關於 openzeppelin erc20 ，我們在網路上蒐集到這些相關的討論、資訊與評價

📜 [專欄新文章] 類 Python 的合約語言 Vyper 開發入門：與 Solidity 差異、用 Truffle 部署、ERC20 賣幣合約實做
✍️ 田少谷 Shao
📥 歡迎投稿： https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium

有鑒於個人近期關注的 Uniswap 及 Curve 皆用 Vyper 實作，索性瀏覽了官方文件並嘗試一些開發工具，希望此文能減少一些讀者初嘗 Vyper 會遇到的麻煩!

Vyper and Solidity

Outline

一. Vyper 極簡介二. 與 Solidity 語法差異三. 開發、開發環境設置 1. 語法高亮 2. 本地 Vyper compiler 安裝 3. 使用 Truffle 操作 ERC20 - 安裝 Truffle - 發幣 - 寫個簡易賣幣合約四. 已知 Remix 問題 五. 結語

一. Vyper 極簡介

Vyper 是除 Solidity 外，以太坊上的另一智能合約 (Smart contract) 語言。其語法和 Python 相近，但畢竟也是寫合約的語言，邏輯差異不大，所以若熟悉 Solidity 應該不難理解用 Vyper 寫出的合約!

Vyper 主要被設計和 Solidity 的區別是安全性及可讀性，這部分會在下一段落及後方的實作中舉例說明。

二. 與 Solidity 語法差異

Vyper 與 Solidity 的差異有許多，在本段只就個人認為感受較深的三點進行說明，其他差異只進行翻譯，有興趣的讀者可以到官方文件詳細了解：https://vyper.readthedocs.io/en/latest/index.html

1. 沒有 modifier

Solidity 常見的 onlyOwner() modifier; 由於 gist 沒有 Solidity 的語法高亮，故截圖

在 Vyper 中單純用 assert 及 assert_modifiable 來進行條件檢查，兩者差別為若要檢查函數執行後的返還值，要用後者，如下圖：

Vyper 寫法

2. 沒有 Class inheritance 繼承

繼承是物件導向程式設計 (OOP) 的核心概念，但各種繼承關係有時候確實很複雜。Vyper 沒有繼承，這無疑大幅地增加了程式可讀性及安全性，以及降低審計程式碼的難度。在此提供一個例子供不熟悉 OOP 複雜之處的讀者有個概念：

source: https://consensys.github.io/smart-contract-best-practices/recommendations/#multiple-inheritance-caution

在上例中，contract A 的 fee 值 (因繼承自 contract B 和 C，故有 fee 一值) 是 5、a 值也是 5 (因繼承自 contract Final，故有 a 一值)。原因是 A 先繼承 B 再繼承 C，因此 contract A 中的 setFee() 是使用了 contract C 的 setFee()，而 a 值是由於 C(5)，這代表 contract C 的 constructor (舊版本中即 function C()，函式名稱同 contract 名稱) 被傳入的值為 5。

稍微延伸一下以上概念，將 contract A 改成：contract A is C, B。如此一來，a 值還有 fee 值都會是 3，因為這次 A 先繼承 C 再繼承 B，因此最終吃到的值是 contract B 的。

以上就是 OOP 繼承的複雜之處的簡單範例說明，應該能稍微感受到爲什麼除去繼承後會大幅提高可讀性及安全性，畢竟即使是熟悉 OOP 的人有時頭腦一混亂也會開始懷疑自己寫的程式碼繼承結構是否正確 …

3. 沒有 dynamic array 動態陣列

這應該是目前 Vyper 設計中爭議最大的部分。沒有動態陣列代表在宣告陣列時需要宣告其長度，也就是說 Solidity 中的寫法 uint[], bool[] 等等，這些是不會出現在 Vyper 的。在 Vyper 中只能出現諸如：

# Vyper 的變數宣告方式為 變數名稱: 存取範圍(變數型態(若為陣列給長度))

values: uint256[10]participants: public(address[20])

可以看到上方的 uint256 及 address 兩陣列皆需要宣告長度，不能不宣告而使其動態地配置空間。

沒有動態陣列固然可以確保執行運算的範圍、次數，但一來動態陣列真的很方便、二來在 Solidity 有此功能而 Vyper 卻沒有的情況下可能會造成麻煩，詳見此一討論串：點我。

4. 沒有 inline assembly，程式碼中不會有組合語言

5. 沒有 function overloading，函式不會因傳入的參數數目不同而結果不同

6. 沒有 operator overloading，運算符號不會有不同於預設的自定義功能

7. 沒有無限迴圈，可免於 gas limit attack

8. 十進位定點數 decimal fixed point 而非二進位 (binary) 定點數，詳見：點我

三. 開發、開發環境設置

結論先講

開發 Vyper 的最佳姿勢目前個人認為是在本地裝上 Vyper compiler、用 Truffle 部署，並在撰寫時將檔名後加上 .py 就能有 Python 的語法高亮👌

1. 語法高亮 (syntax highlighting)

有語法高亮絕對是舒服地寫程式的第一步。

Remix 有 Vyper 的語法高亮，但一來個人目前不推薦使用 Remix 來撰寫 Vyper，原因詳見下方 4. 已知 Remix 問題；二來 Remix 的語法高亮其實也沒有很清楚，因此個人推薦：在本地開發，將檔名後加上 .py 就會有 Python 的語法高亮。

2. 本地 Vyper compiler 安裝

照官方說明使用 Python 的虛擬環境 virtualenv：

source: https://vyper.readthedocs.io/en/latest/installing-vyper.html#installing-vyper

簡單兩點提醒：

如果中間那行報錯但確實已經有 Python，則可能是版本問題。依照自己電腦上的版本改成相應的即可，ex: python3.6 改成 python3

進入虛擬環境後(檔案路徑前方應有 vyper-venv 的提示)，使用此指令： vyper {檔案名稱}.vy，即可編譯 .vy 檔；使用完畢後輸入 deactivate 即可退出

3. 使用 Truffle 操作 ERC20

安裝 Truffle

Truffle 雖有冗餘的 migration 但也別無他法，畢竟 Remix 目前仍不完善 :(

下載流程可以照官方文件，使用 vyper-example：

source: https://github.com/truffle-box/vyper-example-box

由於我們會接上測試網 Ropsten，因此還要下載 truffle-hdwallet-provider：

source: https://github.com/trufflesuite/truffle-hdwallet-provider

接者就可以開始使用 Vyper 寫合約了！

發幣

由於 Vyper 的官方文件中已經有許多優質範例，因此本文希望來點不一樣但大家卻又很熟悉的…以 ERC20 為例(這千篇一律的主題xD)：

用 Curve 的 ERC20 程式碼為範本，發一個幣(又要發…)

寫一個簡易賣幣合約

選擇這個主題一方面畢竟 ERC20 是以太坊的最大宗應用之一，二來有興趣的讀者可以透過讀 ERC20 的程式碼來熟悉 Vyper，並在看過本文的流程後對於用 Vyper+Truffle 來操作 ERC20 有完整的概念！

好的，首先複製一份 Curve 的 ERC20 程式碼(看到就順手拿來用)，並複製到 Truffle 所在路徑的 contracts 資料夾中：https://github.com/curvefi/curve-contract/blob/pool_compound/vyper/ERC20.vy

由於第一點希望著重在跑一次流程，因此不改動合約的程式碼。

將 ERC20.vy 複製到 contracts 資料夾中後，到 migrations 資料夾開啟 2_deploy_contracts.js，首先將 require() 中的參數改為 ERC20.vy 的檔名 ERC20，再來依照自己喜好決定幣的名稱、代號、小數點位數及發行總量，輸入於 deployer.deploy() 中。

接著，為了和測試網 Ropsten 互動，需要將以下程式碼寫入 truffle-config.js。

第二行的 privateKeys 是帳號的私鑰。以下實作需要兩個帳號來操作，因此請從錢包匯入兩組私鑰(並非助憶詞)。

在第 13 行中 HDWalletProvider 此函式的第三個參數代表要用第幾個帳號最為預設帳號(部署合約等)，第四個函數代表總共匯入幾組帳號。而第二個參數則是需要至 Infura 申請一個 project 來得到串接 Ropsten 的連結。這兩步驟並非本文重點，因此不詳細解說步驟，Google 搜尋關鍵字應該就會找到方法!

接著，就可以輸入以下指令來將代幣發佈到 Ropsten：

truffle deploy --network ropsten

有進入虛擬環境才可以編譯 .vy 檔，若忘記就會收到如下的錯誤訊息：

記得打開虛擬環境才能編譯 .vy 檔

成功後就可以在 contract address 中看到代幣發佈的位置，加入到 Metamask 中就可以看到。本文的例子是維尼代幣 Winnie the Coin, WTC ;)

contract address 便是 ERC20 的所在

Winnie the Coin, WTC

好了，到此測試網上又多了一個測試用的垃圾廢幣。

寫個簡易賣幣合約

賣幣合約中我想要簡單有兩個功能就好：付錢買幣 、結束銷售，以下就是程式碼。買幣的部分就不寫太詳細，固定價格為 0.01 Ether 可以買 500 代幣。

簡單說明幾點：

Solidity 的 constructor() 在 Vyper 中為 Python 風的 __init__():

函式的屬性(public, private, payable 等等)放在函式上方，與 Python 的修飾器位置相同

總之寫法跟 Python 很像，次方也一樣是用兩次乘法代表：**

變數前加上 self 代表是當前合約的變數/全域變數，因此非常容易與函式中的變數/區域變數做區隔

由於已經在第一行匯入了 ERC20 那份合約，因此透過將地址傳入合約當參數，就可以呼叫在該地址的合約：ERC20(self.tokenAddress) 。並且，可以將部署的合約存成一個變數 erc20 較方便

寫完合約後一樣要更改 migrations 資料夾中的 2_deploy_contracts.js 如下，將代幣所在的地址作為參數輸入。

由於先前已經部署過一次了，因此要重置才能再部署第二次，輸入以下指令：

truffle deploy --reset --network ropsten

部署成功之後就要來試著買幣啦！輸入以下來進入 console：

truffle console --network ropsten

成功進入後應該會看到 truffle(ropsten)> 的字樣。接著，首先取得部署的兩合約，並查看是否有返回合約資訊：

# ERC20 及 SellToken 是先前在 2_deploy_contracts.js 中的變數名稱，代表被部署的合約

let instance1 = await ERC20.deployed()instance1 # 印出 instance1 的資訊

let instance2 = await SellToken.deployed()instance2 # 印出 instance2 的資訊

再來，為了讓 SellToken 可以賣幣，要先用 ERC20 的合約匯幣到 SellToken 的合約。因此，輸入以下指令：

instance1.transfer(instance2.address, 10000)

# 這裡數字只要設為 > 500 就可以

接著，我們要利用第二個帳號去買幣(第一個帳號為預設帳號，因此就是代幣擁有者)。將帳號的資訊存入變數 accounts 中，再指定送出交易的帳號是第二個帳號。由於我個人匯入私鑰的順序是將第一個帳號存在 truffle-config.js 的 privateKeys[0]、第二個帳號存在 privateKeys[1]，因此第二個帳號的地址就會在 accounts[1] 的位置：

let accounts = await web3.eth.getAccounts()

instance2.buyToken({from: accounts[1], value: 10000000000000000})

# value 為 10^16 是因為在 SellToken 的 buyToken 函式中買一次要 0.01 Ether, 即為 10^16 wei

然後應該就會在自己的第二個帳號中看到匯入的幣了～

最後，由於合約中結束銷售就是一個自殺 selfdestruct 函式，因此可以呼叫看看，第一個帳戶錢包中的錢應該會增加，因為第二個帳戶有付款買幣；並且，可以到 Ropsten 上瀏覽，應該能看到相關提示：

中間 contract 的右上角有 Self Destruct 的樣式

四. 已知 Remix 問題

Remix 目前有兩個版本，只有新版有 Vyper 的編譯器。在此整理目前遇到的問題，如果有人也遇到可以對照一下本處，可以省去很多自我懷疑xD

不會報錯

Remix 的編譯結果有時會是錯的、和本地端編譯出來的結果不同

舉上方的 SellToken 合約為例，將其複製到 Remix 中使用左邊的 Remote Compiler 有錯，但又不報錯 q_q (ERC20 的合約有在同檔案目錄)

左方有紅色三角形，代表編譯失敗，但沒有報錯訊息可以看…

getter function 竟然要花錢

用 Solidity 寫的合約，查詢 public 變數的值應該是不用消耗 gas 的，但不知何故查詢 Vyper 寫的合約的 public 變數卻要消耗 gas，如下圖…

可以看到中下方有 22026 gas 的消耗

Local compiler 無法使用

圖中的 Local Compiler 此選項，個人雖照官方文件執行 vyper-serve 但卻失敗，因此若有讀者成功希望能留個言不吝分享!

五. 結語

Vyper 作為一個比 Solidity 更新的合約語言，在寫程式碼的方面沒什麼問題，但相關的開發工具、學習資源等都遠不及 Solidity。

Vyper 主打的兩個特色：可讀性的部分相信看完上面的讀者應該已經有些感覺；安全性…小白如作者我倒是沒有感受到顯著的不同。況且 Solidity 已經發展許久，很多錯誤的寫法、知名的安全漏洞大家應該也很熟悉了，還有 Openzeppelin 提供安全合約寫法的範本，因此有待以後高人解說安全性是否真的是 Vyper 較好。

有興趣者可以查看 Vyper 的安全報告：點我，大意是目前 Vyper 的編譯器仍有許多問題待改進! (感謝 Chih-Cheng Liang 的提供)

本文對 Vyper 的介紹及其與 Solidity 的差異只講了個大概，欲知更詳細的介紹還是要麻煩讀者前往官方文件了：https://vyper.readthedocs.io/en/latest/index.html

最後，如果本文有任何錯誤，請不吝提出，我會盡快做修正；而如果我的文章有幫助到你，可以看看我的其他文章，歡迎一起交流 :)

田少谷 Shao - Medium

類 Python 的合約語言 Vyper 開發入門：與 Solidity 差異、用 Truffle 部署、ERC20 賣幣合約實做 was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.

👏 歡迎轉載分享鼓掌

📜 [專欄新文章] Solidity Weekly #17
✍️ mingderwang
📥 歡迎投稿： https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium

token special issue

ERC827 的資安問題探討

警告: ERC827 規格還在討論中, 且已經發現容易造成資安問題. 本文僅供技術探討參考, 請勿 prod 使用! (若錯誤使用造成任何損失, 個人與專欄皆無法負擔賠償責任)

Why ERC827 can make you vulnerable to reentrancy attacks — and how to prevent them

上面連結文章, 介紹 ERC827 寫法不對, 有可能造成 Reentrancy 攻擊.

ERC827 是一種 ERC20 的擴充, 它是希望 ERC20 介面以外, 再增加 approveAndCall(), transferAndCall(), 以及transferFromAndCall()三種介面. 讓該合約在呼叫相對應 ERC20 的 approve(), transfer() 或 transferFrom() 功能之後, 能順便再呼叫 _to 參數的另一個合約地址 with _data 參數. 以 transferAndCall 為例, 定義如下: (截圖來自 ERC827 規格)

規格裡已經強調不可以搭配 fallback functions 使用, 所以使用時要替別注記!!!

ltdr: 為何 ERC827 有問題, 我還要介紹呢? 因為它讓不用 Ether 也能交易變成可能 (在這篇文章裡有介紹 Do not pay transaction fees in Ethereum), 裡面的 Feeless (警告: 沒有 reentery 保護, 有資安問題, 勿用), 就是使用了 ERC827 協定, 但 Save on fees, lose your tokens (ChainSecurity 的 CTO, https://medium.com/@HRitzdorf) 就馬上給他打臉.

雖然有問題, 但 OpenZeppelin 還是有 implement, 且加上嚴重警告, 希望它能繼續改良, 用大眾的力量來解決這個問題. 也讓 ERC20 能更 powerful, 且更為廣泛使用.

後記:

由於內容挑選不易, 造成出刊頻率不一, 雖然叫 “Solidity Weekly” 週刊, 但偶而會變成 bi-weekly, 深感抱歉. 我知道台灣非常多人在寫 Smart Contracts, 使用 Solidity 或寫 DApps 經驗都比我豐富, 希望大家能共同編輯 “Solidity Weekly”. 讓出刊頻率能像 blockchain 一樣(每個 block 挖到的平均速度是 14秒), 我們平均每一個禮拜一期. 只要是跟 Smart Contract 相關, 都歡迎加入”Taipei Ethereum Meetup” 編輯群, 我們可以自由加 Solidity Weekly #{issue++}. 我們沒有主編, 不必審核 (只內容要不要太離譜就好). (期待, 有人自告奮勇寫下一 期的 Solidity Weekly #18)

BTW, 我們的 Taipei Ethereum Meetup 專欄文章, 雖然以中文為主, 但已經發現有外國文章(The Best Way to Start Coding in Solidity) refer 到我們的文章, https://medium.com/…/ethereum-dapp-tutorial-push-button-cae… , 非常難得, 深感欣慰. 大家的努力, 世界都在看!

Solidity Weekly #17 was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.

👏 歡迎轉載分享鼓掌

📜 [專欄新文章] Solidity Weekly #14
✍️ mingderwang
📥 歡迎投稿： https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium

如何使用 ZeppelinOS 產生 ERC20 tokens

本期不寫 Code

讓我們在 Ropsten Test net 上測試，用 ZeppelinOS 直接產生 ERC20 tokens。

先安裝與架設好 zos for Rosten network deployment：

cd /tmp && mkdir my-app && cd my-appnpm install yarn zoszos init my-app 1.0.0zos link openzeppelin-zos

rm truffle-config.js && wget https://gist.githubusercontent.com/…/1be8…/truffle-config.js

yarn add openzeppelin-zos truffle-hdwallet-providerzos push --network ropsten

然後執行以下指令，假設你在 Ropsten 有一個帳號 ，例如這裡的 0x66ee73086134f147745be72335153bf780499e2e，當成這 tokens 合約的所有人，您可更改 muzha 成你要的 token 名稱，以及改 MUZA 成你要的 token 符號。

只要一行指令, 就可以生成 tokens：

在 /tmp/my-app 目錄下

OWNER=0x66ee73086134f147745be72335153bf780499e2e zos create DetailedPremintedToken --init initialize --args $OWNER,muzha,MUZA,8,100000000000000000000 --network ropsten

結果如下，就可以產生一兆個 ERC20 tokens，合約位址在 0xc634d06c9d0fac3c6b341dc6238a15f253caecf9

Creating DetailedPremintedToken proxy and calling initialize with: - _sender (address): "0x66ee73086134f147745be72335153bf780499e2e" - _name (string): "muzha" - _symbol (string): "MUZA" - _decimals (uint8): "8" - _initialBalance (uint256): "100000000000000000000" TX receipt received: 0x6aa11e9a8465092ee17642703aeec1272e1dda452a028da1f460bbcd75dac6d8 DetailedPremintedToken proxy: 0xc634d06c9d0fac3c6b341dc6238a15f253caecf9Successfully written zos.ropsten.json

可以利用 Ropsten 的 Etherscan 做驗證如下：
https://ropsten.etherscan.io/tokens…
LT;DR

安裝 zos 與 truffle 這麼麻煩，乾脆用 docker，結果是一樣的：

docker run mingder78/create-erc20-token 0x66ee73086134f147745be72335153bf780499e2e,TaiwanNewToken,TNT,8,100000000000000000000

$ docker run mingder78/create-erc20-token 0x66ee73086134f147745be72335153bf780499e2e,TaiwanNewToken,TNT,8,100000000000000000000Creating DetailedPremintedToken proxy and calling initialize with: — _sender (address): “0x66ee73086134f147745be72335153bf780499e2e” — _name (string): “TaiwanNewToken” — _symbol (string): “TNT” — _decimals (uint8): “8” — _initialBalance (uint256): “100000000000000000000” TX receipt received: 0xfa424db886ea3bcdfa79bed262c41b82b2a028dfdc240bfb47e067ae34ae4aa6 DetailedPremintedToken proxy: 0x5e19e1830d452e64157c3a49978607f02d79bbf8Successfully written zos.ropsten.json0x5e19e1830d452e64157c3a49978607f02d79bbf8
https://ropsten.etherscan.io/tokens…
參考資料

Docker Hub for mingder78/create-erc20-token

計畫來源: https://github.com/EtherTW/tokensandbox.io

Solidity Weekly #14 was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.

👏 歡迎轉載分享鼓掌