开发笔记:一种链下绕过非view限制直接读取智能合约某类特殊函数返回结果的技巧

我们知道&＃xff0c;在智能合约中一般分为读取&＃xff08;view/pure&＃xff09;或者写入&＃xff08;改变状态&＃xff09;这两种类型。由于保护数据设置障碍的需要&＃xff0c;有时合约开发者并不想别人查看他们的view函数返回值&＃xff0c;于是在上面增加了调用者权限限制&＃xff0c;更有甚者&＃xff0c;故意通过某种技巧&＃xff08;或者是业务需要&＃xff09;将此函数变成非view/pure类型的函数&＃xff0c;也就是一个交易。这样线下&＃xff08;前端或者脚本&＃xff09;调用此函数时就是一个交易&＃xff0c;是无法直接得到函数返回结果的。

在上一篇文章《一种绕过管理员权限调用智能合约view函数的小技巧》中&＃xff0c;我们介绍了绕过权限控制来读取view函数返回结果的技巧&＃xff0c;那么问题来了&＃xff0c;这里的函数是非ivew的怎么办&＃xff1f;如果该函数的实际执行并未改变状态&＃xff0c;相当于一个view函数执行&＃xff0c;那我们是可以绕过这个限制的。本文就介绍这么一个小技巧&＃xff0c;同时也是对《使用ethers.js直接读取智能合约中插槽内容》这一篇文章的收尾问题进行解答&＃xff0c;验证我们读取的数据和实际数据是相同的。

我们还是以《使用ethers.js直接读取智能合约中插槽内容》这一篇文章中的示例合约进行演示&＃xff0c;再次贴出该合约地址&＃xff1a;https://bscscan.com/address/0x4BfE9489937d6C0d7cD6911F1102c25c7CBc1B5A#code
该合约已经通过浏览器验证&＃xff0c;是BSC网络上一个真实运行的合约&＃xff08;当然不是笔者部署的&＃xff09;。我们注意看以下代码&＃xff1a;

bytes32 internal constant IMPLEMENTATION_SLOT &＃61; 0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc;
bytes32 internal constant ADMIN_SLOT &＃61; 0xb53127684a568b3173ae13b9f8a6016e243e63b6e8ee1178d6a717850b5d6103;
/**
* &＃64;dev Modifier to check whether the &＃96;msg.sender&＃96; is the admin.
* If it is, it will run the function. Otherwise, it will delegate the call
* to the implementation.
*/
modifier ifAdmin() {
if (msg.sender &＃61;&＃61; _admin()) {
_;
} else {
_fallback();
}
}
/**
* &＃64;return The address of the proxy admin.
*/
function admin() external ifAdmin returns (address) {
return _admin();
}
/**
* &＃64;return The address of the implementation.
*/
function implementation() external ifAdmin returns (address) {
return _implementation();
}


有看过我们面文章的人一看就知道我摘出来的代码的含义&＃xff0c;没有看过的也不打紧&＃xff0c;我简单再解释一下。这个代码块刚开始定义了admin和implement的插槽索引&＃xff0c;然后定义了一个ifAdmin的函数修饰符&＃xff0c;在其定义里我们看到&＃xff0c;如果调用者是管理员&＃xff0c;就执行接下来的函数体&＃xff0c;如果不是&＃xff0c;就执行_fallback()函数&＃xff0c;这里的_fallback()其实调用委托地址相同的函数了&＃xff0c;弄明白这个需要懂得代理/委托这种可升级模式。读者也可以在网上搜索或者在我的其它文章中读到代理/委托相关内容&＃xff0c;这里不再解释。

从上面的代码中我们可以看到&＃xff0c;只有管理员才能查询管理员地址和implementation地址&＃xff0c;并且它们都是非view函数的&＃xff0c;无法直接在浏览器界面上使用Read Contract 调用&＃xff0c;而是出现在 Write Contract界面中&＃xff0c;如下图&＃xff1a;

上面那张图显示了Read Contract按钮下空空如也。我们再看Write Contract。

从上图可以看到&＃xff0c;本来只是读取管理员信息的操作却显示在了write界面中&＃xff0c;显然第一我们不是管理员&＃xff0c;第二我们也没有管理员私钥&＃xff0c;我们执行写操作是不能成功的。再说&＃xff0c;即使成功&＃xff0c;我们也只能得到一个交易对象&＃xff0c;而无法直接得到返回结果。

那个Connedt to Web3 点击后会连接你的浏览器插件钱包&＃xff08;笔者用的metamask)&＃xff0c;当网络选择正确时&＃xff0c;连接成功后会变绿&＃xff0c;显示连接成功和你的地址&＃xff0c;这里笔者就不再放图了&＃xff0c;这时你就可以直接使用浏览器调用合约了&＃xff0c;不需要该死的项目方前端界面了&＃x1f602;&＃x1f602;&＃x1f602;。

从合约的代码片断中我们可以看到&＃xff0c;只有管理员才能去读谁是管理员&＃xff0c;这个和区块链的公开透明有那么一点点相违背啊。这里也许并不是合约开发者存心和我们为难&＃xff0c;不让我们读这个数据。很大可能是直接使用了openzeppelin中的代理/委托标准模板&＃xff0c;那就是openzeppelin和我们为难了&＃xff0c;但不管怎样&＃xff0c;这都不是事。

好了&＃xff0c;有些扯远了&＃xff0c;我们来看怎么通过脚本去调用这个write类型函数并得到结果。

首先&＃xff0c;我们需要明确一点&＃xff0c;我们调用的admin函数和implementation函数在调用者是管理员的情况下&＃xff0c;的确只读取了本地存储的admin和implement地址&＃xff0c;并无改变任何状态&＃xff0c;其实质相当于是一个view函数。&＃xff08;如果我们不是管理员调用会报错&＃xff0c;即使是view函数也会报错&＃xff09;。

要解决这个问题首先得是管理员&＃xff0c;当然我们不是管理员&＃xff0c;也拿不到私钥&＃xff0c;怎么办呢&＃xff1f;上一篇文章《一种绕过管理员权限调用智能合约view函数的小技巧》已经解决这个问题了。

其次&＃xff0c;这个不是view函数怎么办&＃xff1f;如果我们在该合约的浏览器页面下的Contract ABI里找到这个admin函数,相应的ABI内容为&＃xff1a;
{"inputs":[],"name":"admin","outputs":[{"internalType":"address","name":"","type":"address"}],"stateMutability":"nonpayable","type":"function"}

我们注意到stateMutability标记的为nonpayable&＃xff0c;而不是view。

因此&＃xff0c;我们无法直接使用它公开的ABI了&＃xff0c;我们需要自己编一个view类型的自用。

const abi &＃61; [
"function admin() view returns(address)",
"function implementation() view returns(address)"
]


我们今天的脚本在前两篇文章的脚本上稍微改一下就能得到了&＃xff0c;完整脚本如下&＃xff1a;

const { ethers,utils } &＃61; require("ethers");
const bsc_rpc_url &＃61; "https://bsc-dataseed2.defibit.io"
const provider &＃61; new ethers.providers.JsonRpcProvider(bsc_rpc_url)
const proxy_address &＃61; "0x4BfE9489937d6C0d7cD6911F1102c25c7CBc1B5A"
const admin_slot &＃61; ethers.BigNumber.from("0xb53127684a568b3173ae13b9f8a6016e243e63b6e8ee1178d6a717850b5d6103")
const impl_slot &＃61; ethers.BigNumber.from("0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc")
const abi &＃61; [
"function admin() view returns(address)",
"function implementation() view returns(address)"
]
const proxy_contract &＃61; new ethers.Contract(proxy_address,abi,provider)
async function checkResult(admin_address,impl_address) {
try {
let admin &＃61; await proxy_contract.admin({
"from":admin_address
})
console.log("check admin_address:", admin &＃61;&＃61;&＃61; admin_address)
let impl &＃61; await proxy_contract.implementation({
"from":admin_address
})
console.log("check impl_address:", impl &＃61;&＃61;&＃61; impl_address)
}catch(e){
console.log(e)
}
}
async function start() {
const admin_info &＃61; await provider.getStorageAt(proxy_address , admin_slot)
console.log("admin_info:",admin_info)
const admin_address &＃61; utils.getAddress("0x" &＃43; admin_info.substring(26))
console.log("admin_address:",admin_address)
console.log()
const impl_info &＃61; await provider.getStorageAt(proxy_address , impl_slot)
console.log("impl_info:",impl_info)
const impl_address &＃61; utils.getAddress("0x" &＃43; impl_info.substring(26))
console.log("impl_address:",impl_address)
console.log()
checkResult(admin_address,impl_address)
}
start()


我们直接node运行脚本&＃xff0c;得到的输出为&＃xff1a;

admin_info: 0x0000000000000000000000005379f32c8d5f663eacb61eef63f722950294f452
admin_address: 0x5379F32C8D5F663EACb61eeF63F722950294f452
impl_info: 0x000000000000000000000000cac73a0f24968e201c2cc326edbc92a87666b430
impl_address: 0xcac73A0f24968e201c2cc326edbC92A87666b430
check admin_address: true
check impl_address: true


注意&＃xff1a;我们这里的流程是先利用插槽索引得到管理员地址&＃xff0c;再利用管理员地址去调用这个admin函数&＃xff0c;这样双重验证了管理员地址正确这个结果&＃xff08;第一重是非管理员调用会报错&＃xff0c;我们通过了&＃xff1b;第二重是返回的结果和我们读插槽的结果一致&＃xff09;。虽然这里的admin函数是非view的&＃xff0c;我们仍然直接从合约中得到了函数的返回结果&＃xff08;而不是得到了一个交易对象)。

再次重申一点&＃xff1a;这个技巧只能针对那些特定的非view函数

有的时候可以故意将view函数写成非view不让你看数据的&＃xff0c;非要给你制造一点麻烦&＃xff0c;例如下面的合约&＃xff1a;

/**
*Submitted for verification at Etherscan.io on 2021-06-29
*/
pragma solidity &＃61;0.6.6;
contract NoViewTest {
uint private _seed &＃61; 66;
function getSeed() external returns(uint) {
if (false) {
_seed &＃61; _seed;
}
return _seed;
}
}


通过一段永不执行的写操作让view 函数变成了 非 view 函数&＃xff0c;这样编译的时候不会提示你该函数要定义为view函数。

那么我们可不可以使用上面的方式来直接调用该函数并得到结果66呢&＃xff1f;

我们实际操作一下&＃xff0c;笔者已经将该合约部署在kovan测试网上&＃xff0c;地址为&＃xff1a;https://kovan.etherscan.io/address/0xe00d0bc01f11dc5c5f66611a6cf37c3f3847fe1a#code

测试脚本为&＃xff1a;noViewTest.js

const { ethers } &＃61; require("ethers");
const infura_key &＃61; "your_infura_key"
const provider &＃61; new ethers.providers.InfuraProvider("kovan",infura_key)
const contract_address &＃61; "0xe00d0bc01f11dc5c5f66611a6cf37c3f3847fe1a"
const abi &＃61; [
"function getSeed() view returns(uint)"
]
const test_contract &＃61; new ethers.Contract(contract_address,abi,provider)
async function getSeed() {
try {
let seed &＃61; await test_contract.getSeed()
console.log("seed:", seed.toString()) //66
}catch(e){
console.log(e)
}
}
getSeed()


我们运行node noViewTest.js&＃xff0c;可以得到输出为66&＃xff0c;验证我们上面提到的方法是有效的。

什么&＃xff1f;还没有infura_key&＃xff1f;赶快免费申请一个吧。

如果一个函数只是view函数&＃xff0c;即不写数据&＃xff0c;不改变状态&＃xff08;注&＃xff1a;发log,发以太币也是属于改变状态&＃xff09;&＃xff0c;即使它加了调用权限并且设法弄成了非view函数&＃xff08;假装为写交易&＃xff09;&＃xff0c;我们都可以设法读取该函数的返回结果的。所以&＃xff0c;还是公开透明吧&＃xff01;

当然&＃xff0c;这是有前提的&＃xff08;比如别人会开源&＃xff0c;或者通过浏览器验证公开代码&＃xff0c;不让我们去猜代码&＃xff09;。

我们本次是链下使用脚本&＃xff0c;那么&＃xff0c;链上直接使用其它智能合约访问可否绕过这个限制呢&＃xff1f;我们下次再尝试&＃xff01;当然有兴趣的读者可以自己先尝试一下。

在这里&＃xff0c;笔者验证了一下&＃xff0c;因为篇幅很小&＃xff0c;所以直接加在后面了。

验证合约为:

pragma solidity &＃61;0.6.6;
contract NoViewTest {
uint private _seed &＃61; 66;
function getSeed() external returns(uint) {
if (false) {
_seed &＃61; _seed;
}
return _seed;
}
}
interface INoViewTest {
function getSeed() external view returns(uint);
}
contract NoViewCall {
INoViewTest public test &＃61; INoViewTest(0xE00D0BC01F11Dc5C5F66611A6cf37c3F3847fE1A);
function getSeed() external view returns(uint) {
return test.getSeed();
}
}


合约部署后的地址为:
https://kovan.etherscan.io/address/0x4A2b70Cab25E566AbF998Ed620e2C5CCA025d375#readContract
打开上述地址&＃xff0c;直接点击getSeed&＃xff0c;就能看到查询结果为66了。

希望本文章对以太坊和区块链学习&＃xff08;开发&＃xff09;者能提供一点点帮助。