区块链之上的智能合约, 一经部署完毕, 它的代码一般而言是无法更改的。这乃是区块链具“不可篡改”特质的关键呈现。然而, 好多人并不晓得, 智能合约的地址自身, 于特定状况之下是能够被“修改”或者“替换”的。此处所讲的“修改”，并非径直改写已然部署的合约代码, 而是借助代理模式, 使针对合约的地址产生变更。

智能合约地址为什么能改动

这关联到区块链开发里的一种高级设计模式, 即代理合约, 简单来讲, 用户交互的地址一直指向一个代理合约, 此代理合约内部含有实际业务逻辑合约的地址, 当开发者要升级功能或者修复漏洞时, 只需部署一个新逻辑合约, 接着修改代理合约里存储的地址引用, 对于用户而言, 自身一直交互的就是同一个地址, 然而背后运行的代码已然更换了。

这种机制于以太坊等支持智能合约的区块链上颇为常见, 像OpenZeppelin所提供的透明代理、UUPS代理等标准方案, 皆是利用这种方式达成可升级的智能合约, 代理合约自身是不可变的, 但它内部存储的逻辑合约地址能够被合约所有者变更, 这等同于在智能合约上添加了一个“可更换的引擎”, 且车身并未改变。

地址可改会不会带来安全风险

这的确是诸多用户所忧心的问题, 智能合约地址具备“可改”特性, 此乃一把利弊兼具的双刃剑, 对于开发者来讲, 它赋予了修复漏洞以及迭代功能的能力, 从而规避了一旦部署出现差错便会陷入永久无法补救的状况, 然而对于普通用户而言, 要是你并不清楚合约背后存在代理升级机制, 那么极有可能面临一些未知的风险。

设想到这样一种情形, 项目方会预先去部署一个表面上看起来具备安全特性的合约, 以此来达成吸引用户将资产存入其中的目的, 随后通过对逻辑合约地址进行修改, 进而替换成带有恶意功能的代码。像这样的一番操作被称之为“恶意升级”。时常能见到的相关例子涵盖了这些: 原本合约明确承诺“无法增发”代币, 然而升级之后却新增了铸造函数；又或者原本进行提现操作时需要多重签名, 升级之后却改变为单地址控制。一旦出现了这样的情况, 用户便会面临资金遭受损失的风险。

想判断一个智能合约能不能升级, 最直截了当的办法是去查看它的部署代码以及交互方式。在诸如Etherscan等区块链浏览器上面, 要是合约地址被显示为“代理合约”, 且存在“实现合约”的指向, 那就表明它拥有升级的能力。正规的项目一般会把代理合约的源码公开出来, 并且清晰地标注升级机制。要是代码当中运用了delegatecall指令还指向可变地址, 基本上能够确定这是一个可以升级的合约。

在针对普通用户这事上, 最好的做法是这样, 在参与任何去中心化应用之前, 先去借助区块链浏览器查看合约能不能够升级。要是发现呈现的是代理模式, 那就尽量挑那些已被知名安全机构审计过的, 而且是存有明确治理机制的项目。千万别轻易相信“永久不可修改”这种宣称, 晓得为啥不, 因为代理合约它本身就是可以修改的。安全的关键要点, 一直在于对项目方以及合约代码有着充分的信任还有验证。