مصاحبه اختصاصی با ویل هنسسی از آلبامی

با نزدیک شدن به ارتقاء Pectra اتریوم، ویل هنسسی از آلفی صحبت می‌کند که چرا EIP-7702 برای مبتدی‌ها مناسب نیست و توسعه‌دهندگان بلاکچین باید به چه نکاتی توجه کنند.

توسعه‌دهندگان اتریوم اعلام کرده‌اند که ارتقاء مورد انتظار Pectra در تاریخ 8 آوریل راه‌اندازی خواهد شد. این بروزرسانی مکانیسم‌های جدیدی را معرفی می‌کند که هدف آن افزایش سرعت پردازش تراکنش‌های اتریوم، کاهش هزینه‌های گاز و اضافه کردن حساب‌های هوشمند است که می‌توانند چندین تراکنش را به طور همزمان اجرا کنند و حتی هزینه‌های گاز را با ارزهای دیجیتال مختلف پرداخت کنند.

در حالی که این بروزرسانی قرار است در آوریل بر روی شبکه اصلی راه‌اندازی شود، اما در حال حاضر در شبکه آزمایشی Holesky اتریوم به کار گرفته شده است، هرچند این راه‌اندازی با چالش‌هایی مانند مشکلات نهایی شدن تراکنش‌ها و تأخیرهای غیرمنتظره در عملکرد انتزاع حساب مواجه شده است.

آتو تی کریپتو با ویل هنسسی، مدیر محصول در شرکت زیرساخت بلاکچین آلفی، گفتگو کرده است تا بررسی کند که آیا این بروزرسانی تهدیدات پنهانی به همراه دارد و چرا او معتقد است که EIP-7702، بخش کلیدی Pectra، برای مبتدی‌ها مناسب نیست و ارائه‌دهندگان کیف پول باید قبل از پیاده‌سازی آن به چه نکاتی توجه کنند.

سوال: اتریوم در نهایت می‌خواهد هر کیف پول مانند یک قرارداد هوشمند عمل کند و ارتقاء Pectra در سال 2025 (EIP-7702) به نظر می‌رسد که در این راستا گام بزرگی برداشته است، زیرا به کیف پول‌های معمولی اجازه می‌دهد کد قراردادهای هوشمند را بدون نیاز به تغییر کامل حساب اجرا کنند. اما آیا این بروزرسانی باعث نمی‌شود که عوامل مخرب راحت‌تر بتوانند قراردادهای هوشمند مخرب را به عنوان EOAs معمولی مخفی کنند؟

ویل هنسسی: EIP-7702 به واقع آسان‌تر نمی‌کند که قراردادهای مخرب را مخفی کنید. دلیلش این است:

مکانیزم واگذاری نیاز به مجوز صریح کاربر دارد — هیچ چیز به خودی خود یا بدون آگاهی کاربر انجام نمی‌شود. صاحب EOA باید به‌طور فعال تصمیم بگیرد که کنترل را به یک قرارداد هوشمند واگذار کند و این واگذاری دائمی است تا زمانی که به‌طور explícit لغو شود.

مهم است که بفهمیم که کلید خصوصی EOA کنترل کامل را حفظ می‌کند و می‌تواند رفتار حساب هوشمند را لغو کند. این در واقع یک ویژگی ایمنی است — اگر کاربر متوجه شود که به یک قرارداد مخرب واگذار کرده است، می‌تواند همیشه از کلید خصوصی EOA خود برای لغو واگذاری استفاده کند.

به همین دلیل است که ما EIP-7702 را برای کاربران جدید توصیه نمی‌کنیم — بهتر است آنها با حساب‌های هوشمند خالص شروع کنند که امکان چرخش کلید ایمن و سیاست‌های چندامضایی را فراهم می‌کنند که نمی‌توان آنها را دور زد. EIP-7702 بیشترین ارزش را برای به‌روز رسانی کیف پول‌های EOA موجود که قبلاً دارایی یا تاریخچه دارند، دارد و به آنها اجازه می‌دهد که به‌طور کنترل‌شده به ویژگی‌های قرارداد هوشمند دسترسی پیدا کنند.

برای ارائه‌دهندگان کیف پول، ما توصیه می‌کنیم که اقدامات امنیتی مشخصی را پیاده‌سازی کنند:

• شاخص‌های بصری زمانی که کاربران امنیت حساب هوشمند را دور می‌زنند.
• بررسی‌های خودکار شهرت برای قراردادهای واگذار شده.
• هشدارهای زنجیره‌ای خاص زمانی که حالات واگذاری در شبکه‌های مختلف متفاوت است.

بنابراین، در حالی که EIP-7702 قابلیت‌های جدیدی به EOAs اضافه می‌کند، اما شامل ملاحظات امنیتی در طراحی آن است و کنترل کاربر را از طریق گزینه‌های مجوز و لغو صریح حفظ می‌کند. هدف این نیست که راه‌اندازی کد دلخواه آسان‌تر شود — بلکه هدف این است که کیف پول‌های موجود با دسترسی ایمن به ویژگی‌های قرارداد هوشمند به‌روز شوند.

سوال: آیا EIP-7702 می‌تواند منجر به افزایش کلاهبرداری‌های فیشینگ شود، با توجه به اینکه EOAs می‌توانند اکنون منطق قرارداد هوشمند را اجرا کنند؟

ویل هنسسی: در حالی که EIP-7702 قابلیت‌های جدیدی به EOAs اضافه می‌کند، اما به‌طور ذاتی خطر فیشینگ را افزایش نمی‌دهد. نکته کلیدی این است که اجرای منطق قرارداد هوشمند به‌طور خودکار نیاز به مجوز صریح از صاحب EOA دارد.

به این موضوع فکر کنید مانند اضافه کردن بازیابی حساب به ایمیل شما — این قابلیت جدیدی را اضافه می‌کند اما امنیت حساب شما را بیشتر آسیب‌پذیر نمی‌کند. در واقع، EIP-7702 می‌تواند به افزایش امنیت کیف پول‌ها کمک کند.

ویژگی‌های امنیتی بهتری مانند:

• کلیدهای نشست برای مجوزهای محدود-مدت.
• گزینه‌های بازیابی اجتماعی.
• اعتبارسنجی پیچیده‌تر تراکنش.
• توانایی تنظیم محدودیت‌های خرج کردن و دیگر کنترل‌های ایمنی.

کاربران از طریق کلید خصوصی EOA خود کنترل کامل را حفظ می‌کنند، که می‌تواند هر کارکرد واگذاری شده‌ای را لغو یا بازنگری کند. این به این معنی است که اگر کاربری رفتار مخربی را شناسایی کند، می‌تواند فوراً دسترسی را لغو کند.

با این حال، ارائه‌دهندگان کیف پول باید تدابیر امنیتی مناسب را پیاده‌سازی کنند:

• رابط‌های کاربری واضح که نشان‌دهنده استفاده از ویژگی‌های قراردادهای هوشمند هستند.
• تأیید قوی قراردادهای واگذاری.
• مدیریت واگذاری آسان‌فهم.
• هشدارهای واضح زمانی که کاربران اقداماتی انجام می‌دهند که امنیت حساب هوشمند را دور می‌زند.

برای کاربرانی که کیف پول‌های EOA موجود دارند و می‌خواهند از این ویژگی‌ها استفاده کنند، مسیر ارتقاء از طریق EIP-7702 در واقع آسان‌تر از گزینه‌های دیگر مانند ایجاد کیف پول‌های جدید قرارداد هوشمند و انتقال تمام دارایی‌هاست. کلید این موضوع پیاده‌سازی مناسب توسط ارائه‌دهندگان کیف پول و آموزش واضح کاربران در مورد چگونگی کار این ویژگی‌های جدید است.

CN: آیا باید انتظار داشته باشیم که ارائه‌دهندگان بلاک‌چین مانند Alchemy — یا حتی کیف پول‌ها — به این نوع حملات پاسخگوی محافظت کنند؟

WH: بله، امنیت اولویت مطلق ماست. حساب‌های هوشمند ما به‌طور کامل بررسی شده‌اند و ما برای بیش از ۷ سال زیرساخت‌های حیاتی اکوسیستم اتریوم را تأمین کرده‌ایم. ما به حفظ استانداردهای ایمنی دقیق پیشین ادامه خواهیم داد در حالی که از پذیرش EIP-7702 حمایت می‌کنیم.

ما در حال حاضر به برنامه‌ها کمک می‌کنیم تا برای این انتقال با پشتیبانی EIP-7702 در ابزارهای کیف پول هوشمند Account Kit آماده شوند.

CN: چرا اتریوم مدت زیادی طول کشید تا تجرید حساب را عملی کند؟

WH: مسیر تجرید حساب در اتریوم به‌دلیل دلایل خوبی به‌صورت تدریجی بوده است. تغییر در نحوه عملکرد حساب‌ها در سطح پروتکل نیاز به احتیاط فوق‌العاده‌ای دارد زیرا بر هر کاربر و برنامه‌ای در شبکه تأثیر می‌گذارد.

تلاش‌های اولیه برای تجرید حساب تغییرات رادیکالی‌تری را برای معماری اصلی اتریوم پیشنهاد کرده بود. این پیشنهادات نیاز به اصلاحات عمده در خود ماشین مجازی اتریوم داشت، که خطر فنی و پیچیدگی‌های پیاده‌سازی قابل توجهی را به همراه داشت.

به‌جای این کار، اکوسیستم رویکرد گام‌به‌گام را اتخاذ کرد. ابتدا ERC-4337 آمد که حساب‌های قرارداد هوشمند را امکان‌پذیر کرد — اساساً نیاز به تغییرات عمیق در پروتکل را دور زد. این به جامعه اجازه داد تا مفاهیم تجرید حساب را در محیط تولید آزمایش و تصحیح کند.

اکنون با EIP-7702، ما راه‌حل استادانه‌تری را می‌بینیم که بر اساس این یادگیری‌ها ساخته شده است. به‌جای بازسازی کامل نحوه عملکرد حساب‌ها، این امکان را به EOAs می‌دهد که قابلیت‌ها را به قراردادهای هوشمند واگذار کنند در حالی که سازگاری معکوس را حفظ می‌کند. این ویژگی‌های امنیتی که کاربران به آن اعتماد دارند را حفظ می‌کند در حالی که کارایی جدیدی را آزاد می‌کند.

هر مرحله به آزمایش‌های گسترده، بررسی‌های امنیتی و توافق جامعه نیاز داشته است. وقتی با شبکه‌ای سروکار دارید که صدها میلیارد ارزش را تأمین می‌کند، این رویکرد سنجیده به تغییرات اساسی حیاتی است. هدف گسترش قابلیت‌های کیف پول بدون به خطر انداختن امنیت و قابلیت اطمینان هسته اتریوم بوده است.

آنچه اکنون می‌بینیم نه تنها تجرید حساب است که نهایتاً به وقوع پیوسته است — بلکه تجرید حساب به‌درستی انجام شده است، بر اساس سال‌ها پژوهش، آزمایش و تجربه‌های دنیای واقعی.