Comment trouver et vérifier le code source d'un contrat intelligent ?

Trouver le code source du contrat intelligent sur les explorateurs de blockchain

1. Accédez à un explorateur de blockchain correspondant au réseau sur lequel le contrat a été déployé : Etherscan pour Ethereum, BscScan pour Binance Smart Chain ou Solscan pour Solana.

2. Collez l'adresse du contrat vérifiée dans la barre de recherche et appuyez sur Entrée pour charger la page de présentation du contrat.

3. Recherchez l'onglet « Contrat » dans la barre de navigation supérieure ; cliquer dessus révèle des métadonnées clés, notamment le bytecode, l'ABI et les détails de la transaction de déploiement.

4. Si le contrat a été vérifié, une coche verte apparaît à côté de « Vérifié » sous le nom du contrat et un bouton « Lire le contrat » devient actif.

5. Faites défiler vers le bas pour localiser la section « Code source du contrat » : elle affiche le code source complet dans une visionneuse pliable et mise en évidence par la syntaxe.

Comprendre le statut de vérification et ses implications

1. Un contrat vérifié signifie que son bytecode compilé correspond au code source publié après compilation avec des paramètres de compilateur identiques.

2. Les contrats non vérifiés affichent uniquement les opcodes et les instructions au niveau de l'assembleur : aucune logique lisible par l'homme n'est accessible.

3. La vérification nécessite de soumettre la version exacte de Solidity, l'indicateur d'optimisation et les arguments du constructeur utilisés lors du déploiement.

4. Les contrats déployés via des modèles d'usine ou des systèmes proxy nécessitent souvent des étapes supplémentaires, comme la vérification de l'adresse d'implémentation derrière le proxy.

5. Certains explorateurs affichent un champ « Créateur de contrat » lié à l'adresse du déployeur, ce qui peut aider à retracer les contrats ou les rapports d'audit associés.

Utilisation d'outils tiers pour vérifier l'intégrité du contrat

1. Sourcify fournit une vérification décentralisée en stockant les hachages du code source sur IPFS et en vérifiant les correspondances par rapport au bytecode en chaîne.

2. Tenderly propose des environnements de simulation dans lesquels les utilisateurs peuvent exécuter des fonctions sur un code source vérifié et inspecter les changements d'état.

3. Le décompilateur de Dedaub tente de reconstruire la logique de haut niveau à partir du bytecode EVM, même pour les contrats non vérifiés, bien que la précision varie.

4. Les référentiels GitHub liés à partir de pages de contrat ou de sites Web de projets hébergent parfois des fichiers sources canoniques, mais doivent correspondre au hachage de validation correct.

5. Slither et MythX s'intègrent aux IDE pour effectuer une analyse statique du code source téléchargé, identifiant les failles de réentrance, de débordement ou de contrôle d'accès.

Décodage des modèles de proxy et adresses d'implémentation

1. De nombreux protocoles DeFi utilisent des contrats proxy évolutifs qui délèguent les appels à un contrat de mise en œuvre stocké séparément.

2. L'agencement du stockage et la fonction de secours du proxy déterminent la manière dont les appels externes sont acheminés : cette logique est essentielle à la compréhension du comportement.

3. Sur Etherscan, recherchez le champ « Mise en œuvre » sous « Détails du contrat » ; cliquer dessus redirige vers le contrat logique réel.

4. Les emplacements de stockage utilisés par les proxys, tels que la norme ERC-1967, stockent l'adresse d'implémentation dans un emplacement de hachage keccak256 fixe.

5. La lecture du stockage du proxy directement en utilisant « Lire le contrat » > « stockage » ou via web3.eth.getStorageAt() confirme l'adresse d'implémentation actuelle.

Questions courantes et réponses directes

Q : Que signifie une étiquette rouge « Non vérifié » ? Cela signifie qu'aucun code source ni aucun paramètre de compilation correspondants n'ont été soumis au système de vérification de l'explorateur : on ne peut pas faire confiance au bytecode pour refléter une logique lisible.

Q : Puis-je vérifier moi-même un contrat si l'équipe d'origine ne l'a pas fait ? Non. Seul le déployeur (ou toute personne possédant la source d'origine, la version du compilateur et les arguments du constructeur) peut lancer la vérification via l'interface de l'explorateur.

Q : Pourquoi certains contrats vérifiés affichent-ils toujours « Impossible de récupérer le code source » ? Cela se produit lorsque le backend de l'explorateur ne parvient pas à restituer des fichiers volumineux ou lorsque les commentaires contiennent des caractères Unicode non pris en charge perturbant l'analyse.

Q : Le fait d'avoir du code source garantit-il la sécurité ? Non. Le code source vérifié confirme uniquement la correspondance du bytecode, et non l'absence de vulnérabilités, d'intentions malveillantes ou de logique défectueuse.