«Троянский конь» в обновлении Ethereum Fusaka: как превратить десятки миллиардов мобильных телефонов в аппаратные кошельки?

Отказаться от высокомерия и совместить с общепринятыми интернет-стандартами, чтобы добровольно оказаться в кармане пользователя.

Автор: Zhixiong Pan

На самом деле в вашем кармане уже давно есть «аппаратный кошелек»

В наших повседневных смартфонах и компьютерах на самом деле встроены специальные чипы безопасности. Например, в iPhone это «Secure Enclave», а в Android-смартфонах — Keystore / Trust Zone / StrongBox.

Эта отдельная физическая область обычно называется TEE (Trusted Execution Environment — доверенная среда выполнения). Ее особенность — «только вход, без выхода»: приватный ключ генерируется внутри и никогда не покидает эту физическую область, извне можно только запросить у нее подпись данных.

Это и есть стандарт аппаратного кошелька. При этом эти чипы при подписании обычно используют выбранную NIST (Национальный институт стандартов и технологий США) отраслевую стандартную алгоритмическую кривую: secp256r1. Именно она лежит в основе WebAuthn и FIDO2 (например, вход по отпечатку пальца или FaceID).

Пропасть, отличающаяся всего одной буквой

Проблема в том, что Ethereum изначально не поддерживает этот популярный secp256r1.

В свое время сообщество bitcoin, опасаясь возможного «государственного бэкдора» в кривых NIST, выбрало относительно малоизвестную secp256k1, поэтому при проектировании системы аккаунтов Ethereum унаследовал эту традицию.

Хотя r1 и k1 отличаются всего одной буквой, с математической точки зрения это совершенно разные языки. Это приводит к серьезной проблеме: тот самый чип безопасности в вашем телефоне совершенно не понимает Ethereum и не может напрямую подписывать транзакции Ethereum.

Если нельзя поменять железо, нужно «совместить» его на этом уровне

Ethereum, очевидно, не может заставить Apple или Samsung изменить дизайн чипов ради поддержки secp256k1, единственный путь — самому Ethereum адаптироваться под secp256r1.

Можно ли с помощью смарт-контракта реализовать проверку подписи r1? Теоретически — да, но математические вычисления слишком сложны, одна проверка может стоить сотни тысяч Gas, что экономически совершенно нецелесообразно.

Поэтому в обновлении Fusaka разработчики применили мощный инструмент: предкомпилированные контракты (Precompile). Это своего рода «бэкдор» или «плагин» в Ethereum Virtual Machine (EVM). Вместо того чтобы заставлять EVM выполнять вычисления шаг за шагом, функцию проверки просто реализовали на уровне клиентского кода. Разработчику достаточно вызвать определенный адрес, чтобы выполнить проверку с минимальными затратами.

В EIP-7951 эта стоимость зафиксирована на уровне 6900 Gas — с сотен тысяч она снизилась до нескольких тысяч, что наконец-то делает возможным ежедневное использование в реальных продуктах.

Последний кусочек пазла в Account Abstraction

Реализация этого EIP означает, что мы наконец-то можем подписывать и авторизовывать смарт-аккаунты Ethereum в TEE-среде смартфона.

Важно отметить, что это не подходит для текущих EOA-адресов, таких как MetaMask (поскольку их логика генерации публичного ключа по-прежнему основана на k1).

Это решение специально для Account Abstraction (AA-кошельков). В будущем ваш кошелек будет не набором мнемонических фраз, а смарт-контрактом. В этом контракте будет записано:

«Если этот отпечаток пальца (r1-подпись) подтвержден, разрешить перевод средств».

Резюме

EIP-7951, возможно, не заставит мнемонические фразы исчезнуть за одну ночь, но он наконец-то устранил самый большой камень преткновения на пути массового распространения Ethereum.

Раньше перед пользователем всегда стоял жесткий выбор: хотите «банковский» уровень самостоятельной безопасности? Придется купить OneKey, Keystone или Ledger и хранить мнемонику, как золотой слиток. Хотите максимально плавный опыт? Придется держать средства на бирже или в кастодиальном кошельке, жертвуя контролем (и децентрализацией).

После обновления Fusaka этот выбор исчезнет.

С внедрением EIP-7951 концепция «смартфон = аппаратный кошелек» постепенно станет реальностью. Для будущих миллиардов новых пользователей им, возможно, вообще не придется знать, что такое «приватный ключ», и не придется испытывать стресс от необходимости записывать 12 слов.

Им будет достаточно, как обычно при покупке кофе, отсканировать лицо или приложить палец, а встроенный в iPhone чип безопасности подпишет транзакцию с помощью secp256r1 и пройдет проверку через нативный предкомпилированный контракт Ethereum.

Вот правильный способ для Ethereum привлечь следующий миллиард пользователей: не требовать от них изучения сложной криптографии, а отказаться от высокомерия и совместить с общепринятыми интернет-стандартами, добровольно оказавшись в кармане пользователя.