當(dāng)我在寫另一篇不相關(guān)的文章的時候，接觸了以太坊生態(tài)里建立的假設(shè)。本篇文章我將會講述為什么以太坊假設(shè)是有缺陷的以及給出相應(yīng)的解決方案。首先，我們需要知道以太坊假設(shè)是什么。假設(shè)的內(nèi)容是為了向以太坊智能合約發(fā)送ETH，同時為了避免重入攻擊，調(diào)用智能合約的 gas limit 應(yīng)該不多于2300。

魔力數(shù)和STATICALL

每一個使用transfer函數(shù)發(fā)送款項的現(xiàn)代智能合約中（如果我沒記錯的話，在Solidity3.0之后），都有一個硬編碼的常數(shù)——2300。例如在這個簡單的例子中：

contract Tester{

function（） external{

address payable paymentAddress = 0x5A0b54D5dc17e0AadC383d2db43B0a0D3E029c4c ; paymentAddress.transfer（5）;

}

}

Transfer位轉(zhuǎn)譯成EVM字節(jié)碼后如下：

CALL 2300， address， 。..。

這個數(shù)字為何如此重要？這樣決定是有原因的。

這曾經(jīng)是防止一類被歸為“重入”的智能合約漏洞最有效率的方式。重入的概念是，一個智能合約調(diào)用另一個智能合約，最終（在同一次執(zhí)行過程中）再一次調(diào)用了原來的智能合約。重入是在臭名昭著的the DAO黑客事件中被利用的主要漏洞。當(dāng)時提出的解決方案不是通過改變以太坊協(xié)議來允許合約阻止這種行為，而是最終通過改變Solidity讓向智能合約發(fā)送ETH的默認行為使用非常少量的gas，這樣重入問題就無法再被利用。當(dāng)然，也有一個副作用，這個改變讓收錢的智能合約只能在日志里記錄一個事件，而不能改變狀態(tài)或者做任何別的事。

但最近以太坊引入了STATICCALL，作為防止重入問題的靈丹妙藥。它真的是靈丹妙藥么？回答是——不全是。

首先，我們試著強制Solidity在我們的測試合約的fallback函數(shù)中使用STATICCALL：

pragma solidity ^0.5.9;

contract Tester{

function（） external view{

}

function foo（） external view{

}

}

然后編譯器用以下報錯獎勵了我們的冒險精神：

browser/test.sol:4：5： TypeError： Fallback function must be payable or non-payable， but is “view”。

function（） external view{

^ （Relevant source part starts here and spans across multiple lines）。

而且，有趣的是，并沒有明確的“non-payable“關(guān)鍵字來明確地標識一個函數(shù)為non-payable。讓我們從fallback函數(shù)里去除view關(guān)鍵字，檢查這個ABI：

［

{

“constant”： true，

“inputs”： ［］，

“name”： “foo”，

“outputs”： ［］，

“payable”： false，

“stateMutability”： “view”，

“type”： “function”

}，

{

“payable”： false，

“stateMutability”： “nonpayable”，

“type”： “fallback”

}

］

所以，Solidity決定一個fallback函數(shù)的stateMutability只能是non-payable或者payable，不允許是“view”。

但我們假裝Solidity不那么糟糕，而是允許這么做。然后你就可以讓Solidity使用STATICCALL向一個合約的fallback轉(zhuǎn)錢，一切正常了嗎？還是不行。STATICCALL的設(shè)計很有些特殊。當(dāng)然，你可以在邏輯中使用fallback函數(shù)，但是STATICCALL的設(shè)計用意是允許外部合約調(diào)用而沒有副作用，只返回計算結(jié)果的數(shù)據(jù)。Fallback函數(shù)實際上沒有返回數(shù)據(jù)的概念，雖然如果你下降到調(diào)用者和被調(diào)用者的匯編層面來看這可以實現(xiàn)。所以，STATICCALL在這個場景下沒什么用，除非你在做什么很少見的操作。但是如果你要做些不常見的事情，為什么不寫一個常規(guī)的函數(shù)調(diào)用而要用fallback函數(shù)呢？好吧，我有些跑題。

STATICCALL強調(diào)的是沒有副作用。這意味著你沒法做以下操作：

· 更改狀態(tài)

· 調(diào)用另一個會更改狀態(tài)的合約

· 創(chuàng)建合約

· 自我銷毀一個合約

· 在日志里記錄事件

· 給別的合約發(fā)送ETH，或者更改一個合約的余額

· 因為一個合約被STATICCALL而收到ETH

你能預(yù)計到不能更改狀態(tài)，因為正是從這個角度直接阻止了重入錯誤的發(fā)生。雖然，我沒預(yù)料到在日志里記錄事件也被禁止了。在日志里記錄事件對智能合約來說沒有可見的實際副作用。一旦一個事件被記錄在日志里，一個外部（或內(nèi)部）的智能合約就無法看到這個狀態(tài)被記錄了。這完全是個空輸出。你向虛空中發(fā)送了數(shù)據(jù)，但是再也不能收到那些數(shù)據(jù)，甚至不能觀察到那些數(shù)據(jù)被發(fā)送過。這個副作用只有在區(qū)塊鏈外的世界里才可見。事件通常被用來通知外部界面進入?yún)^(qū)塊鏈，就像說“這兒發(fā)生了你可能會感興趣的事情”。

所以，假設(shè)以技術(shù)純粹性的名義，STATICCALL非常嚴格地執(zhí)行了“無副作用”這條規(guī)則。無副作用里的副作用包括了只有外部可見的副作用。另外的效果當(dāng)然是ETH不能在STATICCALL里進行轉(zhuǎn)移。這有效地打破了它作為解決重入問題競爭者的局面。通常來說，當(dāng)調(diào)用fallback函數(shù)時，你或者犯了錯，或者想要給一個合約發(fā)送ETH。當(dāng)一個合約收到ETH時，它通常會在日志里記錄一個事件來告訴外部程序”嘿，我收到了一筆錢，你可能想要對此做點什么，給那個用戶發(fā)個信息之類的”。在有神奇的2300 gas limit時，沒法給另一個合約發(fā)送部分ETH，也不能更改合約內(nèi)的狀態(tài)，比如更新一下”預(yù)計余額“變量之類的。STATICCALL的唯一用處是從你不想送出ETH的合約的廣義函數(shù)那里阻止重入攻擊。

這意味著，唯一有效阻止重入攻擊，又能發(fā)送ETH、允許創(chuàng)造事件的方式仍然是以前的方法，使用神奇的gas limit常數(shù)——2300。這為什么會是個大問題？這并不是在說硬編碼數(shù)字在計算機科學(xué)里被認為是不好的（提示：這確實很不好），而是說硬編碼數(shù)字實際上使一些合約會在需要以太坊周圍的生態(tài)環(huán)境做一些改變時變得無法運行。

動態(tài)區(qū)塊鏈里的常量

這個reddit帖子［1］提供了一些有用的細節(jié)，指出了以太坊之前在一次升級中增加了CALL指令和一些其他指令的最小花費（如果我沒記錯的話當(dāng)時最小花費是100，現(xiàn)在是500）。這類顧慮在未來所有g(shù)as price調(diào)整的時候大都依然適用。Nick Johnson指出“有明確gas limit的調(diào)用非常少有“。在這句話提出的時候，Solidity會在做與transfer相等的操作時把所有能用的gas都轉(zhuǎn)移到一個合約里，于是就留下了利用重入類操作進行攻擊的可能性。Solidity在the DAO攻擊發(fā)生后引入了2300的gas limit，為了阻止發(fā)生類似事件。現(xiàn)在，公平地說，在默認情況下調(diào)用外部合約函數(shù)（不用transfer）時，Solidity仍然會默認把所有g(shù)as都發(fā)送過去。而且文檔里關(guān)于這個操作的隱患有無數(shù)警告。神奇的2300 gas limit常數(shù)僅僅強化了那個reddit帖子里指出的問題。

比如說，想象一個合約有一個payable的fallback函數(shù)，這個函數(shù)使用了一些在部署的時候便宜到能在2300 gas limit內(nèi)執(zhí)行的opcode。但是，為了應(yīng)對一次攻擊或者什么之前沒發(fā)現(xiàn)的問題，后來這些opcode的價格大幅提高了。這個合約就會變得沒法使用，沒法從那些沒明確地將gas limit提高到高于2300（Solidity警告的行為）的合約那里接受ETH。更糟糕的是，明確地提高gas limit會讓那些發(fā)起調(diào)用的合約暴露在被重入攻擊的危險中。所以，這個合約很可能就必須被棄用了。根據(jù)它接收ETH的實際邏輯（比如依賴一個特定合約給它發(fā)送ETH），它很可能像被擋在了墻里一樣，里面的錢也沒法提取出來。

這個2300 gas limit假設(shè)不僅僅對向后兼容性有害。它也傷害了以太坊協(xié)議內(nèi)的潛在的未來創(chuàng)新。例如，EIP-1293［2］，SSTORE的凈gas計量，是一個創(chuàng)新的協(xié)議改進，將會降低包括存儲在內(nèi)的許多智能合約行為的成本。它能使存儲的gas花費能反映出區(qū)塊鏈上的實際花費，這意味著當(dāng)在一次執(zhí)行中第二次寫入一個存儲鍵值的時候，將會花費更少gas。這符合常理，因為從區(qū)塊鏈的角度來看，第二次狀態(tài)修改幾乎沒有代價，而第一次狀態(tài)修改就幾乎給區(qū)塊鏈支付了足夠的費用。這個提案曾經(jīng)被包括進了君士坦丁堡分叉，但在最后時刻被移除了［3］，因為發(fā)現(xiàn)這會給大量現(xiàn)存的智能合約帶來危險隱患［4］。這個判斷是對的，這個改進會減少狀態(tài)存儲成本，進而帶來重入類的攻擊隱患，即使只有非常保守的2300點gas limit。這件事件中諷刺的一點是，提案的設(shè)計實際上會減少智能合約重入保護的gas成本，而且這也是它的主要應(yīng)用場景。

現(xiàn)在，為了EIP-1283的重入問題而提出的解決方案是EIP-1706［5］。這個提案中的改變可以總結(jié)為：凈gas值測量帶來的費用減少將不會在當(dāng)前執(zhí)行的gas limit低于2300時執(zhí)行。所以，現(xiàn)在這個神奇常量在以太坊共識協(xié)議里變得更加根深蒂固。這將會有效地迫使任何未來的EVM語言在合約調(diào)用時也使用硬編碼的2300 gas limit來防止重入攻擊的危險。

這個神奇的假設(shè)基本上斷絕了存儲變得更便宜的可能性，更不用提以太坊將來要修復(fù)擴展性問題以及任何別的問題。即使有一天發(fā)明一種神奇方法能將所有存儲移到鏈下，使存儲基本免費，存儲的實際gas花費仍然不能低于2300，否則就會暴露在重入攻擊的危險中。

可能的解決方案

我說了很多，但這確實是個很難的問題是吧？我們正在討論區(qū)塊鏈，有關(guān)區(qū)塊鏈的所有技術(shù)都很難。這也是個事實，但同時，我也更傾向不認同以太坊團隊在改進共識協(xié)議時刻意強調(diào)的技術(shù)純粹性。實際上，我覺得EIP-1706因為硬編碼問題不會被以太坊主網(wǎng)接受，它不夠純粹。我個人預(yù)測EIP-1283會被無限期延期，可能最終會加入到以太坊2.0里面。

我會怎么解決重入問題？有兩個可能的方案。

第一個比較簡單：再加個opcode，但是加一個有用的。我的提議是加入這個opcode：

MAGICCALLWITHOUTREENTRANCYEXPLOITS

這確實是個需要讀很久的簡明的名字。但是嚴肅的說，這個opcode的作用于CALL基本一樣，除了以下改變：

· 允許SSTORE（狀態(tài)更改），就像STATICCALL那樣

· 其他任何事情都被允許

老實說我不怎么喜歡這個解決方案。我更喜歡解決本質(zhì)問題，允許重入任何智能合約。理想情況下，可以存在一個非常簡單的opcode，就像這個：

KILLMEIFREENTRANT

這會在當(dāng)前合約已經(jīng)在調(diào)用棧里時停止執(zhí)行。這個功能只需要一個老道的開發(fā)者工作一晚上就能完成，然后再需要一個白天做安全性測試。這會允許在防止重入攻擊時不會涉及到存儲，并且能用如下的簡單代碼非常低費地實現(xiàn)if callstack.exists（currentAddress） then throw但是說回來，我覺得這樣一個不夠“純粹”的opcode永遠不會被考慮采納進以太坊。

還有更純粹的替代性方案，比如把所有的調(diào)用棧暴露給智能合約。如果知道了調(diào)用棧里都有什么，就能簡單地寫一個Solidity函數(shù)來在棧里迭代，檢查是否它自己的地址被包含在它里面，來證明現(xiàn)有的執(zhí)行時在重入。而且當(dāng)然，如果不在預(yù)料之中，合約就會拋出異常來阻止任何不想要的或者預(yù)料之外的行為。這也會允許在智能合約里加入其他特性。例如，想象你舉辦了一場智能合約能夠參與的眾籌。但是，你用黑名單拉黑了一些跟恐怖分子有關(guān)的智能合約。恐怖分子能簡單地部署一個“過路“智能合約，然后讓被黑名單阻擋的智能合約調(diào)用”過路“合約，最后就能調(diào)用你的眾籌合約。如果有調(diào)用棧的信息，這種行為就能被發(fā)現(xiàn)。現(xiàn)在在以太坊里，完全無法在鏈上用智能合約邏輯檢測這一點。

現(xiàn)在以太坊上阻止重入攻擊的設(shè)計幾乎都本身存在安全風(fēng)險。

通常在合約執(zhí)行的時候，一個變量會被設(shè)置成1，表明正在執(zhí)行。當(dāng)執(zhí)行完成后，這個變量會重置成0。這樣，如果你在過程中執(zhí)行一個合約調(diào)用，如果外部合約想要重新進入現(xiàn)有合約，這個合約會看到變量被設(shè)置成了1，然后中止執(zhí)行。然而，如果有些邏輯問題導(dǎo)致執(zhí)行結(jié)束了變量沒被重置回0會怎樣？基本來說，這個智能合約就被隔離了，沒法再被操作，因為它一直認為它正在被攻擊。

重入是以太坊生態(tài)內(nèi)的頭號，也是被討論得最多的問題，同時也被一些網(wǎng)站列為在創(chuàng)建智能合約時應(yīng)該小心的第一號安全問題。這是導(dǎo)致了the DAO攻擊和一些其他的攻擊與異常的元兇。這也是智能合約開發(fā)者最難正確處理的最難問題之一，所有大多數(shù)智能合約就簡單地從根源上杜絕了這個可能。對我來說，以太坊還沒有實施什么直接的方法來阻止重入十分不可思議。相反，依靠限制很多的STATICCALL機制或者神奇的2300 gas limit常數(shù)似乎優(yōu)先級更高。在我心中，這值得有一個一流的解決方案，而非一個建立在假設(shè)之上的丑陋修改。
來源： Qtum量子鏈?