スマートコントラクトのソースコードを見つけて検証するにはどうすればよいですか?

Blockchain Explorer でスマート コントラクトのソース コードを見つける

1. コントラクトが展開されたネットワークに一致するブロックチェーン エクスプローラー (Ethereum の場合は Etherscan、Binance Smart Chain の場合は BscScan、Solana の場合は Solscan) に移動します。

2. 検証された契約アドレスを検索バーに貼り付け、Enter キーを押して契約の概要ページをロードします。

3. 上部のナビゲーション バーで [契約] タブを探します。これをクリックすると、バイトコード、ABI、デプロイメント トランザクションの詳細などの主要なメタデータが表示されます。

4. 契約が確認された場合は、契約名の下にある「確認済み」の横に緑色のチェックマークが表示され、「契約を読む」ボタンがアクティブになります。

5. 下にスクロールして「Contract Source Code」セクションを見つけます。これにより、折りたたみ可能な構文が強調表示されたビューアに完全なソース コードが表示されます。

検証ステータスとその影響についての理解

1. 検証されたコントラクトとは、コンパイルされたバイトコードが、同一のコンパイラ設定でコンパイルした後に公開されたソース コードと一致することを意味します。

2. 未検証のコントラクトにはオペコードとアセンブリレベルの命令のみが表示され、人間が判読できるロジックはアクセスできません。

3. 検証には、展開中に使用される正確な Solidity バージョン、最適化フラグ、およびコンストラクター引数を送信する必要があります。

4. ファクトリ パターンまたはプロキシ システムを介してデプロイされたコントラクトでは、多くの場合、プロキシの背後にある実装アドレスを確認するなど、追加の手順が必要になります。

5. 一部のエクスプローラーには、展開者のアドレスにリンクする「契約作成者」フィールドが表示されます。これは、関連する契約の追跡や監査レポートに役立つ場合があります。

サードパーティツールを使用して契約の整合性をクロスチェックする

1. Sourcecify は、ソース コード ハッシュを IPFS に保存し、オンチェーン バイトコードとの一致を検証することにより、分散型検証を提供します。

2. Tenderly は、ユーザーが検証済みのソース コードに対して関数を実行し、状態の変化を検査できるシミュレーション環境を提供します。

3. Dedaub のデコンパイラは、精度にはばらつきがありますが、未検証のコントラクトであっても、EVM バイトコードから高レベルのロジックを再構築しようとします。

4. 契約ページまたはプロジェクト Web サイトからリンクされている GitHub リポジトリは、正規のソース ファイルをホストしている場合がありますが、正しいコミット ハッシュと一致する必要があります。

5. Slither と MythX は IDE と統合して、ダウンロードされたソース コードの静的分析を実行し、再入可能性、オーバーフロー、またはアクセス制御の欠陥を特定します。

プロキシ パターンと実装アドレスのデコード

1. 多くの DeFi プロトコルは、個別に保存された実装コントラクトに呼び出しを委任する、アップグレード可能なプロキシ コントラクトを使用します。

2. プロキシのストレージ レイアウトとフォールバック機能は、外部呼び出しのルーティング方法を決定します。このロジックは動作を理解するために重要です。

3. Etherscan で、「契約の詳細」の下にある「実装」フィールドを探します。これをクリックすると、実際のロジック コントラクトにリダイレクトされます。

4. プロキシによって使用されるストレージ スロット (ERC-1967 標準など) は、実装アドレスを固定の keccak256 ハッシュの場所に保存します。

5. 「Read Contract」>「storage」を使用してプロキシのストレージを直接読み取るか、web3.eth.getStorageAt() を介して、現在の実装アドレスを確認します。

よくある質問と直接の回答

Q: 赤い「未確認」ラベルは何を意味しますか?これは、一致するソース コードとコンパイル設定がエクスプローラーの検証システムに送信されていないことを意味します。バイトコードは、読み取り可能なロジックを反映していると信頼できません。

Q: 元のチームが契約を確認していない場合、自分で契約を確認できますか?いいえ。エクスプローラーのインターフェイスを介して検証を開始できるのは、デプロイヤー (または元のソース、コンパイラー バージョン、およびコンストラクター引数を所有している人) だけです。

Q: 検証済みの契約によっては依然として「ソース コードを取得できません」と表示されるのはなぜですか?これは、エクスプローラーのバックエンドが大きなファイルのレンダリングに失敗した場合、またはコメントに解析を中断するサポートされていない Unicode 文字が含まれている場合に発生します。

Q: ソースコードがあると安全性が保証されますか?いいえ。検証されたソース コードはバイトコードの対応のみを確認し、脆弱性、悪意、または欠陥のあるロジックが存在しないことを確認するものではありません。