以太坊（3）——智能合约

智能合约

首先明确一下几个说法（说法不严谨，为了介绍清晰才说的）：

全节点==矿工
节点==账户

智能合约是基于Solidity语言编写的

学习Solidity语言可以到WFT学院官网（Hello from WTF Academy | WTF Academy），有初级和进阶课程

智能合约的结构

下面的函数的问题，在文章最后讨论

上述是一个简单的智能合约的结构：

一个合约可以看作是一个类
log通过emit触发事件在链上记录下来
构造函数是每个合约有且只有一个的，可以为空，只能在创建时调用一次
成员函数是部署合约后可以调用的，一般有关键字，modifier等限制权限
智能合约里的mapping不能遍历，只能存储它的地址集合，按照地址去查询

合约的调用

外部账户的调用

首先，要填写外部账户的地址，合约账户的地址
之后，需要填写函数接收的参数（之后细说）
一般部署和调用合约的编译器是Remix

一个合约中调用另一个合约的函数

直接调用

合约B调用合约A的内容，A a = A(addr),addr指的是A的地址，该语句将这个地址转换成A合约的实例a，之后调用a里面的函数foo，使用ua接收返回值。
由于以太坊规定一个交易只能由外部账户调用，合约账户不能发起交易。因此只能当某个外部账户调用合约B的时候，才能触发B中的那个语句，进而调用A
这种调用方式下，如果A在运行过程中发生什么异常，会导致B合约的内容也连带回滚

call函数调用

这种方式的调用，如果调用的合约（addr的实例）出现错误，C合约不会回滚，只会引起调用部分返回异常值，其余部分正常

代理调用

这种调用不需要切换到被调用的合约环境中去执行，在当前合约的环境中执行（使用当前合约的属性等）

fallback函数

注意，只有向合约账户转账时才有fallback函数的生成！！！

如果不需要调用函数或者调用函数错误时，Solidity编译器自动生成fallback函数，里面的payable函数也是自动添加的

注意：gas费是给记录你这笔交易矿工的（类似于BTC里面的交易手续费），不是给合约账户的！

合约节点会在以下情况下调用fallback函数：

未知函数调用： 当合约接收到一个未知的函数调用时，即调用合约中不存在的函数时，会触发fallback函数的执行。
以太币转账： 当以太币被直接发送到合约地址（即没有附带调用数据），这时会触发fallback函数的执行。
低级调用： 如果合约内部使用了call或delegatecall调用其他合约，并且调用的合约不存在对应的函数时，也会调用fallback函数。

错误处理

智能合约的调用具有原子性，即一个合约部分出错，整体回滚（这个和前面讲的addr调用不冲突，addr调用是使用一个判断语句将这个调用变成了一个返回值）

gaslimit被耗完依旧不能实现，调用被回滚，而且gas费不退还
assert()语句检查内部错误（类似于C语言）
require()语句检查外部错误（比如msg.senter!=addr）
revert()语句自动弹出错误（可用于if条件等）

注意：Solidity里面没有自定义报错类型try-catch

嵌套调用

一个合约调用另一个合约

如果向某个合约账户转账，虽然表面上你没有调用，但是编译器自动帮你生成了fallback函数，还是调用了！

智能合约的创建和运行

创建

外部账户发起转账到0x0地址中，转账金额为0
合约代码（编译成bytecode）放在data域中
支付给矿工gas，矿工将合约发布到区块链上，返回合约的地址（也就是智能合约的地址）
此时，智能合约就可以被所有人调用了

运行

智能合约运行在以太坊虚拟机EVM（Ethereum Virtual Machine）上

EVM是一个256位的WWC（Worldwide Computer），使用EVM提高了智能合约的可移植性

汽油费（gas）

原因

图灵完备的语言，需要避免死循环导致的停机

数据结构

调用合约的人支付，相当于是把停机问题推给了调用方

GasLimit就是调用方此次调用这个合约能接受的最大汽油量，可以在Remix部署时填写

GasLimit * Price 计算出的是花掉的最大汽油费

Payload就是data域

gas的价格是由调用者选择的，价格高的更容易被矿工写入区块。

往往代码功能简单的汽油费低，代码复杂的汽油费高。
存储状态变量汽油费高，仅读取状态变量免费

调用过程

当一个全节点收到一个调用的时候，它首先计算出调用花费的最大汽油费
将这笔最大汽油费从发起账户中扣掉。
然后根据实际执行的情况算出实际花费的汽油费，剩下的退回去，不够的话合约回滚gas耗完不退

数据结构

区块头

GasLimit

实际消耗gas的上限！

BTC每个区块最大不能超过1M，主要是带宽因素

由于ETH矿工的gas费收益是很可观的，防止他为了多收钱把巨量的的交易包含进去，影响传输速率，也要进行限制，
但是因为智能合约Solidity的结构复杂（循环和调用），往往大小不能完全反映复杂程度，因此就使用最大gas费的方式限制

GasUsed

实际消耗的汽油费

每个区块发布的时候，矿工可以对gaslimit进行微调，上下不超过1/1024

三树

合约调用的时间应该在发布区块前还是发布区块后？

先执行，后挖矿。原因是执行完合约之后，“三树”的信息会改变，而区块头包含的是三树的根哈希值。只有得到根哈希值之后才可以组合数据，尝试nonce值！

本质上，汽油费是为了补偿矿工执行合约消耗的资源。但是对于没有挖到区块的矿工，他们的验证没有补偿的，这会不会导致那些矿工不去验证发布的区块，就默认发布的是对的。如果这样的话就会严重影响区块链的安全性！

节点不验证了怎么办？

如果它不执行不验证，就无法更新三树，之后它组装区块的时候算出的根哈希值是错的，挖出区块的nonce值被其他区块验证为不合法！环环相扣了属于是。

我还是不验证，直接抄！

这种做法类似于矿池的做法，一个全节点进行验证，其他矿工只负责计算哈希值。

但是如果你不是这个矿池的成员，你敢不敢相信它发布的三树根哈希是正确的呢？要知道挖矿的3Ether收益可是远远大于gas费的，矿工不愿意冒着辛辛苦苦挖出区块作废的奉劝去节省验证的花销。

执行错误的交易要不要发布？

要，这样依旧可以扣除他的汽油费，获得你的收益

智能合约是否支持多线程（多核并行处理）？

不支持，因为Solidity语言中不具有支持多线程的语句。原因是多核对于内存访问顺序不同的时候，会导致最终的结果不同，而以太坊需要的是状态机进入统一的确定的状态（Papers (zhenxiao.com)可以参考肖老师的论文

Receipt

每个交易执行完形成一个收据（receipt），Status这个变量代表的是交易的状态

地址类型

address.balance: address的余额

address.transfer(金额):当前合约向address转入的金额

address.call:当前合约调用address

转账的方法

<address>.transfer(uint256 amount)//会导致连锁型回滚  gas少
<address>.send(uint256 amount)//返回false 不会会滚 gas少
<address>.call.value(uint256 amount)//本意不是专门为转账设计的 不会会滚  发送剩余的所有gas

智能合约的信息获取

通过智能合约可以得到区块链的信息

智能合约可以获取的调用信息

msg.sender和tx.origin的区别

上图中A账户调用C1合约中的f1函数，f1函数调用C2合约中的f2函数

则对于f2函数而言，msg.sender指的是C1，而tx.origin指的是A账户

智能合约的设计

不可篡改！

智能合约是不可篡改的，在发布之前一定要反复测试。

一旦发布就不可撤销，无法更改。可能会导致资金的永久锁死或者被黑客利用漏洞进行攻击！

测试的网址比如本地的truffle，ganache，测试网等等，确认完全没有问题再进行发布

后门？

不存在的，因为这与去中心化背道而驰

拍卖函数的修正

第一版问题

右侧最高出价的for循环有问题，都拿不到钱！

第二版

拆成两个函数，第一个允许竞拍的失败者取回自己的钱（只能取一次），第二个是将最高出价给卖家

BUG

注意黑客合约的fallback函数（右侧最下面），当合约通过call函数调用时，调用fallback函数（忘记的话可以回顾一下上面的fallback函数部分）。因此，主合约的withdraw进入if语句的判断时，就会调用fallback函数给黑客转账，而fallback函数再次调用withdraw函数，形成循环（根本无法执行48行的清零语句）...

循环截至的条件：

合约存储的钱不足以支付下次转账
调用栈溢出
gas费不足

这也是黑客的fallback函数里面if语句判断的条件！

第三版

先清零再转账，这遵循了和其他合约发生交互的编程模式： 先判断条件，再改变条件，最后交互！

第二版纠正

另一种方法就是不用call！

使用send和transfer都可以，因为发送出的汽油费只有2300个单位，不足以支撑再一次的调用，只够写一个log

The DAO

造成以太坊分裂的一次攻击

DAO：Decentralized Autonomous Organization 去中心化机构

致力于去中心化投资的公司——The DAO

运行原理

这个公司本质上是ETH上的一个智能合约，你想要投资就要把你的以太币发给这个合约，换取合约的D代币（简称）。要投资什么项目由大家投票决定，投票的权重按照所拥有的D代币分配，收益也是按照规定按比例分配。

取款

取款的方式使用split DAO。当取钱时，收回相应的代币，将对应的以太币打到子基金Chile DAO之中（这种做法也是给部分人投资小众项目拆分子基金用的，极端例子就是单个投资者成立子基金，也就是取钱）

拆分之前有7天的讨论期，用于商讨要不要拆出子基金以及要不要加入这个子基金

拆分后有28天的锁定期，子基金里的钱要28天以后才能取出来

历史事件

2016年开始众筹，引起很大关注，在一个月时间筹集到价值1.5亿美元的Ether（当时价格）

这就违反了之前提到的先判断条件，再改变条件，最后交互！的编程原则，导致了黑客盗走价值5kw美元的资金

之后，社区发生意见的分歧，一方认为要回滚，利用28天的锁定期来防止黑客取走资金。另一方认为，合约的漏洞只是它自己的漏洞，不能因为一个合约的问题就违背以太坊的不可篡改性。

社区的开发者认为The DAO是too big to fail，垮掉会对以太坊造成毁灭性打击（以太币价格跳水），因此采取了回滚措施进行补救。

如何补救？

首先，以太坊开发团队想到的是一个软分叉方案：

锁定黑客账户：进行一次软件升级但凡与TheDAO相关的账户，不能进行任何交易（老认新，软分叉）。

问题是，当时规定，这些”非法“的账户发布交易，不能上链也不收取gas，因此引起了很多这种账户发布死循环攻击来骚扰矿工，矿工不堪重负，纷纷回滚这次软件的升级

由于软方案失败，所剩时间不多，团队只能采取硬分叉方案：

将所有的资金（要是只转黑客的，其他的相关帐户都可以利用这个BUG实现攻击）转入一个账户B，该账户的唯一作用就是——退钱！在第192W个区块强制将所有相关账户的钱转给账户B（新认老，固执节点不认可你没有人家账户签名就转账的操作）

分歧

很多节点认为，这种操作违背了去中心化的理念（以太坊团队说转走谁的钱就转走）因此以太坊团队发布两个合约进行投票，支持哪一种方案就把以太币投进那个合约。最后大多节点（按掌握资金数量分）选择硬分叉。

但是，另一方不认可这样的做法：

并非所有资金都参与投票了
大多数人支持的就一定对吗？

这些矿工挖出的旧链以太币被称为ETC

ETC

ETC（classic），指的是在旧链上挖矿产出的以太币，由于挖矿算力大幅削减，不乏投机者选择在这条链上进行挖矿，但是也有一部分矿工坚持挖矿是源自去中心化的信仰！尽管开始的前景并不被人看好，但是这条链依旧坚持至今。

2015年7月 Vitalik Buterin和以太坊基金会创建了第一个基于区块链的图灵完成智能合约平台。

2016年4月~6月以太坊The DAO项目ICO以遭到黑客攻击告终

2016年7月20日以太坊硬分叉实施，产生了ETH和ETC两条独立的区块链，ETC正式诞生

2016年8月 91，pool上线

2016年9月23日，微软加入对于ETC的支持

2016年10月17日，ETC第一个ICO项目ETCWIN

2016年10月，ETCFans上线

2016年12月24日，全球第一个以太坊原链社区交易所ETCWin上线

2017年4月27日，ETF基金会确定限产

2017年6月底，ETC发起支持零知识证明改进建议。

......

为了更好的管理这两条链，产生了新的数据标记——ChainID

Beauty Chain（美链）

背景介绍

美链(Beauty Chain)是一个部署在以太坊上的智能合约，有自己的代币BEC。

ICO：Initial Coin Offering没有自己的区块链，代币的发行、转账都是通过调用智能合约中的函数来完成的
可以自己定义发行规则，每个账户有多少代币也是保存在智能合约的状态变量里
ERC 20（Ethereum Request for Comments）是以太坊上发行代币的一个标准，规范了所有发行代币的合约应该实现的功能和遵循的接口
美链中有一个叫batchTransfer的函数，它的功能是向多个接收者发送代币，然后把这些代币从调用者的帐户上扣除

很多代币上线之前是依附在以太坊上的。

实现

接收者的数目最多20个

问题

uint amount = uint256(cnt) * _value

乘出的结果可能过大，出现溢出，即扣除的代币数字很小。也就是调用者转出的代币少，接收者依旧收到海量代币。也就是系统发行代币量凭空增多。

攻击细节

每个黑客区块收到了很大一部分代币

反思

Is smart contract real smart？

智能合约，实际上只是一种改不了Bug的合同

不可篡改性是一个双刃剑

一方面增加了合约的公信力，

但另一方面发布后的软件很难进行修改。发现了安全漏洞，很难发布软分叉进行补救，或者阻止调用；哪怕发现了黑客，也很难冻结其账户

如果你是theDAO的用户，怎么补救？

使用重入攻击转走剩余的资金，之后再分给大家

Nothing is irrevocable

不要过度迷信区块链的不可篡改性，代码是死的，人是活的

比如美国宪法还有修正案，以及被推翻的修正案（禁酒令）

Solidity语言设计的问题

安全性问题

有人认为Solidity语言是反自然的。本质上，转账时调用fallback函数，也就给了被转账方再次调用合约的机会。这和正常情况下转账接收方是被动接收相违背，和常识不同。因此有人提议应该使用函数式的语言编写合约

语言表达能力

图灵完备的表达能力是不是太强了？BTC的语言表达能力太差，ETH写的程序又有些危险。能不能找一种适中的语言？

在日常生活中，我们使用自然语言编写合同，自然语言写出的一些合同也有纠纷，难道要写一套合同专用语言吗？实际上的解决方法是在模板的基础上编写合同，常用的智能合约会出现模板，会出现专门编写智能合约的机构......

相信智能合约终究会走向成熟！

透明性

中心化的公司很多是闭源的，把源代码当作是商业机密。去中心化的公司为了让大家达成共识，往往需要将代码开源（比如更新，查验等等）

开源的好处

增加合约的公信力
开源代码很多人审查，不容易出现漏洞？

Many Eyeball Fallacy

虽然很多人有权限看，但是大多人没动力看，看不懂或者看懂了找不出漏洞

涉及到财产安全的合约，要仔细检查漏洞。投资需谨慎，将资金投入在自己了解擅长的领域，不要孤注一掷天台见！

去中心化

What does decentralization mean？

去中心化不是说一切由代码决定，也要有人的参与。

去中心化不是说制定好的规则一定不能修改，而是规则的修改要按照去中心化的原则来完成。

分叉

存在分叉的选项，是民主的体现，因为在中心化的世界里，你只能接受！

这就像theDAO当时的子基金，或者像还在挖矿的ETC，亦或是创建以太坊的V神，他们愿意构造一个世界，不是少数服从多数，而是只要有想法，就可以走出自己的道路。

去中心化不等价于分布式

去中心化一定是分布式的，但是分布式如果是由一个组织管辖（或者占有绝对领导权），也不能叫去中心化。

分布式的系统是不同的机器做不同的事情，最后汇总成一个结果。本质目的是为了加速

状态机

而比特币和以太坊都是运行的一台状态机，付出巨大的代价使得系统维持一个一致的状态。状态机的本质目的是为了容错。space shuttle，stock exchange 等状态机多台计算机运行同一个状态，防止某台机器宕机的风险。状态机由于同步的需要，往往是机器越多，运行越慢，因此只有几台机器（本来就是防止某台宕机的，多了也没必要）

而向BTC，ETH这种上千台计算机的分布式状态机是两者的混合体，智能合约适用的不是分布式系统，智能合约是用来在互不相识的机器之间建立共识机制的控制性语言，而不是用于大规模云计算的。