# Web3︱码农劝退檄文

**Published by:** [0xc25fee20](https://paragraph.com/@fee20/)
**Published on:** 2022-04-22
**URL:** https://paragraph.com/@fee20/web3

## Content

此文不针对任何开发者，而是针对所有非 Crypto 原生玩家。 那天，一个项目方朋友说：“请的程序员压力很大，他合约都写好了，部署上链的时候手一直发抖。” Web2 的朋友可能很难想象这种场景，“写个代码而已至于吗”。那么这一次“虽然你不懂，笔者可以给你解释下”。合约一旦部署上链，意味着项目所有机制公开透明，意味着项目的几百上千万资金“上了赌桌”，一旦你的代码设计有丝毫缺陷都可能导致巨额亏损，而这个亏损幅度很可能是 100%。 “Code is Law”，是这个黑暗森林弱肉强食的规则。“科学家”是 Crypto 原生极客的代名词，他们时刻监控着链上的“获利”机会，小则用 MEV 套利、或者抢跑几个 Meme 土狗赚点差价，大一点的用闪电贷掏一掏各种 DeFi 项目国库，更有甚者获取签名验证把跨链桥资金池全部薅走。只要你的操作或项目机制给出一点机会。 Web2 的朋友要开始反驳了，这不道德，这是黑客行为，我要报警。完全忘了人云亦云喊着“Code is Law”的时候自己也在那兴奋地起哄。 然后你在 Etherscan 上跟着资金链点来点去，发现除了 Transction 交易还有 Internal Txns 内部交易，但是最后仍然不明白什么是跨链，什么是 Tornado。 BAT 的十年全栈也跑来说，“企业级的项目我随便写，我的代码没有Bug”。那么，你知道 MonkeyPoly 仅导入白名单就花了 1.8 个 ETH 吗，然后验证白名单用的 for 循环，还造成用户极高 Gas；你知道 NBA The Association 设置了白名单还被“科学家”薅了几千个 NFT 吗。这些项目都足够有钱请到资深开发人员，虽然他们写的代码都能运行，但是他们对 Crypto 没有概念，设计白名单机制连默克尔树都不会用。要么项目还没开始就多出大几万成本，要么刚开始 10 分钟就被羊毛薅到秃。 因此得到评价“我们非常惊讶这样的漏洞居然出现在非常知名的项目里面。” 以上是项目方视角，再看看用户视角。 你在窃喜，有人会把 30W USDT 的钱包助记词丢出来，正好落到你头上。你不了解 USDT 可以被设置黑名单，你不知道当你转 ETH Gas 进去想要把 USDT 转出来的时候，机器人可以用更高的 Gas 抢跑不断套走你的 0.01 ETH。你更想不到的是，HD 分层确定性钱包一套助记词可以生成账户下所有私钥，你后期在这个账户下新建的所有账户都在别人那里有同步。 你不理解，乌克兰空投闹剧，Peaceful World 可以即不需要乌克兰捐款地址的权限，也不需要合约控制权，还能往外转币空投。你只知道 owner 的字面意思是所有者权限，你把事件触发与余额改写混为一谈，连以太坊 EVM 账本记账模型都不懂。 众所周知，我们应该从心底里鄙视“盘圈”，但是说实话现在很多“盘圈”人士已经把 DeFi、NFT 质押、GameFi 玩得溜溜的了。50岁的大妈比你更懂流动性挖矿、更懂 DAO。 如果你一定要从 Web2 “毕业”进入 Web3，对自己的编码能力有信心，那么先从小项目（土狗）的“首席科学家”做起，“大妈”会教你合约上链不可更改的本质，会帮你理解非代码层面的安全逻辑。 或者，拉个群，成为光荣气氛组的一员。 记得，学人家改 0x***.eth 昵称的时候字符不要超过 F。

## Publication Information

- [0xc25fee20](https://paragraph.com/@fee20/): Publication homepage
- [All Posts](https://paragraph.com/@fee20/): More posts from this publication
- [RSS Feed](https://api.paragraph.com/blogs/rss/@fee20): Subscribe to updates
- [Twitter](https://twitter.com/0xfee20): Follow on Twitter