Wie finde und verifiziere ich den Quellcode eines Smart Contracts?

Auffinden von Smart Contract-Quellcodes in Blockchain-Explorern

1. Navigieren Sie zu einem Blockchain-Explorer, der dem Netzwerk entspricht, in dem der Vertrag bereitgestellt wurde – Etherscan für Ethereum, BscScan für Binance Smart Chain oder Solscan für Solana.

2. Fügen Sie die verifizierte Vertragsadresse in die Suchleiste ein und drücken Sie die Eingabetaste, um die Übersichtsseite des Vertrags zu laden.

3. Suchen Sie in der oberen Navigationsleiste nach der Registerkarte „Vertrag“. Wenn Sie darauf klicken, werden wichtige Metadaten angezeigt, einschließlich Bytecode, ABI und Details zur Bereitstellungstransaktion.

4. Wenn der Vertrag verifiziert wurde, erscheint unter dem Vertragsnamen neben „Verifiziert“ ein grünes Häkchen und die Schaltfläche „Vertrag lesen“ wird aktiv.

5. Scrollen Sie nach unten, um den Abschnitt „Vertragsquellcode“ zu finden. Hier wird der vollständige Quellcode in einem zusammenklappbaren, syntaxhervorgehobenen Viewer angezeigt.

Den Verifizierungsstatus und seine Auswirkungen verstehen

1. Ein verifizierter Vertrag bedeutet, dass sein kompilierter Bytecode nach der Kompilierung mit identischen Compilereinstellungen mit dem veröffentlichten Quellcode übereinstimmt.

2. Nicht verifizierte Verträge zeigen nur Opcodes und Anweisungen auf Baugruppenebene – es ist keine für Menschen lesbare Logik zugänglich.

3. Für die Überprüfung ist die Übermittlung der genauen Solidity-Version, des Optimierungsflags und der Konstruktorargumente erforderlich, die während der Bereitstellung verwendet wurden.

4. Verträge, die über Factory-Patterns oder Proxy-Systeme bereitgestellt werden, erfordern oft zusätzliche Schritte – etwa die Überprüfung der Implementierungsadresse hinter dem Proxy.

5. Einige Explorer zeigen ein Feld „Vertragsersteller“ an, das mit der Adresse des Bereitstellers verknüpft ist, was bei der Verfolgung zugehöriger Verträge oder Prüfberichte hilfreich sein kann.

Verwendung von Tools von Drittanbietern zur Gegenprüfung der Vertragsintegrität

1. Sourcify bietet eine dezentrale Überprüfung, indem es Quellcode-Hashes auf IPFS speichert und Übereinstimmungen mit dem On-Chain-Bytecode überprüft.

2. Tenderly bietet Simulationsumgebungen, in denen Benutzer Funktionen anhand verifizierter Quellcodes ausführen und Zustandsänderungen überprüfen können.

3. Der Dekompiler von Dedaub versucht, High-Level-Logik aus EVM-Bytecode zu rekonstruieren – auch für nicht verifizierte Verträge – allerdings schwankt die Genauigkeit.

4. GitHub-Repositorys, die über Vertragsseiten oder Projektwebsites verlinkt sind, hosten manchmal kanonische Quelldateien, müssen jedoch mit dem richtigen Commit-Hash abgeglichen werden.

5. Slither und MythX lassen sich in IDEs integrieren, um eine statische Analyse des heruntergeladenen Quellcodes durchzuführen und Wiedereintritts-, Überlauf- oder Zugriffskontrollfehler zu identifizieren.

Dekodierung von Proxy-Mustern und Implementierungsadressen

1. Viele DeFi-Protokolle verwenden aktualisierbare Proxy-Verträge, die Aufrufe an einen separat gespeicherten Implementierungsvertrag delegieren.

2. Das Speicherlayout und die Fallback-Funktion des Proxys bestimmen, wie externe Anrufe weitergeleitet werden – diese Logik ist entscheidend für das Verständnis des Verhaltens.

3. Suchen Sie auf Etherscan unter „Vertragsdetails“ nach dem Feld „Implementierung“; Wenn Sie darauf klicken, wird zum eigentlichen Logikvertrag weitergeleitet.

4. Von Proxys verwendete Speicherslots – wie der ERC-1967-Standard – speichern die Implementierungsadresse an einem festen keccak256-Hash-Speicherort.

5. Das direkte Auslesen des Proxy-Speichers über „Vertrag lesen“ > „Speicher“ oder über web3.eth.getStorageAt() bestätigt die aktuelle Implementierungsadresse.

Häufige Fragen und direkte Antworten

F: Was bedeutet die rote Markierung „Nicht verifiziert“? Das bedeutet, dass kein passender Quellcode und keine passenden Kompilierungseinstellungen an das Verifizierungssystem des Explorers übermittelt wurden – es ist nicht vertrauenswürdig, dass Bytecode eine lesbare Logik widerspiegelt.

F: Kann ich einen Vertrag selbst überprüfen, wenn das ursprüngliche Team dies nicht getan hat? Nein. Nur der Bereitsteller – oder jemand, der über die Originalquelle, die Compilerversion und die Konstruktorargumente verfügt – kann die Überprüfung über die Explorer-Schnittstelle einleiten.

F: Warum wird bei einigen verifizierten Verträgen immer noch „Quellcode konnte nicht abgerufen werden“ angezeigt? Dies tritt auf, wenn das Backend des Explorers große Dateien nicht rendern kann oder wenn Kommentare nicht unterstützte Unicode-Zeichen enthalten, die die Analyse stören.

F: Garantiert der Quellcode die Sicherheit? Nein. Verifizierter Quellcode bestätigt nur die Übereinstimmung des Bytecodes – nicht das Fehlen von Schwachstellen, böswilliger Absicht oder fehlerhafter Logik.