Абстракция учетной записи (ERC-4337): Разрушают ли смарт-контрактные кошельки вашу анонимность в сети?

Обоюдоострый меч абстракции учетной записи

Переход Ethereum к Абстракции учетной записи (ERC-4337) был объявлен абсолютным катализатором массового внедрения. Позволяя смарт-контрактам выступать в качестве основных учетных записей, ERC-4337 устраняет трение, связанное с seed-фразами, позволяет проводить транзакции без газа и вводит социальное восстановление. Однако под безупречным пользовательским интерфейсом современных приложений Web3 скрывается глубоко тревожащая реальность для защитников конфиденциальности: смарт-контрактные кошельки могут разрушать вашу анонимность в сети (on-chain).

Для продвинутых пользователей DeFi, которые отдают приоритет операционной безопасности (OpSec), механика ERC-4337 открывает совершенно новые векторы атак для компаний, занимающихся наблюдением за блокчейном. В этом глубоком погружении мы разберем архитектуру Абстракции учетной записи, покажем, как Bundlers (Сборщики) и Paymasters (Пеймастеры) допускают утечку критически важных метаданных, и объясним, почему интеграция надежного протокола конфиденциальности, такого как Tumblio, сегодня важнее, чем когда-либо.

Анатомия транзакции ERC-4337

Чтобы понять причину утечки конфиденциальных данных, мы должны сначала понять, как ERC-4337 обходит традиционный мемпул Ethereum. В стандартной транзакции внешней учетной записи (EOA) ваш закрытый ключ подписывает транзакцию напрямую. В ERC-4337 вы не отправляете транзакцию; вместо этого вы транслируете UserOperation в специализированный мемпул.

Эта UserOperation перехватывается Сборщиком (EOA, на котором запущено специальное программное обеспечение), который объединяет несколько операций вместе и отправляет их в блокчейн через глобальный контракт EntryPoint. Если вы не хотите платить за газ в ETH, контракт Paymaster может спонсировать транзакцию для вас, либо субсидируя стоимость, либо позволяя вам платить токенами ERC-20, такими как USDC.

Как Сборщики и Пеймастеры компрометируют вашу личность

Хотя эта архитектура великолепна с точки зрения пользовательского опыта, она создает централизованное узкое место для сбора метаданных.

1. Утечка IP через Сборщика

Сборщики выступают в роли посредников. Когда ваш смарт-контрактный кошелек отправляет UserOperation, он обычно делает это через конечную точку RPC, управляемую центральной организацией (например, Alchemy, Biconomy или Pimlico). Эти организации имеют полную видимость вашего IP-адреса, цифрового отпечатка браузера и конкретной UserOperation, которую вы запрашиваете. В отличие от децентрализованного мемпула, где вы можете вести трансляцию через локальный узел или Tor, многие конечные точки сборщиков требуют традиционных HTTP-запросов, что мгновенно связывает вашу физическую личность с вашим смарт-контрактным кошельком.

2. Деанонимизация Пеймастером через фиатные шлюзы

Многие смарт-контрактные кошельки рекламируют транзакции «без газа», субсидируя ваши комиссии через Paymaster. Однако для предотвращения атак Сивиллы и истощения их казны эти Пеймастеры часто требуют проверки вне сети (off-chain). Некоторые кошельки требуют регистрации по электронной почте, проверки по SMS или даже упрощенного процесса KYC для доступа к спонсируемому газу. В тот момент, когда вы привязываете адрес электронной почты или номер телефона к бэкенду Web2, который авторизует Paymaster, ваша псевдонимность в сети необратимо скомпрометирована.

3. Отслеживаемость через контракт «Factory»

Когда вы развертываете новый смарт-контрактный кошелек, он создается через контракт Factory. Аналитические компании блокчейна (такие как Chainalysis или Arkham) тщательно следят за этими фабриками. Они могут легко сгруппировать все кошельки, развернутые конкретным провайдером. Более того, если вы финансируете развертывание своего смарт-кошелька с известного деанонимизированного EOA (например, с вашей основной учетной записи Coinbase), криптографическая связь устанавливается навсегда. Каждая транзакция, совершенная вашим кошельком ERC-4337, мгновенно приписывается вашей личности в реальном мире.

Сохранение анонимности в эпоху смарт-кошельков

Если вы намереваетесь использовать смарт-контрактный кошелек для сложных операций DeFi, сохраняя при этом свою конфиденциальность, вы должны разорвать детерминированную связь между вашим источником финансирования и вашим новым адресом кошелька. Вы не можете просто отправить ETH с биржи, связанной с KYC, напрямую на свой новый адрес ERC-4337 или EOA, выступающий в роли его владельтеля.

Стратегия защиты Tumblio

Именно здесь Tumblio становится критически важным инфраструктурным слоем для вашей безопасности в Web3. Прежде чем взаимодействовать с любой экосистемой ERC-4337, вы должны очистить свои средства.

• Шаг 1: Микширование. Отправьте свои необработанные, запятнанные KYC активы с вашей биржи на Tumblio. Передовые пулы криптографического микширования Tumblio разрывают эвристические связи в истории ваших транзакций.
• Шаг 2: Чистый вывод средств. Выведите очищенные средства на новый, совершенно не связанный EOA, используя безопасное сетевое соединение (VPN/Tor).
• Шаг 3: Анонимное развертывание. Используйте этот новый EOA для оплаты первоначального газа за развертывание вашего смарт-контрактного кошелька ERC-4337. Убедитесь, что вы направляете свои UserOperations через децентрализованных сборщиков или сборщиков, уважающих конфиденциальность.

Массивные пулы ликвидности Tumblio и рандомизированные задержки вывода средств гарантируют, что аналитические компании блокчейна не смогут соотнести вывод с вашим первоначальным депозитом. Размещая Tumblio между вашей централизованной биржей и вашим смарт-контрактным кошельком, вы создаете эффективный брандмауэр для своей личности.

Вывод: Удобство не должно стоить конфиденциальности

Абстракция учетной записи — это монументальный скачок вперед для Ethereum, но она сильно оптимизирована для удобства, а не для конфиденциальности. Зависимость от централизованных сборщиков, пеймастеров, привязанных к Web2, и детерминированных фабричных развертываний создает кошмарный сценарий для анонимности в сети.

Поскольку блокчейн все больше подвергается слежке, продвинутые пользователи должны принимать превентивные меры. Не позволяйте соблазну безгазовых транзакций заставить вас раскрыть всю вашу финансовую историю. Используйте Tumblio, чтобы разорвать цепь, анонимно разверните свои смарт-кошельки и верните свое фундаментальное право на финансовую конфиденциальность.