Entrevista exclusiva con Will Hennessy de Alchemy

A medida que la actualización de Pectra de Ethereum se acerca, Will Hennessy de Alchemy habla sobre por qué EIP-7702 no es para principiantes y de qué los desarrolladores de blockchain deben tener en cuenta.

Ethereum Los desarrolladores han anunciado que la muy esperada actualización de Pectra se lanzará el 8 de abril. La actualización introducirá nuevos mecanismos destinados a aumentar la velocidad de procesamiento de transacciones de Ethereum, reducir las tarifas de gas y agregar cuentas inteligentes que pueden ejecutar múltiples transacciones simultáneamente e incluso pagar tarifas de gas con diferentes criptomonedas.

Si bien la actualización se lanzará en vivo en el Netnet en abril, ya se ha implementado en el Holesky Testnet de Ethereum, aunque el despliegue enfrentó algunos desafíos, incluidos los problemas con la finalidad de la transacción y los retrasos inesperados en la funcionalidad de abstracción de la cuenta.

Crypto.News habló con Will Hennessy, gerente de producto de la compañía de infraestructura de blockchain Alchemy, para explorar si la actualización trae amenazas ocultas y por qué cree que EIP-7702, una parte clave de Pectra, no es adecuada para los principiantes y lo que los proveedores de billeteras deben saber antes de implementarlo.

CN: Ethereum eventualmente quiere que cada billetera funcione como un contrato inteligente, y la actualización Pectra 2025 (EIP-7702) parece jugar un gran paso en esa dirección, ya que permitirá que las billeteras regulares ejecutaran un código de contrato inteligente sin necesidad de una revisión de cuenta completa. Pero, ¿no haría esa actualización más fácil para los malos actores disfrazar los contratos inteligentes maliciosos como EOA regulares?

WH: EIP-7702 en realidad no hace que sea más fácil disfrazar los contratos maliciosos. He aquí por qué:

El mecanismo de delegación requiere una autorización explícita del usuario: nada sucede automáticamente o sin conciencia del usuario. El propietario de la EOA debe elegir activamente delegar el control a un contrato inteligente a través de una firma específica. Esta delegación es permanente hasta que se revoca explícitamente.

Lo que es importante entender es que la clave privada de la EOA conserva el control total y puede anular el comportamiento de la cuenta inteligente. Esta es en realidad una característica de seguridad: si un usuario descubre que ha delegado a un contrato malicioso, siempre puede usar la clave privada de su EOA para revocar la delegación.

Es por eso que no recomendamos EIP-7702 para nuevos usuarios: es mejor que comiencen con cuentas inteligentes puras que permitan una rotación clave más segura y políticas múltiples que no se pueden pasar por alto. EIP-7702 es más valioso para actualizar las billeteras EOA existentes que ya tienen activos o historial, dándoles acceso a las características de contrato inteligente de manera controlada.

Para los proveedores de billeteras, recomendamos implementar medidas de seguridad claras:

• Indicadores visuales Cuando los usuarios omiten la seguridad de la cuenta inteligente.
• Comprobaciones de reputación automatizadas para contratos de delegado.
• Advertencias específicas de la cadena cuando los estados de delegación difieren entre las redes.

Entonces, mientras EIP-7702 agrega nuevas capacidades a EOA, incluye consideraciones de seguridad en su diseño y mantiene el control del usuario a través de opciones explícitas de autorización y revocación. El objetivo no es facilitar el código arbitrario: es permitir que las billeteras existentes accedan a las funciones de contrato inteligente de manera segura.

CN: ¿Podría EIP-7702 conducir a un aumento en las estafas de phishing, dado que EOA ahora puede ejecutar la lógica de contrato inteligente?

WH: Si bien EIP-7702 agrega una nueva funcionalidad a EOA, no aumenta inherentemente el riesgo de phishing. El punto clave es que la ejecución de la lógica de contrato inteligente aún requiere una autorización explícita del propietario de la EOA.

Piense en ello como agregar recuperación de la cuenta a su correo electrónico: agrega una nueva funcionalidad pero no hace que su cuenta sea más vulnerable. De hecho, EIP-7702 puede ayudar a hacer que las billeteras sean más seguras al habilitar mejores características de seguridad como:

• Claves de sesión para autorizaciones por tiempo limitado.
• Opciones de recuperación social.
• Validación de transacciones más sofisticada.
• La capacidad de establecer límites de gasto y otros controles de seguridad.

Los usuarios mantienen el control total a través de la clave privada de su EOA, que puede anular o revocar cualquier funcionalidad delegada. Esto significa que si un usuario identifica un comportamiento malicioso, puede revocar inmediatamente el acceso.

Dicho esto, los proveedores de billetera deben implementar medidas de seguridad adecuadas:

• Las interfaces de usuario claras que muestran cuándo se están utilizando características de contrato inteligente.
• Fuerte verificación de contratos delegados.
• Gestión de delegación fácil de entender.
• Clara advertencias cuando los usuarios toman acciones que evitan la seguridad de la cuenta inteligente.

Para los usuarios con billeteras EOA existentes que desean estas características, la ruta de actualización a través de EIP-7702 es realmente más fácil que las alternativas como crear nuevas billeteras de contrato inteligentes y transferir todos los activos. La clave es la implementación adecuada de los proveedores de billeteras y la educación clara del usuario sobre cómo funcionan estas nuevas características.

CN: ¿Deberíamos esperar que los proveedores de blockchain como la alquimia, o incluso las billeteras, intenten protecciones contra este tipo de ataques?

WH: Sí, la seguridad es nuestra máxima prioridad absoluta. Nuestras cuentas inteligentes han sido completamente auditadas, y hemos estado asegurando una infraestructura crítica para el ecosistema Ethereum durante más de 7 años. Continuaremos manteniendo los mismos rigurosos estándares de seguridad que apoyamos la adopción EIP-7702.

Ya estamos ayudando a las aplicaciones a prepararse para esta transición con el soporte EIP-7702 en el kit de cuentas, nuestro kit de herramientas de billetera inteligente.

CN: ¿Por qué ha tardado en Ethereum tanto en dar vida a la abstracción de la cuenta?

WH: El viaje para contabilizar la abstracción en Ethereum ha sido metódico por una buena razón. La modificación de cómo funcionan las cuentas a nivel de protocolo requiere atención extrema, ya que afecta a cada usuario y aplicación en la red.

Los primeros intentos de abstracción de la cuenta propusieron cambios más radicales a la arquitectura central de Ethereum. Estas propuestas habrían requerido modificaciones importantes a la máquina virtual Ethereum en sí, lo que conllevaba un riesgo técnico significativo y una complejidad de implementación.

En cambio, el ecosistema adoptó un enfoque gradual. Primero llegó ERC-4337, que habilitó cuentas de contratos inteligentes, esencialmente trabajando en torno a la necesidad de cambios profundos en el protocolo. Esto permite que la comunidad prueba y refine los conceptos de abstracción de la cuenta en la producción.

Ahora con EIP-7702, estamos viendo una solución más elegante que se basa en esos aprendizajes. En lugar de reestructurar por completo cómo funcionan las cuentas, permite a los EOA delegar capacidades a contratos inteligentes mientras mantiene la compatibilidad al revés. Esto preserva las propiedades de seguridad que confían los usuarios mientras desbloquean una nueva funcionalidad.

Cada paso ha requerido pruebas extensas, auditorías de seguridad y consenso de la comunidad. Cuando se trata de una red que asegura cientos de miles de millones en valor, este enfoque medido para el cambio fundamental es crucial. El objetivo ha sido expandir las capacidades de la billetera sin comprometer la seguridad y confiabilidad centrales de Ethereum.

Lo que estamos viendo ahora no es solo que la abstracción de la cuenta finalmente llegue: su abstracción de la cuenta hecha bien, informada por años de investigación, pruebas y experiencia en el mundo real.