Giải thích khóa phiên và quyền hạn đại lý trên blockchain

Khóa phiên và quyền hạn của đại lý là cách để một tài khoản thông minh ủy quyền một nhiệm vụ có phạm vi chặt chẽ cho một ứng dụng hoặc đại lý AI, được thực thi trên chuỗi bởi logic xác thực của ví. Mục tiêu là thực thi tự động trên chuỗi mà không biến một đại lý thành một người ký toàn quyền, sử dụng các giới hạn như khoảng thời gian, danh sách cho phép và một giới hạn chi tiêu mà hợp đồng có thể từ chối vượt quá.

Điểm nổi bật chính

• Khóa phiên là một thông tin xác thực ký tạm thời với quyền hạn hạn chế, được thiết kế để một sự phê duyệt có thể bao phủ một tập hợp hành động giới hạn trong một phạm vi xác định.
• Cải tiến an toàn đến từ việc các tài khoản thông minh thực thi chính sách trên chuỗi, chứ không phải từ việc khóa là “tạm thời.”
• ERC-4337 làm cho việc thực thi ủy quyền trở nên khả thi thông qua UserOperations, bundlers và một hợp đồng EntryPoint chuẩn, với các paymasters tùy chọn có thể tài trợ.khí gas
• ERC-8196 đề xuất bước tiếp theo cho thiết kế ví đại lý: chứng minh mật mã về việc tuân thủ chính sách cộng với một chuỗi băm.kiểm toándấu vết cho hoạt động phiên.

Cơ bản về khóa phiên và quyền truy cập của đại lý

Ủy quyền bắt đầu với một sự phân chia đơn giản: một thông tin xác thực giữ quyền kiểm soát đầy đủ, trong khi một thông tin xác thực khác được giao một nhiệm vụ hẹp. Trong một thiết lập tài khoản thông minh, khóa chính của chủ sở hữu vẫn giữ vai trò "gốc", trong khi một khóa phiên được tạo ra hoặc ủy quyền cho một khoảng thời gian và phạm vi cụ thể.

Phạm vi đó chính là điều mà mọi người nói đến khi đề cập đến quyền truy cập của đại lý hoặc quyền truy cập đại lý có phạm vi. Ứng dụng hoặc đại lý có thể ký, nhưng chỉ trong phạm vi mà hợp đồng ví nhận diện.

Khung này quan trọng đối với việc thực thi tự động trên chuỗi vì các tác nhân đã biết cách ký giao dịch. Chế độ thất bại là việc cung cấp cho họ một chìa khóa truy cập toàn bộ và hy vọng rằng máy chủ, lời nhắc, cây phụ thuộc và giao diện người dùng sẽ không bao giờ phản bội bạn. Chìa khóa phiên là tư thế ngược lại.

Chúng là một ngân sách rủi ro mà bạn có thể định giá: thời gian + mục tiêu + giới hạn giá trị, với hợp đồng ví hoạt động như người bảo vệ.

Một mô hình tư duy hữu ích là “thẻ, không phải chìa khóa chính.” Thẻ có thể mở một vài cánh cửa, trong một vài giờ, cho một nhiệm vụ cụ thể. Nếu thẻ bị rò rỉ, bán kính ảnh hưởng được thiết kế để có giới hạn. Đó là lý do tại sao cụm từ session keys crypto thường xuất hiện cùng với tài khoản thông minh và ví nhúng. Toàn bộ ý tưởng là giảm thiểu sự chấp thuận lặp lại mà không trao quyền kiểm soát vĩnh viễn, không giới hạn cho một ứng dụng.

Có hai chi tiết dễ bị bỏ qua. Đầu tiên, “tạm thời” không phải là thuộc tính bảo mật. Phạm vi mới là. Thứ hai, khóa phiên không được tiêu chuẩn hóa ở mọi nơi hiện nay. Các triển khai vẫn còn theo từng ví, điều này có nghĩa là ngữ nghĩa chính xác của việc thu hồi, danh sách cho phép và các trường hợp biên khác nhau giữa các nhà cung cấp.

Cách mà tài khoản thông minh thực thi quyền hạn

ERC-4337 thay đổi nơi diễn ra việc ủy quyền. Thay vì một EOA phát tín hiệu một giao dịch bình thường đến mempool công cộng, một tài khoản thông minh mong đợi một UserOperation mà nó có thể xác thực theo các quy tắc của chính nó trước khi bất kỳ điều gì được thực thi. Đại lý ký UserOperation bằng một khóa được ủy quyền, một bundler tổng hợp các UserOperations, và bundler gọi một hợp đồng EntryPoint chuẩn để xử lý chúng. Hệ thống phân quyền tồn tại ở lớp xác thực tài khoản thông minh, không phải trong giao diện người dùng.

Kiến trúc đó là lý do tại sao “tin tưởng ứng dụng” có thể được thay thế bằng “hợp đồng từ chối.” RebelFi nắm bắt sự chuyển mình này với hai câu đáng được giữ nguyên: “tin tưởng mã ứng dụng đại lý không chi tiêu quá mức” so với “hợp đồng thực thi chính sách chi tiêu bất kể ứng dụng làm gì.” Câu thứ hai là cơ chế thực tế. Nếu chính sách nói không, thì thao tác không được xác thực, và EntryPoint không thực thi nó.

Các paymaster là phần còn lại giúp các đại lý cảm thấy luôn sẵn sàng. Trong ERC-4337, một paymaster có thể tài trợ cho gas, có nghĩa là một đại lý nắm giữ USDC và khôngETHvẫn có thể giao dịch nếu một paymaster được cấu hình để chấp nhận USDC để bù đắp chi phí gas ETH. Điều đó không phải là một mẹo UX thẩm mỹ. Nó loại bỏ yêu cầu hoạt động để giữ một số dư ETH riêng biệt được nạp đầy chỉ để đại lý có thể tiếp tục làm việc.

Đây cũng là nơi màeip 7702tham gia vào cuộc trò chuyện. ZeroDev định vị ngăn xếp của mình hỗ trợ cả ERC-4337 và eip 7702, với khóa phiên như một nguyên tắc UX hàng đầu cho tự động hóa. Sợi chỉ chung là giống nhau: chuyển giao quyền ủy quyền vào một ví có thể thực thi chính sách, thay vì để lại nó như một lời hứa ngoài chuỗi.

Các phạm vi và giới hạn quyền truy cập chung

Một chính sách phiên chỉ tốt như những nút điều chỉnh mà nó phơi bày và thực thi. Ví dụ cụ thể của RebelFi là một mẫu sạch cho cách mà quyền truy cập của đại lý nên trông như thế nào khi ai đó thực sự có vốn đang bị rủi ro: một giới hạn chi tiêu tối đa cho mỗi giao dịch (ví dụ: $50), một danh sách người nhận được phê duyệt, một khoảng thời gian hết hạn (ví dụ: 24 giờ), và một ngân sách phiên tổng cộng (ví dụ: $500) trước khi cần tái ủy quyền. Điều cuối cùng quan trọng vì “nhiều cú đánh nhỏ” có thể cộng dồn ngay cả khi mỗi chuyển khoản riêng lẻ đều bị giới hạn.

Những nút điều chỉnh đó ánh xạ đến cách mà các tài khoản thông minh xác thực ý định:

1. Giới hạn thời gian. Một khoảng thời gian validAfter và validUntil làm cho khóa trở nên vô dụng ngoài phiên, điều này giảm giá trị của việc đánh cắp nó. 2. Giới hạn mục tiêu. Danh sách cho phép của người nhận hoặc hợp đồng được phép ngăn chặn khóa bị sử dụng lại cho các chuyển khoản tùy ý. 3. Giới hạn giá trị. Một giới hạn chi tiêu cho mỗi giao dịch hạn chế thiệt hại trong một lần, trong khi ngân sách tổng cộng hạn chế thiệt hại nhỏ giọt.

Việc thu hồi là điểm dừng hoạt động. Trong kiến trúc của RebelFi, khóa ký gốc giữ toàn quyền kiểm soát tài khoản và có thể thu hồi các khóa phiên bất kỳ lúc nào. Đó là sự khác biệt giữa ủy quyền và đầu hàng. Khóa chủ sở hữu không phải là “chia sẻ danh tính.” Nó đang phát hành một mệnh lệnh có thể bị hủy bỏ.

Một sắc thái nữa: các khóa phiên thường được mô tả là “tạm thờikhóa riêng,” nhưng mô tả đó chưa đầy đủ. Khóa chỉ là một người ký. Sự an toàn đến từ việc tài khoản thông minh từ chối xác thực các hoạt động vi phạm chính sách. Nếu không có sự thực thi trên chuỗi, “tạm thời” vẫn có thể gây ra thảm họa trong khoảng thời gian đó.

Quy trình làm việc của đại lý được kích hoạt bởi sự ủy quyền

Ủy quyền không chỉ là về sự tiện lợi. Nó thay đổi những quy trình làm việc nào khả thi mà không biến mỗi bước thành một buổi lễ ký mới. Trường hợp sử dụng rõ ràng là thanh toán cho đại lý. Một ví đại lý có thể được phép thanh toán cho một nhóm nhà cung cấp dịch vụ đã được kiểm tra trước trong khi bị chặn không cho chuyển tiền đến các địa chỉ tùy ý.

Gộp nguyên tử là sự mở khóa cấp hai. Các tài khoản thông minh ERC-4337 có thể thực hiện các giao dịch gộp nguyên tử, vì vậy các chuỗi như rút tiền từ-lợi suất + thanh toán cho dịch vụ thành công hoặc thất bại cùng nhau. Điều đó quan trọng vì nó ngăn chặn trạng thái chưa hoàn thành. Nếu phần thanh toán thất bại, phần rút tiền sẽ quay lại, và tiền không bị mắc kẹt trong trạng thái trung gian không mong muốn.

Gộp cũng xuất hiện như một công cụ đo lường chi phí. RebelFi ước tính haichuyển ERC-20tách biệt khoảng 2 × 65,000 gas so với khoảng 1 × 110,000 gas gộp lại, điều này tiết kiệm khoảng 15%. Trên màn hình, đó là sự khác biệt giữa một quy trình làm việc của đại lý có khả năng kinh tế ở quy mô lớn và một quy trình làm việc tốn phí.

Việc tài trợ gas kết nối vòng lặp lại cho các đại lý "không-ETH". Với một người thanh toán, đại lý có thể hoạt động chỉ với USDC, giả sử người thanh toán chấp nhận USDC để thanh toán gas. Đó là câu trả lời thực tiễn cho sự hiểu lầm rằng các đại lý phải nắm giữ ETH để hoạt động.

Vị trí của ZeroDev nhất quán với cái nhìn về quy trình làm việc này. Tài liệu của nó khung các khóa phiên như một phần của bộ công cụ UX tài khoản thông minh rộng hơn bao gồm việc nhóm lại và trừu tượng hóa gas, và nó tuyên bố cung cấp sức mạnh cho hơn 6 triệu tài khoản thông minh trên hơn 50 mạng lưới cho hơn 200 đội.

Khẳng định quy mô đó không phải là một đảm bảo an ninh, nhưng đó là một tín hiệu rằng các mẫu này đã được sử dụng trong các ngăn xếp sản xuất.

Thực thi ràng buộc chính sách và dấu vết kiểm toán

ERC-8196 là tuyên bố rõ ràng nhất về hướng đi của quyền hạn đại lý: ví chỉ thực hiện hành động khi đi kèm với bằng chứng mật mã rằng hành động tuân thủ chính sách do chủ sở hữu xác định. Đây không chỉ là "đặt giới hạn trong một giao diện người dùng." Nó là "chứng minh sự tuân thủ tại thời điểm thực thi," với ví hoạt động như điểm thực thi.

Đề xuất xác định các trường chính sách cần thiết trông giống như một phiên bản chính thức của các chính sách phiên hiện tại: hành động được phép, hợp đồng được phép và bị chặn, giá trị tối đa mỗi giao dịch, khoảng thời gian hợp lệ, và một cổng điểm số xác minh tối thiểu. Nó cũng giới thiệu một khái niệm dấu vết kiểm toán không thể thay đổi, chuỗi băm cho hoạt động phiên, nơi mỗi mục kiểm toán bao gồm một băm trước đó để đảm bảo tính toàn vẹn.

ERC-8196 cho phép các triển khai lưu trữ các mục ngoài chuỗi và định kỳ đăng các gốc trên chuỗi, điều này là một giao dịch thực tế giữa chi phí và khả năng xác minh.

Đây là trò chơi cuối cùng được ngụ ý bởi luận án: các khóa phiên chỉ trở nên an toàn có ý nghĩa khi ví có thể thực thi chính sách trên chuỗi, và rào cản tiếp theo là sự tuân thủ có thể xác minh cộng với khả năng kiểm toán. Nếu một máy chủ đại lý bị xâm phạm, "các nhật ký nói rằng nó đã hoạt động" không đủ tốt.

Một dấu vết có thể phát hiện giả mạo cộng với thực thi ràng buộc chính sách gần hơn với tư thế mà các nền tảng được quy định và các nhà điều hành nghiêm túc mong muốn.

Hai lưu ý cần được đề cập cùng nhau. ERC-8196 đang trong quá trình xem xét đồng cấp, vì vậy giao diện và yêu cầu có thể thay đổi. Riêng biệt, ngay cả một tiêu chuẩn hoàn hảo cũng không loại bỏ rủi ro triển khai. Logic xác thực của ví, các kiểm tra xác minh, và hệ thống kiểm toán vẫn phải được xây dựng đúng cách.

Rủi ro, lưu ý, và các thực tiễn tốt nhất

Sự hiểu lầm tốn kém là nghĩ rằng một khóa phiên là an toàn vì nó tạm thời. Giới hạn thời gian giúp ích, nhưng một phạm vi mở rộng bên trong khoảng thời gian vẫn là một phạm vi mở rộng. Một khóa 24 giờ có thể chuyển đến bất kỳđịa chỉ nàolà một nút xả 24 giờ.

Hiểu lầm thứ hai là tính di động. Khóa phiên không được chuẩn hóa ở mọi nơi ngày nay, và các triển khai khác nhau từ ví này sang ví khác. Điều đó có nghĩa là "quyền hạn của đại lý" có thể trông giống nhau giữa các sản phẩm nhưng hành xử khác nhau ở các rìa, bao gồm hành vi thu hồi và cách mà danh sách cho phép được thực thi nghiêm ngặt.

Hiểu lầm thứ ba là về hoạt động: các đại lý cần ETH để hoạt động. Các nhà tài trợ ERC-4337 có thể tài trợ gas, cho phép một đại lý nắm giữ USDC và không có ETH thực hiện giao dịch nếu nhà tài trợ được cấu hình để chấp nhận USDC.

Thực tiễn tốt nhất là viết các chính sách như giới hạn rủi ro, không phải như các công tắc tính năng:

1. Bắt đầu với một giới hạn chi tiêu nhỏ cho mỗi giao dịch. Đây là cách nhanh nhất để giới hạn thiệt hại một lần. 2. Sử dụng danh sách cho phép cứng cho người nhận hoặc hợp đồng. Nếu đại lý không thể chỉ định mục tiêu trong chính sách, nó không nên có khả năng chạm vào nó. 3. Giữ cho khoảng thời gian hợp lệ ngắn. Thời gian hết hạn làm giảm giá trị của một khóa bị rò rỉ. 4. Thêm một ngân sách phiên tổng thể. Điều này ngăn chặn "nhiều cú đánh nhỏ" làm tổn thất tài khoản.

Gộp nhóm cũng là một công cụ an toàn, không chỉ là một mẹo gas. Các nhóm nguyên tử giảm khả năng kết thúc với trạng thái chưa hoàn thành khi quy trình làm việc của một đại lý trải dài qua nhiều bước.

Việc thu hồi cần được coi là một kiểm soát hàng đầu. Các nguồn rõ ràng rằng khóa gốc của chủ sở hữu có thể thu hồi các khóa phiên. Về mặt hoạt động, điều đó ngụ ý thiết kế cho các công tắc tắt nhanh và coi nonce và thời gian hết hạn là các kiểm soát cốt lõi để giảm thiểu các vấn đề phát lại và thời gian.

Đây là nơi câu chuyện thực thi tự động rộng lớn hơn hạ cánh: các thiết kế chiến thắng di chuyển quyền ủy thác ra khỏi lời hứa ứng dụng và vào các giới hạn được thực thi bởi hợp đồng, sau đó thêm tuân thủ có thể xác minh và một dấu vết kiểm toán ở trên.

Lời kết

Tôi đã thấy các đội coi "khóa tạm thời" như một lập luận an ninh và sau đó lặng lẽ phát hành một phiên mở rộng trên các mục tiêu hoặc ngân sách. Khóa đã hết hạn, chắc chắn rồi. Các quỹ vẫn biến mất trong khoảng thời gian đó. Phiên bản duy nhất của điều này có thể đứng vững là khi lớp xác thực tài khoản thông minh là cái nói không, không phải một máy chủ đại lý hay một ô kiểm tra UI.

Tư thế sạch sẽ là coi khóa phiên như một mệnh lệnh có giá: thời gian ngắn, danh sách cho phép chặt chẽ, giới hạn chi tiêu nhỏ cho mỗi giao dịch, và ngân sách tổng cứng. Nếu hệ thống cũng hỗ trợ việc gộp giao dịch nguyên tử và người thanh toán, đại lý có thể cảm thấy luôn sẵn sàng mà không phải luôn nguy hiểm.

Đó là hướng mà việc thực thi tự động trên chuỗi đang hội tụ, và ERC-8196 là nỗ lực nghiêm túc đầu tiên để làm cho việc tuân thủ và kiểm toán trở thành một phần trong công việc của ví, không phải là một suy nghĩ sau này.

Nguồn

• RebelFi
• Đề xuất Cải tiến Ethereum
• CryptoAdventure
• Tài liệu ZeroDev