📜 [專欄新文章] Solidity Data Collision

✍️ Wias Liaw

📥 歡迎投稿： https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium

這是一篇關於 Proxy Contract 和 delegatecall 的注意事項。

Delegatecall

當 A 合約對 B 合約執行 delegatecall 時，B 合約的函式會被執行，但是對 storage 的操作都會作用在 A 合約上。舉例如下：

但是假如多加了一個 other 欄位在 _value 之前，執行合約之後反而是 other 欄位被更改了。

Storage Layout

了解上面的合約之前要先了解 Solidity 怎麼儲存 State Variables。Solidity Storage 以 Slot 為單位，每個 Slot 可以儲存 32 bytes 的資訊，一個 Contract 擁有 2**256 個 Slot。上述可以寫成一個映射關係 mapping(uint256 => bytes32) slots。

Solidity 會從 Slot Index 為零開始分配給 State Variable。

除了 mapping 和 dynamically-sized array，其他的 State Variable 會從 index 為零的 slot 開始被分配。

沒有宣告確切大小的 Array 會以 Slot Index 計算出一個雜湊值並將其作為 Slot Index。透過計算 keccak256(slot) 可以得知 _arr[0] 被存在哪裡，如果要取得 _arr[1] 則將計算出來的雜湊加上 Array 的 index 即可。

Mapping 則是以 Slot Index 和 Key 計算出一個雜湊值並將其作為 Slot Index。透過計算 keccak256(key, slot) 可以得到 mapping(key => value) 被存在哪。

Storage Collision

回到 DelegateExample_v2 的合約，對 B 來說， add 最後儲存加法的 Slot Index 為零，所以使用 A 的 Storage 執行 B 的函式結果自然會儲存在 A 的 other 裡，其 Slot Index 為 0。

這個問題也發生在 Proxy Contract，Layout 如下，當有需要更改 _owner 的操作，就會順帶把 _implementation 也更改了。

|Proxy |Implementation ||--------------------------|-------------------------||address _implementation |address _owner | <= collision|... |mapping _balances || |uint256 _supply || |... |

OpenZeppelin 處理的手法也很簡單，就是將 _implementation 換地方擺。以特定字串的雜湊值作為 Slot Index，儲存 Implementation 的地址。

|Proxy |Implementation ||--------------------------|-------------------------||... |address _owner ||... |mapping _balances ||... |uint256 _supply ||... |... ||address _implementation | | <= specified|... | |

openzeppelin-contracts/ERC1967Upgrade.sol at 83644fdb6a9f75a652d2fe2d96cb26073a14f6f8 · OpenZeppelin/openzeppelin-contracts

hardhat-storage-layout

如何知道合約的 Storage Layout 呢？這邊推薦一個 Hardhat Plugin，按照文件就能得到合約的 Storage Layout。

Ethereum development environment for professionals by Nomic Labs

Reference

Understanding Ethereum Smart Contract Storage

Collisions of Solidity Storage Layouts

Proxy Upgrade Pattern - OpenZeppelin Docs

Solidity Data Collision was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.

👏 歡迎轉載分享鼓掌

📜 [專欄新文章] EIP-1014 產生可控的智能合約地址

✍️ 飛天的狸貓

📥 歡迎投稿： https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium

先前在 Solidity Taiwan 讀書會 群中看到一個討論，裡面應該是一個套利機器人，打開他的合約會發現 Contract 標記著 Reinit，大致上意思是在相同地址上曾經 Self Destruct 後又佈署新的 Byte Code。這其中就用到了 Vitalik 提出的 EIP-1014，來達成在固定的地址上佈署。

合約地址是怎麼產生的

如果對於以太坊智能合約佈署不陌生，應該會知道合約地址是依據佈署者的地址和他的 Nonce 來決定的。假如地址 0xa1 在 Nonce 為 1 的交易中建立了合約，合約地址是 0x01，則當他到了其他鏈而再次使用 Nonce 1 建立合約時，就也會得到相同的合約地址 0x01。

而在以太坊中，Nonce 是嚴格遞增的，這主要是為了避免雙花攻擊，因此很顯然的，再次佈署到同一個地址是不可行的。而在 EIP-1014 以前，在合約中建立的子合約也是透過這個方式達成。

EIP-1014 做了什麼

前面說到合約中可以建立子合約，通常使用的指令是 create，這個指令便會根據主合約的地址與合約本身的 Nonce 來算出子合約的地址。在 EIP-1014 中，提出了另外一個指令 create2，接受的參數是一個 salt 和 init code（建立合約的 Byte Code）。這個指令會透過 keccak256 雜湊，混和參數和主合約的地址來算出子合約地址。

可以留意到，salt 和 init code 都是可控的，主合約地址是固定的，因此就讓子合約地址是可控制的（當然不是說想要產生在哪裡就在哪裡）。在 create 中，Nonce 是漸次增加的，所以無法重複，並且若要控制到特定 Nonce 需要發起多筆交易。

但是當再次佈署到相同地址時，EIP-684 說明若該地址 Nonce 不為零或者存在 Byte Code 時將直接拋出錯誤，因此若要佈署到同一個位置，就必須利用 Self Destruct 來抹去 Nonce 和 Byte Code。

為什麼要 EIP-1014

EIP-1014 在起初是基於 State Channel 的需求，主要是因為某些狀況下可能還沒有要和合約做互動，但需要先知道合約地址。因此只要是需要先知道地址，但沒有要立即使用的合約就十分適合通過這個指令來建立。

例如對於交易所來說，替所有要入金的人建立私鑰有管理上的問題，若透過智能合約則相對有彈性，但卻不是所有申請地址的人都真的會入金，此時就適合利用這個指令先行取得地址，當真的有入金時再佈署合約。

如何使用 EIP-1014

除了直接寫 Opcode 以外，Solidity 0.6.2 加入了利用 create2 建立合約的語法。使用方式是 new Contract{salt: someByte}(...args)，其中 new Contract(...args) 就是傳統的佈署方式，而 someByte 是一個 bytes32。

資安疑慮

回到開頭，Etherscan 之所以會標記 Reinit 則是因為可能有資安的疑慮。回顧地址產生的過程，兩個參數都沒有限制條件，因此碰撞的可能也是存在的。如果不肖人士先佈署一個正常的合約，接著通過 Self Destruct 刪除後再佈署假的合約，就可能讓沒注意到的使用者上當。

但或許因為碰撞的機會太低，所以並不太構成問題。而若真的要從使用者的角度防範，可以通過檢查合約有沒有 Self Destruct、Delegate Call、Call Code 指令（如果沒有的話無法刪除合約，再次 create2 時就會被 revert）來避免。

2021/4/23 補充

後來看了幾個討論，也想了一下，資安的疑慮應該遠不只上面這麼簡單。
例如一個宣稱鎖定 ERC-20 代幣的合約，雖然使用者可以檢閱程式碼，並確認其中解鎖 function unlock() 必須在 uint256 block 之後才能執行，並且 block 是無法變更的，但攻擊者可能透過上述方法來消除 block 狀態，進而提前執行 unlock。

參考資料

https://consensys.net/diligence/blog/2019/02/smart-contract-security-newsletter-16-create2-faq/

https://www.chainnews.com/zh-hant/articles/803272341363.htm

如有錯誤敬請指正，原文載於：https://limaois.me/archives/265

EIP-1014 產生可控的智能合約地址 was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.

👏 歡迎轉載分享鼓掌

📜 [專欄新文章] 可升級合約介紹 - 鑽石合約（EIP-2535 Diamond standard）
✍️ Kimi Wu
📥 歡迎投稿： https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium

Photo by Evie S. on Unsplash

前言

可升級合約簡單來說是透過 proxy contract（代理合約）來達成，藉由代理合約去呼叫欲執行的合約，若要升級，則把代理合約中的指向的地址換為新的合約地址即可。而執行的方式則是透過 delegateCall，但 delegateCall 不會更動目標合約的狀態。所以要怎麼處理變數，就是一門學問了。

舉例來說，contract B 有個變數 uint256 x，初始值為 0， 而 function setX(uint256)，可以改變 x 的值。proxy contract A 使用 delegatecall 呼叫 contract B 的 setX(10)，交易結束後，contract B中的 x 依然還是 0。

OpenZeppelin 提出了三種實作方式，可以做到可升級合約，細節可參考 Proxy Patterns，而最終的實作選用了 Unstructured Storage的這個方式，這種方式對於開發較友善，開發時不需特別處理 state variables（不過升級時就需要特別注意了）。而這篇主要是介紹 Diamond standard，OpenZeppelin 的可升級合約就不多做介紹。

USDC V2 : Upgrading a multi-billion dollar ERC-20 token 詳細地介紹代理合約跟變數儲存之間的關係，不了解升級合約的原理，建議先看看。

鑽石合約

名詞介紹

diamond：合約本體，是一個代理合約，無商業邏輯

facet：延伸的合約（實際商業邏輯實作的合約）

loupe：也是一個 facet，負責查詢的功能。可查詢此 diamond所提供的 facet與facet所提供的函式

diamondCut：一組函式，用來管理（增加/取代/減少）此 diamond合約所支援的功能

Loupe

直接來看 loupe的介面，從宣告就能很清楚暸解 diamond合約的實作方式，loupe宣告了一個結構 Facet，Facet結構包含一個地址及 function selector 陣列，所以我們只需要記錄一個 Facet陣列就可以得知這個 diamond 合約有多少個延伸合約及所支援的功能（loupe只定義結構，而實際變數是存在diamon合約中的）。也就是 diamond合約中只記錄延伸合約的地址及其支援的 function selectors，及少數 diamond合約的管理邏輯，並無商業邏輯，因此可以外掛非常非常多的合約上去（就像一個Hub），也就可以突破一個合約只有２４Ｋ的限制。

// A loupe is a small magnifying glass used to look at diamonds.interface IDiamondLoupe { struct Facet { address facetAddress; bytes4[] functionSelectors; } function facets() external view returns (Facet[] memory facets_); function facetFunctionSelectors(address _facet) external view returns (bytes4[] memory facetFunctionSelectors_); function facetAddresses() external view returns (address[] memory facetAddresses_); function facetAddress(bytes4 _functionSelector) external view returns (address facetAddress_);}

DiamondCut

至於 facet在 diamond合約上的註冊或是修改，就由 diamondCut負責，從以下程式碼可以清楚瞭解其功能（EIP中有規範，每次改變都需要發送DiamondCut事件）

interface IDiamondCut { enum FacetCutAction {Add, Replace, Remove} // Add=0, Replace=1, Remove=2 struct FacetCut { address facetAddress; FacetCutAction action; bytes4[] functionSelectors; } function diamondCut( FacetCut[] calldata _diamondCut, address _init, bytes calldata _calldata ) external; event DiamondCut(FacetCut[] _diamondCut, address _init, bytes _calldata);}

Diamond合約

接下來就是最核心的部分 — diamond本體合約。以下是官方的範例，方法上跟 OpenZeppelin 一樣使用 fallback 函式跟 delegateCall 。

呼叫合約所不支援的函式，就會去執行 fallback 函式，fallback 函式中再透過 delegateCall 呼叫 facet 合約相對應的函式

fallback() external payable { address facet = selectorTofacet[msg.sig]; require(facet != address(0)); // Execute external function from facet using delegatecall and return any value. assembly { calldatacopy(0, 0, calldatasize()) let result := delegatecall(gas(), facet, 0, calldatasize(), 0, 0) returndatacopy(0, 0, returndatasize()) switch result case 0 {revert(0, returndatasize())} default {return (0, returndatasize())} }}

主要的差異在於變數的處理，OpenZepplin 是針對單一合約設計的代理合約（也就是每個合約都有自己的代理合約），所以無法處理單一代理合約儲存多個合約的變數（state variables）的狀況（後有圖例）。先由官方的範例程式來了解是怎麼處理變數的

在官方的範例中，都是以更改合約 owner 為例子

首先看到 DimaondStorage這個結構，結構中的前面三個變數都是在維持 diamond合約的運作（同上面loupe的範例），最後一個變數 contractOwner就是我們商業邏輯中所需的變數。
接著看到 function diamondStorage()，取變數的方式就跟OpenZeppelin 儲存特定變數方式一樣（EIP-1967），是把變數存到一個遠方不會跟其他變數碰撞到的位置，在這裡就是從 DIMOND_STORAGE_POSITION 這個 storage slot 讀取。
在實作上就可以有 LibDiamond1 ，宣告DIMOND_STORAGE_POSITION1=keccak256("diamond.standard.diamond.storage1") ，負責處理另一組的變數。藉由這種方式讓每個 facet合約有屬於自己合約的變數， facet合約間就不會互相影響。而最下方的 setContractOwner 是實際使用的範例。

library LibDiamond {

bytes32 constant DIAMOND_STORAGE_POSITION = keccak256("diamond.standard.diamond.storage");

struct FacetAddressAndSelectorPosition { address facetAddress; uint16 selectorPosition; }

struct DiamondStorage { mapping(bytes4 => FacetAddressAndSelectorPosition) facetAddressAndSelectorPosition; bytes4[] selectors; mapping(bytes4 => bool) supportedInterfaces; // owner of the contract address contractOwner; }

function diamondStorage() internal pure returns (DiamondStorage storage ds) { bytes32 position = DIAMOND_STORAGE_POSITION; assembly { ds.slot := position } }

function setContractOwner(address _newOwner) internal { DiamondStorage storage ds = diamondStorage(); address previousOwner = ds.contractOwner; ds.contractOwner = _newOwner; emit OwnershipTransferred(previousOwner, _newOwner); }

每個 library 處理了一組或多組變數的存取， facet 合約透過 library 對變數做操作。也就是把變數存在diamond主體合約，延伸的 facet合約只處理邏輯，是透過 library 去操作變數。

下面圖中清楚地解釋了 facet合約，function selectors 與變數之間的關係，從最左上這邊有個 facets 的 map，紀錄了哪個 selector 在哪個合約中，例如func1, func2是 FacetA的函式。左下角宣告了變數，每組變數的存取如同上述 library 的方式處理。

https://eips.ethereum.org/EIPS/eip-2535#diagrams

在 diamond的設計中，每個 facet合約都是獨立的，因此可以重複使用（跟library 的概念一樣）

https://eips.ethereum.org/EIPS/eip-2535#diagrams

小結

diamond合約使用不同的設計來達成合約的可升級性，藉由這種Hub方式可隨時擴充/移除功能，讓合約不再受限於24KB的限制，此外充分的模組化，讓每次升級的範圍可以很小。最後，因為跟library一樣只處理邏輯，並無狀態儲存，所以可以重複被不同的diamond合約所使用。

雖然又不少好處，也是有些缺點。首先，術語名詞太多，facet, diamondCut, loupe等等（其實還有好幾個，不過沒有介紹到那些部分，所以沒有寫出來）。開發上不直覺，把變數跟邏輯拆開，若要再加上合約之間的繼承關係，容易搞混，不易維護。最後，gas的花費，在函式的讀取、呼叫，變數的存取、傳遞都會有不少的額外支出。Trail of Bits 專欄中有點出更多的缺陷 Good idea, bad design: How the Diamond standard falls short，不過作者也有反擊 Addressing Josselin Feist’s Concern’s of EIP-2535 Diamond Standard，有興趣的讀者可以自行看看、比較。

為了模組化及彈性，diamond合約在設計上有點太複雜（over engineering），會造成可讀性越差（這點也是Vyper誕生的原因之一），而可讀性越差就越容易產生bug、也越不容易抓到bug，而在defi專案中，一個小小的bug通常代表著大筆金額的損失 😱😱😱。

雖然如此，筆者還是覺得很酷，有些設計的思維仍然可以使用在自己的專案

ref:
EIP 2535
Diamond 實作
Addressing Josselin Feist’s Concern’s of EIP-2535 Diamond Standard
OpenZeppelin upgradeable contract

可升級合約介紹 - 鑽石合約（EIP-2535 Diamond standard） was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.

👏 歡迎轉載分享鼓掌