撰文：Max.S

昨天以太坊十周岁了，2015 年创世区块上线时它还只是个「实验性项目」，而现在它管理着超 440 亿美元 Layer2 锁仓价值且是承载全球加密货币 ETF 的基础设施之一，以太坊第一个十年书写了区块链史上最为波澜壮阔的进化历程，从 DAO 分叉到合并升级、从 Gas 费高昂到 Rollup 推广，每次危机都变为技术跃迁的垫脚石。

但在第二个十年的开端，以太坊的「成年礼」可不容易，账户抽象落地后出现安全漏洞且 Layer2 生态有「割据战争」，MEV 侵蚀公平性且全球监管是把「双刃剑」，这四大核心难题就像悬在头上的达摩克利斯之剑，机构资金通过 ETF 涌入而普通用户盼着更好的交互体验，以太坊得在技术理想和现实妥协间找到新平衡。

账户抽象：便捷性与安全的「生死博弈」

2025 年 5 月，一位用户社交媒体上讲了自己的遭遇：点击授权后，15 分钟内钱包余额就被转空了，对方连他的私钥都没获取，用户在使用某钱包「一键升级账户抽象」功能时，不小心授权了恶意合约，价值 12 万元的 ETH 就自动被转移了，这种情况不是个例，区块链安全公司 SlowMist 统计过，Pectra 升级仅两周，超 10 万个钱包就因 EIP-7702 授权漏洞被盗，总共损失达 1.5 亿美元。

EIP-7702 的双面性

2025 年 5 月 7 日上线的 Pectra 升级借由 EIP-7702 达成「账户抽象」的重大突破，普通用户钱包（EOA）被允许临时具备智能合约功能以支持批量交易、Gas 费代付、社交恢复等「Web3 原生体验」，理论上以太坊十年未解决的「用户体验顽疾」得以解决，以前完成一次 DeFi 兑换得要 2 次授权加 1 次交易现在能合并成单步操作，而且开发者也能够为用户垫付 Gas 费，使「零 ETH 也能玩 Web3」变为现实。

便捷性背后，信任模型被彻底重构，CertiK 安全团队指出，EIP-7702 把「EOA 无法执行合约代码」这一底层假设打破了，依赖 tx.origin==msg.sender 的旧合约因此面临重入攻击风险，更严重的是，黑客利用用户对「账户抽象」的新奇感，拿钓鱼链接诱导用户授权恶意合约，就像排名第一的 EIP-7702 委托合约（0x930fcc37d6042c79211ee18a02857cb1fd7f0d0b）被发现会自动重定向资金，首次接触账户抽象的新手用户在受害者中占 73%。

未来的攻坚方向

以太坊基金会正在推进「智能账户安全标准」，钱包被要求必须显示委托合约的开源状态且加入 72 小时冷静期，但真正的挑战是平衡「灵活性」与「安全性」，机构用户需要复杂的权限管理如多签加上时间锁，而普通用户则希望使用起来像支付宝一样简单，Vitalik 在香港 Web3 嘉年华上说过，账户抽象不是终点，而是「用户主权」与「安全护栏」持续博弈。

Layer2 生态：繁荣背后的「割据危机」