Solidity delegatecall （委托调用）是一个低级别的函数，其强大但棘手，如果使用得当，可以帮助我们创建 可扩展 的智能合约，帮助我们修复漏洞，并为现有的智能合约增加新的功能

Solidity delegatecall （委托调用）是一个低级别的函数，它允许我们在主合约的上下文的情况下加载和调用另一个合约的代码。这意味着被调用合约的代码被执行，但被调用合约所做的任何状态改变实际上是在主合约的存储中进行的，而不是在被调用合约的存储中。
这对创建库和代理合约模式很有用，我们把调用委托给不同的合约，"给它们"权限来修改调用合约的状态。
这个功能也有一些我们需要注意的隐患，基本上是本文要重点关注的内容。
正如另一篇关于存储中状态变量布局的文章 和 Solidity 文档 中解释的那样，合约中声明的每个状态变量都在存储中占据一个槽，如果它们的类型小于32字节，并且可以一起放入一个槽中，则可能与其他状态变量共享一个公共槽。

所以，当我们访问这些状态变量，给它们赋值或从它们那里读取时，Solidity 用该状态变量的声明位置来知道访问哪个存储槽并从它那里读取或更新它。

例如，给定以下合约:

contract EntryPointContract {
  address public owner = msg.sender;
  uint256 public id = 5;
  uint256 public updatedAt = block.timestamp;
}

我们看到它声明了3个状态变量，owner，id和updatedAt。这些状态变量有赋值，在存储中，它们看起来像这样:

我们看到，在索引0 存储槽处，我们有第一个状态变量的值使用零填充，因为每个槽可以容纳32个字节的数据。
第二个槽，索引为1，保存了 "id"状态变量的值。
第三个槽，索引为2，有第三个状态变量updatedAt的值。所有存储的数据都以十六进制表示，所以转换 0x62fc3adb到十进制是1660697307，用js转换为日期：

const date = new Date(1660697307 * 1000);
console.log(date)

结果：

Tue Aug 16 2022 20:48:27 GMT-0400 (Atlantic Standard Time))

所以，在访问状态变量id时，我们是在访问索引为1的槽。
很好，那么，使用delegatecall的陷阱在哪里？
为了让委托合约对主合约的存储进行修改，它同样需要声明自己的变量，其顺序与主合约的声明顺序完全相同，而且通常有相同数量的状态变量。
例如，上面的 EntryPointContract 的委托合约，需要看起来是这样的：

contract DelegateContract {
  address public owner;
  uint256 public id;
  uint256 public updatedAt;
}

有完全相同的状态变量，完全相同的类型，完全相同的顺序，最好有完全相同数量的状态变量。在此案例中，每个合约有3个状态变量。
让我们展示一下这两个合约：

contract DelegateContract {
  address public owner;
  uint256 public id;
  uint256 public updatedAt;

  function setValues(uint256 _newId) public {
    id = _newId;
  }

}

contract EntryPointContract {
  address public owner = msg.sender;
  uint256 public id = 5;
  uint256 public updatedAt = block.timestamp;
  address delegateContract;

  constructor(address _delegateContract) {
    delegateContract = _delegateContract;
  }

  function delegate(uint256 _newId) public returns(bool) {
    (bool success, ) =
    delegateContract.delegatecall(abi.encodeWithSignature("setValues(uint256)",
      _newId));
    return success;
  }

}

这里我们看到了一个真正简单的代理合约的实现。EntryPointContract有一个构造函数，接收部署的DelegateContract的地址来委托它的调用，以便自己的状态被DelegateContract修改。

该delegate函数收到一个要设置的_newId，所以它使用低级别的delegatecall将该调用委托给DelegateContract 来更新id变量。

在用新的id值调用delegate函数，并检查EntryPointContract和DelegateContract合约的变量id值后，我们看到只有EntryPointContract的状态变量id有值，而DelegateContract的id状态变量没有赋值，仍然被设置为0，因为DelegateContract修改的不是它自己的存储，而是EntryPointContract的存储。

很好!

在第7行，我们看到id = _newId，但是，虽然听起来很奇怪，它并没有修改EntryPointContract的id变量，却实际上修改了EntryPointContract的存储槽， 我们知道EntryPointContract中的id变量被声明在索引为1的槽中，如上图所示。

这可能会引起混淆，因为我们实际上看到代码正在给DelegateContract中的id变量赋值，你可能认为不管这个变量在EntryPointContract或DelegateContract中的位置在哪里，它仍然会修改EntryPointContract中的id状态变量槽。但是不是这样的。

例如，在下面的合约中，我在DelegateContract中声明了id状态变量的第三个位置，这意味着现在它指向索引为2的槽，而不管EntryPointContract中的id 状态变量名。

contract DelegateContract {
  address public owner;
  // 注意：两个变量换了位置
  uint256 public updatedAt;
  uint256 public id;

  function setValues(uint256 _newId) public {
    id = _newId;
  }

}

contract EntryPointContract {
  address public owner = msg.sender;
  uint256 public id = 5;
  uint256 public updatedAt = block.timestamp;
  address delegateContract;

  constructor(address _delegateContract) {
    delegateContract = _delegateContract;
  }

  function delegate(uint256 _newId) public returns(bool) {
    (bool success, ) =
    delegateContract.delegatecall(abi.encodeWithSignature("setValues(uint256)",
      _newId));
    return success;
  }

}

现在 ，如果我用一个新的id值15再次调用delegate，会发生什么？
让我们看看...
DelegateContract被部署在：0x2eD309e2aBC21e6036584dD748d051c0a6E03709
我们可以用Remix来分析它：

EntryPointContract被部署在: 0x172443F1D272BB9f6d03C35Ecf42A96041FabB09
我们可以用Remix检查它的值：

很好!

现在让我们 用参数 15调用delegate，看看会发生什么。
检查一下DelegateContract的状态变量值：

没有变化，正如预期的那样，因为它不应该改变自己的状态，因为它被委托了EntryPointContract的状态。

让我们检查一下EntryPointContract的状态变量值（记住，我们希望id现在是15，其他都保持不变）。

哦哦! EntryPointContract的id仍然是5，实际受到影响的状态变量是updatedAt。为什么？

正如我在上面解释的，DelegateContract实际上不是通过名字来修改状态变量，而是通过它们在存储中的声明位置。

我们知道，id状态变量在EntryPointContract中被声明在第二位，这意味着它将在存储中占据索引为1的槽。updatedAt在EntryPointContract中被声明为第三位，因此占据了索引为2的存储槽。但是我们看到，DelegateContract将id变量声明为第三位，而将updatedAt声明为第二位。所以，当DelegateContract试图修改id时，它实际上是在修改EntryPointContract存储槽的索引2，也就是updatedAt状态变量在EntryPointContract中的位置。这就是为什么我们看到updatedAt是被更新的，而不是id。

让我们来详细说明一下：

EntryPointContract存储显示了声明的状态变量的顺序和它们的值。

EntryPointContract存储“发送到”（委托的）DelegateContract，按照DelegateContract中声明的顺序显示状态变量，但按照EntryPointContract状态变量的声明顺序显示数值：

所以，我们清楚地看到，在DelegateContract中，id变量实际上是指向EntryPointContract存储中的updatedAt值，而DelegateContract的updatedAt值实际上是指向id变量在EntryPointContract存储中有其值的槽。

所以，这就是为什么我们在委托调用另一个合约时需要非常小心的原因，因为拥有相同的变量类型和名称并不能确保调用合约中的这些变量会被使用。它们需要在两个合约中以相同的顺序声明。

另一个有趣的事实是，委托合约可以比主合约有更多的状态变量，有效地将值添加到主存储区，但它不能直接访问，因为主合约没有一个变量指向该存储区。

让我们看看这些合约，以便更清楚理解：

 contract DelegateContract {
   address public owner;
   uint256 public id;
   uint256 public updatedAt;
   address public addressPlaceholder;
   uint256 public unreachableValueByTheMainContract;

   function setValues(uint256 _newId) public {
     id = _newId;
     unreachableValueByTheMainContract = 8;
   }
 }

 contract EntryPointContract {
   address public owner = msg.sender;
   uint256 public id = 5;
   uint256 public updatedAt = block.timestamp;
   address public delegateContract;

   constructor(address _delegateContract) {
     delegateContract = _delegateContract;
   }

   function delegate(uint256 _newId) public returns(bool) {
     (bool success, ) =
     delegateContract.delegatecall(abi.encodeWithSignature("setValues(uint256)",
       _newId));
     return success;
   }

 }

我们看到，EntryPointContract仍然声明了4个状态变量，而DelegateContract声明了5个。我们知道，当EntryPointContract委托调用DelegateContract时，它将把自己的存储发送到DelegateContract.，但是EntryPointContract没有第五个状态变量（unreachableValueByTheMainContract）。那么，当DelegateContract修改它声明的但EntryPointContract没有声明的第五个变量时会发生什么？

嗯，它实际上会修改EntryPointContract存储的槽索引4（第五个位置）。EntryPointContract将不能直接访问它，因为该槽没有对应声明的状态变量，但该值将在那里，我们可以用web3.eth.getStorageAt(entryPointContractAddress, 4)这样的方法来访问它。

EntryPointContract被部署在0xA80a6609e0cA08ed3D531FA1B8bbCC945b8ff409，我们看到它的值：

现在让我们调用delegate，其值为18：

棒极了! 但是设置为unreachableValueByTheMainContract的值8在哪里呢？让我们看看它是否在 DelegateContract 状态下。

可以看到，它没有值。因为DelegateContract没有修改自己的状态，即使状态变量没有在EntryPointContract中声明。但由于unreachableValueByMainContract状态变量被声明在第五个位置（存储槽索引4），那么它无论如何都会影响EntryPointContract索引4的存储槽。我们可以直接检查它的值：

web3.eth.getStorageAt("0xA80a6609e0cA08ed3D531FA1B8bbCC945b8ff409", 4)

返回：

0x0000000000000000000000000000000000000000000000000000000000000008

是的! 说明EntryPointContract 确实保存了这个数据。

这是一种有趣的方式，即智能合约可以在部署后被 "扩展"，只需在第一时间将其行动委托给另一个合约。这需要精心制作和设计。委托合约的地址需要能够在需要时被动态替换，这样入口点合约就可以在任何时候指向一个新的实现。

有一些方法可以解决这个问题，其中之一就是EIP-1967: Standard Proxy Storage Slots。

结论

delegatecall是一个强大但棘手的功能，如果使用得当，我们可以创建 可扩展 的智能合约，帮助我们修复漏洞，并为现有的智能合约增加新的功能，使其动态地将其行动委托给另一个合约并由其修改自己的状态。

我们需要牢记代理合约和执行合约中的状态变量的顺序，以避免对存储数据进行非预期的修改。

转载自：https://learnblockchain.cn/article/5372

各种智能合约语言有自己的设计哲学，他们并非一样，这篇文章探索一下 Solidity、Cairo、Rust和Move的语言设计的权衡。
我相信一些智能合约新手甚至精通web2的开发者可能会好奇，如何选择第一门智能合约编程语言来学习。现在，有很多选择，如EVM的Solidity，Starknet的Cairo，Solona的Rust，Aptos & Sui的Move，等等。

事实是，没有绝对正确或错误的答案。每种语言都有取舍。真正的问题是 "当我们在使用一种智能合约编程语言开发时，是否意识到了他们的差异？"

就个人而言，我使用这个图表来可视化编程语言的基本功能和它们的局限性。

语言的权衡：实用性与安全性

事实上，这种权衡不仅是特定于智能合约领域。它适用于任何语言。

安全性

安全性有以下两个特点：

• Progress（进行）：一个类型良好的程序可以被评估或求值
• Preservation（维持）：维护步骤执行时的类型

因此，一旦类型被检查过，它们就可以被忽略，并且计算的运行不会出现错误。

一个安全的编程语言的例子是 "Haskell"。它是一种通用的和纯函数编程语言，具有静态的和强类型系统。它可以被认为是一种具有最少语法垃圾的数学语言。它的纯洁性提供了确定性、不可逆性和可控的副作用。因此，用Haskell编写的程序是可读的、合理的、可维护的、模块化的和可测试的。所有这些都直接或间接地与安全属性相联系。

因此，在对域模式l或域类型进行原型设计时，Haskell是一个很好的解决方案，因为它有复杂的类型推理引擎。它允许我们进行低成本的测试驱动开发。这有助于我们在投入大量精力在另一种语言的生产中进行真正的实现之前获得快速迭代和反馈。

实用性（有效性）

为了更清楚，你可能想知道为什么Haskell只是学术和研究工作中使用，而不是普遍用于生产中？它的函数式风格使它在某些工作中很有用，比如编译器。然而，在处理其他一些需要性能或效率的工业问题时，如网络服务器，它是没有意义的，因为这些应用需要状态操作或副作用，在这些方面，命令式编程范式语言做得非常好。换句话说，有两种计算模型（函数式编程的Lambda 演算和命令式编程的图灵机）。

重要的是，我提到，"实用"在这里意味着"有效"。特别是，它对世界有影响，它改变了某些状态。我绝对不是说一种具有使用价值的语言比其他语言优越。

然而，世界正在向函数式范式迈进。我们可以看到一些现代编程语言正在实现函数式编程的特点和设计。例如，functors、monoids、monads等等。

因此，多范式编程语言（在面向对象（OOP）与函数式风格之间混合）越来越受欢迎。具体来说，它并不严格要求命令式、面向对象（OOP）或函数式编程。例如，在Rust语言中，程序员可以在一个简单的boiler-page-free的宏或一个强大的（但程序化的）宏之间进行选择。另一个例子是Scala语言。它仍然是一种函数式编程语言，但没有Haskell那么纯粹。尽管如此，它也支持OOP，而且它的实用性足以解决现实世界的工业问题。

那么，用于工业生产的实用的语言有哪些？这方面的例子包括： Java, Ruby, Python, Javascript, Typescript, Rust, Scala 等。

这可以用下面的图来表示：

这个图表是从Simon Peyton Jones（Haskell语言的贡献者）那里借用和修改的。

有人提出了一个有趣的观点："实用" 是主观的。例如，许多有经验的开发者可能会说，Typescript比Javascript更实用。在此案例中，我指出，用Typescript编写的程序需要更多的时间来定义类型，由于之前没有开发第三方库。因此，Javascript可能更实用。

重申，这个图表并不意味着某种语言比其他语言更好。实际上，它们是无法判断的。我并不是说 Java 在实践中比 Rust 更实用。它只是一个比喻，用来比较函数式和命令式范式。

转到智能合约编程语言背景...
根据该图，实用性，在这里与区块链的独特功能更相关，如无信任性和去中心化。准确地说，智能合约程序的编写应该是为了做传统程序不能解决的问题。

不同的语言有不同的特点。这意味着这些语言也有不同程度的安全性权衡，这取决于每种语言。

Solidity

Solidity 是第一个主流的图灵完备的编程语言，使以太坊虚拟机（EVM）进行可组合的计算。另外，Solidity是经过编译的高级语言。

例如，"可组合性 "，使任何人都能将现有部署的智能合约组件结合起来。这使得我们可以通过复制、修改和整合这些可互操作的乐高积木来创新出新的复杂系统。此外，智能合约应用程序通常是开源的，这意味着开发人员可以免费访问其源代码。

而对于传统的软件，开发者有时则需要从头开始开发一些基本的组件，这就需要花费金钱和时间。
值得注意的是，用Solidity编写的程序允许：

• 能够被编译成透明的字节码（没有隐藏的网络API）和ABI（应用二进制接口）(标准化的API结构 )
• 无停机，确保高可用性
• 在EVM中基本的状态机功能（状态、访问、更新等）
• 不同智能合约之间的可兼容接口
• 内置Gas和支付系统（不依赖第三支付方）
• 通过Solidity Assembly（汇编）的低级别性能访问

然而，可组合计算的主要权衡是安全。在某种程度上，可组合性，意味着外部行为者可以部署恶意的智能合约，同时隐藏他们的身份。同样，这些行为者不仅可以访问智能合约应用程序的代码库，而且还可以无限制地进行压力测试。

与传统软件相比，当软件是闭源的时候，这种攻击者不可能经常观察到代码库。此外，如果有一个bug，维护者可以在发现bug阶段保持离线。

因此，Solidity可以定义为高实用性和低安全性。

Cairo

Cairo是第一个图灵完备的编程语言，使Layer2能够进行可证明计算。

可证明性意味着可以在Layer2（证明者（Prover）、Starknet OS、序列器（Sequencer））上生成一个证明，在Layer1完整节点上（通过EVM）验证Cairo程序的输出已经被正确计算。从而实现可扩展性，因为生成证明的运行时间几乎是线性的，而验证则是计算次数的对数。因此，链上计算的成本不会随着计算量的增加而发生很大变化。简单地说，计算发生在第2层而不是第1层，而第1层的全节点使用较少的计算资源来验证生成的证明。这是因为在验证过程中没有重新执行的计算。

证明者（Prover）是一个独立的进程，它接收Cairo程序的输出，然后生成STARK证明，进行验证。证明者将STARK证明提交给验证者，验证者在Layer1上注册事实。

StarkNet OS是基于 Cairo 的操作系统，本质上是 Cairo 程序 输出被证明和验证的程序。它根据交易作为输入的来更新系统的 L2状态。

序列器（或块提议者）- Sequencer：这个特殊的节点用相关的输入执行StarkNet OS Cairo 程序，用证明器证明结果，并最终在StarkNet核心合约上更新网络状态

另一方面，EVM中的可组合计算与可证明计算的范式不同。事实上，solidity开发者使用OOP和命令式编程作为主要范式。而Cairo的开发者则抽象出计算的输出是可以接受的。你可能认为这种范式是函数式编程，但它是非确定性的。

特别是，用Cairo编写的程序适用以下范式：

• 能够创建STARK-provable程序，用于一般计算。
• felt，一个低级的整数数据类型。在数学上，它使用模块化算术，其中modulo是一个素数。在进行可证明计算时，它比uint256更有效率。
• 支持在只读的非确定性存储器上运行

然而，可证明计算的权衡与可组合计算是一样的。原因是，Cairo是Solidity等价的。这意味着存在一个编译器，这样用Solidity编写的智能合约程序可以被编译成用Cairo编写的智能程序。因此，Cairo生态系统继承了许多以太坊标准（以太坊改进提案：EIPs）。在某种程度上，如果这些开发者之前在EVM生态系统中开发过，那么新的开发者很容易开始开发。不过注意，安全风险也是可以继承的，但 Cairo 开发者需要更认真地考虑这个问题。

除了在solidity中发现的常见漏洞（如重入、奇偶性等），Cairo引入了新的攻击载体。例如，Cairo语言只有一个数据类型，即Finite Field（又称felt）。因此，需要使用库来处理其他数据类型，这有可能导致安全风险。另一个有趣的错误是Under-constrained bug（非约束性错误）。在Cairo中，程序描述了理想的结果，而Hint是证明者如何产生这样的结果的抽象。

一个hint是一个块的代码（不一定是 Cairo 代码），它将在下一条指令之前被证明者执行

问题发生在有一个不恰当的断言时，所以在Cairo代码中的约束性编码允许一个恶意的证明者产生非预期的结果。这是因为那些证明者不一定使用开发者的hint ！。

综上所述，Cairo的安全风险远大于Solidity，它可以用以下方式表示：

Rust

Rust是一种编译的、系统级的、多范式的编程语言（并发式、函数式和命令式）。

具体来说，Rust 实现了以下功能：

• 函数式编程：闭包、匿名函数、迭代器。
• Traits（ 在其他语言中，对应是接口）
• 生命周期（处理引用）
• 零成本抽象
• 通过宏系统进行元编程、异步编程（async/await)

实际上，Rust开发者可以有效地管理内存，并利用并行处理的高性能。一个很好的例子是Solana，它有助于实现高吞吐量的高扩展性。

更重要的是，众所周知，许多加密算法和基于零知识的应用都是使用Rust实现的。

尽管如此，区块链的实用性（如无信任和去中心化）被权衡了，因为它是一种通用的编程语言，不限于智能合约背景。换句话说，Rust比上面提到的其他智能合约语言更安全。

事实上，Rust的主要特点是安全。Rust可以提供强大的安全保障，这要归功于借用（borrowing）检查功能。一旦代码在充分测试的情况下被编译，程序就会在安全保证下运行。例如，Rust在字符串处理方面做得很好，因为它很容易写出不能溢出的代码。

值得注意的是，尽管与代码意图无关的技术实现（如溢出）被最小化了，但开发者仍然需要照顾到领域业务或设计层面的潜在缺陷。

因此，Rust在这个位置：

Move

Move是一种解释型的，和OOP的编程语言。它特意为基于区块链的应用而设计。

具体来说，Rust强调了以下范式：

• 一流的资源管理（资产asset被抽象为一个特定的资源类型系统）。
• 可验证性（链外静态验证工具）

另外，Move是基于Rust的。由于高效的内存管理和并行处理，因此它允许高吞吐量。尽管如此，它是解释语言而不是编译语言。一般来说，性能可能会比较慢。

关于它的安全性，来自编译器的错误被消除了，因为Move是一种解释语言。此外，由于安全的资源类型系统，一些众所周知的智能合约漏洞（如重入）被跟除。

尽管如此，开发人员在对Move智能合约进行编程时，还是需要谨慎对待。由于它是一种非常新的语言，社区规模相对较小，安全实践还不成熟，而且有很多未知的逻辑错误，让开发者跳入兔子洞。

所以，Move可以被认为是介于Solidity和Rust之间，具体位置如下：

最后的思考

如前所述，在这些编程语言中，实用性与安全性之间的权衡是相当不同的。尽管这种权衡对于传统的和智能合约编程语言来说都是真实的，但这些智能合约语言和相关框架的生命周期都比传统的短得多。此外，每天都有越来越多的新区块链语言出现，一个人在短时间内成为所有语言的专家是不可能的。因此，选择正确的可持续发展的语言是相当重要的，它将会持续很长时间。我希望在深入研究任何语言之前，所提供的图表可以作为一个指导原则。

参考资料

ethereum.org. smart contract composability
starknet.io. Hints
ctrlc03.github.io. Cairo and StarkNet Security
Peteris Erins. 可证明与可组合计算或为什么Cairo将取代Solidity
Yield App Labs. Solidity vs Move vs Rust: 智能合约编程语言的演变
Gwyneth Iredale. Move编程语言概述

转载自：https://learnblockchain.cn/article/5365

简介

在我们今天所知道和喜爱的区块链出现之前，默克尔树一直是密码学和计算机科学领域的一个方面。如今，我们开始慢慢看到它们在链上更频繁地被用于数据验证的目的。在这篇文章中，我将解释Merkle Trees如何在NFT（ERC-721）背景下实现代币白名单的目的，它们是如何提供保证只能由预定参与者认领代币。

什么是Merkle树？

默克尔树是一种树状结构，树上的每个节点都由一个值表示，这个值是一些加密哈希函数的结果。哈希函数是单向的，从一个输入产生一个输出很容易，但从一个输出确定一个输入在计算上是不可行的。默克尔树有3种类型的节点，如下所示：

叶子节点

叶子节点位于树的最底部，它们的值是原始数据根据指定的哈希函数进行哈希的结果。一棵树上有多少个叶子节点，就有多少个需要哈希的原始数据。例如，如果有7个数据需要被哈希，就会有7个叶子节点。

父节点

父节点可以位于树的不同层次，这取决于整个树的大小，父节点总是位于叶节点之上。父节点的值是由它下面的节点的哈希值决定的，通常从左到右开始。由于不同的输入总是会产生不同的哈希值，不考虑哈希值的碰撞，节点哈希值的连接顺序很重要。值得一提的是，根据树的大小，父节点可以Hash其他父节点。

根节点

根节点位于树的顶端，由位于它下面的两个父节点的哈希值连接而成，同样从左到右开始。任何默克尔树上都只有一个根节点，根节点拥有根哈希值。

我知道这是一个需要消化的信息，所以请参考下面的图表（图1），以便更好地了解这些树的结构。

上下文背景

如前所述，在NFT（ERC-721）的背景下使用Merkle树，如果为选定的参与者群体保留一定数量的代币，这其实就是一个白名单。Merkle树必须是预先计算的，在这种情况下，可以让一个叶子节点代表我们白名单中的一个钱包地址。

让我们想象一下，你的项目已经确定了一个白名单策略，为选定的钱包地址保留了任意数量的代币，这些地址可能是通过竞争、抽奖或其他系统的方式选择。这些白名单上的地址可以在某个时间点（通常在公共铸币之前）能申领获得为他们保留的代币。当然，还可以出于各种其他的原因，这些可能涉及到避免高额的Gas费，奖励创造力，鼓励早期参与，社区参与等等。

由于这些地址是已知的，而且是不变的，我们可以使用这些信息来创建一个Merkle树。我们可以使用merkletreejs和keccak256 JavaScript库来进行实现。

注：为了简单起见，将只使用7个钱包地址，以保持树的大小精简。

JavaScript实现

要做的第一件事是衍生出我们的叶子节点。如果你还记得，在一棵树上位于叶子节点正上方的每个父节点，最多只能Hash两个叶子节点。如果叶子节点的数量不均匀，父节点将处理一个叶子节点。每个叶子节点应该是某种形式的Hash数据，所以在这个例子中，让我们使用keccak256库来哈希白名单上的所有地址（图2）。我们使用这种特定的哈希算法，因为它将在以后的Solidity智能合约中使用。

图2. 衍生出叶子节点和默克尔树对象

对白名单上的所有地址进行了哈希，从而获得了我们的叶子节点，现在就可以创建Merkle树对象。我们使用merkletreejs库，通过调用new MerkleTree()函数，将叶子节点作为第一个参数，哈希算法作为第二个参数，{ sortPairs: true }选项作为最后一个参数。最后一个参数是可选的，但我在试图在这个例子不使用它时遇到了很大困难。

图3. Merkle树的可视化和根哈希。

现在已经得出了一个完整的Merkle树，可以通过调用Merkle树对象的getRoot()方法（图3）来获得根哈希值。记住，Merkle树的根哈希值是树上根节点正下方的两个前面的父节点的哈希值。在本例中，0xf352...和0x3cc0...。使用toString()方法在控制台打印Merkle树，为我们提供了一个很好的可视化的树的结构。

Merkle树的巧妙之处在于，它不需要任何关于原始数据块的知识来验证一个节点是否属于我们的树。如果我们试图验证一个叶子节点属于我们的树，只需要知道直接相邻的叶子节点哈希值(如果有的话)，以及叶子节点正上方相邻的父节点哈希值就可以了。对于这个工作原理的简短解释，我建议查看Tara Vancil的这个视频。这个信息被称为proof，将被Solidity智能合约使用，以验证调用者是否属于白名单。

Web实现

现在我们有了Merkle树对象和它的根哈希值，我们准备开始考虑如何让白名单用户申领他们的代币时向智能合约提供Merkle证明。我们需要做的是在项目网站上实现一些JavaScript，在铸币页面上请求外部API。这个API将接收连接的钱包地址，因为它是我们最初用来生成叶子节点的，并返回指定的证明。

在服务器端，你会收到地址，使用keccak256进行哈希，并使用Merkle Tree对象上的getHexProof()方法检索证明。下图（图4）显示了你可能从这个API调用中返回的例子。

图4. 对应地址的Merkle证明。编辑：0x7b地址可以忽略，这是我的一个打印错误。

前端在收到这个证明之后，并将其作为参数与参与者的交易一起发送到合约，我们现在可以开始研究如何在智能合约中验证它。

智能合约的实现

注：本文展示的智能合约例子是用最小的代码量构建的，以展示一个概念证明。它绝不是一个你应该如何编写铸币功能的例子。

为了验证所提供的证明，需要做的第一件事是导入OpenZeppelin MerkleProof.sol contract(第6行，图5)，这将使我们能够在智能合约代码中使用MerkleProof.verify()函数。接下来需要做的是定义根Merkle哈希值。如果智能合约在白名单确定之前已经被部署到以太坊主网上，那么可以假设有一些setter函数可以用来在以后的时间点更新这个值。在这个例子中，我对根Merkle哈希值进行了硬编码，以便在部署时被设置(第12行，图5)。

图5. 智能合约代码

接下来，我们需要验证该证明。 证明是一个bytes32类型的值数组。技术上来说，它们是string类型的，但无论如何，Solidity都会正确解释。先生成的目标叶子节点（第25行，图5），如果你记得，这是一个白名单地址的keccak256哈希。在这个例子中，通过哈希msg.sender的值来生成目标叶节点。记住，这个值是不可改变的，不能被恶意改变。

由于只有白名单地址被用来生成我们的叶子节点，我们可以假设，如果一个非白名单地址试图使用有效或无效的证明来调用这个函数，生成的目标叶子节点将根本不存在于我们的Merkle树上，验证将失败。这个实现的最后一步只是调用MerkleProof.verify()函数，将提供的证明作为第一个参数，将根Merkle哈希作为第二个参数，将目标叶节点作为最后一个参数。如果这个函数返回 "false"，require语句将失败，交易将被简单地回退，否则，该函数将继续执行，执行铸造代币逻辑。

临别赠言

我们已经学会了如何使用默克尔树实现白名单，这是一个相对简单明了的方法，展示了在NFT项目中使用白名单生成默克尔树，实现只有白名单中的指定地址才能申领代币。我知道还有其他的解决方案，但在我研究过的方案中，我认为迄今为止最吸引人的方案。

本翻译由 Duet Protocol 赞助支持。
转载自：https://learnblockchain.cn/article/4521

Merkle树是区块链技术的基本组成部分。它是由不同数据块的散列组成的数学数据结构，用作块中所有交易的摘要。

它还允许对大量数据中的内容进行有效和安全的验证。此结构有助于验证数据的一致性和内容。比特币和以太坊都使用Merkle树结构。Merkle树也被称为哈希树。

从根本上说，Merkle树是数据结构树，其中每个叶节点都用数据块的哈希标记，非叶节点用加密标记 其子节点标签的哈希值。叶节点是树中的最低节点。

原理

区块链中每个区块都会有一个 Merkle 树，它从叶子节点（树的底部）开始，一个叶子节点就是一个交易哈希。叶子节点的数量必须是双数，但是并非每个块都包含了双数的交易。如果一个块里面的交易数为单数，那么就将最后一个叶子节点（也就是 Merkle 树的最后一个交易，不是区块的最后一笔交易）复制一份凑成双数。

从下往上，两两成对，连接两个节点哈希，将组合哈希作为新的哈希。新的哈希就成为新的树节点。重复该过程，直到仅有一个节点，也就是树根。根哈希然后就会当作是整个块交易的唯一标示，将它保存到区块头，然后用于工作量证明。

代码实现

package main

import (
    "bufio"
    "crypto/sha256"
    "fmt"
    "os"
    "strconv"
)

//默克尔树节点结构体
type Node struct {
    Index    int
    Value    string
    RootTree *MHTree
}

//默克尔树结构体
type MHTree struct {
    Length   int
    Nodes    []Node
    rootHash string
}

//获得默克尔树根节点哈希值
func (t *MHTree) GetRootHash() string {
    //不管是否存储，都重新计算哈希值
    t.rootHash =   t.Nodes[1].getNodeHash()                            
    return t.rootHash
}

//计算默克尔树中某个节点的哈希值
func (n *Node) getNodeHash() string {
    //叶子节点，则直接计算该节点Value的哈希值
    if n.Value != "" {
        return calDataHash(n.Value)
    }
    //非叶子节点，则递归计算哈希值,其为2个子节点哈希值的哈希值123123123123
    return calDataHash(n.RootTree.Nodes[n.Index*2].getNodeHash() + n.RootTree.Nodes[n.Index*2+1].getNodeHash()
        )                                                         

//计算数据的哈希值
func calDataHash(data string) string {
    hash := sha256.New()
    hash.Write([]byte(data))
    return string(hash.Sum(nil))
}

//从结构化文件创建默克尔树
func CreateMHTree(fileName string) MHTree {
    var tree MHTree
    //打开文件
    file, err := os.Open(fileName)
    if err != nil {
        panic(err)
    }
    defer file.Close()
    //获取读取器
    buf := bufio.NewReader(file)
    //读取首行，获得叶子节点数目（要求叶子节点数目为2的整数次幂
    dataCountStr, _, _ := buf.ReadLine()
    dataCount, _ := strconv.Atoi(string(dataCountStr))

    //判断幂次
    level := 0
    for i := 1; ; i++ {                                          
        if 2<<i == dataCount {
            level = i
            break
        }
    }
    //创建默克尔树

    //给非叶子节点赋值
    for i := 1; i <= 2<<level-1; i++ {                               
        tree.Nodes[i].Index = i
        tree.Nodes[i].RootTree = &tree
    }
    //读取文件数据，给叶子节点赋值
    for i := 2 << level; i < tree.Length; i++ {                  
        str, _, _ := buf.ReadLine()
        tree.Nodes[i].Index = i
        tree.Nodes[i].RootTree = &tree
        tree.Nodes[i].Value = string(str)
    }
    return tree
}

func main() {
    var fileName string

    fmt.Println("请输入原始数据文件名称")
    fmt.Scanln(&fileName)
    mhTree1 := CreateMHTree(fileName)
    fmt.Println("请输入比对数据文件名称")
    fmt.Scanln(&fileName)
    mhTree2 := CreateMHTree(fileName)

    hash1 := mhTree1.GetRootHash()
    hash2 := mhTree2.GetRootHash()

    if hash1 == hash2 {
        fmt.Println("用户没有改变数据")
    } else {
        fmt.Println("用户改变了数据")
    }

}

转载自：https://learnblockchain.cn/article/5364

0.简介

在这个系列的教程中，我们将学习如何调试和逆向 EVM 智能合约。

你可能已经知道，当一个智能合约在区块链中没有被验证时，你无法读取它的实体代码，只有字节代码被显示。

问题是很难从字节码中完全 "反编译（de-compile）"，以重建编译前的solidity代码。

但是不用担心，在这一系列的教程中，我将清楚地教你所有的技术，以逆向区块链中的任何智能合约。
与不知道的人相比，学习这项技术有几个好处：

你将能够阅读不透明的智能合约(即使源代码没有被验证)。
你会对EVM有深刻的理解，从而成为一个更好的开发者/智能合约审计。(从而赚更多的钱:))。
你会在你的智能合约中更有效地调试代码，避免在出现错误时浪费大量的时间。(特别是如果顶层错误是通用的，如："执行被回退（Execution reverted）")

本文是关于通过逆向和调试理解EVM系列的第1篇，本系列包含 7 篇文章：

• 第1篇：理解汇编
• 第2篇：部署智能合约
• 第3篇：存储布局是如何工作的？
• 第4篇：结束/中止执行的5个指令
• 第5篇：执行流 if/else/for/函数
• 第6篇：完整的智能合约布局
• 第7篇：外部调用和合约部署

1. 简介

下面是我们将进行逆向/调试的智能合约：

// SPDX-License-Identifier: UNLICENSED
pragma solidity ^0.8.0;

contract Test {  

   function test() external {      } 

   function test2() external {      }  

   function test3() external {      }  
}

看上去很简单，对吗？

是的，我们就从简单合约开始。

1. 在Remix IDE中编译（0.8.7版） https://remix.ethereum.org
   

2. 部署（选择JavaScript London虚拟机）
   

3. 调用 test() 函数并点击蓝色的调试按钮，以显示调试器。
   

4. 一旦完成，你应该在Remix中看到调试标签。
   

我们90%的工作将在这里进行。
在深入研究这个问题之前，这里有一些前备知识，你需要了解：

• 一些solidity开发经验
• 十六进制数字和基本的计算机科学知识
• Remix IDE的基础知识。
• 兴趣和可能（很多）的咖啡。

2. 什么是字节码/汇编？

每个智能合约都是由字节码构成的，例如，这是我们在文章开头创建的智能合约的字节码（十六进制）：

0x6080604052348015600f57600080fd5b5060043610603c5760003560e01c80630a8e8e0114604157806366e41cb7146049578063f8a8fd6d146051575b600080fd5b60476059565b005b604f605b565b005b6057605d565b005b565b565b56fea2646970667358221220d28f98515dc0855e1c6f5aa3747ff775f1b8ab6545f14c70641ff9af67c2465164736f6c63430008070033

这个字节码的每一个字节都对应着汇编语言中的一条指令。你可能已经知道，EVM并不直接理解solidity语言，它只理解汇编中的指令，这是一种低级语言。

在编译的时候，编译的作用只是把 solidity 代码翻译成汇编代码。
汇编是一种非常原始的 "语言"，只有指令和参数， 例如：

000 PUSH 80
041 PUSH1 00
056 DUP1

智能合约中第00字节（第一个指令）的指令是PUSH 80（在字节码操作码中翻译为6080）。
第41字节的指令是PUSH1 00（并且有1个参数是00）（在字节码操作码中是6000）。
第56字节的指令是DUP1 没有参数（字节码操作码为80）。

在后面，我们将逐步解释这些指令的内部作用。
在EVM中，大约有100条有效指令，有些是很容易猜到其含义，比如：

• ADD/SUB/OR/XOR
• 但其他的则需要更多的解释。

提示。每次有不明白的指令，你可以去https://www.ethervm.io/，这个网站总结了所有以太坊指令，显示了参数和返回值。

3. Solidity中的存储

你可能已经知道，在solidity中有3种类型的存储。
solidity中有3种类型的存储。

• 存储（storage），直接存储在区块链中，使用32字节数字 "槽（slot）"来标识，。一个槽的大小是32个字节（或64个十六进制数字）。
• "内存（memory）"，在智能合约执行结束时被清除，由一个名为 "十六进制数字 "的地址来标识。
• 还有栈，它是一个LIFO（后进先出）类型的队列，当每个项由一个数字标识(以0开始)。

4. LIFO栈是如何工作的？

默认情况下，在智能合约开始的时候，堆栈是空的，它包含的内容是不存在的!
现在有2种方法可以操作堆栈，可以通过使用指令PUSH或POP。

4.1 PUSH

它将数据推在第0位，并将每个数据往前推1个位置。例如，如果我们使用PUSH指令在堆栈中写入0xff。

Stack before (3 elems): |Place 0: 0x50|Place 1: 0x17|Place 2: 0x05|
----------------------------
Stack after PUSH ff: |Place 0: 0xff|Place 1: 0x50|Place 2: 0x17|Place 3: 0x05|

0xff被写在0位，0x50从0位到1位，0x17从1位到2位，0x05从2位到3位，现在栈包含4个元素而不是3个。

让我们看看另一个例子:

Stack before (0 elems, empty): ||
----------------------------
Stack after PUSH 33: |Place 0: 0x33|

堆栈现在包含1个元素。最后一个例子:

Stack before (0 elems, empty): |Place 0: 0x33|
----------------------------
Stack after PUSH 00: |Place 0: 0x00|Place 1: 0x33|

堆栈现在包含2个元素，就像这样简单。

4.2 POP

POP指令，做逆向操作：弹出第0槽中的数据，并将每个数据向后推1槽。

Stack before (3 elems): |Place 0: 0x50|Place 1: 0x17|Place 2: 0x05|
----------------------------
Stack after POP (2 elems): |Place 0: 0x17|Place 1: 0x05|

第0位的数据被删除了，0x17的位置从1位变成了0位，同样，0x05的位置从2位变成了1位。栈现在包含2个元素

下面是另一个例子：

Stack before (1 elems): |Place 0: 0x33|
----------------------------
Stack before POP (0 elems, empty): ||

如果你理解了这一点，也就这么简单。你理解了LIFO类型的存储，你就可以更进一步了:)

在EVM（以及其他汇编）中，堆栈通常用于存储函数和指令的参数 + 返回值。

在这个系列的文章中，我们将使用以下表示:

• Stack(0) = 堆栈中的第一个值（在位置0）。
• Stack(1) = 堆栈中的第二个值（在位置1处）。
• Stack(n) =堆栈中的第n+1个值（在位置n处）。

每次我解释一条指令时，堆栈的内容以这种格式： |0x15|0x25|0x00| , 这里：

• 0x15是Stack(0)，是堆栈中的第一个值，位置为0
• 0x25是Stack(1)，是Stack的第二个值
• 0x00是Stack(2)。
• 以此类推，如果堆栈里有更多的值的话

5. 汇编的第一行

一旦你理解了这些概念，现在就可以开始了， 点击下面的按钮，重新启动智能合约的执行：（默认情况下，remix在函数test()的开始处启动调试会话，因为在执行函数之前有一些代码，我们需要改变这一点）

如果一切顺利，第一批指令应该弹出，可以通过点击这些箭头在指令之间逐一导航。

第一条指令是：

000 PUSH 80 | 0x80 |
002 PUSH 40 | 0x40 | 0x80 |
004 MSTORE  ||

EVM在堆栈中PUSH 80和PUSH 40，结果它看起来像：
| 0x40 | 0x80 |。
在第4字节：MSTORE需要2个参数（offset，value）： Stack(0) 和 Stack(1)
MSTORE将Stack(1)的值存储在内存中的Stack(0)位置中。

因此，EVM将0x80存储在内存的0x40地址，在调试标签的内存部分，你应该看到：

由于内存中的每一个插槽都是32个字节的长度（使用小端序的十六进制0x20），因此插槽40的内存位于0x40和0x40+0x20=0x60之间（我们将其记为内存[0x40:0x60]。

这就是为什么0x80在最后（0x5f位置）。

“????? "是内存中的字节的ASCII表示。

内存中的 "0x40 "槽在EVM中被命名为空闲内存指针，当需要内存时，它被用来分配内存的新槽。(我将在后面解释为什么它是有用的）。

重要的是：注意在一条指令之后，堆栈中所有需要的参数都会从堆栈中清除，并被返回值所取代。

由于MSTORE在堆栈中占用了2个参数，在MSTORE指令完成后，这2个参数会从堆栈中删除。

所以堆栈现在什么都不包含。

6. MSG.VALUE

005 CALLVALUE |msg.value|
006 DUP1      |msg.value|msg.value|
007 ISZERO    |0x01|msg.value|
008 PUSH1 0f  |0x0f|0x01|msg.value|
010 JUMPI     |msg.value|
011 PUSH1 00  |0x00|msg.value| (if jumpi don't jump to 0f)
013 DUP1      |0x00|0x00|msg.value|
014 REVERT 

CALLVALUE指令把msg.value（发送给智能合约的以太币）放在堆栈中。
由于我们没有向智能合约发送任何以太币，堆栈中的值是：| 0x00 |

DUP1指令将Stack(0)推入堆栈，我们可以说它 "复制"了堆栈开头的第一个指令：
|0x00 |0x00 |

注意还有DUP2, DUP3...DUPn(直到DUP16)，它们将第n个值(Stack n-1)推到堆栈中。

而EVM在第7字节调用ISZERO，ISZERO使用Stack中的1个参数（它是Stack(0)）。

顾名思义，ISZERO验证Stack(0)是否等于0，如果是，EVM在第一个槽中推送 "1 "的值，即True。
| 0x01 | 0x00 |

EVM还删除了第一个0x00，因为它是ISZERO的参数。

之后在第8个指令，EVM将0x0f推到堆栈中 ： | 0x0f | 0x01 | 0x00 |。

接下来我们有一个条件跳转(JUMPI)，如果Stack(1)是1，EVM直接进入字节数Stack(0)所在的位置(因为Stack(0)=0f，十进制15），因此Stack(1)=1，EVM直接跳转到第15个指令

如果不是，EVM继续执行它的路径，执行PUSH**、DUP1和最后在第14字节的REVERT指令一样，以一个错误停止执行。

但是在这里，一切都很好！因为Stack(1)=1，所以在执行过程中会出现错误。由于Stack(1)=1，所以EVM跳到了0x0f（相当于15的十进制）。

我们将尝试理解在第5个指令和第14个指令之间发生了什么。

请注意，我们声明函数test()是非 payable 的，而且合约中没有receive()或fallback()函数可以接收以太币。

因此，这个合约不能接收到任何以太币（除了一个特定的情况，但在这里并不重要），所以如果我们发送以太币，它就会回退！。汇编中的代码相当于:

005 CALLVALUE load msg.value
006 DUP1      duplicate msg.value
007 ISZERO    verify if msg.value is equal to 0
008 PUSH1 0f  push 0f in the Stack (the byte location after the REVERT byte location)
010 JUMPI     jump to this location if msg.value is not equal to 0
011 PUSH1 00  push 00 in the Stack
013 DUP1      duplicate 00 in the Stack
014 REVERT    revert the execution

用 Solidity 表示，等价于:

if (msg.value > 0) { 
   revert(); 
} else {
   // Jump to byte 15
}

所以这第二部分的代码只是验证是否有任何以太币发送到合约中，否则它就会被回退。

在第15个指令时，堆栈为 | 0x00 | (因为JUMP在堆栈中使用了2个参数，EVM将它们删除)

7. CALLDATASIZE

015 JUMPDEST     | 0x00 |
016 POP          ||
017 PUSH1 04     | 0x04 |
019 CALLDATASIZE | msg.data.size | 0x04 |
020 LT           | msg.data.size > 0x04 |
021 PUSH1 3c    | 0x3c | msg.data.size > 0x04 |
023 JUMPI        || (JUMPI takes 2 arguments)060 JUMPDEST     ||
061 PUSH1 00     |0x00|
063 DUP1         |0x00|0x00|
064 REVERT       ||

JUMPDEST没有任何作用。它只是表示一条JUMP或JUMPI指令指向这里，如果EVM跳到一个没有标记为 "JUMPDEST"的地址(比如16号是POP)，它就会自动回退。

接下来，EVM将堆栈的最后一个元素POP出来，然后PUSH 04，因此在第17个指令之后，堆栈内只有一个元素： | 0x04 |

EVM调用CALLDATASIZE，等于msg.data.size（以太坊交易中数据字段的大小），现在堆栈是：| 0x04 | 0x04 |

(当一个函数被调用时没有参数msg.data.size = 4，这4个字节被称为函数 "签名")

例如这里msg.data等于"0x12345678"，msg.data.size=4（8个十六进制数字）。

后来在第20个指令，EVM调用LT（小于），它比较堆栈上的两个值（如果Stack(0) < Stack(1)，那么我们写1，否则写0）。

在我们的例子中，它是假的! 4不小于4（运算符LT是严格的）。

所以EVM不会跳到3c（因为Stack(0) = 3c和Stack(1) = 0），EVM继续执行流程，就像什么都没发生一样。

但是如果CALLDATASIZE小于4（如0、1、2或3），那么Stack(1)=1，然后EVM跳到0x28（十进制的40），EVM 回退 !

下面是发生的情况：

015 JUMPDEST     
016 POP           pop
017 PUSH1 04      store 0x04 in the stack
019 CALLDATASIZE  get msg.data.size in the stack
020 LT            verify if msg.data.size < 0x04
021 PUSH1 3c      push 0x3c (60 in dec)
023 JUMPI         jump to 60 if msg.data.size < 0x04060 JUMPDEST     
061 PUSH1 00     
063 DUP1         
064 REVERT        revert the execution

这意味着msg.data不能小于4，你会在下一节明白为什么!

if (msg.data.size < 4) { revert(); }

8. 函数选择器

一旦所有事先验证完成。

我们需要调用函数test()并执行它的代码。但在我们的合约中有几个函数（test() test2() 和 test3()），如何找出EVM需要执行的函数呢？

这就是函数选择器的作用。

下面是接下来的反汇编步骤

024 PUSH1 00 |0x00| (the stack was previously empty in byte 23)
026 CALLDATALOAD |0xf8a8fd6d0000000.60zeros.000000000|
027 PUSH1 e0 |0xe0|0xf8a8fd6d0000000.60zeros.000000000|
029 SHR |0xf8a8fd6d|
030 DUP1 |0xf8a8fd6d|0xf8a8fd6d|
031 PUSH4 0a8e8e01 |0x0a8e8e01|0xf8a8fd6d|0xf8a8fd6d|
036 EQ |0x0|0xf8a8fd6d|0xf8a8fd6d| 
037 PUSH1 41 |0x41|0x1|0xf8a8fd6d|
039 JUMPI |0xf8a8fd6d|
040 DUP1 |0xf8a8fd6d|0xf8a8fd6d|
041 PUSH4 66e41cb7 |0x66e41cb7|0xf8a8fd6d|0xf8a8fd6d|
046 EQ |0x0|0xf8a8fd6d|
047 PUSH1 49 |0x49|0x1|0xf8a8fd6d|
049 JUMPI |0xf8a8fd6d|
050 DUP1 |0xf8a8fd6d|0xf8a8fd6d|
051 PUSH4 f8a8fd6d |0xf8a8fd6d|0xf8a8fd6d|0xf8a8fd6d|
056 EQ |0x1|0xf8a8fd6d|
057 PUSH1 51 |0x51|0x1|0xf8a8fd6d|
059 JUMPI |0xf8a8fd6d|

你可能已经知道什么是以太坊的函数签名：它是函数名称的哈希值的前4个字节，对于test()来说，它是 ：

bytes4(keccak256(”test()”)) = 0xf8a8fd6d

CALLDATALOAD 接受1个参数Stack(0)作为偏移量，并将msg.data之后的在参数位置（这里是Stack(0)）的下一个32字节存储在堆栈中Stack(0)

在此案例中，它存储msg.data的前32字节（因为Stack(0) = 0）。

但只有4个字节（如前所述），因此堆栈将是这样的：
| 0xf8a8fd6d00000000000000000000000000000000000000000000000000000 |

下一个操作码是PUSH e0和SHR位于第27指令（使用2个参数），它通过Stack(0)（这里是c0）向右（>>）执行二进制移位，堆栈（在SHR之前）的值为：

|0xc0|0xf8a8fd6d00000000000000000000000000000000000000000000000000000 |

下面是用SHR进行的详细计算（如果你愿意可以跳过）：

A place in stack is of length 32 bytes = 256 bits

In binary Stack(1) = 11111000101010001111110101101101 and 192 zeros after that

c0 = 192 in decimal, so we will shift 192 time to the right

0 times   : 11111000101010001111110101101101..... + 192 zeros
1 times   : 011111000101010001111110101101101.... + 191 zeros
2 times   : 0011111000101010001111110101101101... + 190 zeros
192 times : 192 zeros + 0011111000101010001111110101101101...

= 0x00000000000000000000000000000000000000000000000000000f8a8fd6d
= 0x00..60zeros00f8a8fd6d

在DUP操作码之后，堆栈看起来像| 0xf8a8fd6d | 0xf8a8fd6d |。

值得注意的是，这就是我们的test()签名，这很正常！函数的签名总是出现在交易数据的前4个字节中。

在以太坊交易中，我们不会直接发送要执行的函数的名称，而只是发送4个字节的签名。

在第31个操作码中，EVM PUSH一个4字节的值到堆栈：0a8e8e01

| 0xa8e8e01 | 0xf8a8fd6d | 0xf8a8fd6d |

并调用EQ，比较（Stack(0)和Stack(1)）。

这两个值显然是不相等的：因此我们用0代替它们
| 0x0 | 0xf8a8fd6d |

这样我们就不会JUMP到41（65的十六进制）（后面有指令PUSH1 41和一个JUMPI）。

EVM对0x66e41cb7（操作码41到50）也做了同样的事情，这也不等于0xf8a8fd6d。

最后，EVM用0xf8a8fd6d来执行，由于现在等于0xf8a8fd6d! 所以我们跳到51（十六进制是81），这是test()函数的开始：

081 JUMPDEST |0xf8a8fd6d|
082 PUSH1 57 |0x57|0xf8a8fd6d|
084 PUSH1 5d |0x5d|0x57|0xf8a8fd6d|
086 JUMP |0x57|0xf8a8fd6d|
087 JUMPDEST |0xf8a8fd6d|
088 STOP ||
093 JUMPDEST |0x57|0xf8a8fd6d|
094 JUMP |0xf8a8fd6d|

你可以很容易地分析我们的test()函数中最后执行的8条指令。

它只执行了一系列的JUMP指令，在函数的最后，操作码STOP，它停止了合约的执行而没有产生错误。
所有这些代码的行为就像编程中的一个开关。

0xf8a8fd6d是 "test()"函数的签名
0x0a8e8e01和0x66e41cb7是test2和test3函数的签名。

如果交易数据中的签名与这些签名之一相符，那么通过跳转到函数的代码位置（代码中的41，49和51）来执行函数的代码。

否则。如果交易数据中的签名与代码中的任何函数签名不匹配，EVM将调用回退函数，但在我们的智能合约中没有这样的函数（至少现在没有）！因此：EVM将重新调用回退函数。结果是：EVM回退，故事到此结束。

这是59（函数选择器开关）之后的代码：

060 JUMPDEST
061 PUSH1 00
063 DUP1
064 REVERT

因此，我们可以重构智能合约的完整代码：

mstore(0x40,0x80)                              
if (msg.value > 0) { revert(); }                              
if (msg.data.size < 4) { revert(); }
byte4 selector = msg.data[0x00:0x04]                                
switch (selector) {                               
   case 0x0a8e8e01:   // JUMP to 41 (65 in dec)   stop()
   case 0x66e41cb7:   // JUMP to 49 (73 in dec)   stop()
   case 0xf8a8fd6d:   // JUMP to 51 (85 in dec)   stop()
   default: revert();
stop()

我们完成了!

9. 总结

我们成功地学会了。

• 一些基本的EVM 汇编。
• EVM如何执行智能合约。
• 哪些代码在执行函数之前被执行。
• LIFO堆栈如何工作。
• remix调试器的基本使用。
• 函数选择器。
• 还有很多...

这个系列的第一篇关于通过调试理解EVM的内容就到此为止。我希望你在这里学到很多东西。

下一部分见!

这是我们关于通过调试理解EVM系列的第1部分，在这里你可以找到之前和接下来的部分。

转载自：https://learnblockchain.cn/article/4913