以太坊虛擬機（EVM）架構詳解

概述

以太坊虛擬機（Ethereum Virtual Machine, EVM）是以太坊網路的核心執行引擎，是一個圖靈完備的堆疊式虛擬機。EVM 負責執行智慧合約、處理交易、並維護整個以太坊網路的狀態共識。理解 EVM 的架構對於智慧合約開發者、安全審計人員、以及區塊鏈工程師而言都是必備知識。

本文深入探討 EVM 的設計原理、指令集架構、儲存模型、執行環境、以及各種優化與安全考量。

EVM 的設計目標

EVM 的設計遵循幾個核心原則，這些原則決定了其架構選擇：

1. 確定性（Determinism）

確定性是區塊鏈共識的基礎。EVM 必須確保相同輸入必然產生相同輸出，無論在哪個節點上執行。這意味著：

• 無法使用隨機數（需使用區塊相關變數或 oracle）
• 無法取得外部時間（只能使用區塊時間戳）
• 無法進行網路請求（需要透過預言機）
• 浮點數運算受限（使用整數運算模擬）

2. 隔離執行（Isolation）

智慧合約在完全隔離的環境中執行，無法直接：

• 存取檔案系統
• 發起網路請求
• 讀取隨機記憶體
• 呼叫其他合約（除非明確發送交易）

這種隔離確保了一個合約的錯誤不會影響網路其他部分。

3. 停機問題的處理

圖靈不完備意味著理論上可能存在無限迴圈。EVM 透過 Gas 機制解決這個問題：

• 每個操作碼都有固定的 Gas 成本
• 交易需指定 Gas Limit
• Gas 耗盡時合約執行停止
• 未使用的 Gas 退還給發送者

4. 狀態隔離

每個智慧合約有自己的獨立儲存空間（Storage），使用 Keccak-256 雜湊作為鍵名。這確保了合約之間的狀態不會意外衝突。

EVM 架構組成

1. 指令集架構（ISA）

EVM 使用基於堆疊的指令集，共有約 140 個操作碼（Opcode）。指令集可分為以下類別：

算術運算

ADD     // 加法
MUL     // 乘法
SUB     // 減法
DIV     // 整數除法
MOD     // 取餘
SDIV    // 有符號整數除法
SMOD    // 有符號整數取餘
ADDMOD  // (a + b) % n
MULMOD  // (a * b) % n
EXP     // 指數運算
SIGNEXTEND // 符號擴展

密碼學操作

SHA3    // Keccak-256 雜湊
SHA256  // SHA-256（受限使用）
RIPEMD160 // RIPEMD-160
ECRECOVER // 橢圓曲線恢復公鑰

堆疊操作

POP     // 彈出堆疊頂部
PUSH1-32 // 推入 1-32 位元組常數
DUP1-16 // 複製堆疊頂部 N 個元素
SWAP1-16 // 交換堆疊頂部與第 N 個元素

儲存操作

SLOAD   // 從儲存載入
SSTORE  // 儲存到儲存
MLOAD   // 從記憶體載入
MSTORE  // 儲存到記憶體
MSTORE8 // 儲存 8 位元組到記憶體

控制流

JUMP    // 無條件跳轉
JUMPI   // 條件跳轉
PC      // 程式計數器
JUMPDEST // 跳轉目標標記

區塊資訊

BLOCKHASH // 取得區塊雜湊
COINBASE  // 區塊受益人地址
TIMESTAMP // 區塊時間戳
NUMBER    // 區塊編號
DIFFICULTY // 區塊難度
GASLIMIT  // 區塊 Gas 上限
CHAINID   // 鏈 ID
BASEFEE   // 基本費用（EIP-1559）

交易相關

ORIGIN   // 交易發起者地址
CALLER   // 訊息呼叫者地址
CALLVALUE // 隨訊息發送的 ETH 數量
CALLDATALOAD // 載入呼叫資料
CALLDATASIZE // 呼叫資料大小
CALLDATACOPY // 複製呼叫資料到記憶體

合約操作

CREATE   // 建立新合約
CALL     // 呼叫另一合約
CALLCODE // 在當前合約上下文中呼叫
DELEGATECALL // 委託呼叫
STATICCALL // 靜態呼叫（不可修改狀態）
CREATE2  // 可預測地址的合約創建

2. Gas 成本模型

每個 EVM 操作都有固定的 Gas 成本，這反映了實際的計算資源消耗：

重要提醒：儲存操作（SSTORE）的成本尤其複雜：

• 將非零值改為零：不退還 Gas（過去有退還，EIP-3529 移除）
• 將零值改為非零：20000 Gas
• 將非零值改為非零：29000 Gas

3. 執行環境

EVM 的執行環境由多個上下文組成：

區塊上下文：

• 區塊雜湊值
• 區塊編號
• 時間戳
• 難度
• Gas 限制
• 受益人地址

交易上下文：

• 發起者（ORIGIN）
• 呼叫者（CALLER）
• 呼叫值（CALLVALUE）
• 呼叫資料（CALLDATA）

執行上下文：

• 程式計數器（PC）
• 堆疊（Stack）
• 記憶體（Memory）
• 儲存（Storage）
• 剩餘 Gas

4. 儲存模型

EVM 有三層儲存層次：

堆疊（Stack）

• 最大的資料儲存位置
• 1024 個槽位，每個 256 位元
• 推送操作碼（PUSH1-PUSH32）將資料推入堆疊
• 運算結果存回堆疊

記憶體（Memory）

• 線性可定址位元組陣列
• 讀寫速度快
• Gas 成本隨使用量增加（平方級增長）
• 用於暫時儲存合約執行期間的資料

儲存（Storage）

• 持久化鍵值儲存
• 區塊鏈狀態的一部分
• 成本最高
• 每個合約有獨立的儲存空間
• 使用 Merkle Patricia Trie 組織

5. 位元組碼結構

智慧合約編譯後的位元組碼結構：

0x608060405234...  <- 工廠代碼（如果有）
    PUSH1 0x80     // 將 0x80 推入堆疊
    PUSH1 0x40     // 將 0x40 推入堆疊
    MSTORE         // 儲存到記憶體
    ...            // 初始化代碼
    PUSH1 0x00     // 部署位元組碼開始位置
    PUSH1 0x00
    CODECOPY       // 複製代碼到記憶體
    PUSH1 0x00
    RETURN         // 返回部署的位元組碼

EVM 版本演化

Frontier（2015）

• 初始版本
• 只有少數操作碼可用
• Gas 成本尚未優化

Homestead（2016）

• 改進 Gas 成本
• 新增 DELEGATECALL

Byzantium（2017）

• 新增 REVERT 操作碼
• 改進錯誤處理

Constantinople（2019）

• 新增 SHL, SHR, SAR 位移操作碼
• 優化某些 Gas 成本

Istanbul（2019）

• 新增 CHAINID, EXTCODESIZE, BALANCE 等
• 引入 EIP-1884：重新平衡 Gas 成本

Berlin（2021）

• EIP-2929：增加 SSTORE 成本
• EIP-2930：存取清單

London（2021）

• EIP-1559：引入 BASEFEE 操作碼
• EIP-3529：減少 SSTORE 退款

Paris（2022）

• The Merge 升級
• 新增 PREVRANDAO（取代 DIFFICULTY）

Shanghai/Capella（2023）

• EIP-3651：暖合約地址（CREATE2）
• EIP-3855：PUSH0 操作碼

Cancun/Deneb（2024）

• EIP-1153：瞬態儲存（Transient Storage）
• EIP-4844：Proto-Danksharding（Blobs）
• EIP-6780：限制 SELFDESTRUCT

EVM 相容性與擴展

EVM 等效性（EVM Equivalence）

多個 Layer 2 項目追求「EVM 等效性」，確保：

• 位元組碼層級完全相容
• 所有操作碼行為一致
• 現有合約可直接部署

Optimism Bedrock 與 Arbitrum Nitro 是此理念的代表。

zkEVM

ZK Rollup 需要實現「zkEVM」—— 使用零知識證明驗證 EVM 執行的正確性。這是一個極具挑戰的任務，因為：

• EVM 並非為密碼學證明設計
• 需要將 EVM 操作映射到電路
• 多種實現路徑（Type 1-4）

主流 zkEVM 項目：

• Polygon zkEVM：Type 2，接近以太坊
• Scroll：Type 2，與以太坊基金會合作
• zkSync Era：Type 4，自訂證明系統

替代 VM

一些項目選擇實現自訂 VM 以獲得更好的效能：

• StarkNet：使用 Cairo 語言
• Fuel：使用 FuelVM
• Sui/Move：使用 Move 語言

EVM 安全性考量

常見攻擊向量

1. 整數溢位

// 有漏洞
function withdraw(uint256 amount) public {
    balances[msg.sender] -= amount; // 可能溢位
}

// 修正
function withdraw(uint256 amount) public {
    require(balances[msg.sender] >= amount);
    balances[msg.sender] -= amount;
}

2. 重入攻擊

// 有漏洞
function withdraw() public {
    (bool success,) = msg.sender.call{value: balance}("");
    balanceOf[msg.sender] = 0;
}

// 修正：使用 Checks-Effects-Interactions 模式
function withdraw() public {
    uint256 amount = balanceOf[msg.sender];
    require(amount > 0);
    balanceOf[msg.sender] = 0;
    (bool success,) = msg.sender.call{value: amount}("");
}

3. 存取控制漏洞

// 有漏洞：任何人都可以呼叫 init
function init() public {
    owner = msg.sender;
}

// 修正：使用 constructor 或 require
constructor() {
    owner = msg.sender;
}

安全工具

• Slither：靜態分析工具
• Mythril：符號執行分析
• OpenZeppelin Contracts：經過審計的安全庫

效能優化

Gas 優化策略

1. 儲存優化：

• 使用 mapping 代替 array
• 打包結構體成單一 slot
• 刪除不需要的資料（DELETE 會退還 Gas）

1. 運算優化：

• 使用 ++i 代替 i++
• 快取陣列長度
• 避免不必要的 view 函數

1. 位元組碼優化：

• 使用 PUSH0（上海升級後）
• 減少合約大小
• 使用內聯組件

位元組碼範例

// 優化前：使用 library
import "@openzeppelin/contracts/utils/SafeMath.sol";

// 優化後：使用 unchecked
function add(uint256 a, uint256 b) public pure returns (uint256) {
    unchecked {
        return a + b;
    }
}

調試與開發工具

本地開發環境

• Hardhat：功能豐富的開發環境
• Foundry：快速的 Solidity 測試框架
• Ganache：本地區塊鏈模擬

線上工具

• Remix IDE：瀏覽器 IDE
• Playground：位元組碼調試

區塊鏈瀏覽器

• Etherscan：主網瀏覽器
• Blockscout：開源瀏覽器

未來發展方向

EVM Object Format（EOF）

EIP-3540 和相關提案引入了 EOF（EVM Object Format）：

• 結構化位元組碼
• 驗證器
• 更高效的分離程式碼與資料

EVM-Max

提高 EVM 效能的提案：

• 更快的數學運算
• 改進記憶體操作
• 向量操作支援

量子計算威脅

未來需要應對量子計算威脅：

• 後量子簽章演算法
• 抗量子雜湊函數
• 金鑰演算法遷移

總結

EVM 是區塊鏈領域最具影響力的虛擬機之一。作為以太坊智慧合約的執行引擎，它支撐了價值數千億美元的 DeFi 與 NFT 生態。理解 EVM 的架構對於任何希望在以太坊生態中開發或構建項目的開發者都至關重要。

EVM 的設計體現了區塊鏈的特殊需求：確定性執行、資源隔離、經濟激勵、以及共識安全性。雖然存在效能與隱私方面的限制，但 EVM 生態正在透過 Layer 2、zkEVM、以及各種擴展提案持續演進。

未來，隨著以太坊網路向分片（Sharding）與更高效共識機制的演進，EVM 也將繼續發展以支援更廣泛的應用場景。開發者應持續關注 EIP 動態，並採用安全的最佳實踐來構建可靠的智慧合約。