Comment vérifier une adresse de contrat intelligent ? (Contrôle de sécurité)

Comprendre la vérification des contrats intelligents

1. La vérification du contrat intelligent consiste à confirmer que le bytecode déployé en chaîne correspond au code source partagé publiquement par le développeur.

2. Ce processus garantit qu'aucune logique cachée ou fonction malveillante n'a été insérée lors de la compilation ou du déploiement.

3. Sans vérification, les utilisateurs ne peuvent pas auditer les fonctionnalités, ce qui rend les interactions avec le contrat intrinsèquement risquées.

4. La vérification n'est pas automatique : elle nécessite la soumission manuelle des fichiers sources, de la version du compilateur, des paramètres d'optimisation et des arguments du constructeur.

5. Les contrats vérifiés affichent une coche verte sur les explorateurs comme Etherscan ou BscScan, signalant la transparence aux utilisateurs finaux.

Étapes pour vérifier à l'aide des explorateurs Blockchain

1. Accédez à la page du contrat sur Etherscan, BscScan ou Arbiscan selon le réseau.

2. Cliquez sur l'onglet « Contrat », puis sélectionnez « Vérifier et publier ».

3. Choisissez la bonne version du compilateur Solidity utilisée lors du déploiement : des versions incompatibles entraîneront un échec de vérification.

4. Collez le code source complet, y compris toutes les dépendances importées, dans le champ de texte fourni.

5. Saisissez les arguments du constructeur si le contrat a été déployé avec des paramètres d'initialisation, codés au format ABI.

Échecs de vérification courants et correctifs

1. Paramètres d'optimisation incompatibles : le redéploiement avec des exécutions d'optimisation identiques et des indicateurs activés/désactivés résout ce problème.

2. Identifiant de licence incorrect : l'utilisation de SPDX-License-Identifier : MIT au lieu d'une chaîne personnalisée évite les erreurs d'analyse.

3. Importations manquantes ou mal ordonnées : assurez-vous que tous les fichiers .sol sont concaténés par ordre de dépendance et non par ordre alphabétique.

4. Erreurs d'encodage des arguments du constructeur : utilisez les encodeurs ABI en ligne pour générer des chaînes hexadécimales appropriées pour les types complexes.

5. Code aplati contenant des caractères non UTF-8 : nettoyez les symboles Unicode invisibles avant la soumission.

Outils tiers et automatisation

1. Sourcify propose une vérification décentralisée et indépendante de la chaîne avec prise en charge de plusieurs réseaux compatibles EVM.

2. La commande forge verify-contract de Foundry automatise la soumission à l'aide d'artefacts de construction locaux.

3. Les plugins Hardhat comme hardhat-etherscan rationalisent la vérification grâce à des flux de travail basés sur la configuration.

4. Tenderly fournit un débogage visuel des contrats ainsi qu'un suivi de l'état de vérification sur les forks et les réseaux principaux.

5. Blockscout permet la vérification sur des chaînes non Ethereum comme Gnosis Chain et Fuse Network en utilisant des flux d'interface utilisateur similaires.

Foire aux questions

Q : Puis-je vérifier un contrat après son déploiement pendant des mois ? R : Oui. Le temps écoulé n'empêche pas la vérification tant que les entrées de la compilation originale restent inchangées et accessibles.

Q : La vérification garantit-elle que le contrat est sûr à utiliser ? R : Non. La vérification confirme uniquement la transparence du code. Il n’évalue pas l’exactitude logique, les hypothèses économiques ou les risques de dépendance externe.

Q : Que se passe-t-il si quelqu'un vérifie un contrat avec des commentaires trompeurs ou des noms de variables obscurs ? R : La vérification réussit techniquement, mais la lisibilité et l'auditabilité en souffrent. Renommer les variables après vérification est impossible sans redéploiement.

Q : Existe-t-il un moyen de vérifier les contrats déployés via CREATE2 avec Dynamic Salt ? R : Oui. La valeur salt doit être incluse dans les arguments du constructeur lors de la soumission de la vérification sur les explorateurs pris en charge.