Fiyatlar yükleniyor…

ERC-4337 Hesap Soyutlama Nedir? Sade Bir Anlatım

ERC-4337, her cüzdanı programlanabilir bir akıllı kontrata dönüştüren bir Ethereum standardıdır; tohum ifadelerini ortadan kaldırır ve gas ücretinizi bir başkasının ödemesine imkân tanır. İşte gerçekte nasıl çalıştığı.

ERC-4337 Hesap Soyutlama Nedir? Sade Bir Anlatım

ERC-4337 aslında hangi sorunu çözmeye çalışıyor?

Bir kripto cüzdan kullandıysanız, muhtemelen Ethereum geliştiricilerini hesap soyutlamaya iten aynı sinir bozucu deneyimi yaşamışsınızdır. On iki veya yirmi dört kelimeyi bir kağıda yazarsınız, kağıdı kaybedersiniz ve fonlarınıza erişimi sonsuza kadar yitirirsiniz. Bir işlem göndermeye çalışırsınız ve takas etmek istediğiniz token oradayken bile gas ödemek için ETH'niz olması gerektiğini keşfedersiniz. Kötü niyetli bir işlemi imzalarsınız ve cüzdanınız, ne olduğunu anlamadan boşalır. Bu şeylerin hiçbiri normal bir uygulamada kabul edilemez ve hiçbiri kriptografinin doğasında yoktur. Bunlar 2013'te yapılan bir tasarım tercihinin sonuçlarıdır: bir Ethereum hesabı yalnızca bir özel anahtardır ve özel anahtar affetmez.

Hesap soyutlama, hesabın kendisini akıllı hale getirme fikridir; imzayı değil. Cüzdan, ya imzalayan ya da reddeden aptal bir anahtar olmak yerine, kuralları olan küçük bir programa dönüşür: günde ne kadar harcanabilir, bir işlemi kimler ortak imzalayabilir, hangi token'lar ödeme olarak sayılır ve sahibi müsait değilse ne olur. ERC-4337, bu fikri sonunda 2023'te Ethereum ana ağında, hard fork veya yeni bir konsensüs katmanı gerektirmeden hayata geçiren standarttır.

Teklif basit. Eğer bir özelliği kodla açıklayabiliyorsanız, cüzdanınız onu sunabilir. Telefonunuzu mu kaybettiniz? Üç arkadaşınız sizi tekrar içeri alabilir. ETH'si olmayan bir arkadaşınızı dahil etmek mi istiyorsunuz? Uygulama, onun gas'ını USDC ile öder. Hamleleri otomatik olarak imzalayan bir oyun mu oynamak istiyorsunuz? Bir saat içinde süresi dolan ve yalnızca tek bir sözleşmede çalışan bir oturum anahtarı oluşturabilirsiniz. Dezavantajı — buna geleceğiz — her yeni özelliğin, birisinin istismar edebileceği yeni bir kod satırı olmasıdır.

EOA'lar akıllı hesaplardan nasıl farklıdır?

Bugün çoğu Ethereum kullanıcısı, Harici Sahipli Hesap (EOA) bulundurur. EOA, bir adresi kontrol eden özel anahtardır. Anahtar bir imza üretir, imza adresin sahibi olduğunuzu kanıtlar ve ağ bakiyenizi düşer. Tüm model budur. Ekleyebileceğiniz hiçbir kural, hiçbir kurtarma yolu ve imzalama şemasını değiştirmenin hiçbir yolu yoktur. Anahtarı kaybederseniz hesabı da kaybedersiniz. Şirket olmadığı için müşteri destek hattı da yoktur. Matematik dürüsttür; kullanıcı deneyimi acımasızdır.

ERC-4337 dünyasında akıllı hesap, bu modeli tersine çevirir. Hesap, Ethereum üzerinde dağıtılmış bir akıllı sözleşmedir. Bir eylemi yetkilendirmenin tek yolu olarak özel anahtar yerine, sözleşme sahibinin programladığı mantığı kontrol eder: belki küçük ödemeler için tek bir imza yeterlidir, belki belirli bir eşiğin üzerinde hem donanım cüzdanı hem de telefon gerekir, belki hesap bilinen kötü niyetli sözleşmelerle etkileşimi reddeder. Sahibin yine de imzalamak için bir anahtara ihtiyacı vardır, ancak anahtar yalnızca daha zengin bir karar alma sürecinin bir girdisidir.

Bu küçük bir değişiklik gibi görünür, ama sonuçları büyüktür. Bir akıllı hesap, bir hata bulunursa (dikkatlice) yükseltilebilir. Aynı anda birden fazla cihaz tarafından kontrol edilebilir. Kendini kurtarabilir. Gas'ı herhangi bir token ile ödeyebilir veya gas'ının tamamen başkası tarafından ödenmesini sağlayabilir. Düz bir EOA ile bunların hiçbiri mümkün değildir ve bu fark, Ethereum topluluğunun hesap soyutlamayı nasıl hayata geçireceği konusunda yıllarca tartışmasının nedenidir.

ERC-4337 nasıl çalışır: UserOperation, EntryPoint ve bundler'lar

ERC-4337'nin zekice numarası, Ethereum'un işlem formatını değiştirmemesidir. Bunun yerine, UserOperations adı verilen nesnelerden oluşan paralel, üst düzey bir mempool tanıtır. Bir UserOperation'ı, normal bir Ethereum işleminin içerdiği her şeyi, artı akıllı hesap özellikleri için ekstra alanları (akıllı hesap adresi, imza mantığı, gas ödeme yöntemi ve benzeri) barındıran bir "işlem dileği" olarak düşünebilirsiniz.

Akıllı bir hesapla bir şey yapmak istediğinizde, cüzdanınız bir UserOperation oluşturur ve onu yeni bir altyapı parçasına gönderir: bir bundler'a. Bundler, madenci veya doğrulayıcıya benzer şekilde bu özel mempool'u izleyen bir node operatörüdür. Bundler, UserOperation'ları toplar, hepsini tek bir normal Ethereum işlemi içinde paketler ve EntryPoint kontratını çağırır. EntryPoint, tüm ağ için tek bir adres olan ve her UserOperation'ı nasıl doğrulayacağını, hesabın mantığını nasıl çalıştıracağını, gas'ı nasıl tahsil edeceğini ve tüm paketi atomik olarak nasıl uzlaştıracağını bilen bir singleton kontrattır.

Kullanıcının bakış açısından deneyim öncekiyle aynıdır: onayla'ya tıklayın, birkaç saniye bekleyin, sonucu görün. Perde arkasında niyetiniz bir UserOperation'a dönüştü, diğer bundler'larla yarışan bir bundler tarafından alındı, gerçek bir işleme sarıldı ve akıllı hesabınız adına EntryPoint tarafından çalıştırıldı. Tüm bunlar ETH sahiplerinin farklı bir şey yapmasını gerektirmeden ve hard fork olmadan gerçekleşti. ERC-4337'nin zarafeti budur: değişmeyen bir temel katmanın üzerine inşa edilmiş saf bir akıllı kontrat yükseltmesidir.

Paymaster'lar: gas sponsorluğu gerçekte nasıl çalışır

Hesap soyutlamanın öne çıkan faydalarından biri, kullanıcıların gas ödemek için artık ETH tutmak zorunda olmamasıdır. Bunu mümkün kılan mekanizma paymaster'dır. Paymaster, karşılığında bir şey (USDC cinsinden bir ücret, abonelik, bir reklam görüntüleme veya kullanıcı çekmek için dApp'in karşıladığı basit bir pazarlama maliyeti) almak üzere, EntryPoint'e kullanıcı adına ödeme yapmayı kabul eden başka bir akıllı kontrattır.

Cüzdanınız bir UserOperation oluşturduğunda, isteğe bağlı olarak bir paymaster kontratını işaret edebilir. EntryPoint, çalıştırma sırasında paymaster'ı çağırıp "Bunun ödemesini sen yapacak mısın?" diye sorar. Paymaster kendi kurallarını kontrol eder: belki kullanıcının geçerli bir API aboneliği var, belki işlem izin listesindeki bir dApp'e yönelik, belki kullanıcı ücretsiz deneme için kaydolmuştur. Paymaster evet derse, gas sizin bakiyenizden değil paymaster'ın ETH bakiyesinden düşülür. Hayır derse, işlem geri alınır ve sizden ücret alınmaz.

Bu, onlarca yıldır web2'de standart olan ama şimdiye kadar zincir üzerinde imkânsız olan türden bir edinme akışının önünü açar. Bir oyun, yeni oyuncuların e-posta ile kaydolmasına, NFT mint etmesine ve oynamaya başlamasına olanak tanıyabilir; tüm bunlar kullanıcıdan önce bir borsadan ETH satın almasını istemeden yapılır. Bir DEX, her yeni cüzdan için ilk on swap'ı sübvanse edebilir. Bir cüzdan sağlayıcısı, premium paketinin parçası olarak ücretsiz gas sunabilir. Takas, artık paymaster kontratının koduna güvenmenizdir ve bu da bizi risklere getirir.

Sosyal kurtarma ve diğer akıllı hesap özellikleri

Hesap soyutlamanın mümkün kıldığı tüm yükseltmeler arasında, sosyal kurtarma, sıradan insanların kriptoyu nasıl kullandığını değiştirmesi en olası olanıdır. Fikir basittir: bir kurtarma ifadesi yerine, erişimi kaybetmeniz durumunda toplu olarak bir kurtarmayı onaylayabilen "guardian" adı verilen güvenilir kişilerden oluşan bir küme belirlersiniz. Guardian'lar arkadaşlar, aile üyeleri, sahip olduğunuz diğer cüzdanlar veya hatta kurumsal hizmetler olabilir. Yaygın bir kurulum "5'ten 3'ü"nün onaylaması gerektiğidir; böylece tek bir ele geçirilmiş kişilik sizi soyamaz.

Kurtarma devreye girdiğinde, genellikle bir bekleme süresi (günler veya haftalar) olur; böylece kurtarma sahtekârca yapıldıysa gerçek sahibi iptal edebilir. Bu süre boyunca hiçbir işlem gönderilemez. Süre dolduğunda yeni imza sahibi kontrolü devralır. EOA'ların "kurtarma ifaden var ya da yok" ikili dünyasıyla karşılaştırıldığında bu, büyük bir kullanılabilirlik kazanımıdır. Ayrıca çalınan bir dizüstü bilgisayarın beş alarm yangını olmadığı anlamına gelir: bir hırsız, süre dolmadan önce birden fazla guardian'ı da ele geçirmesi gerekir.

Kurtarmanın ötesinde, akıllı hesaplar oturum anahtarları (yalnızca belirli bir dApp için çalışan sınırlı süreli anahtarlar), günlük harcama limitleri, izin listesindeki kontratlar, zaman kilitli çekimler, çok faktörlü imza politikaları ve hatta otomatik abonelikler sunabilir. Başka bir deyişle, bir banka hesabının bir yüzyıldır sahip olduğu türden korkuluklar. Bu özelliklerin hiçbiri ücretsiz değildir; hepsi kontrat yüzey alanını artırır ve kodun her satırı olası bir hatadır. Ancak tasarım alanı sonunda açıktır.

Geçiş yapmadan önce anlamanız gereken riskler

Hesap soyutlama gerçek bir yükseltmedir, ancak sihirli değildir ve risksiz de değildir. İlk risk EntryPoint'in kendisidir. Singleton bir kontrattır; yani Ethereum'daki her hesap soyutlama işlemini tek bir adres yönetir. EntryPoint'te bir hata bulunursa, patlama yarıçapı muazzam olur. EntryPoint birçok kez denetlenmiş ve kasıtlı olarak minimal tutulmuştur, ancak DeFi tarihi hâlâ para kaybetmiş denetlenmiş kontratlarla doludur. EntryPoint riskini, akıllı hesaplar için temel katman riski olarak değerlendirin.

İkinci risk, paymaster kötüye kullanımı ve paymaster hatalarıdır. Paymaster, başkalarının çağırabileceği bir kontrattır ve güvenilmeyen girdi tarafından erişilebilen her kod bir hedeftir. Kötü yazılmış paymaster'ların boşaltıldığı veya hizmet engelleme silahı olarak kullanıldığı gerçek dünya istismarları çoktan yaşandı. Bir dApp gas'ınızı sponsor olmayı teklif ediyorsa, onun paymaster uygulamasına güveniyorsunuz demektir. Paymaster'ın sponsorunun ETH'si tükenirse, işlemleriniz basitçe başarısız olur; bu can sıkıcıdır ancak felaket değildir.

Üçüncü risk, imza sahibinin ele geçirilmesidir. Sosyal kurtarma, kurtarma ifadesinin kaybedilme riskini çözer, ancak birinin sizi kötü amaçlı bir işlemi imzalamaya ikna etmesi gibi daha yaygın sorunu çözmez. Para göndermek için 3'ten 2 imza isteyen bir akıllı hesap, her iki imzayı da ele geçiren bir kimlik avı saldırısına hâlâ açıktır. Sosyal kurtarma özelliği yalnızca birbirinden bağımsız ve rollerini anlayan guardian'larla dikkatli kullanırsanız işe yarar. Teknik olarak yetkin, coğrafi olarak dağıtılmış ve sizi kandıran aynı dolandırıcılığa kapılma ihtimali düşük guardian'lar seçin.

Son olarak operasyonel risk vardır. Bundler'lar, bağımsız operatörler tarafından işletilen yeni bir altyapı parçasıdır ve ağ bugün bir yıl öncesine kıyasla daha merkeziyetsiz olsa da hâlâ temel Ethereum katmanından daha az olgundur. Güvendiğiniz bundler çevrimdışı olursa, işleminiz basitçe diğerine yönlendirilir; ancak keyif aldığınız kullanıcı deneyiminin bu yeni katmanın sağlıklı kalmasına bağlı olduğunu bilmekte fayda var.

ERC-4337 kullanan gerçek dünya cüzdanları ve altyapı

ERC-4337 Mart 2023'te yayınlandığından bu yana birkaç ekip prodüksiyonda akıllı hesap çıkarmaya başladı. Eskiden Gnosis Safe olarak bilinen Safe, orijinal çok imzalı akıllı hesaptı ve hâlâ Ethereum'un en çok denetlenmiş altyapı parçalarından biri olmaya devam ediyor. Safe modülleri artık sıradan kullanıcıların Safe'ın savaşta test edilmiş güvenlik modelini kaybetmeden oturum anahtarları ve kurtarma dahil hesap soyutlama özelliklerini üzerine eklemesine olanak tanıyor.

Stackup, akıllı hesap SDK'sının yanı sıra barındırılan bir paketleyici ve paymaster hizmeti sunan, geliştirici odaklı bir sağlayıcıdır; birçok ekip altyapıyı sıfırdan kurmadan ilk hesap soyutlama özelliklerini bu şekilde yayınlıyor. Biconomy, ETH yerine stabil kripto paralarla gas sponsorluğu isteyen dApp'ler arasında popüler olan, uzun süredir faaliyet gösteren bir başka hesap soyutlama sağlayıcısı. Diğer dikkat çekici isimler arasında ZeroDev, Alchemy'nin Account Kit'i, paketleyici altyapısı için Pimlico ve Etherspot yer alıyor. Ekosistemin cüzdan tarafında ise Ambire, Starknet üzerindeki Braavos (farklı bir zincir ama aynı fikir) ve MetaMask'ın deneysel akıllı hesap özellikleri bulunuyor.

Kullanıcılar için bugünkü pratik deneyim farklılık gösteriyor. Bazı cüzdanlar akıllı hesap karmaşıklığını tamamen gizliyor: bir parola anahtarıyla veya sosyal girişle oturum açıyorsunuz ve arka plandaki anahtar yönetimi soyutlanıyor. Diğerleri ise koruyucu yapılandırmasını doğrudan gösteriyor. Pazar hâlâ konsolide oluyor ve bugün seçtiğiniz cüzdan iki yıl sonra kullanacağınız cüzdan olmayabilir; bu da herhangi bir sağlayıcıya körü körüne güvenmek yerine temel mekaniği anlamak için başlı başına bir neden.

Sıradan bir kripto kullanıcısı için bu ne anlama geliyor?

Şu anda normal bir EOA cüzdanı kullanıyorsanız, yarın taşınmak zorunda değilsiniz. Mevcut adresiniz ve bakiyeniz tam olarak eskisi gibi çalışmaya devam edecek ve Ethereum'un temel katmanında bir değişiklik yok. Değişen şey, tercih edebileceğiniz özellikler seti ve bu özelliklerin teknik bilgisi olmayan kullanıcılar için kullanılabilir hale gelme hızı.

Çoğu insan için gerçekçi geçiş yolu şöyle görünüyor: ana ve uzun vadeli varlıklarınızı güvendiğiniz, donanım cüzdanı destekli bir EOA'da tutun ve UX kazanımlarının ek sözleşme riskini haklı çıkardığı dApp etkileşimleri, oyunlar veya daha küçük bakiyeler için akıllı hesaplarla denemeler yapın. Önümüzdeki birkaç yıl içinde, denetimler biriktikçe ve standartlar olgunlaştıkça, daha fazla cüzdanın akıllı hesapları varsayılan hale getirmesini ve EOA'ların özel durum olmasını bekleyin. Geçiş tasarım gereği kademeli; ERC-4337 sizi taşınmaya zorlayan hiçbir şey yok ve bu opsiyonellik bir özellik.

Hesap soyutlamayı akıllıca nasıl takip edersiniz?

Hesap soyutlama hızla ilerliyor: her ay yeni cüzdan sağlayıcıları, paymaster tasarımları ve standart önerileri geliyor ve Kripto Twitter'daki en yüksek sesli sesler her zaman en doğru olanlar değil. Hangi ekiplerin gerçek kullanıcılar çıkardığını, hangi denetimlerin ayakta kaldığını ve hangi açıkların ortaya çıktığını takip etmek tam zamanlı bir iş ve çoğu insanın daha iyi yapacak işleri var. Zippfeed, hesap soyutlama manşetlerini duygu puanlaması (boğa, nötr veya ayı) ve bir önem derecelendirmesi ile öne çıkararak gerçek protokol ilerlemesini abartıdan ayırmanıza ve kendi fonlarınızı ne zaman veya taşıyıp taşımayacağınıza kendiniz karar vermenize olanak tanır.

Sıkça sorulan sorular

ERC-4337 kullanmak güvenli mi?
ERC-4337 kendi başına bir ürün değil, bir standarttır; bu yüzden güvenlik seçtiğiniz akıllı hesaba, bundler'a ve paymaster'a göre değişir. EntryPoint kontratı birçok kez denetlendi, ancak akıllı hesaplar hâlâ donanım cüzdanları kadar olgun ve savaş görmüş değil; DeFi'deki geçmiş istismarlar da denetlenmiş kodun güvenli kod anlamına gelmediğini gösterdi. Her geçişi önce düşük riskli ve bilinçli bir deney olarak değerlendirin.
Hesap soyutlama tohum ifadelerini nasıl ortadan kaldırıyor?
Akıllı hesaplar tek bir tohum ifadesinin yerine programlanabilir kurtarma seçenekleri sunar; en yaygın model, güvendiğiniz kişilerin "guardian" adıyla toplu şekilde yeni bir imzalayıcıyı onaylayabildiği sosyal kurtarma modelidir. Tohum ifadesi arka planda hâlâ vardır, ancak bir donanım kasasında saklanabilir ya da guardian'lar arasında bölüştürülebilir; böylece tek bir arıza noktası tüm erişimi yok etmez. Bu, "anahtar yok" demek değildir; güvenin yeniden dağıtılmasıdır.
Ana ETH cüzdanımı akıllı hesaba taşımalı mıyım?
Güvenlik odaklı kullanıcıların büyük çoğunluğu, uzun vadeli birikimlerini donanım destekli bir EOA'da tutar ve akıllı hesapları dApp etkileşimleri, testler ve daha küçük bakiyeler için kullanır. Akıllı hesaplar esneklik kazandırır, ama beraberinde kontrat yüzey alanı, EntryPoint bağımlılığı ve paymaster riski de getirir; bu nedenle denge, kullanıcı deneyimi kazanımlarına ne kadar değer verdiğinize bağlıdır. Bu bir eğitim içeriğidir, finansal tavsiye değildir; önemli miktarda fon taşımadan önce kendi araştırmanızı yapın.
ERC-4337 ile EIP-3074 arasındaki fark nedir?
ERC-4337, Ethereum'un temel protokolünü değiştirmeden üzerine paralel bir UserOperation mempool'u ve bir EntryPoint kontratı ekler; böylece akıllı hesaplar herhangi bir ağ yükseltmesine gerek kalmadan çalışır. EIP-3074 ise Ethereum'un işlem formatını değiştirerek EOA'ların kontrolü bir akıllı kontrata devretmesine izin verecekti; bu da bir hard fork gerektiriyor ve daha kapsamlı güvenlik endişeleri doğuruyordu. Topluluk büyük ölçüde hard fork olmadan hayata geçtiği için ERC-4337 etrafında birleşti; ancak Pectra yükseltmesindeki EIP-7702, 3074'ün bazı fikirlerini farklı bir biçimde ekledi.
İlgili tokenler
$ETH