Akıllı hesaplar (ERC-4337) tek bir tohum cümlesinin risklerini farklı bir risk yığınıyla takas eder: kontrol etmediğiniz bir paymaster, işleminizi yeniden sıralayabilen bir bundler, ele geçirilebilen bir oturum anahtarı ve yanlış yapılandırıldığında saldırı yüzeyine dönüşen bir sosyal kurtarma düzeneği. EOA'lara göre nesnel olarak daha güvenli değildirler. Aynı tehlikenin farklı bir biçimidir; üstüne yeni hata modları ve yeni güven varsayımları eklenir.
Öne çıkanlar
- Akıllı hesaplar saldırı yüzeyini tohum cümlesinden paymaster'lara, bundler'lara, oturum anahtarlarına ve kurtarma vasilerine taşır, dolayısıyla risk azaltılmaz, yeniden şekillendirilir.
- Oturum anahtarları güçlüdür ama tehlikelidir: sızan bir anahtar, kapsamı belirlenmiş bir izin saniyeler içinde boşaltabilir ve iptal işlemi yalnızca kullanıcının sızıntıyı fark ettiği kadar hızlıdır.
- Sosyal kurtarma bir savunma değil, hedeftir; vasisler kötü seçildiğinde, kümelenmiş olduğunda veya sosyal mühendislikle manipüle edildiğinde, tek bir düşmanca vasi grubu hesabı ele geçirebilir.
- Bundler ve paymaster bağımlılıkları, EOA'larda bulunmayan sansür, öncelikli işlem (front-running) ve gas fiyatlandırma risklerini beraberinde getirir; dolayısıyla güven varsayımları azalmaz, artar.
Bu soru göründüğünden neden daha zor
Akıllı hesaplar, bazen hesap soyutlama olarak da adlandırılır, EOA (harici olarak sahip olunan hesap) modelinin eski bir kalıntı olduğunu savunur. Klasik bir EOA, Ethereum'daki her işlemi imzalayan tek bir özel anahtardır. Anahtarı kaybederseniz, ETH ve token'lar da gider. Anahtar oltalama ile çalınırsa, sonuç aynıdır. ERC-4337 standardı ve ilgili tekliflerde resmileştirilen akıllı hesaplar, bu tek anahtarı bir akıllı kontrat cüzdanıyla değiştirir. Bu kontrat, birden fazla imza gerektirebilir, harcama limitlerine izin verebilir, oturumları sona erdirebilir, gas'ı sponsorlayabilir ve vasisler aracılığıyla kaybolan bir cihazdan kurtarma sağlayabilir.
Kağıt üzerinde bu, açık bir yükseltme gibi görünüyor. Uygulamada, her yeni özellik aynı zamanda para kaybetmenin yeni bir yoludur. Bu sistemleri denetleyen güvenlik araştırmacıları sert bir çerçeve kullanır: hesap soyutlama saldırı yüzeyini azaltmaz, yerini değiştirir. Eskiden 'lütfen tohum cümleni kaybetme' ifadesinde yaşayan bir açık, artık 'lütfen vasi kümeni yanlış yapılandırma, lütfen bir bundler'ın seni öncelikli işlemle atlatmamasına güven, lütfen bir paymaster'ın ödemeye devam edeceğine güven ve lütfen sızan bir oturum anahtarını kullanılmadan önce fark et' ifadesinde yaşıyor.
Bu makale, bu yer değişikliğini dürüstçe ele alıyor. Akıllı hesap entegrasyonlarını hayata geçiren geliştiriciler ve gerçek ETH'sini bu hesaplara taşımayı düşünen ileri düzey kullanıcılar için yazılmıştır. Bir tohum cümlesinin ne olduğunu zaten bildiğinizi ve 'hesap soyutlama' terimini duyduğunuzu varsayar; finansal ya da güvenlik tavsiyesi değildir. Önemli olan değişkenler, sizin kurulumunuz, tehdit modeliniz ve yeni bağımlılıklara toleransınızdır; pazarlama sunumları değil.
Bir EOA'nın gerçekte neyi koruduğu ve neleri korumadığı
Bir EOA, özünde sadece özel bir anahtardır; Ethereum adresinin arkasındaki skaler sayıdır. Adres, bu anahtarın tek yönlü bir fonksiyonudur. Bir işlem imzalayıp yayınlarsınız, ağ imzayı sizin adresinizle karşılaştırır ve durum değişikliği gerçekleşir. Sizle zincir arasında bir akıllı kontrat yoktur. Sadeleik, güvenlik modelinin ta kendisidir: kırılabilecek başka hiçbir şey yoktur.
Bu sadelik aynı zamanda başarısızlık modudur. Anahtar, 256 bitlik bir tam sayıdır. İnsan bunu ezberleyemez, bu yüzden cüzdanlar onu genellikle sabit bir kelime listesinden 12 veya 24 kelimelik bir tohum cümlesi olarak kodlar. Tohum cümlesine sahip olan herkes hesabın sahibidir. Şifre sıfırlama yoktur, müşteri desteği yoktur, hatalı imzalarda hız sınırı yoktur. Hırsızlık yaşandığında, sonucu kesindir. Sektörde sıkça alıntılanan Chainalysis tarzı tahminlere göre, kriptoda milyarlarca dolar tohum cümlesi hırsızlığı ve oltalama nedeniyle kaybedildi; sorun nadiren zincirin kendisidir. Asıl başarısız olan yüzeyler insan, pano, tarayıcı eklentisi, sahte web sitesi ve kötü niyetli işlem önizlemesidir.
Ledger ve Trezor gibi donanım cüzdanları, özel anahtarı bilgisayarınızdan uzaklaştırarak dizüstü bilgisayarınızdaki bir kötü amaçlı yazılım enfeksiyonunun onaylamadığınız bir işlemi imzalayamamasını sağlar. Zincir üzerindeki modeli değiştirmezler. EOA'nız hâlâ tek bir anahtardır. Safe gibi multisig cüzdanları, m-eşliğinden-n imza gereksinimi ekler; böylece bir anahtarın kaybı telafi edilebilir. Bu yardımcı olur, ancak yalnızca EOA'lara izin veren bir zincirin üzerine uygulanan bir kontrat düzeyinde yamadan ibarettir. Taban katman, 'oturum' ya da 'harcama limiti' gibi kavramları hâlâ bilmez.
Akıllı hesabın gerçekte ne kattığı ve bunun bedeli
Hesap soyutlamanın Ethereum standardı olan ERC-4337, dört yeni aktör ve yeni bir akış sunar. Kullanıcının bir işlemi doğrudan imzalaması yerine, akıllı hesap kullanıcısı bir UserOperation imzalar; bu, gaz ödemesini, imzayı ve varsa bir paymaster sponsorluğunu içeren, ne yapmak istediğini tanımlayan yapılandırılmış bir mesajdır. Bu UserOperation bir mempool'a gider ve bir bundler, bunlardan bir veya birkaçını, EntryPoint sözleşmesini çağıran gerçek bir zincir üstü işleme paketler; EntryPoint sözleşmesi de her kullanıcının akıllı hesap sözleşmesini çağırarak işlemi doğrular ve yürütür.
Güvenlik açısından öne çıkan üç yeni parça var. Birincisi, akıllı hesap sözleşmesinin kendisi; genellikle Create2 gibi bir fabrikadan dağıtılır ve imzaları doğrulama, nonce kontrol etme, oturum anahtarlarını uygulama ve kurtarmayı yönetme mantığını içerir. İkincisi, bundler; hangi UserOperation'ların, hangi sırayla ve hangi gaz fiyatıyla dahil edileceğine karar veren zincir dışı bir hizmettir. Üçüncüsü, paymaster; kullanıcı adına gaz ödemeyi, kendi belirlediği kurallar çerçevesinde kabul edebilen bir sözleşmedir.
Bedeli, bağımlılık grafiğidir. Artık hesap sözleşmenizin koduna, EntryPoint'in koduna, bundler'ın sıralama davranışına ve paymaster'ın ödeme gücüne ve kurallarına güveniyorsunuz. Geleneksel bir EOA tek bir kriptografi parçasına güvenir. Akıllı hesap bir yığına güvenir. Bu yığın denetlenebilir, ama aynı zamanda bir yığın olmanın getirdiği tüm başarısızlık biçimlerini taşır: sürüm kayması, terk edilmiş fabrikalar, kullanımdan kalkan EntryPoint sürümleri, dolandırıcı paymaster'lar ve hacklenen ya da yaptırıma uğrayan bundler'lar.
Oturum anahtarları: sessizce etki alanınızı genişleten özellik
Oturum anahtarları, akıllı hesabın en yararlı özelliklerinden biridir ve en kolay kötüye kullanılanlardan biridir. Oturum anahtarı, genellikle belirli bir sözleşmeye, bir harcama limitine ve bir zaman penceresine kapsamlandırılmış geçici bir anahtardır; bir dapp'in sizin adınıza her seferinde tam imza istemeden UserOperation imzalamasına izin verir. Oyun stüdyoları ve alım satım uygulamaları bunları kullanır çünkü hızlı bir döngüdeki her zincir üstü hamle için işlem imzalamak isteyen yoktur.
Risk yapısaldır. Etkili biçimde yeni bir EOA basmış, ona kapsamlandırılmış bir izinle fon yüklemiş ve bunu bir dapp'e vermiş oluyorsunuz. dapp'in ön yüzü ele geçirilirse, saldırgan artık o kapsamlandırılmış anahtarı elinde tutar. Oturum anahtarı kötü kapsamlandırıldıysa, izin o pencere içinde sömürülebilir. İptal, sızıntıyı fark etmenizi ve iptal işlemi yapan bir UserOperation göndermenizi gerektiriyorsa, saldırganın sizinle bir yarışı kaybetmesi, bundler'ın da saldırganın boşaltma işleminden önce sizin iptal işleminizi dahil etmeyi kabul etmesi gerekir.
ERC-4337 henüz yaygınlaşmadan önce bile birkaç gerçek olay bu kalıbı göstermiştir. 2023'ün sonlarında, ele geçirilmiş bir npm yayıncı hesabı üzerinden dağıtılan Ledger Connect Kit'in kötü amaçlı bir sürümü, SushiSwap ve Zapper dahil dapp'lere kısa süreliğine bir drainer enjekte etti. Kötü amaçlı işlemi imzalayan EOA kullanan kullanıcılar ana hesaplarından kayıp yaşadı. Geniş oturum izinleri vermiş akıllı hesap kullanıcıları da, saldırganın sömürebildiği kapsam dahilinde benzer bir kayıpla karşılaştı. Etki alanı tamamen kullanıcının daha önce neyi imzaladığına göre belirlendi, EOA veya akıllı hesap ayrımına göre değil.
Akıllı hesap tarafında alınan ders, iptal işleminin ucuz, hızlı ve ideal olarak önceden hazır olması gerektiğidir. Bir oturumun iptali, gaz sponsorluğu yapacak bir paymaster'a, işleminizi dahil edecek bir bundler'a ya da eş imza atacak bir koruyucuya bağlı olmamalıdır. Bunlardan herhangi biri zayıflarsa, iptal takılıp kalabilir ve boşaltma işlemi kazanır.
Paymaster'lar ve bundler'lar: yeni güven, yeni sansür
Paymaster, kullanıcılar adına UserOperation'lar için gaz ödeyen bir sözleşmedir. Ürün tarafındaki anlatı, kullanıcıların ETH tutmadan işlem yapabilmesidir; bu gerçek bir kullanıcı deneyimi kazanımıdır. Güvenlik tarafındaki anlatı ise kuralları paymaster'ın belirlediğidir. UserOperation'ınızı reddedebilir, adresinizi kara listeye alabilir ya da belirli çağrı türlerini sponsor olmaktan kaçınabilir. Ayrıca fonları tükenebilir ve oturum ortasında akışınızı kilitleyebilir. İşletmediğiniz bir paymaster, EOA'da sahip olmadığınız bir muhataptır.
Bundler'lar, dahil etme açısından eşdeğer muhataplardır. EOA ile bir işlemi her zaman doğrudan ağa gönderebilir, taban ücreti ödeyebilir ve dahil edilmeyi sağlayabilirsiniz (temel katman sansürü ayrı bir konu olmak üzere). ERC-4337 ile UserOperation'ınızı alacak bir bundler'a bağımlısınız. Bundler sırayı seçer ve MEV'in yaşadığı yer de bu sıralamadır. Kötü niyetli ya da ele geçirilmiş bir bundler, işleminizin önüne geçebilir, takasınızı sandwich saldırısına uğratabilir ya da sizi basitçe yok sayabilir.
Merkezsiz ağlar dahil güveni en aza indiren bundler'lar mevcuttur; bu ağlar, öneri yapanları döndürür ve öncelikli alımı azaltmak için commit-reveal şemaları kullanır. Bunlar bedava değildir. Gecikme, maliyet ve operasyonel karmaşıklık eklerler. Kendi işlettiğiniz tek kişilik bir bundler, EOA tarzı güven varsayımlarına en yakın seçenektir; ama aynı zamanda artık işletmeniz, izlemeniz ve yamalamanız gereken tek bir arıza noktasıdır. Dürüst bir özet olarak, ERC-4337 çok taraflı bir sistemdir ve her yeni taraf, sistemin başarısız olabileceği ya da sansür uygulayabileceği yeni bir yoldur.
Komşu yığınlardaki olaylar bu kalıbı pekiştirmektedir. MEV-Boost rölelerinin OFAC yaptırımlı adresleri sansürlediği gözlemlenmiş ve röle setinin çeşitlendirilmesi gerekmiştir. Aynı dinamik bundler'lar için de geçerlidir. Küçük bir bundler pazarı, küçük bir sansür yüzeyi demektir; tek bir aktörün domine edebileceği küçük bir yüzey. Sistem teoride daha sansüre dayanıklıdır, ama yalnızca bundler seti büyük, merkezsiz ve etkin biçimde izleniyorsa.
Sosyal kurtarma: yanlış yapılandırıldığında bir hedef
Sosyal kurtarma, 'tohum ifadenizi kaybedin, her şeyi kaybedin' anlayışını 'cihazınızı kaybedin, koruyucularınızdan sizi geri yüklemesini isteyin' ile değiştirir. Bir akıllı hesap N koruyucu belirleyebilir ve imzalama anahtarını döndürmek için örneğin 5'ten 3'ü gibi bir yeter sayı isteyebilir. Sıkı bir yükseltme gibi görünür. Tehdit modeli açısından hesabınızı kimlerin ele geçirebileceğini değiştirir: 'tohumu çalan herhangi biri' yerine 'bir saldırganın güvenliğini aşabileceği herhangi bir koruyucu yeter sayısı'.
İyi yapılandırılmamış sosyal kurtarma güvenlik özelliğini çökertir. Beş koruyucunun hepsi aynı iCloud hesabındaki aile bireyleriyse, ele geçirilmiş tek bir Apple kimliği tüm hesabın ele geçirilmesi demektir. Beşten üçü, borsalara giriş yapmak için de kullandığınız bir telefondaki sıcak cüzdanlarsa, borsa girişinizi oltalayan saldırgan artık üç oydan ikisine sahiptir. Koruyucu, kullanıcının tam olarak anlamadığı bir akıllı kontratsa, o koruyucu kontrattaki bir yükseltme yolu sizin hesabınızda da bir döndürme yoludur. Kurtarma akışının güvenliği, en zayıf koruyucunun güvenliği ile yeter sayı eşiğinin bir eksiğinin toplamına eşittir.
Gerçek saldırılar bu katmanı da vurmuştur. 2017'de Parity Wallet kütüphanesindeki hata, multisig cüzdanların bağımlı olduğu kütüphane sözleşmesini öldürerek yüz milyonlarca dolar değerinde ETH'yi dondurmuştu. Bu, ERC-4337 anlamında bir 'sosyal kurtarma' olayı değildi, ama biçimi aynıydı: kurtarmayı kontrol eden bir akıllı kontrat tek bir arıza noktasına dönüşür. 2024 ve 2025'te, ele geçirilmiş ön yüzler ve hacklenmiş npm ya da tarayıcı eklentisi yayıncılarını içeren birden fazla olay, bir koruyucunun bağımlı olduğu tedarik zincirinin tehdit modelinin bir parçası olduğunu göstermiştir. Koruyucunuz bir donanım cüzdanıysa, üreticiye, firmware güncelleme yoluna ve onu size ulaştıran tedarik zincirine de güvenmeniz gerekir.
Operasyonel disiplin, multisig ile aynıdır: cihaz sınıfları, coğrafi ve hukuki yargı bölgeleri ve ideal olarak satıcı aileleri arasında koruyucu çeşitliliği. Gün cinsinden ölçülen kurtarma süresi, asıl önemli metriktir. İki hafta süren bir kurtarma, saldırganın sabırla bekleyebileceği ya da sosyal mühendislikle aşabileceği bir kurtarmadır; özellikle saldırgan koruyuculara doğrudan baskı uygulayabiliyorsa.
Geliştiriciler ve ileri düzey kullanıcılar için bu ne anlama geliyor
Akıllı hesapların üzerine inşa ediyorsanız, pratik çıkarımlar yukarıdaki hata modlarından doğar. Varsayılan oturum anahtarlarını mümkün olan en dar kapsama ve mümkün olan en kısa ömre ayarlayın. İptali, paymaster veya bundler'ın işbirlikçi olup olmamasına bağlı olmayan tek tıklamalık bir eylem haline getirin. Paymaster'ı tehdit modelinizde, temerrüt ve kara liste politikası dahil olmak üzere bir sözleşme muhatabı olarak değerlendirin. Uygulamanızın yaptığı bundler varsayımlarını belgelendirin ve kullanıcılarınız öncelemeli (front-running) işlemlerine tahammül edemiyorsa kendi bundler'ınızı çalıştırın.
Denetimler açısından, akıllı hesap yığını, bir EOA entegrasyonuna kıyasla yanlış gidebilecek daha fazla noktaya sahiptir. Hesap sözleşmesinin kendisi, hedeflediğiniz EntryPoint sürümü, dağıtım yaptığınız fabrika, paymaster mantığı, bundler seçimi, oturum anahtarı doğrulaması, koruyucu kümesi ve kurtarma akışının tümü ayrı ayrı incelenmelidir. "ERC-4337 kullanıyoruz" demek, 2010'daki bir web uygulamasında "HTTPS kullanıyoruz" demek gibi güvenlik hikayesi olarak görmektir. Bu bir başlangıç noktasıdır, cevap değil.
Gerçek ETH tutan ileri düzey kullanıcılar için karar "akıllı hesap mı EOA mı" değildir. Asıl soru "şu anda hangi risklere maruz kalmaktayım ve bu yeni risklerden hangi kümesi benim için daha küçük" sorusudur. Cüzdanını kasada tutan ve dapp'lerle etkileşime girmeyen bir kullanıcının risk profili küçük ve iyi anlaşılmıştır. DEX'lerde günlük işlem yapan, oturum izinleri imzalayan ve zincirler arasında köprü kullanan bir kullanıcının risk profili ise çok daha geniş ve kaotiktir; bu kullanıcı, yeni bağımlılıkları kabul etmek kaydıyla, kapsamı belirlenmiş oturumlar ve gas sponsorluğu gibi akıllı hesap özelliklerinden gerçek anlamda faydalanabilir. Asıl hata, bu geçişin ücretsiz bir yükseltme olduğunu varsaymaktır. Bu, riskin yeniden dağıtılmasıdır ve yeni risklerin de kendi önlemlerini gerektirir.
Akıllı hesap riskini akıllıca takip edin
Akıllı hesap güvenliği hızla ilerler ve etrafındaki haberler de öyle. Paymaster rug-pull'larını, bundler kesintilerini, oturum anahtarı istismarlarını ve denetim açıklamalarını manuel olarak takip etmek kaybedilen bir oyundur. Zippfeed, akıllı hesap ve Ethereum güvenlik manşetlerini duygu puanlaması (bullish, neutral veya bearish) ve önem derecelendirmesi ile öne çıkarır; böylece gerçek risk kaymalarını cüzdanınızı etkilemeden önce fark edebilirsiniz. Haber akışını bir ticaret sinyali değil, erken uyarı olarak değerlendirin ve onu bu makaledeki tehdit modeliyle birlikte kullanın. akıllı hesap güvenliği ve eoa karşılaştırması tam da sinyalin pazarlamada değil, olay raporlarında olduğu türden bir sorudur.