以太坊协议可能的未来（六）：繁荣

以太坊协议设计中有许多"细节"对以太坊的成功至关重要。实际上,约一半的内容涉及不同类型的EVM改进,其余部分则由各种小众主题构成,这就是"繁荢"的意义所在。

繁荣：关键目标

• 将EVM变为高性能和稳定的"最终状态"
• 将账户抽象引入协议,允许所有用户享受更安全和便捷的账户
• 优化交易费用经济,提高可扩展性同时降低风险
• 探索先进的密码学,使以太坊在长期内显著改善

EVM改进

解决了什么问题？

目前的EVM难以进行静态分析,这使得创建高效实现、正式验证代码和进行进一步扩展变得困难。此外,EVM的效率较低,难以实现许多形式的高级密码学,除非通过预编译显式支持。

它是什么,如何运作？

当前EVM改进路线图的第一步是EVM对象格式(EOF),计划在下一个硬分叉中纳入。EOF是一系列EIP,指定了一个新的EVM代码版本,具有许多独特的特征,最显著的是:

• 代码(可执行,但无法从EVM中读取)与数据(可读取,但无法执行)之间的分离
• 禁止动态跳转,仅允许静态跳转
• EVM代码无法再观察与燃料相关的信息
• 添加了一种新的显式子例程机制

旧式合约将继续存在并可创建,尽管最终可能会逐步弃用旧式合约(甚至可能强制转换为EOF代码)。新式合约将受益于EOF带来的效率提升——首先是通过子例程特性稍微缩小的字节码,随后则是EOF特定的新功能或减少的gas成本。

在引入EOF后,进一步的升级变得更加容易,目前发展最完善的是EVM模块算术扩展(EVM-MAX)。EVM-MAX创建了一组专门针对模运算的新操作,并将其放置在一个无法通过其他操作码访问的新内存空间中,这使得使用诸如Montgomery乘法等优化成为可能。

一个较新的想法是将EVM-MAX与单指令多数据(SIMD)特性结合,SIMD作为以太坊的一个理念已经存在很长时间,最早由Greg Colvin的EIP-616提出。SIMD可用于加速许多形式的密码学,包括哈希函数、32位STARKs和基于格的密码学,EVM-MAX和SIMD的结合使得这两种性能导向的扩展成为自然的配对。

一个组合EIP的大致设计将以EIP-6690为起点,然后:

• 允许(i)任何奇数或(ii)任何最高为2768的2的幂作为模数
• 对于每个EVM-MAX操作码(加法、减法、乘法),添加一个版本,该版本不再使用3个立即数x、y、z,而是使用7个立即数:x_start、x_skip、y_start、y_skip、z_start、z_skip、count。在Python代码中,这些操作码的作用类似于:

python for i in range(count): mem[z_start + z_skip * count] = op( mem[x_start + x_skip * count], mem[y_start + y_skip * count] )

实际实现中,这将以并行方式处理。

• 可能添加XOR、AND、OR、NOT和SHIFT(包括循环和非循环),至少对于2的幂模数。同时添加ISZERO(将输出推送到EVM主堆栈),这将足够强大以实现椭圆曲线密码学、小域密码学(如Poseidon、Circle STARKs)、传统哈希函数(如SHA256、KECCAK、BLAKE)和基于格的密码学。其他EVM升级也可能实现,但迄今为止关注度较低。

现有研究链接

• EOF:
• EVM-MAX:
• SIMD:

剩下的工作及权衡

目前,EOF计划在下一个硬分叉中纳入。尽管总是有可能在最后一刻移除它——之前的硬分叉中曾有功能被临时移除,但这样做将面临很大挑战。移除EOF意味着未来对EVM的任何升级都需在没有EOF的情况下进行,虽然可以做到,但可能更困难。

EVM的主要权衡在于L1复杂性与基础设施复杂性,EOF是需要添加到EVM实现中的大量代码,静态代码检查也相对复杂。然而,作为交换,我们可以简化高级语言、简化EVM实现以及其他好处。可以说,优先考虑以太坊L1持续改进的路线图应包括并建立在EOF之上。

需要做的一项重要工作是实现类似EVM-MAX加SIMD的功能,并对各种加密操作的gas消耗进行基准测试。

如何与路线图的其他部分交互？

L1调整其EVM使得L2也能更容易地进行相应调整,如果二者不进行同步调整,可能会造成不兼容,带来不利影响。此外,EVM-MAX和SIMD可以降低许多证明系统的gas成本,从而使L2更加高效。它还使得通过用可以执行相同任务的EVM代码替代更多的预编译变得更加容易,可能不会大幅影响效率。

账户抽象

解决了什么问题？

目前,交易只能通过一种方式进行验证:ECDSA签名。最初,账户抽象旨在超越这一点,允许账户的验证逻辑为任意的EVM代码。这可以启用一系列应用:

• 切换到抗量子密码学
• 轮换旧密钥(广泛被认为是推荐的安全实践)
• 多重签名钱包和社交恢复钱包
• 使用一个密钥进行低价值操作,使用另一个密钥(或一组密钥)进行高价值操作

允许隐私协议在没有中继的情况下工作,显著降低其复杂性,并消除一个关键的中央依赖点

自2015年账户抽象提出以来,其目标也扩展到了包括大量"便利目标",例如,某个没有ETH但拥有一些ERC20的账户能够用ERC20支付gas。

MPC(多方计算)是一种已有40年历史的技术,用于将密钥分成多个部分并存储在多个设备上,利用密码学技术生成签名,而无需直接组合这些密钥部分。

EIP-7702是计划在下一个硬分叉中引入的一项提案,EIP-7702是对提供账户抽象便利性以惠及所有用户(包括EOA用户)的日益认识的结果,旨在在短期内改善所有用户的体验,并避免分裂成两个生态系统。

该工作始于EIP-3074,并最终形成EIP-7702。EIP-7702将账户抽象的"便利功能"提供给所有用户,包括今天的EOA(外部拥有账户,即受ECDSA签名控制的账户)。

虽然一些挑战(尤其是"便利性"挑战)可以通过渐进技术如多方计算或EIP-7702解决,但最初提出账户抽象提案的主要安全目标只能通过回溯并解决原始问题来实现:允许智能合约代码控制交易验证。迄今为止尚未实现的原因在于安全地实施,这一点是一项挑战。

它是什么,如何运作？

账户抽象的核心是简单的:允许智能合约发起交易,而不仅仅是EOA。整个复杂性来自于以一种对维护去中心化网络友好的方式实现这一点,并防范拒绝服务攻击。

一个典型的关键挑战是多重失效问题:

如果有1000个账户的验证函数都依赖于某个单一值S,并且当前值S使得内存池中的交易都是有效的,那么有一个单一交易翻转S的值可能会使内存池中的所有其他交易失效。这使得攻击者能够以极低的成本向内存池发送垃圾交易,从而堵塞网络节点的资源。

经过多年的努力,旨在扩展功能的同时限制拒绝服务(DoS)风险,最终得出了实现"理想账户抽象"的解决方案:ERC-4337。

ERC-4337的工作原理是将用户操作的处理分为两个阶段:验证和执行。所有验证首先被处理,所有执行随后被处理。在内存池中,只有当用户操作的验证阶段只涉及其自身账户并且不读取环境变量时,才会被接受。这可以防止多重失效攻击。此外,对验证步骤也强制实施严格的gas限制。

ERC-4337被设计为一种额外协议标准(ERC),因为在当时以太坊客户端开发者专注于合并(Merge),没有额外的精力来处理其他功能。这就是为什么ERC-4337使用了名为用户操作的对象,而不是常规交易。然而,最近我们意识到需要将其中至少部分内容写入协议中。

两个关键原因如下:

1. EntryPoint作为合约的固有低效性:每个捆绑约有100,000 gas的固定开销,以及每个用户操作额外的数千gas。
2. 确保以太坊属性的必要性:如包含列表所创建的包含保证需要转移到账户抽象用户。

此外,ERC-4337还扩展了两个功能:

• 支付代理(Paymasters):允许一个账户代表另一个账户支付费用的功能,这违反了验证阶段只能访问发送者账户本身的规则,因此引入了特殊处理以确保支付代理机制的安全性。
• 聚合器(Aggregators):支持签名聚合的功能,如BLS聚合或基于SNARK的聚合。这对于在Rollup上实现最高的数据效率是必要的。

现有研究链接

• 关于账户抽象历史的演讲:
• ERC-4337:
• EIP-7702:
• BLSWallet代码(使用聚合功能):
• EIP-7562(写入协议的账户抽象):
• EIP-7701(基于EOF的写入协议账户抽象):

剩下的工作及权衡

目前主要需要解决的是如何将账户抽象完全引入协议,最近受到欢迎的写入协议账户抽象EIP是EIP-7701,该提案在EOF之上实现账户抽象。一个账户可以拥有一个单独的代码部分用于验证,如果账户设置了该代码部分,则该代码将在来自该账户的交易的验证步骤中执行。

这种方