So verifizieren Sie einen Smart Contract Onchain: Schritt-für-Schritt 2026

Sicherheitscheckliste: Bevor Sie einen neuen Token tauschen, genehmigen oder überbrücken, überprüfen Sie den Vertrag in der Kette. Dieser Leitfaden führt Sie durch Etherscan, BscScan und Solscan mit den genauen Prüfungen, die versteckte Mint-Funktionen, Proxy-Fallen und Eigentumswarnungen erkennen. Wenn Sie nur fünf Minuten Zeit haben, befolgen Sie die Schritte im Abschnitt zur exemplarischen Vorgehensweise.

Intelligente Verträge verwalten das Geld. Eine Wallet-Signatur ist eine rechtliche Anweisung, die dem Code übergeben wird, daher ist es nicht optional, zu lesen, was dieser Code bewirkt. Die gute Nachricht: Die drei größten Entdecker legen fast alles offen, was Sie brauchen, und der Workflow wiederholt sich kettenübergreifend, sobald Sie das Muster gelernt haben.

Warum die Vertragsüberprüfung vor dem Kauf wichtig ist

Ein Token auf einem DEX ist nur eine Vertragsadresse. Der Ticker, das Logo und das Telegram dienen dem Marketing. Der Vertrag ist die einzige Quelle der Wahrheit und er regelt, ob Sie verkaufen können, welche Gebühren anfallen, ob neues Angebot geprägt werden kann und welches Wallet alles pausieren kann.

Die Verifizierung beantwortet zwei Fragen. Die prozedurale Frage: Hat der Bereitsteller die Quelle veröffentlicht, die mit dem bereitgestellten Bytecode kompiliert wird? Die redaktionelle Frage: Ist der veröffentlichte Code etwas, dem Sie zustimmen würden? Sie brauchen beides. Ein Vertrag kann überprüft werden und dennoch von Natur aus böswillig sein.

Von Etherscan verifizierter Quellcode: Was das grüne Häkchen wirklich bedeutet

Öffnen Sie Etherscan, fügen Sie die Vertragsadresse ein und klicken Sie auf die Registerkarte „Vertrag“. Ein grünes Häkchen neben „Vertrag“ bedeutet, dass Etherscan die öffentliche Solidity zusammengestellt und bestätigt hat, dass der Bytecode mit dem übereinstimmt, der im Mainnet bereitgestellt wird.

Eine Verifizierung ist notwendig, aber nicht ausreichend. Es beweist lediglich, dass der Code, den Sie gerade lesen, der Code ist, der ausgeführt wird. Es sagt nichts darüber aus, ob der Kodex fair ist.

Auf der Registerkarte „Vertrag“ finden Sie Unterregisterkarten für Code, Vertrag lesen und Vertrag schreiben. Code zeigt die Solidität. Leselisten zeigen Funktionen an, die ohne Gas abfragbar sind. Schreiben Sie zustandsverändernde Funktionen auf, die Sie über Ihr Wallet aufrufen können. Zusammen beschreiben sie die gesamte Vertragsfläche.

Vertragsquelle lesen: Konstrukteur, Münzstätte, Eigentümer und Gebührenfunktionen

Sie auditieren nicht Zeile für Zeile. Sie suchen nach den fünf Dingen, die darüber entscheiden, ob der Token fair ist. Verwenden Sie die Suche auf der Registerkarte „Code“ nach diesen Schlüsselwörtern.

Erkennen von Proxy-Verträgen und EIP-1967-Speicherplätzen

Viele moderne Token sind Proxy-Verträge. Die Adresse, mit der Sie interagieren, ruft eine separate Implementierung auf, die ein Administrator austauschen kann. Es ist nicht garantiert, dass die Logik, die Sie heute lesen, auch die Logik ist, die morgen funktioniert.

Etherscan meldet dies direkt. Suchen Sie auf der Registerkarte „Vertrag“ nach einem Banner mit der Aufschrift „Dieser Vertrag ist ein Proxy“. Etherscan liest den EIP-1967-Speichersteckplatz unter 0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc , um die Implementierungsadresse zu finden.

Wenn Sie einen Proxy sehen, führen Sie zwei zusätzliche Dinge aus. Lesen Sie die Quelle des Implementierungsvertrags und nicht den Proxy selbst, da es sich beim Proxy größtenteils um eine Delegiertenlogik handelt. Dann überprüfen Sie den Admin-Slot unter 0xb53127684a568b3173ae13b9f8a6016e243e63b6e8ee1178d6a717850b5d6103 zur Identifizierung der Upgrade-Wallet. Am sichersten ist ein aufgegebener oder Zero-Adress-Administrator. Multisig ist akzeptabel. Eine neue EOA ist eine gelbe Flagge.

Unser Leitfaden zum Proxy-Vertrag behandelt transparente und UUPS-Proxys ausführlich.

BscScan-Workflow: ähnliche Oberfläche, geschäftigere Umgebung

BscScan spiegelt Etherscan wider, da beide vom selben Team erstellt wurden. Die Registerkarte „Vertrag“, die Unterregisterkarten „Lesen“ und „Schreiben“, das grüne Häkchen und der Proxy-Detektor verhalten sich alle gleich. Die Kette ist anders; Der Verifizierungsworkflow ist identisch.

Was sich an der BNB-Kette ändert, ist die Umgebungsgeschwindigkeit. Listings erfolgen schneller, Copy-Cat-Token kommen häufiger vor und Verträge mit geringem Aufwand sind höher. Erwarten Sie, dass Sie auf mehr BscScan-Prüfungen als auf Etherscan-Prüfungen verzichten werden. Die Bar ist die gleiche. Die Trefferquote ist unterschiedlich.

Wenn Sie Etherscan bereits sicher verwenden, ist BscScan das gleiche Playbook. Unser BscScan-Tutorial deckt die Besonderheiten der BNB-Kette ab, einschließlich der BEP-20-Macken und der häufigsten Nachahmerfallen.

Solscan- und Solana-Vertragsüberprüfung: ein anderes Paradigma

Solana verwendet keine Solidität und speichert den Kontostatus nicht in einem Vertrag. Programme werden zum BPF-Bytecode kompiliert und Benutzerguthaben werden in Token-Konten gespeichert, die dem SPL-Token-Programm gehören. Das ändert die Bedeutung der Verifizierung bei Solscan.

Sie können die Solidity-Quelle nicht lesen, da es keine gibt. Stattdessen überprüfen Sie drei Dinge: Ist das Programm aktualisierbar und wer kontrolliert Upgrades, wie hoch ist die Mint-Autorität für das Token-Konto und ob noch eine Freeze-Autorität vorhanden ist.

Solscan macht alle vier auf der Token-Seite verfügbar. Null in den Autoritätsfeldern und eine gesunde Verteilung bedeuten, dass das Token strukturell sicherer ist. Es lohnt sich, die Frage zu beantworten, ob eine Behörde immer noch ohne Begründung an einem Memecoin beteiligt ist.

Häufige Warnsignale: versteckte Mine, schwarze Listen und Überweisungsgebühren

Die meisten Teppiche erfordern keine neuen Exploits. Sie verwenden dieselben Muster wieder. Sie auf dem Explorer zu erkennen, ist der größte Teil der Verteidigung.

Eine einzelne rote Flagge führt nicht immer zur Disqualifikation. Eine Kombination ist normalerweise der Fall. Aktive Minze plus anpassbare Gebühren plus ein frischer EOA-Besitzer ist das klassische Honeypot-Setup.

Tools, die die Prüfungen automatisieren: TokenSniffer, GoPlus, DEXTools-Audit

Manuelles Explorer-Lesen ist der Goldstandard. Automatisierte Tools sind schnelle Filter, die offensichtliche Probleme erkennen, bevor Sie Zeit für einen Vertrag aufwenden.

Schnellster Arbeitsablauf: Beginnen Sie mit der DEXTools-Prüfung des Paares, eskalieren Sie es an den Explorer, wenn etwas gelb ist, überprüfen Sie es mit TokenSniffer oder RugCheck. Drei Signale von drei Quellen reichen aus, um zu handeln.

Schritt-für-Schritt-Anleitung: Verifizierung eines Tokens in fünf Minuten

Genaue Reihenfolge vor jedem neuen Token-Austausch.

Wenn jeder Schritt erfolgreich ist, haben Sie nicht bewiesen, dass der Token sicher ist; Sie haben bewiesen, dass es sich nicht offensichtlich um eine Manipulation handelt, was eine höhere Hürde ist, als die meisten Händler klarmachen, bevor sie auf „Swap“ klicken. Kombinieren Sie dies mit unserem Wallet-Sicherheitscheckliste , um die meisten Verlustvektoren zu entfernen.

Nach dem Handel: Genehmigungen widerrufen und auf Upgrades achten

Die Überprüfung bei der Einreise ist die halbe Miete. Nach dem Handel hinterlassen Sie normalerweise eine Token-Genehmigung. Diese Genehmigung ist eine dauerhafte Erlaubnis für den Vertrag, diesen Token auszugeben, und wenn der Vertrag später mit böswilliger Logik aktualisiert wird, können Gelder ohne eine neue Unterschrift abgezogen werden.

Genehmigungshygiene ist Teil des Workflows. Unser Tutorial zum Widerrufen von Token-Genehmigungen behandelt Werkzeuge und Trittfrequenz. Kombiniere es mit MEV-Schutz für die Größe flüchtiger Token.

FAQ