是 EIP-4337 提案提出的一个标准。简单来说就是通过智能合约来实现一个“账户(account)”,在合约中自行实现签名验证的逻辑。这样,就使得该合约拥有了“签发交易”的能力。通过抽象账户签发的“交易”我们叫做用户操作(UserOperation,简称Op)。用户对Op进行签名以后,将其发给一个叫Bundler的链下程序,它负责将所有抽象账户所提交的Op打包,然后提交到链上合约EntryPoint中。EntryPoint合约收到Op后,会调用对应的抽象账户来验证其签名,验证通过后会将Op中的calldata取出,对抽象账户进行调用。整个简化版的流程就是这样,省略了诸如paymaster和aggregator之类的角色,想要更全面的了解的话可以阅读以下的文章.
参考文章:
当你阅读完上面的文章后,此时你应该对抽象账户有了一个大概的了解了,这时我们再来简单整理一下整个业务流程吧.
流程如下:
同时引用两张Stackup的流程图,帮助大家更直观的了解整个过程: 整个抽象账户项目的架构,各个角色之间的关系:
当用户发起一笔Op的时候,整个业务流程是如何运作的:
针对抽象账户这个项目的特点,在审计过程中有一些关键点需要特别留意一下。当然,具体的情况根据每个项目的不同而不同,这里只是抛砖引玉,审计工作还是要落实到具体的代码上.
抽象账户发送一笔Op,需要进行两次签名检查.
当进行以上这两种的签名与检查时,我们需要注意以下的问题:
Gas计算问题始终贯穿整个项目,Op 中采用了多个变量来规定gas上限,gas priority,gas 价格等。具体可以参考以下样例:
UserOperation 结构体,用于表示用户在智能合约中的操作请求:
- sender:发送此请求的账户地址。
- nonce:请求的唯一标识符,用于防止重复请求攻击。
- initCode:如果设置了此字段,则表示要创建一个新的账户合约,并将其初始化为指定的字节码。
- callData:要在此操作期间执行的方法调用数据。
- callGasLimit:用于限制此调用允许使用的最大 gas 数量。
- verificationGasLimit:用于验证此用户操作是否有效的所需 gas 量。
- preVerificationGas:在 handleOps 方法中计算 gas 费用之前,添加到付款总额中的附加 gas 数量。这是为了覆盖批处理的开销。
- maxFeePerGas 和 maxPriorityFeePerGas:与 EIP-1559 中的 gas 相关参数相同,用于计算最终的 gas 费用。
- paymasterAndData:如果设置了此字段,则表示支付方地址和特定于支付方的数据。支付方将为交易支付费用,而不是发送请求的账户。
- signature:发件人验证的签名,涵盖整个请求、EntryPoint 地址和链 ID。
审计过程中要确认每个gas的相关设置是否经过检查,取值是否安全。为了确保gas消耗在limit范围内,所以会在交易执行过程中计算实际gas消耗。在审计过程中需要确认gas消耗的计算是否严谨,是否与对应的limit值进行对比检查。其次是Op中的参数设置过大或过小时是否会造成资损或运行错误等问题.
代币计价问题通常发生在EntryPoint提供了使用ERC20代币来支付gas费用,或paymaster合约提供了使用ERC20代币来代付gas费用的情况下。首先计算得出执行Op所需要总的gas消耗,然后通过预言机/Defi/签名中的价格来计算等价的ERC20代币,最后从抽象账户获取所需要的ERC20完成gas的代付.
在审计的过程中要注意的问题有:
合约钱包/抽象账户至少需要实现下面两个函数,在对钱包部分进行审计时,要重点关注以上两个函数的实现情况,以及验签是否有问题,有没有做好权限管理,在调用的过程中是否存在重入风险等.
还有一个重点就是对钱包的代理模式进行检查,了解清楚其代理模式.
以上就是在抽象账户审计过程中总结归纳的一些经验,不能说是一个全面的审计Check List,但是希望能够给初次接触此类项目的同学一下入手的角度。由于抽象账户这个概念涉及的内容很多,局限于个人的学识,这篇文章还存在很多没能覆盖到的方面,也希望各位师傅能够提出您的看法与建议,大家一起交流学习.
最后此篇关于【项目学习】ERC-4337抽象账户项目审计过程中需要注意的安全问题的文章就讲到这里了,如果你想了解更多关于【项目学习】ERC-4337抽象账户项目审计过程中需要注意的安全问题的内容请搜索CFSDN的文章或继续浏览相关文章,希望大家以后支持我的博客! 。
我正在尝试用 C 语言编写一个使用 gstreamer 的 GTK+ 应用程序。 GTK+ 需要 gtk_main() 来执行。 gstreamer 需要 g_main_loop_run() 来执行。
我已经使用 apt-get 安装了 opencv。我得到了以下版本的opencv2,它工作正常: rover@rover_pi:/usr/lib/arm-linux-gnueabihf $ pytho
我有一个看起来像这样的 View 层次结构(基于其他答案和 Apple 的使用 UIScrollView 的高级 AutoLayout 指南): ScrollView 所需的2 个步骤是: 为 Scr
我尝试安装 udev。 udev 在 ./configure 期间给我一个错误 --exists: command not found configure: error: pkg-config and
我正在使用 SQLite 3。我有一个表,forums,有 150 行,还有一个表,posts,有大约 440 万行。每个帖子都属于一个论坛。 我想从每个论坛中选择最新帖子的时间戳。如果我使用 SEL
使用 go 和以下包: github.com/julienschmidt/httprouter github.com/shwoodard/jsonapi gopkg.in/mgo.v2/bson
The database仅包含 2 个表: 钱包(100 万行) 事务(1500 万行) CockroachDB 19.2.6 在 3 台 Ubuntu 机器上运行 每个 2vCPU 每个 8GB R
我很难理解为什么在下面的代码中直接调用 std::swap() 会导致编译错误,而使用 std::iter_swap 编译却没有任何错误. 来自 iter_swap() versus swap() -
我有一个非常简单的 SELECT *用 WHERE NOT EXISTS 查询条款。 SELECT * FROM "BMAN_TP3"."TT_SPLDR_55E63A28_59358" SELECT
我试图按部分组织我的 .css 文件,我需要从任何文件访问文件组中的任何类。在 Less 中,我可以毫无问题地创建一个包含所有文件导入的主文件,并且每个文件都导入主文件,但在 Sass 中,我收到一个
Microsoft.AspNet.SignalR.Redis 和 StackExchange.Redis.Extensions.Core 在同一个项目中使用。前者需要StackExchange.Red
这个问题在这里已经有了答案: Updating from Rails 4.0 to 4.1 gives sass-rails railties version conflicts (4 个答案) 关
我们有一些使用 Azure DevOps 发布管道部署到的现场服务器。我们已经使用这些发布管道几个月了,没有出现任何问题。今天,我们在下载该项目的工件时开始出现身份验证错误。 部署组中的节点显示在线,
Tip: instead of creating indexes here, run queries in your code – if you're missing any indexes, you
你能解释一下 Elm 下一个声明中的意思吗? (=>) = (,) 我在 Elm architecture tutorial 的例子中找到了它 最佳答案 这是中缀符号。实际上,这定义了一个函数 (=>
我需要一个 .NET 程序集查看器,它可以显示低级详细信息,例如元数据表内容等。 最佳答案 ildasm 是 IL 反汇编程序,具有低级托管元数据 token 信息。安装 Visual Studio
我有两个列表要在 Excel 中进行比较。这是一个很长的列表,我需要一个 excel 函数或 vba 代码来执行此操作。我已经没有想法了,因此转向你: **Old List** A
Closed. This question does not meet Stack Overflow guidelines。它当前不接受答案。 想要改善这个问题吗?更新问题,以便将其作为on-topi
我正在学习 xml 和 xml 处理。我无法很好地理解命名空间的存在。 我了解到命名空间帮助我们在 xml 中分离相同命名的元素。我们不能通过具有相同名称的属性来区分元素吗?为什么命名空间很重要或需要
我搜索了 Azure 文档、各种社区论坛和 google,但没有找到关于需要在公司防火墙上打开哪些端口以允许 Azure 所有组件(blob、sql、compute、bus、publish)的简洁声明
我是一名优秀的程序员,十分优秀!