如何在部署智能合约之前对其进行测试？ （使用安全帽和松露）

设置本地开发环境

1. 安装 Node.js 和 npm 以确保与 Hardhat 和 Truffle 工具链兼容。

2. 使用npm init初始化一个新项目，并通过npm install --save-dev Hardhat安装 Hardhat。

3. 对于 Truffle，运行npm install -g truffle并使用truffle init创建样板。

4. 配置hardhat.config.js以指定网络、帐户、Solidity 编译器版本和用于验证的 Etherscan API 密钥。

5. 使用匹配的网络定义设置truffle-config.js ，包括本地 Ganache 或 Hardhat 网络端点。

编写综合单元测试

1. 使用 Hardhat 项目中test/目录下的 JavaScript 或 TypeScript 文件来定义 Mocha 和 Chai 测试用例。

2. 在每次测试之前使用await ethers.getContractFactory导入合约工件并通过deploy()部署实例。

3. 对于错误情况，使用expect(...).to.equal(...)或await Expect(...).to.be.revertedWith(...)断言预期行为。

4. 在 Truffle 中，使用contract()块和 OpenZeppelin 测试助手中的assert或expectEvent在test/*.js中编写测试。

5. 通过模拟角色和权限来涵盖零值传输、重入尝试和未经授权的访问等边缘情况。

运行静态分析和安全检查

1. 通过安装 Python 依赖项并执行slither将Slither集成到 CI 管道中。 --solc-remaps '@openzeppelin=node_modules/@openzeppelin' 。

2. 使用npm install solhint --save-dev添加Solhint以检测风格和安全相关的反模式并在.solhint.json中配置规则。

3. 通过 Hardhat 插件@mythx/hardhat-mythx运行 MythX，在测试执行过程中进行链上漏洞扫描。

4. 在主网部署之前使用etherscan-verify插件确认源代码与字节码匹配。

5. 手动审核自定义修饰符和继承层次结构，以验证onlyOwner 、 whenNotPaused或类似的防护在所有入口点上的行为是否一致。

模拟主网条件

1. 使用 Hardhat 的--fork标志指向 Alchemy 或 Infura 端点来复制实时状态，分叉以太坊主网。

2. 将合约部署到分叉网络，并与 Uniswap 或 Aave 等真正的 DeFi 协议交互，以验证集成逻辑。

3. 使用 Truffle 的控制台命令和--network mainnet-fork来执行临时调用并检查存储布局。

4. 通过在高负载场景下触发函数来模拟 Gas 使用高峰，并验证不会因 OOG 错误而发生恢复。

5. 通过使用evm_increaseTime和evm_mine RPC 调用提前区块时间戳来验证时间戳相关逻辑。

常见问题解答

问：我可以在 Hardhat 项目中重复使用 Truffle 测试文件吗？是的，大多数 Truffle 风格的 JavaScript 测试可以在稍作调整后在 Hardhat 中运行——用ethers.getContractFactory替换artifacts.require并更新断言语法以符合 Chai 的期望。

问：Harhat 是否支持使用真实 ETH 余额进行测试？ Hardhat Network 支持通过账户配置设置初始余额；您可以将 1000 ETH 分配给测试账户来模拟无需外部水龙头的资助交互。

问：如何测试合约发出的事件？在 Hardhat 中，使用Expect(tx).to.emit(contract, 'EventName').withArgs(arg1, arg2) ；在 Truffle 中，使用ExpectEvent.inTransaction(tx, Contract, 'EventName', { arg1, arg2 }) 。

问：如果我的合约是简单的 ERC-20，跳过测试是否安全？不。即使是符合标准的代币也需要验证转移限制、铸币暂停性以及与交易所或质押合约的交互——忽略测试可能会带来不可逆转的锁定或通货膨胀错误。