«Троянський кінь» у оновленні Ethereum Fusaka: як перетворити десятки мільярдів телефонів на апаратні гаманці?

Відмовитися від зарозумілості та пристосуватися до загальних інтернет-стандартів, свідомо опинитися у кишені користувача.

Автор: Zhixiong Pan

У твоїй кишені вже давно є «апаратний гаманець»

У наших повсякденних телефонах і комп’ютерах насправді вбудовано спеціальний захищений чип. Наприклад, у iPhone це «Secure Enclave», а в Android-пристроях — Keystore / Trust Zone / StrongBox.

Ця незалежна фізична область зазвичай називається TEE (Trusted Execution Environment — Довірене Виконуюче Середовище). Її особливість — «тільки вхід, без виходу»: приватний ключ генерується всередині та ніколи не залишає цю фізичну область, зовні можна лише надіслати запит на підпис даних.

Це, по суті, і є стандарт апаратного гаманця. А під час підпису ці чипи зазвичай використовують галузевий стандартний алгоритмічний кривий, обраний NIST (Національний інститут стандартів і технологій США): secp256r1. Це також основа WebAuthn та FIDO2 (наприклад, твій вхід за відбитком пальця чи FaceID).

Безодня, що відрізняється лише однією літерою

Незручно, але Ethereum нативно не підтримує цей популярний secp256r1.

Колись спільнота Bitcoin, побоюючись можливого «державного бекдору» у кривих NIST, обрала менш популярний secp256k1, тому при проєктуванні облікової системи Ethereum цю традицію було збережено.

Хоча r1 і k1 відрізняються лише однією літерою, з математичної точки зору це абсолютно різні мови. Це й створює величезну проблему: твій захищений чип у телефоні не розуміє Ethereum і не може напряму підписувати транзакції Ethereum.

Якщо не можна змінити «залізо», треба забезпечити сумісність у цьому релізі

Ethereum, очевидно, не може змусити Apple чи Samsung змінити дизайн чипів під secp256k1, єдиний шлях — самому Ethereum пристосуватися до secp256r1.

Чи можна перевіряти підпис r1 за допомогою смарт-контракту? Теоретично так, але математичні обчислення надто складні — одна перевірка може коштувати сотні тисяч Gas, що економічно неприйнятно.

Тому під час оновлення Fusaka розробники застосували потужний інструмент: препомпільовані контракти (Precompile). Це ніби «бекдор» або «плагін» у віртуальній машині Ethereum (EVM). Замість того, щоб EVM рахувала крок за кроком, цю перевірку впровадили безпосередньо у базовий код клієнта. Розробнику достатньо викликати певну адресу — і перевірка відбудеться з мінімальними витратами.

У EIP-7951 ця вартість зафіксована на рівні 6900 Gas — з сотень тисяч одразу до кількох тисяч, нарешті це стало придатним для щоденного використання у реальних продуктах.

Останній фрагмент пазлу абстракції акаунтів

Впровадження цього EIP означає, що ми нарешті можемо підписувати та авторизувати смарт-акаунти Ethereum у TEE-середовищі телефону.

Варто зазначити, що це не підходить для твого поточного EOA-адресу MetaMask (бо їхня логіка генерації публічного ключа все ще базується на k1).

Це спеціально для «абстракції акаунтів» (AA-гаманці). У майбутньому твій гаманець буде не набором мнемонічних фраз, а смарт-контрактом. У цьому контракті буде прописано:

«Якщо цей відбиток (r1-підпис) підтверджено — дозволити переказ.»

Підсумок

EIP-7951, можливо, не знищить мнемонічні фрази за одну ніч, але нарешті прибрав найбільший камінь спотикання на шляху масового поширення Ethereum.

Раніше перед користувачем завжди стояв жорсткий вибір: хочеш «банківський» рівень автономної безпеки? Купуй OneKey, Keystone чи Ledger, а мнемонічну фразу зберігай, як злиток золота; хочеш максимально плавний досвід? Тримай монети на біржі чи у кастодіальному гаманці, але втрачай контроль (жертвуй децентралізацією).

Після оновлення Fusaka ця дилема зникне.

З появою EIP-7951 «телефон = апаратний гаманець» поступово стане реальністю. Для майбутнього мільярда нових користувачів їм, можливо, взагалі не доведеться знати, що таке «приватний ключ», і не потрібно буде переживати через запис 12 слів.

Їм достатньо, як зазвичай при купівлі кави, відсканувати обличчя чи прикласти палець — і захищений чип iPhone підпише транзакцію secp256r1, а перевірка відбудеться через нативний препомпільований контракт Ethereum.

Ось як Ethereum має зустріти наступний мільярд користувачів: не вимагати від них вивчати складну криптографію, а пристосуватися до загальних інтернет-стандартів і свідомо опинитися у кишені користувача.