초보자를 위한 Etherscan의 스마트 계약을 읽는 방법은 무엇입니까?

스마트 계약 검증의 기본 이해

1. 이더리움에 배포된 스마트 계약은 바이트코드로 컴파일되어 온체인에 저장되므로 적절한 도구 없이는 원시 검사가 어렵습니다.

2. Etherscan은 개발자가 이를 확인하고 게시하기로 선택할 때 거래 데이터, 계약 주소 및 소스 코드를 색인화하는 공개 블록체인 탐색기 역할을 합니다.

3. 검증된 계약은 계약 이름 옆에 녹색 "검증" 배지를 표시합니다. 이는 제출된 소스 코드가 배포된 바이트코드와 일치함을 나타냅니다.

4. 검증되지 않은 계약에는 바이트코드나 어셈블리만 표시되어 있어 비전문가가 의미 있게 해석하는 것은 거의 불가능합니다.

5. 확인하려면 일치하는 컴파일러 버전, 최적화 설정 및 입력 매개변수가 필요합니다. 일치하지 않으면 확인이 실패하고 신뢰할 수 없는 코드가 표시됩니다.

계약 페이지 인터페이스 탐색

1. Etherscan의 검색창에 계약 주소를 입력하면 사용자는 "계약", "거래", "분석" 및 "자세히 보기"와 같은 탭이 있는 전용 계약 페이지로 이동합니다.

2. "계약" 탭에는 ABI, 읽기/쓰기 기능, 소스 코드 섹션(확인된 경우) 등 가장 중요한 정보가 포함되어 있습니다.

3. "계약 읽기" 섹션에서는 가스 비용 없이 보기/순수 기능과 상호 작용할 수 있습니다. 사용자는 잔액, 토큰 이름 또는 소유권 상태를 직접 쿼리할 수 있습니다.

4. "계약서 작성" 섹션에서는 토큰 전송이나 권한 업데이트와 같은 상태 변경 작업이 가능하지만 지갑 연결 및 가스 지불이 필요합니다.

5. "계약 소스 코드" 패널에는 원본 Solidity(또는 Vyper) 파일이 표시되며, 프로젝트에서 가져오기 또는 라이브러리를 사용하는 경우 여러 탭에 구성되는 경우가 많습니다.

검증된 소스 코드의 주요 섹션 해석

1. SPDX 라이선스 식별자는 상단에 표시되며 법적 사용 조건을 나타냅니다. 부재는 검토되지 않았거나 잠재적으로 위험한 코드를 의미할 수 있습니다.

2. pragma solidity ^0.8.20과 같은 컴파일러 버전 pragma 문; 배포 중에 사용된 버전과 일치해야 합니다. 버전이 일치하지 않으면 예기치 않은 동작이 발생할 위험이 있습니다.

3. 공개 가시성으로 선언된 상태 변수는 "계약 읽기" 아래에 표시되는 getter 함수를 자동으로 생성합니다.

4. onlyOwner 또는 whenNotPaused 와 같은 수정자 사용은 중앙 집중화 위험을 평가하는 데 중요한 액세스 제어 논리를 드러냅니다.

5. 외부 기능 서명은 제3자 dApp이 계약과 상호 작용하는 방식을 노출합니다. 비정상적인 매개변수 유형이나 문서화되지 않은 이벤트는 난독화를 나타낼 수 있습니다.

계약 코드의 위험 신호 인식

1. 명확한 비즈니스 논리 근거 없이 지불 가능 으로 표시된 기능은 의도하지 않은 ETH 전송 또는 재진입 벡터를 활성화할 수 있습니다.

2. 누락되거나 일반적인 이벤트 방출은 투명성을 감소시킵니다. 합법적인 프로토콜은 주조 또는 소각과 같은 모든 중요한 상태 변화에 대한 이벤트를 방출합니다.

3. 철저한 문서화 없이 selfdestruct 또는 Delegatecall을 사용하면 업그레이드 가능성 및 신뢰 가정에 대한 우려가 제기됩니다.

4. 구성 가능한 매개변수 대신 하드코딩된 주소는 유연성이 없고 잠재적인 조작 지점을 암시합니다.

5. 호환성을 주장함에도 불구하고 ERC-20 또는 ERC-721과 같은 표준 인터페이스가 없다는 것은 감사된 패턴과 다르다는 것을 의미합니다.

자주 묻는 질문

Q: 계약을 검증하려고 할 때 "검증할 수 없습니다"는 무엇을 의미합니까? 이는 제출된 소스 코드가 버전 불일치, 최적화 차이 또는 잘못된 생성자 인수로 인해 지정된 컴파일러 설정에서 동일한 바이트코드를 생성하지 않음을 의미합니다.

Q: Etherscan에 "인증됨"이라고 표시되어 있다는 이유만으로 계약을 신뢰할 수 있나요? 아니요. 검증은 정확성이나 안전성이 아닌 코드 무결성을 확인합니다. 악의적인 논리는 완전히 검증될 수 있지만 여전히 해로울 수 있습니다.

Q: 일부 계약에 소스 코드 탭이 여러 개 있는 이유는 무엇입니까? 라이브러리, 인터페이스 또는 구현 계약에 대해 별도의 파일이 있는 모듈식 아키텍처를 사용합니다. 각 파일은 확인 중에 개별적으로 업로드됩니다.

Q: 검증되지 않은 계약 로직을 읽을 수 있나요? Mythril 또는 evm-opcodes와 같은 도구를 사용하여 디컴파일된 바이트코드를 통해서만 가능하지만 결과는 매우 추상적이고 기능적 이해를 위해 신뢰할 수 없습니다.