Программирование для Web3: как создают децентрализованные программы?

Web3 — это не просто новые инструменты, а изменение подхода к созданию приложений. В децентрализованных приложениях (dApp) логика и данные больше не принадлежат одному серверу: ядро переносится в смарт-контракты, а идентичность пользователя — в его кошелёк. Такой сдвиг требует иного мышления о архитектуре, безопасности, UX и DevOps.

Что такое Web3 и чем dApp отличается от обычного приложения?

В классическом вебе у нас есть клиент (браузер/мобильное приложение) и сервер с БД. В Web3 серверная «правда» живёт в блокчейне: код смарт-контрактов исполняется валидаторами, данные транзакций неизменяемы, а доступ к функциям определяется криптографическими ключами. dApp — это связка смарт-контрактов, фронтенда, кошелька и, часто, децентрализованного хранилища.

В результате меняются приоритеты: безопасность контракта важнее скорости релиза, неизменяемость важнее «горячих фиксов», а пользователь сам владеет своими активами — без «сброса пароля через e-mail».

Базовые компоненты стека Web3

Блокчейн-рантайм

EVM-совместимые сети (Ethereum, Polygon, BNB Smart Chain, Avalanche, Base и др.) позволяют писать контракты на Solidity/Vyper. Есть и не-EVM платформы (Solana, Aptos, Sui), где контракты пишут на Rust или Move.

Смарт-контракты

Это неизменяемые программы в блокчейне. Они управляют активами, определяют правила протокола (DEX, лендинг, DAO) и выступают публичным API: любой может вызвать их методы, оплатив газ.

Кошельки

Ключи пользователя — это и его логин, и подпись запросов. Кошельки (MetaMask, Rabby, Phantom и др.) выступают как провайдеры: они подключают фронтенд к сети, показывают пользователю транзакции и подписывают их.

Децентрализованное хранение

Крупные данные и статику часто хранят в IPFS/Arweave/Filecoin. Хэш (CID) закрепляется в контракте, чтобы любой мог проверить подлинность содержимого.

Индексаторы и субграфы

Для удобных запросов используют The Graph или собственные индексаторы: они «распаковывают» события блокчейна в удобные API, чтобы фронтенд не делал сотни прямых вызовов.

Жизненный цикл dApp: от идеи до мейннета

Типичный путь включает проектирование протокола, написание и тестирование контрактов, их деплой в тестовую сеть, развертывание фронтенда, аудит безопасности и выпуск в мейннет. Важно предусмотреть механизмы апгрейда (через прокси), контроль доступа (ролевая модель), аварийное отключение и планы миграций.

Проектирование смарт-контрактов: интерфейсы, события, доступ

Интерфейсы

Придерживайтесь стандартов (ERC-20/721/1155/4626/777/1271/4337 и др.). Это обеспечивает совместимость с кошельками, биржами и аналитикой.

События

Всё важное логируйте через события — их легко индексировать и показывать на фронтенде. События — это «канал связи» вашего контракта с остальным миром.

Доступ и роли

Минимизируйте права. Используйте паттерны Ownable/AccessControl, timelock-контракты для «прозрачных» апгрейдов и экстренный паузер.

Минимальный пример ERC-20 на Solidity (демо)

pragma solidity ^0.8.20;

contract SimpleToken {
	string public name = "DemoToken";
	string public symbol = "DEMO";
	uint8 public decimals = 18;
	uint256 public totalSupply;

	mapping(address => uint256) public balanceOf;
	mapping(address => mapping(address => uint256)) public allowance;

	event Transfer(address indexed from, address indexed to, uint256 value);
	event Approval(address indexed owner, address indexed spender, uint256 value);

	constructor(uint256 initialSupply) {
		totalSupply = initialSupply * 10**decimals;
		balanceOf[msg.sender] = totalSupply;
		emit Transfer(address(0), msg.sender, totalSupply);
	}

	function transfer(address to, uint256 value) external returns (bool) {
		require(balanceOf[msg.sender] >= value, "INSUFFICIENT");
		unchecked { balanceOf[msg.sender] -= value; }
		balanceOf[to] += value;
		emit Transfer(msg.sender, to, value);
		return true;
	}

	function approve(address spender, uint256 value) external returns (bool) {
		allowance[msg.sender][spender] = value;
		emit Approval(msg.sender, spender, value);
		return true;
	}

	function transferFrom(address from, address to, uint256 value) external returns (bool) {
		uint256 allowed = allowance[from][msg.sender];
		require(balanceOf[from] >= value && allowed >= value, "INSUFFICIENT");
		unchecked {
			balanceOf[from] -= value;
			allowance[from][msg.sender] = allowed - value;
		}
		balanceOf[to] += value;
		emit Transfer(from, to, value);
		return true;
	}
}

На практике лучше использовать проверенные реализации (например, OpenZeppelin), чтобы снизить риски и ускорить разработку.

Инструменты: Hardhat/Foundry, тестовые сети и деплой

Hardhat

Удобен для плагинов, JS/TS-скриптов и локальной сети. Foundry — быстрый набор на Rust (forge/anvil/cast) с фокусом на тестах и fuzzing. Оба инструмента хорошо дополняют друг друга.

// hardhat.config.ts (простейший пример)
import { HardhatUserConfig } from "hardhat/config";
import "@nomicfoundation/hardhat-toolbox";

const config: HardhatUserConfig = {
	solidity: "0.8.20",
	networks: {
		sepolia: {
			url: process.env.RPC_URL,
			accounts: [process.env.PRIVATE_KEY as string]
		}
	}
};
export default config;

Другой пример:

// Скрипт деплоя (scripts/deploy.ts)
import { ethers } from "hardhat";

async function main() {
	const Token = await ethers.getContractFactory("SimpleToken");
	const token = await Token.deploy(1_000_000);
	await token.waitForDeployment();
	console.log("Token at:", await token.getAddress());
}

main().catch((e) => { console.error(e); process.exit(1); });

Фронтенд: подключение кошелька и вызовы контракта

На фронтенде можно работать с контрак том через ethers.js/viem/wagmi. Пользователь взаимодействует через кошелёк: вы читаете состояние контракта вызовами «view», а для транзакций создаёте запрос на подпись.

// Чтение баланса через ethers.js
import { ethers } from "ethers";
import abi from "./SimpleTokenABI.json";

async function readBalance(address) {
	const provider = new ethers.BrowserProvider(window.ethereum);
	const contract = new ethers.Contract("0xTOKEN", abi, provider);
	const bal = await contract.balanceOf(address);
	console.log("Balance:", ethers.formatUnits(bal, 18));
}

Другой пример:

// Отправка транзакции
import { ethers } from "ethers";
import abi from "./SimpleTokenABI.json";

async function transfer(to, amount) {
	const provider = new ethers.BrowserProvider(window.ethereum);
	const signer = await provider.getSigner();
	const contract = new ethers.Contract("0xTOKEN", abi, signer);
	const tx = await contract.transfer(to, ethers.parseUnits(amount, 18));
	const receipt = await tx.wait();
	console.log("Tx mined:", receipt.transactionHash);
}

Хранение данных: IPFS/Arweave и связь с контрактом

Большие файлы в блокчейн класть нельзя — это дорого и бессмысленно. Храните их в IPFS/Arweave, а в контракт заносите только их хэш (CID). Так любой сможет проверить, что контент не подменён.

// Псевдокод загрузки файла в IPFS через API-провайдера
import { create } from "ipfs-http-client";

const ipfs = create({ url: "https://ipfs.infura.io:5001/api/v0" });
const res = await ipfs.add(fileBuffer);
console.log("CID:", res.cid.toString());
// Далее CID можно сохранить в смарт-контракт

Стандарты токенов и NFT: ERC-20/721/1155

ERC-20 — взаимозаменяемые токены (балансы как числа). ERC-721 — уникальные невзаимозаменяемые токены (NFT). ERC-1155 — мульти-токен стандарт, объединяющий фичи 20 и 721. Использование стандартов обеспечивает работу с кошельками, маркетплейсами и DeFi-протоколами «из коробки».

Безопасность: угрозы и практики защиты

Типовые векторы атак

Реентранси, переполнения/недостаток газа, некорректные апгрейды прокси, уязвимые внешние вызовы, ошибка в правах доступа, неточности в математике комиссий. Любая бага — риск потери средств.

Практики

Аудит сторонними командами, формальные проверки критичных инвариантов, fuzzing-тесты, лимиты на операции, timelock перед апгрейдами, bug bounty. Никогда не деплойте непроверенный код в мейннет.

Тестирование: unit, integration, fuzzing и property-based

Тестируйте не только позитивные сценарии, но и невалидные входы, экстремальные значения, повторные вызовы и экономические инварианты (например, «из воздуха не появляется прибыль»). Используйте coverage-отчёты и дифф-тесты при рефакторинге.

// Пример простого теста Hardhat + Mocha/Chai
import { expect } from "chai";
import { ethers } from "hardhat";

describe("SimpleToken", function () {
	it("mints to deployer", async function () {
		const [owner] = await ethers.getSigners();
		const Token = await ethers.getContractFactory("SimpleToken");
		const token = await Token.deploy(1000);
		const bal = await token.balanceOf(owner.address);
		expect(bal).to.equal(1000n * 10n ** 18n);
	});
});

Экономика протокола: комиссии, стимулы, токеномика

Любой DeFi- или игровой протокол — это экономика. Определите, откуда берётся доход, кто платит комиссию, как стимулируются поставщики ликвидности, как распределяются токены и как предотвращаются злонамеренные стратегии (например, сэндвич-атаки).

Масштабирование: L2-роллапы, сиквенсеры и мосты

Для снижения комиссий используют L2-решения (Optimistic/ZK-роллапы). Они обрабатывают транзакции вне L1 и периодически публикуют доказательства. При работе с несколькими сетями учитывайте задержки мостов, возможные «ребятчи» и риски централизованных сиквенсеров.

Аккаунт-абстракция (ERC-4337) и UX без боли

Аккаунт-абстракция позволяет создавать смарт-аккаунты с кастомной логикой подписи, социальным восстановлением и оплатой газа спонсором. Это сильно упрощает онбординг и делает UX ближе к привычным веб-приложениям.

Оракулы и внешние данные

Контракты сами не видят интернет. Для цен, погодных и прочих данных применяют оракулы (Chainlink и др.). Обеспечьте устойчивость к сбоям, проверяйте свежесть и консистентность фидов.

Логирование и аналитика: события, индексаторы, дашборды

В смарт-контрактах события — источник правды. Стройте на их основе субграфы, отправляйте метрики в аналитические системы, делайте публичные дашборды. Это упрощает поддержку и повышает доверие к протоколу.

Практический чек-лист перед релизом

1. Покрытие тестами критичных путей ≥ 90%.

2. Fuzzing и property-based тесты на инварианты.

3. Аудит кода и исправление отчёта.

4. Timelock + ролевой контроль + паузер.

5. План апгрейдов (прокси) и миграций.

6. Документация ABI/адресов/событий.

7. Онбординг: понятные модалки, лимиты, предупреждения.

8. Мониторинг событий, алерты и резервные RPC.

Пример минимального dApp-потока

1) Пользователь подключает кошелёк. 2) Фронтенд читает состояние контракта. 3) Пользователь инициирует действие (например, «перевести токены»). 4) Кошелёк показывает транзакцию, пользователь подписывает. 5) После майнинга фронтенд слушает событие и обновляет интерфейс. Ни логинов, ни паролей — только подписи и адреса.

// Подключение кошелька и получение адреса
async function connect() {
	if (!window.ethereum) throw new Error("No wallet");
	const [acc] = await window.ethereum.request({ method: "eth_requestAccounts" });
	return acc;
}

Организация репозитория и DevOps для Web3

Разделяйте пакеты: контракты (Solidity), фронтенд (React/Vue/Svelte), скрипты деплоя, субграфы. Сборку и тесты запускайте в CI. Храните артефакты (ABI, адреса, схемы) в версии, сопоставленной с релизом. Для мейннета используйте многоступенчатое согласование и timelock.

Куда развиваться дальше

Освойте один EVM-стек (Solidity + Hardhat/Foundry + ethers/viem), затем попробуйте не-EVM (Solana/Aptos). Разберитесь в L2, ERC-4337 и индексаторах. Потренируйтесь на клон-проектах: простая биржа, NFT-минтер, вольт ERC-4626, DAO-голосование.