Популярное
Новое
Темы
Люди

О проекте Контакты Дисклеймеры и cookies Политика конфиденциальности

© 2026 24k.ru. Все материалы носят исключительно информационный характер и не являются индивидуальной инвестиционной рекомендацией (ФЗ-39 «О рынке ценных бумаг»). Криптовалюты не являются законным средством платежа в РФ (ФЗ-259). Используя сайт, вы соглашаетесь с нашей Политикой конфиденциальности и использованием cookie.

Гайды / Руководства / Безопасность и риски

15-12-2025, 20:15

Storage layout в Solidity: как не “убить” апгрейды контрактов

Storage layout в Solidity — это правило, по которому компилятор раскладывает переменные контракта по 32-байтным storage-слотам Ethereum. Если вы используете прокси-архитектуру (апгрейдируемые контракты), storage layout — главный источник катастроф: вы обновляете логику (implementation), но хранилище остаётся прежним. Если новая версия ожидает “другую раскладку”, вы получаете storage collision — ситуация, когда одна переменная начинает читать/писать в слот другой переменной. Итог может быть любым: от “сломались балансы” до “пользователь стал админом”.

Связанные страницы: storage layout (детально), памятка/чек-лист storage layout, риски DELEGATECALL и прокси.

Коротко: в апгрейдируемых контрактах нельзя “просто добавить/удалить/переупорядочить переменные”. Апгрейд безопасен, если новая версия совместима со старой раскладкой storage, а новые переменные добавляются так, чтобы не занять уже используемые слоты.

1) Что такое storage в EVM и как компилятор кладёт данные

1.1 Storage-слот = 32 байта

Storage в EVM — это “постоянная память” контракта. Она адресуется слотами по 32 байта. Простая интуиция:

каждая переменная (или её часть) в итоге оказывается в одном или нескольких слотах;
мелкие типы могут упаковываться (packing) в один слот, если стоят подряд;
динамические структуры (mapping, dynamic array, string/bytes) используют хэш-адресацию в storage.

1.2 Почему layout “приклеивается” навсегда в прокси

В прокси-паттернах (Transparent/UUPS и т.п.) прокси хранит состояние в своём storage и делегирует выполнение кода в implementation через DELEGATECALL. Это значит:

код меняется (implementation),
storage остаётся на месте (в прокси),
а чтение/запись storage в новой версии происходит по тем же номерам слотов.

Если новая версия изменила порядок/типы/наследование так, что переменные “съехали” — код начнёт интерпретировать старые данные как новые переменные. Это и есть причина, почему апгрейды “убиваются” layout-ошибками.

2) Базовая модель: что можно менять, а что почти всегда нельзя

Ниже — не “юридические” правила, а практический опыт того, что ломает апгрейды чаще всего.

2.1 Почти всегда нельзя (классические причины storage collision)

Удалять переменные из середины (или из базового контракта в наследовании).
Менять порядок существующих переменных.
Менять тип переменной (например, uint256 → uint128, address → bytes32 и т.п.).
Менять структуру наследования, если это сдвигает слоты (переставлять базовые контракты местами).
Вставлять новую переменную “в середину” между уже существующими (даже если кажется, что “место есть”).

2.2 Обычно можно (если понимать упаковку и наследование)

Добавлять новые переменные в конец (после всех существующих) — самый безопасный путь.
Добавлять новые поля в конец struct — осторожно, но обычно допустимо, если struct хранится в storage как единая структура и вы понимаете, где он используется (особенно если struct — значение в mapping или элемент массива).
Добавлять новые функции/ивенты — не влияет на storage layout, если не добавляете новые state-переменные.

Главный принцип: апгрейдируемый контракт — это “вечный формат данных”. Логика может меняться, но формат storage должен быть совместимым, как формат таблицы в базе данных.

3) Упаковка (packing): почему “я добавил bool и всё сломалось”

Solidity умеет упаковывать переменные меньших типов в один слот, если они стоят рядом. Пример: несколько uint128 или bool/uint8 подряд могут попасть в один слот.

Это создаёт тонкую ловушку апгрейдов:

вы думаете, что “добавили маленькую переменную”,
а компилятор перераспределил упаковку,
и часть битов “старой” переменной теперь читается как другая.

Поэтому правило “добавлять только в конец” должно применяться с учётом упаковки: добавление в конец безопаснее, чем добавление между мелкими типами, но всё равно нужно проверять layout-компиляцией.

4) Mapping, динамические массивы и строки: почему они обычно “стабильнее”

Динамические структуры (mapping, dynamic array, bytes/string) используют хэш-слоты: “база” лежит в одном слоте, а элементы — по вычисляемым адресам (через keccak256). Это делает их устойчивее к “сдвигу” внутренних элементов при апгрейдах, но есть нюансы:

если вы меняете тип значения в mapping (например, mapping(address => uint256) → mapping(address => struct)), это может сломать интерпретацию уже записанных данных;
если вы меняете struct, который лежит в mapping — данные старых полей должны оставаться по прежним слотам, а новые поля добавляются в конец struct.

То есть “stable” — не значит “можно всё”. Это значит, что у структуры есть предсказуемая адресация, но совместимость формата данных всё равно критична.

5) Прокси-слоты и EIP-1967: почему нельзя хранить implementation в обычной переменной

В прокси-паттернах есть специальные слоты (часто по EIP-1967) для адреса implementation и админа. Они выбираются так, чтобы не пересекаться со “слотами переменных” вашей логики.

Практический вывод:

нельзя “изобретать свой прокси” без понимания reserved slots;
нельзя хранить служебные адреса в обычных state-переменных, если это меняет layout при апгрейдах;
нельзя смешивать разные прокси-стандарты, если вы не уверены, как они резервируют слоты.

6) Gap-паттерн: зачем в upgradeable контрактах “пустые массивы”

В upgradeable контрактах часто встречается “storage gap” — зарезервированный массив, например:

uint256[50] private __gap;

Идея простая: вы заранее оставляете “свободные слоты”, чтобы в будущих версиях можно было добавлять переменные в пределах этого запаса, не меняя layout наследования и не рискуя сдвигом в базовых контрактах.

Это особенно актуально, когда у вас сложное наследование и вы хотите безопасно добавлять поля на разных уровнях иерархии.

Важно: gap — это не “магия безопасности”, а дисциплина версионирования. Он помогает, но не отменяет проверки layout для каждой версии.

7) Самые частые сценарии “убийства апгрейда” (и как их распознать)

Что сделали в новой версии	Почему это опасно	Чем заканчивается
Вставили новую переменную в середину	сдвиг всех последующих слотов	слом учёта балансов/прав/лимитов
Переупорядочили переменные “для красоты”	layout поменялся, данные читаются не так	тихая коррапция state
Сменили тип uint256 → uint128	упаковка и интерпретация данных меняются	обнуления, странные значения, переполнения
Поменяли порядок базовых контрактов	слоты базовых полей пересобрались	массовый сдвиг layout
Добавили bool между мелкими типами	packing перераспределил биты	битовые “призраки” в переменных
Забыли про initializer	в прокси нет конструктора, нужна init-логика	перехват owner/roles

8) Чек-лист безопасного апгрейда (для команды и аудита)

Добавляю state-переменные только в конец (и осознанно отношусь к packing).
Не меняю типы/порядок/наследование существующих переменных.
Проверяю storage layout до деплоя (diff layout старой и новой версии компиляцией).
Initializer закрыт и корректно версионируется (reinitializer при необходимости).
Апгрейд защищён: кто может апгрейдить, есть ли задержка, есть ли пауза.
Тестирую миграции состояния на форке/тестнете: старый state → апгрейд → проверка инвариантов.
Документирую изменения и фиксирую версию layout как часть релиза.

FAQ

Почему в прокси-контрактах нельзя использовать constructor как обычно?

Потому что в прокси-паттерне пользователи взаимодействуют с прокси-адресом, а логика исполняется через DELEGATECALL. Конструктор implementation выполняется только при деплое implementation, но не “инициализирует” storage прокси. Поэтому используются initializer-функции.

Можно ли “переименовать” переменную без риска?

Переименование в коде само по себе не меняет storage layout — важны порядок, тип и место в наследовании. Но переименование часто идёт вместе с рефакторингом, который уже может поменять порядок или тип — поэтому это нужно проверять диффом layout.

Самое безопасное изменение state в новой версии — какое?

Добавить новые state-переменные в конец и не трогать существующие. Это базовый паттерн совместимости, но всё равно требуются проверки layout и тесты апгрейда.

Почему изменение порядка базовых контрактов опасно?

Потому что Solidity формирует layout с учётом наследования. Если вы меняете порядок базовых контрактов или добавляете новый базовый контракт “раньше”, это может сдвинуть слоты полей, объявленных в базовых классах.

Зачем нужен __gap и можно ли без него?

Gap помогает резервировать слоты для будущих переменных, особенно в базовых upgradeable контрактах и при сложном наследовании. Теоретически можно без gap, но тогда любое расширение базовых контрактов требует ещё большей дисциплины и чаще приводит к несовместимым изменениям.

Как понять, что апгрейд уже “повредил” storage?

Часто это проявляется странными значениями ролей/адресов/балансов, невозможностью выполнить операции, неожиданными revert. Но самый опасный случай — “тихая коррапция”, когда всё работает, но данные постепенно становятся неверными. Поэтому важно иметь инварианты и тесты апгрейда.

Полезные ссылки

Материал носит исключительно информационный характер и не является индивидуальной инвестиционной рекомендацией (ФЗ-39). Криптовалюты не являются законным средством платежа в РФ (ФЗ-259).