十大Solidity面试问题:让你成功通过编码面试
- cyfrin
- 发布于 2025-02-07 21:13
- 阅读 15
本文收集了10个常见的Solidity面试问题,旨在帮助求职者准备Solidity技术面试。这些问题不仅适合潜在的Solidity开发者自我测试,也可供招聘经理用以评估应聘者的技能水平。每个问题都提供了示例答案和简要解释,以帮助读者理解其重要性。
前10名 Solidity 面试问题
前10名 Solidity 面试问题帮助你为下一个 Solidity 技术面试做好准备。作为智能合约开发者,加入你梦想的团队!
如果你正在为一个 Solidity 技术面试做准备,找到相关的问题进行学习和练习可能具有挑战性,尤其是当这种语言正好存在不到十年的时候。
在本文中,我们收集了许多在一些最大区块链协议的技术面试中常被问到的前10名 Solidity 面试问题。
这个量身定制的问题列表将使你能够展示你的 Solidity 技能,而不会在小众的"陷阱"类型问题上跌倒。重点倾向于开放式的主题讨论,而不是狭窄的问题。
有志于成为 Solidity 开发者的人可以利用这些问题来测试他们的知识并为下次面试做准备。招聘经理可以使用这份 Solidity 面试问题列表作为识别初级开发者的路线图,并作为经验丰富的智能合约开发者展示的舞台。
每个问题都包括了示例答案和简要解释,以详细说明其背后的目的。
Solidity 面试问题
1. 与智能合约交互通常需要什么?
- 部署的合约地址。
- 合约的 ABI(应用二进制接口)。*
- 用于只读交互的提供者;用于更改状态交互的签名者。
*从技术上讲,如果你可以读取 EVM 字节码,那么你不需要 ABI。你可以使用像 Foundry 的 cast 这样的工具手动创建 calldata。尽管这个问题相对简单,但它有效地探讨了进行 Solidity 开发所需的基本知识。我们的 初学者课程 详细说明了与 Remix 的合约交互,并提供有关合约 ABI 的更多信息。
Solidity 的基础知识。
2. 描述 Solidity 特有的函数关键字和数据结构。
可见性关键字
- Public:可以从任何地方调用。
- Private:只能在合约内部调用。
- Internal:可以在合约及其派生合约中调用。
- External:只能从合约外部调用。
可变性和修饰符关键字
- View:禁止写入状态;只能读取状态变量。
- Pure:禁止读取或写入状态。
- Payable:允许通过
msg.value在函数调用中直接接收原生气体代币。 - Virtual:声明一个函数为可重写的(在子合约中可更改)。
- Override:声明一个函数是虚拟函数的重写。
自定义修饰符
- 在函数体之前、之后,甚至期间执行的代码。通常作为初步安全检查使用。
数据结构
- 状态变量:链上存储,除非标记为常量或不可变。
- 地址:智能合约地址或用户的外部拥有账户(EOA)。可以类型转换为 uint160 或 bytes20。
- 枚举:自定义耗尽类型,会编译为整数。
- 结构体:相似数据的结构化蓝图。
- 映射:类似于哈希表的键值存储。所有键的值默认为其类型的零值。
- 事件/错误:在链上公开的可读信息,便于解析交易。
成为优秀 Solidity 开发者还有很多内容远不止理解关键字,但对整体情况有良好的了解显然是重要的。在我们的 Solidity 智能合约开发课程 中可以找到更全面的内容。
3. 定义接口、抽象合约和库。
- 接口 定义了没有实现的函数,以使它们遵循特定结构。它们不是可部署的合约。
- 抽象合约 是至少有一个没有实现的函数的基础合约。它作为其他合约继承的模板。它不能被部署。
- 库 对重复的代码非常有用,且如果包含外部函数则可以被部署。合约使用
delegatecall来调用库的外部函数。仅包含内部函数的库不被部署,并且由于没有状态交互而不需要使用delegatecall。 - Solidity 是 与其他语言不同 的,因为它具有不可变性。它必须用简明清晰的方式编写,并专注于最小化合约、状态变量、函数和交互。随着代码库的增长,错误呈指数增长。
对这些构建块有扎实的理解,对于防止大型项目中出现大块杂乱无章的代码是非常重要的。
一盘温暖的意大利面代码。
4. 列出常见的 EIP,并简要描述它们的目的和功能。
- EIP-20:标准化了许多相同代币(可替代)的结构。
- EIP-721:标准化了独特代币(NFTs)的结构。
- EIP-1155:标准化了多代币解决方案的结构(结合了 NFT 和 ERC-20 特性)。
- EIP-777:带有Hook的代币。
- EIP-1559:重构费用机制,包含燃烧的基础费用、优先费用和最大费用。
- EIP-4626:标准化了存款和取款的金库。
- EIP-137:以太坊名称服务(ENS),将可读名称映射到底层地址。
- EIP-165:标准接口检测。
- EIP-712:结构化签名数据。
- EIP-1967:标准化的代理存储槽。
- EIP-2535:多边形代理 / 钻石代理模式。
- EIP-2612:提供单一行为者无气体的许可功能。
一个称职的开发者应该能够快速列出常见的 EIP。如果他们难以举出基本代币以外的例子,那么他们就没有深入探讨许多核心的 DeFi 概念。拥有相关 EIP 经验的 Solidity 开发者是有价值的。
5. 代理模式是如何工作的?描述常见的模式。
智能合约是不可变的,除非它们利用代理模式。代理模式解锁了更改实现合约地址的能力,使合约可以升级。所有模式使用 delegatecall 来调用实现,同时在中心化代理中维护状态。实现使用初始化器而不是构造函数。需要一个管理员来执行实现地址的更改。
- UUPS(通用可升级代理标准):升级和管理员逻辑在实现合约中。
- 透明代理:升级逻辑在代理合约中,代理与实现之间有明确的分离。
- 钻石模式:允许以多个实现合约的形式创建多个实施。钻石是代理。
- 信标:使用中心信标跟踪多个代理的实现。对多个代理的升级高效,但在实践中很少使用。
功能选择符冲突、存储冲突和初始化缺失只是使用代理模式开发期间可能产生的一些错误。不熟悉这些概念的开发者和安全爱好者可能想要查看这篇 深入了解代理模式的综合介绍。深入理解代理对确保可升级项目在升级前、后保持无错误至关重要。
6. 描述在 EVM 兼容的 L1 上部署的智能合约的生命周期,从编译到用户交互。
- EVM 语言(如 Solidity、Yul、Vyper 或 Huff)可以本地编译以生成合约的原始字节码和 ABI。编译后,合约的字节码可以通过签名者和 RPC 提供者部署。需要签名者的私钥以代替其公钥执行交易,而 RPC 提供者将交易广播到验证者网络。
- 质押网络中的共识代理 被称为验证者。验证者是运行全节点区块链客户端软件的节点,其中包括 EVM 实现。它们需要质押代币才能操作。验证者维护链的当前状态,提议并验证新的区块,以及执行接收到的交易。
- 在部署期间,包含合约字节码和构造函数参数的交易被广播到网络并进入内存池。验证者从内存池中选择交易以纳入新块。内存池透明显示挂起的交易,从而促进了 MEV 机会。CREATE 字节码用于生成一个地址,该地址指向合约的字节码和存储。
- 部署后,任何 EOA 或智能合约都可以与合约公开的函数交互,以查看和更新链上的状态。编译过程中生成的 ABI 通常用于与合约的前端交互。
能够清晰表达 web3 概念的整体画面的一位开发者很可能是真正对整个生态系统充满热情和知识的人。
7. 什么是模糊测试和形式验证?编写一个基本的状态模糊测试。
模糊测试是 向系统提供随机或半随机数据,以尝试找到破坏 不变性 的有害输入。不变性是系统必须始终保持真实的属性。形式验证 是将 底层逻辑解构 成数学证明的方法,以证明或反驳不变性将维持。
一个有状态的模糊测试随机调用更改状态的函数,以在系统中通过独特状态旅行,然后通过 invariant_ 或 statefulFuzz_ 标签的函数检查以确保声明的属性和不变性得以维持。以下是一个使用修改过的 Counter 合约的模拟示例,基于初始化的 Foundry 项目。
contract Counter {
uint256 public number;
uint256 public constant UPPER_LIMIT = 100;
function setNumber(uint256 newNumber) public {
require(newNumber <= UPPER_LIMIT, "数字太高");
number = newNumber;
}
function increment() public {
require(number < UPPER_LIMIT, "达到了限制");
number++;
}
}
contract CounterTest is StdInvariant, Test {
Counter public counter;
function setUp() public {
counter = new Counter();
// 强制模糊测试器专注于此合约进行测试。
targetContract(address(counter));
}
// 必须在 `invariant_` 前缀表示
// 与状态改变函数之间运行的与不变性相关的条件。
function invariant_numberNeverExceedsLimit() public {
assertTrue(counter.number() <= counter.UPPER_LIMIT());
}
理解和讨论测试技术的能力与开发者的成熟度相关。严格地尝试破坏 Solidity 代码尤为重要,因为用户资金直接与代码交织在一起。如果错误的代码被发布,恶意行为者将利用它来窃取资金。在糟糕的代码中发现许多缺陷的智能合约安全审查可能会大幅增加开发成本,如果代码库需要被废弃或大幅更改的话。
一名在铸造厂工作的男人,戴着安全帽。
8. 合约地址和函数选择器是如何产生的?函数选择器放置在 calldata 的哪里?
- 函数选择器被定义为 函数签名的 Keccak256 哈希的前 4 个字节。选择器放置在 calldata 的开头。值得注意的是,我们可以轻松地使用 Foundry 的
cast sig命令从函数签名生成函数选择器。运行cast sig "transfer(address,uint256)"将成功生成正确的函数选择器0xa9059cbb。 CREATE:合约地址创建的 默认方法。地址是通过从编码的发送者和其当前随机数的结果哈希中提取最后 20 个字节而产生的。CREATE2:允许合约地址的预计算。地址是通过从发送者地址的结果哈希、32 字节的盐和初始化代码的哈希提取最后 20 个字节而生成的。该盐允许构造预计算的期望地址。
理解智能合约地址生成和识别 calldata 中的函数选择器及其他信息应该不是陌生的材料。
9. 定义 Yul 并描述在汇编中如何进行简单的代币转账或气体优化。描述自由内存指针。
Yul 是一种 中间语言,在语法上更接近操作码指令而非 Solidity。
- 一次 代币转账 会
sload发送者和接收者余额,使用 lt 比较器来判断发送者是否有足够的代币,依靠sstore更新余额,使用log3记录两个地址和金额的事件,并在成功时使用mstore和return返回 true。 - 直接的 节省气体 技术是使用未检查的汇编块进行计算,只有当结果不能溢出时。
- 自由内存指针(FMP)跟踪新数据可以存储的位置,指向内存中下一个可用的空间。它始终位于内存中的
0x40,在临时空间之后,位于零槽之前。它最初指向0x80作为第一个可用位置。由于 Solidity 不释放内存,当需要在内存中存储新的数据时,FMP 会在每次移动 32 字节的块。
当你在函数中手动调整了 FMP 时,需要 恢复 它,以确保以后的操作不会覆盖重要数据。
对汇编有一些理解,对于制定气体优化、理解按位操作的结果以及有效阅读或集成利用 Yul 提高效率的库都可以派上用场。
10. 列出常见的 Solidity 漏洞和应对它们的技术。
- MEV 攻击
- 重入攻击
- Gas困扰
- 签名重放
- 多链部署问题
- 并行数据结构漏洞
- 舍入/溢出/精度错误
- 记账/业务逻辑错误
- 服务拒绝(DoS)
- 奇怪的代币(FoT、重基、ERC-777 Hook、黑名单)
- 金库通货膨胀攻击
- 代理存储冲突
- 闪电贷
- 还有更多更多…
这正是 Solidity 开发者可以真正大显身手的地方。阐述适当防御措施以对抗 大量攻击向量 是保持合约安全的关键。如果你能参与公开的 安全审计竞赛、漏洞奖金,或进行私密安全审查,那么这是一种积极信号。培养在开发智能合约时保持安全思维的能力是非常有价值的。
一位开发者在解释常见的 Solidity 漏洞。
11. [附加问题] 你构建了哪些项目?你发现过哪些有趣的漏洞?你对特定领域是否充满热情或者经验丰富?
- 随机性或价格馈送预言机集成,借贷 DApp 集成,DEX 集成,跨链项目,基于各种 EIP 构建的项目,零知识应用程序,库和工具的贡献。
- 在竞赛/漏洞赏金/私密安全审查中独立或有趣的漏洞发现。
这个问题可以说是最重要的。探索一个开发者的完成产品、额外成就和他们激情所在,可以更清晰地展示他们的经验和倾向。
结束语
虽然在10个面试问题中很难遍历整个 Solidity 的景观,但这旨在作为有效的指南,以提取每个问题中尽可能多的相关 Solidity 知识。作为 Solidity 开发者,借此希望你学到了新东西,并对下次面试感到更有准备。对于作为招聘经理的读者,也许这可以作为一份基础信息的指引,帮助你寻找下一个 Solidity 梦之队。
任何热衷于 web3 开发和安全的人都应该加入 Cyfrin Updraft 来开启学习之旅,或在下次面试前拂去尘埃。
- 原文链接: cyfrin.io/blog/top-10-so...
- 登链社区 AI 助手,为大家转译优秀英文文章,如有翻译不通的地方,还请包涵~
