Cómo Verificar un Contrato Inteligente Onchain: Paso a Paso 2026

— By Whatsertrade in Tutorials

Cómo Verificar un Contrato Inteligente Onchain: Paso a Paso 2026

Aprenda cómo verificar un contrato inteligente en Etherscan, BSCScan y Solscan paso a paso. Código fuente, detección de proxy, propiedad y controles de auditoría para 2026.

Lista de verificación de seguridad: Antes de intercambiar, aprobar o realizar un puente hacia cualquier token nuevo, verifique el contrato en cadena. Esta guía recorre Etherscan, BscScan y Solscan con las comprobaciones exactas que detectan funciones mint ocultas, trampas de proxy y señales de alerta de propiedad. Si solo tiene cinco minutos, siga los pasos de la sección de tutorial.

Los contratos inteligentes hacen funcionar el dinero. La firma de una billetera es una instrucción de estilo legal entregada al código, por lo que leer lo que hace ese código no es opcional. La buena noticia: los tres exploradores más importantes exponen casi todo lo que necesita y el flujo de trabajo se repite en las cadenas una vez que aprende el patrón.

CÓDIGO FUENTE PROXY PROPIEDAD MIEL FUNCIÓN MENTA
Magnifying lens hovering over a translucent smart contract code block with green verified checkmark, cinematic editorial illustration.
Fichas de estafa
~70%
de nuevos lanzamientos marca riesgo
Pérdida promedio de alfombra
$2.8k
por billetera afectada
Verificar hora
5 min
con esta lista de verificación
Respuesta rápida
Verificar un contrato inteligente significa confirmar que el código de bytes implementado coincide con la fuente pública de Solidity en el explorador y luego leer el código para conocer los poderes de propiedad, las funciones de menta, las tarifas y los poderes. Etherscan y BscScan comparten el mismo flujo de trabajo; Solscan utiliza un modelo diferente porque los programas Solana se compilan en BPF.

Por qué es importante la verificación del contrato antes de comprar

Un token en un DEX es solo una dirección de contrato. El ticker, el logo y Telegram son marketing. El contrato es la única fuente de verdad y controla si se puede vender, qué tarifas se aplican, si se pueden acuñar nuevos suministros y qué billetera puede pausar todo.

La verificación responde dos preguntas. El de procedimiento: ¿el implementador publicó la fuente que se compila en el código de bytes implementado? La editorial: ¿el código publicado es algo con lo que usted estaría de acuerdo? Necesitas ambos. Un contrato puede verificarse y aun así ser malicioso por diseño.

Código fuente verificado por Etherscan: lo que realmente significa la marca verde

Abra Etherscan, pegue la dirección del contrato y haga clic en la pestaña Contrato. Una marca verde junto a Contrato significa que Etherscan compiló el Solidity público y confirmó que el código de bytes coincide con el implementado en la red principal.

La verificación es necesaria pero no suficiente. Sólo prueba que el código que está a punto de leer es el código que se ejecuta. No dice nada sobre si el código es justo.

Regla general
Si un contrato simbólico no está verificado en Etherscan y el equipo ha tenido más de una semana para publicar el código fuente, trátelo como un paso difícil para cualquier cosa más allá de una pequeña posición exploratoria.

Dentro de la pestaña Contrato encontrará subpestañas para Código, Leer contrato y Escribir contrato. El código muestra la solidez. Leer listas ver funciones consultables sin gas. Escribir enumera funciones de cambio de estado a las que puede llamar a través de su billetera. Juntos describen toda la superficie del contrato.

Lectura de la fuente del contrato: funciones de constructor, ceca, propietario y tarifa

No estás auditando línea por línea. Estás buscando las cinco cosas que deciden si el token es justo. Utilice la búsqueda dentro de la pestaña Código para estas palabras clave.

Marca 1
Poderes para acuñar y quemar
Busque mint, _mint, mintTo o burnFrom. Si existen y están custodiados únicamente por un rol de propietario, el suministro puede dispararse en cualquier momento. Busque un token final no acuñable donde estas funciones estén ausentes o deshabilitadas permanentemente.
Verifique 2
Roles de propietario y administrador
Busque Ownable, onlyOwner, AccessControl, hasRole o DEFAULT_ADMIN_ROLE. Asigne cada función poderosa a la billetera que la controla. Luego verifique esa billetera en cadena para ver si es multifirma, EOA o renunciada.
Comprueba 3
Tarifas y límites de transferencia
Busque tarifas, impuestos, maxTx, maxWallet o transferFee. El propietario puede aumentar un token con tarifas ajustables al 99%. Un maxTx que es más ajustado que el tamaño de compra típico actúa como un honeypot suave.
Comprueba 4
Listas negras y pausas
Busca lista negra, está bloqueado, pausa o pausado. Estos permiten al propietario congelar carteras específicas o el token completo. Algunas monedas estables legítimas usan esto. Los tokens de memes aleatorios normalmente no lo necesitan.
Verifique 5
Siembra de constructores
Lea el constructor en la parte superior del archivo. Define el suministro inicial y la billetera que lo recibe. Un constructor que envía el 100% del suministro a una dirección es una advertencia de concentración incluso si el resto del código parece limpio.

Detección de contratos de proxy y ranuras de almacenamiento EIP-1967

Muchos tokens modernos son contratos de proxy. La dirección con la que interactúa delega llamadas a una implementación separada que un administrador puede intercambiar. No se garantiza que la lógica que lea hoy sea la lógica que se ejecutará mañana.

Etherscan marca esto directamente. En la pestaña Contrato busque un cartel que diga Este contrato es un proxy. Etherscan lee la ranura de almacenamiento EIP-1967 en 0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc para encontrar la dirección de implementación.

Por qué esto es importante
Se puede actualizar un proxy. Si la clave de actualización se encuentra en una única billetera activa, el propietario puede reemplazar toda la lógica del token con código malicioso después de agregar liquidez. Siempre verifique quién controla la ranura de administración del proxy.

Cuando veas un proxy, haz dos cosas adicionales. Lea la fuente del contrato de implementación en lugar del proxy en sí, ya que el proxy es principalmente lógica delegada. Luego verifique la ranura de administración en 0xb53127684a568b3173ae13b9f8a6016e243e63b6e8ee1178d6a717850b5d6103 para identificar la billetera de actualización. El administrador renunciado o sin dirección es el más seguro. Multifirma es aceptable. Una nueva EOA es una señal de alerta.

Nuestro guía de contrato de apoderado cubre en profundidad los proxies transparentes versus UUPS.

Flujo de trabajo BscScan: superficie similar, entorno más ocupado

BscScan refleja Etherscan porque ambos están construidos por el mismo equipo. La pestaña Contrato, las subpestañas Leer y Escribir, la marca verde y el detector de proxy se comportan de la misma manera. La cadena es diferente; el flujo de trabajo de verificación es idéntico.

Lo que cambia en BNB Chain es la velocidad del entorno. Los listados son más rápidos, los tokens de imitación son más comunes y los contratos de bajo esfuerzo son más altos. Espere alejarse de más controles BscScan que controles Etherscan. La barra es la misma. La tasa de aciertos es diferente.

PasoEtherscanBscScan
Buscar direcciónetherscan.iobscscan.com
Bandera verificadaMarca verde en la pestaña ContratoMarca verde en la pestaña Contrato
Detección de proxyBanner EIP-1967Banner EIP-1967
Funciones de lecturaLeer pestaña ContratoLeer pestaña Contrato
Concentración titularVista de los 100 mejores poseedoresVista de los 100 mejores poseedores

Si ya usa Etherscan con confianza, BscScan es el mismo manual. Nuestro Tutorial de BscScan cubre los detalles de la cadena BNB, incluidas las peculiaridades de BEP-20 y las trampas de imitación más comunes.

Verificación de contratos Solscan y Solana: un paradigma diferente

Solana no utiliza Solidity y no almacena el estado de la cuenta dentro de un contrato. Los programas se compilan en el código de bytes BPF y los saldos de los usuarios se encuentran en cuentas simbólicas propiedad del programa SPL Token. Eso cambia lo que significa la verificación en Solscan.

No puedes leer la fuente de Solidity porque no la hay. En su lugar, verifica tres cosas: si el programa se puede actualizar y quién controla las actualizaciones, cuál es la autoridad de acuñación en la cuenta simbólica y si todavía existe una autoridad de congelación.

Autoridad de Casa de la Moneda
Debe ser nulo después del lanzamiento. Si todavía apunta a una billetera, la oferta puede crecer.
Congelar autoridad
Debe ser nulo. Si se establece, esa billetera puede congelar el saldo del titular.
Actualizar autoridad
Esta billetera puede reescribir los metadatos. Renunciar es el estado seguro.
Principales poseedores
Descuento en pools LP y billeteras CEX. Lo que queda es su distribución real.

Solscan expone los cuatro en la página del token. Nulo en los campos de autoridad más una distribución saludable significa que el token es estructuralmente más seguro. Cualquier autoridad que siga activa en una memecoin sin justificación es una pregunta que vale la pena responder antes de evaluarla.

Señales de alerta comunes: mentas ocultas, listas negras y tarifas de transferencia

La mayoría de las alfombras no requieren nuevos exploits. Reutilizan los mismos patrones. Reconocerlos en el explorador es la mayor parte de la defensa.

Bandera rojaDónde buscarQué permite hacer al propietario
Menta ocultaPestaña Código, buscar mint o _mintImprimir más suministro y volcado en soportes
Tarifas ajustablesEscribir contrato, establecer funciones de tarifaIncrementar la tarifa de venta al 99% para que nadie pueda salir
Lista negraEscribir contrato, lista negra o setBlockedCongelar la transferencia de billeteras específicas
Administrador de proxy activoBanner de proxy EtherscanReemplazar la lógica del contrato después de que se agregue liquidez
LP de un solo propietarioPágina de titulares de tokens LPExtraer liquidez en una sola transacción
Autoridad de menta activa en SolanaSección Autoridades SolscanAcuña nuevos tokens en cualquier momento

Una sola bandera roja no siempre es descalificante. Una combinación suele serlo. La menta activa más tarifas ajustables más un nuevo propietario de EOA es la configuración clásica de honeypot.

Herramientas que automatizan las comprobaciones: TokenSniffer, GoPlus, DEXTools audit

La lectura manual del explorador es el estándar de oro. Las herramientas automatizadas son el filtro rápido que detecta problemas obvios antes de dedicar tiempo a un contrato.

TokenSniffer
Ejecuta un análisis estático en la fuente y otorga una puntuación de 0 a 100. Lo mejor para detectar tokens de estafa con plantillas que copian patrones maliciosos conocidos. Vea nuestro Guía de TokenSniffer sobre cómo leer la partitura correctamente.
GoPlus
Escáner de riesgos basado en API utilizado por muchas billeteras y agregadores. Marca honeypots, funciones de lista negra, pausa de transferencia y autoridad de acuñación en múltiples cadenas.
RugCheck
Centrado en Solana, superficies impecables y estado de autoridad congelada más concentración de LP. Combínalo con nuestro Tutorial RugCheck para el comercio de memecoins.
Auditoría de DEXTools
Incrustado directamente en la página de pares. Muestra el estado de verificación, propiedad, simulación de capacidad de venta y estado de bloqueo de liquidez sin salir del gráfico.

Flujo de trabajo más rápido: comience con la auditoría de DEXTools en el par, escale al explorador si algo es amarillo, verifique con TokenSniffer o RugCheck. Tres señales de tres fuentes son suficientes para actuar.

Tutorial paso a paso: verificar un token en cinco minutos

Secuencia exacta antes de cualquier intercambio de token nuevo.

Minuto 1
Confirmar la dirección del contrato
Obtenga la dirección de la fuente oficial, péguela en el explorador y confirme que coincide con lo que DEXTools muestra en la página de pares. Los desajustes finalizan el proceso aquí.
Minuto 2
Verificar estado de verificación y proxy
Busque el check verde en Etherscan, BscScan o el panel de Autoridades en Solscan. Si es proxy, anote la dirección de implementación y la billetera de administrador.
Minuto 3
Busque en la fuente cinco palabras clave
menta, tarifa, lista negra, pausa y únicoPropietario. Tenga en cuenta quién controla cada uno. Si se renuncia al propietario, la mayoría de ellas son discutibles.
Minuto 4
Ejecute una auditoría automatizada
Abra el panel de auditoría de DEXTools en el par más una segunda fuente como GoPlus, TokenSniffer o RugCheck. Dos señales limpias ganan a una.
Minuto 5
Inspeccionar tenedores y liquidez
Verifique la concentración de los principales poseedores, la distribución de los poseedores de tokens LP y si la liquidez está bloqueada o quemada. La concentración superior al 20% en una billetera que no sea LP es un riesgo significativo.

Si pasa cada paso no ha demostrado que el token sea seguro; ha demostrado que no está obviamente manipulado, lo cual es una barra más alta que la que la mayoría de los operadores superan antes de hacer clic en intercambiar. Combina esto con nuestro lista de verificación de seguridad de la billetera para eliminar la mayoría de los vectores de pérdida.

Después del intercambio: revocar aprobaciones y estar atento a las actualizaciones

La verificación al ingresar es la mitad del trabajo. Después de operar, normalmente deja una aprobación simbólica. Esa aprobación es un permiso permanente para que el contrato gaste ese token, y si el contrato se actualiza posteriormente con lógica maliciosa, los fondos pueden agotarse sin una nueva firma.

La higiene de aprobación es parte del flujo de trabajo. Nuestro tutorial sobre revocar aprobaciones de tokens cubre herramientas y cadencia. Emparejar con Protección MEV para dimensionar tokens volátiles.

Preguntas frecuentes

¿Qué prueba realmente un contrato verificado en Etherscan?

La verificación demuestra que el código de bytes implementado coincide con la fuente de Solidity que publicó el implementador. No prueba que el código sea justo, seguro o esté alineado con el marketing del proyecto. Aún tienes que leer la fuente para funciones riesgosas.

¿Puede un contrato verificado seguir siendo una estafa?

Sí, fácilmente. Muchos honeypots se verifican porque el implementador quiere el cheque verde de credibilidad. El comportamiento malicioso está escrito de forma transparente en funciones como setFee o pausaTransfers y está controlado por el propietario.

¿Qué es un contrato de representación y por qué es importante?

Un proxy delega llamadas a un contrato de implementación independiente que un administrador puede intercambiar. Si el administrador es una billetera única, toda la lógica del token se puede reemplazar después del lanzamiento. Siempre verifique la ranura de administrador y prefiera administradores multifirma o renunciados.

¿En qué se diferencia Solscan de Etherscan?

Los programas Solana se compilan en BPF en lugar de Solidity, por lo que no hay código fuente para leer directamente. Solscan se centra en el estado de la autoridad, la distribución del titular y la capacidad de actualización del programa en lugar de la verificación de la fuente.

¿Qué son las ranuras de almacenamiento EIP-1967?

Son direcciones de ranura estandarizadas donde los servidores proxy almacenan los punteros de implementación y administración. Etherscan lee la ranura 0x36089...d382bbc para la implementación y 0xb53127...0b5d6103 para que el administrador muestre información del proxy.

¿Debo evitar todos los tokens con función mint activa?

No automáticamente. Las monedas estables, los tokens de gobernanza y las recompensas de apuestas necesitan legítimamente ser acuñados. La pregunta es quién lo controla y si el diseño del proyecto justifica mantener activo ese poder.

¿Qué es un honeypot?

Un token que puedes comprar pero no vender. El bloqueo de ventas generalmente se implementa mediante tarifas de transferencia cercanas al 100%, una lista negra dirigida a los vendedores o un gancho de transferencia que se revierte. Las simulaciones de capacidad de venta captan la mayoría de estos.

¿La renuncia a la propiedad hace que un contrato sea seguro?

Elimina una clase de riesgo, pero no elimina los poderes, las tarifas inmutables ni las billeteras prefinanciadas. La renuncia es positiva pero aún falta leer el código que se ejecuta cuando nadie lo controla.

¿Cómo verifico si la liquidez está bloqueada?

En Etherscan o BscScan, abra la página del token LP y observe los principales poseedores. La liquidez bloqueada se encuentra en un contrato de casillero conocido como Unicrypt o Team.Finance. La liquidez quemada se encuentra en la dirección cero.

¿Por qué DEXTools muestra un panel de auditoría?

Para mostrar las comprobaciones de verificación más comunes sin salir del gráfico. Obtiene la verificación del contrato, la propiedad, la vendibilidad, los impuestos sobre las tarifas y el estado de bloqueo de liquidez para que los operadores puedan dimensionar las posiciones con esa información ya cargada.

¿Puedo confiar únicamente en los escáneres automatizados?

Para posiciones pequeñas y tokens conocidos, sí. Para nuevos lanzamientos y tamaño significativo, no. Los escáneres detectan plantillas y patrones obvios. Las estafas personalizadas que pasan por plantillas requieren una inspección humana de la fuente.

¿Cuál es el cheque más importante?

Fuente verificada más un patrón de propiedad limpio. Si faltan esos dos, nada más importa. Si ambos están presentes, el resto de las comprobaciones tienen que ver con valorar el riesgo residual en lugar de preguntar si es necesario participar o no.

CTA
Audite cualquier par en DEXTools
Abra cualquier par DEX, desplácese hasta el panel de auditoría y ejecute las comprobaciones de verificación de esta guía en menos de cinco minutos antes de realizar la evaluación.
Abra DEXTools
Lectura relacionada
Sigue desde aquí
Revocar aprobaciones de tokens: Tutorial de seguridad de billetera 2026
Protección MEV: Cómo utilizar MEVX para operaciones DEX más seguras
Lista de verificación de seguridad de la billetera: 10 pasos imprescindibles antes de guardarla
¿Qué es un contrato de poder en criptografía? Guía de contratos inteligentes actualizables 2026