Comment vérifier un contrat intelligent en chaîne : étape par étape 2026

— By Whatsertrade in Tutorials

Comment vérifier un contrat intelligent en chaîne : étape par étape 2026

Apprenez à vérifier un contrat intelligent sur Etherscan, BSCScan et Solscan étape par étape. Code source, détection de proxy, contrôle de propriété et d'audit pour 2026.

Liste de contrôle de sécurité : Avant d'échanger, d'approuver ou d'accéder à un nouveau jeton, vérifiez le contrat en chaîne. Ce guide parcourt Etherscan, BscScan et Solscan avec les vérifications exactes qui détectent les fonctions de menthe cachées, les pièges proxy et les signaux d'alarme de propriété. Si vous ne disposez que de cinq minutes, suivez les étapes de la section de procédure pas à pas.

Les contrats intelligents gèrent l'argent. Une signature de portefeuille est une instruction de style juridique transmise au code, donc la lecture de ce que fait ce code n'est pas facultative. La bonne nouvelle : les trois plus grands explorateurs exposent presque tout ce dont vous avez besoin, et le flux de travail se répète dans les chaînes une fois que vous avez appris le modèle.

CODE SOURCE PROCURATION PROPRIÉTÉ POT DE MIEL FONCTION MENTHE
Magnifying lens hovering over a translucent smart contract code block with green verified checkmark, cinematic editorial illustration.
Jetons d'arnaque
~70%
des nouveaux lancements signalent un risque
Perte moyenne de tapis
2,8 000 $
par portefeuille concerné
Vérifier l'heure
5 min
avec cette liste de contrôle
Réponse rapide
Vérifier un contrat intelligent signifie confirmer que le bytecode déployé correspond à la source publique Solidity sur l'explorateur, puis lire le code pour les pouvoirs de propriété, les fonctions de menthe, les frais et les proxys. Etherscan et BscScan partagent le même flux de travail ; Solscan utilise un modèle différent car les programmes Solana sont compilés en BPF.

Pourquoi la vérification du contrat est importante avant d'acheter

Un token sur un DEX n'est qu'une adresse contractuelle. Le ticker, le logo et le Telegram sont marketing. Le contrat est la seule source de vérité et il contrôle si vous pouvez vendre, quels frais s'appliquent, si de nouveaux approvisionnements peuvent être émis et quel portefeuille peut tout suspendre.

La vérification répond à deux questions. La procédure : le déployeur a-t-il publié la source qui se compile avec le bytecode déployé. La question éditoriale : le code publié est-il quelque chose que vous accepteriez. Vous avez besoin des deux. Un contrat peut être vérifié tout en étant malveillant de par sa conception.

Code source vérifié par Etherscan : ce que signifie réellement le chèque vert

Ouvrez Etherscan, collez l'adresse du contrat et cliquez sur l'onglet Contrat. Une coche verte à côté de Contract signifie qu'Etherscan a compilé le Solidity public et a confirmé que le bytecode correspond à celui déployé sur le réseau principal.

La vérification est nécessaire mais pas suffisante. Cela prouve seulement que le code que vous êtes sur le point de lire est le code qui s'exécute. Cela ne dit rien sur l’équité du code.

Règle générale
Si un contrat de token n'est pas vérifié sur Etherscan et que l'équipe a eu plus d'une semaine pour publier le code source, considérez cela comme une passe difficile pour tout ce qui va au-delà d'une petite position exploratoire.

Dans l'onglet Contrat, vous trouverez des sous-onglets pour Code, Lire le contrat et Rédiger le contrat. Le code montre la solidité. Lire les listes, afficher les fonctions interrogeables sans gaz. Écrivez des listes de fonctions de changement d'état que vous pouvez appeler via votre portefeuille. Ensemble, ils décrivent toute la superficie du contrat.

Source du contrat de lecture : fonctions constructeur, menthe, propriétaire et frais

Vous n'auditez pas ligne par ligne. Vous recherchez les cinq éléments qui déterminent si le jeton est équitable. Utilisez la recherche dans l’onglet Code pour ces mots-clés.

Contrôle 1
Pouvoirs de menthe et de brûlure
Recherchez mint, _mint, mintTo ou burnFrom. Si ceux-ci existent et sont gardés uniquement par un rôle de propriétaire, l’offre peut exploser à tout moment. Recherchez un jeton final non monnayable où ces fonctions sont absentes ou définitivement désactivées.
Contrôle 2
Rôles de propriétaire et d'administrateur
Recherchez Ownable, onlyOwner, AccessControl, hasRole ou DEFAULT_ADMIN_ROLE. Mappez chaque fonction puissante sur le portefeuille qui la contrôle. Vérifiez ensuite ce portefeuille en chaîne pour voir s'il s'agit d'un multisig, d'un EOA ou d'un renoncement.
Contrôle 3
Frais et limites de transfert
Recherchez les frais, les taxes, maxTx, maxWallet ou transferFee. Un token avec des frais ajustables peut être poussé à 99% par le propriétaire. Un maxTx plus serré que la taille d'achat typique agit comme un pot de miel souple.
Contrôle 4
Listes noires et pauses
Recherchez la liste noire, isBlocked, pause ou en pause. Ceux-ci permettent au propriétaire de geler des portefeuilles spécifiques ou l'intégralité du jeton. Certaines pièces stables légitimes l’utilisent. Les jetons mèmes aléatoires n’en ont généralement pas besoin.
Contrôle 5
Ensemencement des constructeurs
Lisez le constructeur en haut du fichier. Il définit l'offre initiale et le portefeuille qui la reçoit. Un constructeur qui envoie 100 % de l'approvisionnement à une seule adresse est un avertissement de concentration même si le reste du code semble propre.

Détection des contrats proxy et des emplacements de stockage EIP-1967

De nombreux jetons modernes sont des contrats par procuration. L'adresse avec laquelle vous interagissez délègue les appels à une implémentation distincte qu'un administrateur peut échanger. Il n’est pas garanti que la logique que vous lisez aujourd’hui sera celle de demain.

Etherscan le signale directement. Dans l'onglet Contrat, recherchez une bannière indiquant Ce contrat est un proxy. Etherscan lit l'emplacement de stockage EIP-1967 à 0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc pour trouver l'adresse d'implémentation.

Pourquoi c'est important
Un proxy peut être mis à niveau. Si la clé de mise à niveau se trouve sur un seul portefeuille chaud, le propriétaire peut remplacer l'intégralité de la logique du jeton par un code malveillant une fois la liquidité ajoutée. Vérifiez toujours qui contrôle l’emplacement d’administrateur proxy.

Lorsque vous voyez un proxy, effectuez deux choses supplémentaires. Lisez la source du contrat de mise en œuvre plutôt que le proxy lui-même, car le proxy est principalement une logique déléguée. Vérifiez ensuite l'emplacement d'administration sur 0xb53127684a568b3173ae13b9f8a6016e243e63b6e8ee1178d6a717850b5d6103 pour identifier le portefeuille de mise à niveau. L’administrateur renoncé ou sans adresse est le plus sûr. Le multisig est acceptable. Un nouvel EOA est un drapeau jaune.

Notre guide des contrats de procuration couvre en profondeur les proxys transparents et UUPS.

Workflow BscScan : surface similaire, environnement plus occupé

BscScan reflète Etherscan car les deux sont construits par la même équipe. L'onglet Contrat, les sous-onglets Lecture et Écriture, la coche verte et le détecteur proxy se comportent tous de la même manière. La chaîne est différente ; le workflow de vérification est identique.

Ce qui change sur BNB Chain, c'est la vitesse de l'environnement. Les inscriptions sont plus rapides, les jetons de copie sont plus courants et les contrats à faible effort sont plus élevés. Attendez-vous à abandonner plus de contrôles BscScan que de contrôles Etherscan. Le bar est le même. Le taux de réussite est différent.

ÉtapeEtherscanBscScan
Rechercher l'adresseetherscan.iobscscan.com
Drapeau vérifiéCoche verte sur l'onglet ContratCoche verte sur l'onglet Contrat
Détection de proxyBannière EIP-1967Bannière EIP-1967
Fonctions de lectureLire l'onglet ContratLire l'onglet Contrat
Concentration du titulaireVue des 100 meilleurs détenteursVue des 100 meilleurs détenteurs

Si vous utilisez déjà Etherscan en toute confiance, BscScan est le même playbook. Notre Tutoriel BscScan couvre les spécificités de la chaîne BNB, y compris les bizarreries du BEP-20 et les pièges à copieurs les plus courants.

Vérification des contrats Solscan et Solana : un paradigme différent

Solana n'utilise pas Solidity et ne stocke pas l'état du compte dans un contrat. Les programmes se compilent selon le bytecode BPF et les soldes des utilisateurs résident dans des comptes de jetons appartenant au programme de jetons SPL. Cela change ce que signifie la vérification sur Solscan.

Vous ne pouvez pas lire la source Solidity car il n'y en a pas. Au lieu de cela, vous vérifiez trois choses : le programme est-il évolutif et qui contrôle les mises à niveau, quelle est l'autorité de création sur le compte de jeton et une autorité de gel existe-t-elle toujours.

Autorité de la Monnaie
Doit être nul après le lancement. S’il pointe toujours vers un portefeuille, l’offre peut augmenter.
Autorité de gel
Doit être nul. S'il est défini, le solde de tout détenteur peut être gelé par ce portefeuille.
Autorité de mise à jour
Les métadonnées peuvent être réécrites par ce portefeuille. Le renoncé est l'état sûr.
Meilleurs détenteurs
Pools LP à prix réduit et portefeuilles CEX. Ce qui reste, c'est votre véritable distribution.

Solscan expose les quatre sur la page des jetons. Une valeur nulle dans les champs d'autorité et une distribution saine signifient que le jeton est structurellement plus sûr. Toute autorité encore active sur un memecoin sans justification est une question qui mérite d'être répondue avant de prendre une décision.

Drapeaux rouges courants : menthe cachée, listes noires et frais de transfert

La plupart des tapis ne nécessitent pas de nouveaux exploits. Ils réutilisent les mêmes motifs. Les reconnaître sur l'explorateur constitue l'essentiel de la défense.

Drapeau rougeOù chercherCe qu'il permet au propriétaire de faire
Menthe cachéeOnglet Code, recherche mint ou _mintImprimez plus d'approvisionnement et de vidage sur les supports
Frais modulablesÉcrire un contrat, fonctions setFeeAugmenter les frais de vente à 99 % pour que personne ne puisse sortir
Liste noireRédiger un contrat, une liste noire ou setBlockedGeler le transfert de portefeuilles spécifiques
Administrateur proxy actifBannière proxy EtherscanRemplacer la logique du contrat après l'ajout de liquidités
LP à propriétaire uniquePage des détenteurs de jetons LPExtrayez des liquidités en une seule transaction
Autorité de menthe active sur SolanaSection Autorités SolscanCréez de nouveaux jetons à tout moment

Un seul drapeau rouge n'est pas toujours disqualifiant. Une combinaison l’est généralement. Une menthe active plus des frais réglables et un nouveau propriétaire EOA est la configuration classique du pot de miel.

Outils qui automatisent les contrôles : TokenSniffer, GoPlus, audit DEXTools

La lecture manuelle de l'explorateur est la référence. Les outils automatisés constituent un filtre rapide qui signale les problèmes évidents avant que vous ne consacriez du temps à un contrat.

Renifleur de jetons
Exécute une analyse statique sur la source et donne un score de 0 à 100. Idéal pour détecter les jetons d'arnaque basés sur des modèles qui copient des modèles malveillants connus. Voir notre Guide TokenSniffer pour savoir comment lire correctement la partition.
GoPlus
Scanner de risques basé sur une API utilisé par de nombreux portefeuilles et agrégateurs. Signale les pots de miel, les fonctions de liste noire, la pause de transfert et l'autorité de création sur plusieurs chaînes.
RugCheck
Axé sur Solana, surfaces menthe et statut d'autorité de gel plus concentration LP. Associez-le à notre Tutoriel RugCheck pour le trading de memecoins.
Audit DEXTools
Intégré directement dans la page de paire. Affiche l'état de vérification, la propriété, la simulation de vendabilité et l'état de verrouillage des liquidités sans quitter le graphique.

Flux de travail le plus rapide : commencez par l'audit DEXTools sur la paire, passez à l'explorateur si quelque chose est jaune, vérifiez par recoupement avec TokenSniffer ou RugCheck. Trois signaux provenant de trois sources suffisent pour agir.

Procédure pas à pas : vérifier un token en cinq minutes

Séquence exacte avant tout échange de nouveau jeton.

Minute 1
Confirmez l'adresse du contrat
Obtenez l'adresse de la source officielle, collez-la dans l'explorateur, confirmez qu'elle correspond à ce que DEXTools affiche sur la page de paire. Les disparités mettent fin au processus ici.
Minute 2
Vérifier la vérification et l'état du proxy
Recherchez la coche verte sur Etherscan, BscScan ou le panneau Autorités sur Solscan. S'il s'agit d'un proxy, notez l'adresse d'implémentation et le portefeuille administrateur.
Minute 3
Recherchez dans la source cinq mots-clés
menthe, frais, liste noire, pause et uniquement propriétaire. Notez qui contrôle chacun. En cas de renonciation au propriétaire, la plupart de ces réclamations sont sans objet.
Minute 4
Exécuter un audit automatisé
Ouvrez le panneau d'audit DEXTools sur la paire plus une deuxième source comme GoPlus, TokenSniffer ou RugCheck. Deux signaux clairs en battent un.
Minute 5
Inspecter les détenteurs et la liquidité
Vérifiez la concentration des principaux détenteurs, la répartition des détenteurs de jetons LP et si la liquidité est verrouillée ou brûlée. Une concentration supérieure à 20 % dans un portefeuille non LP constitue un risque important.

Si chaque étape réussit, vous n'avez pas prouvé que le jeton est sûr ; vous avez prouvé qu'il n'est manifestement pas truqué, ce qui est une barre plus haute que celle que la plupart des traders franchissent avant de cliquer sur swap. Associez-le à notre Liste de contrôle de sécurité du portefeuille pour supprimer la plupart des vecteurs de perte.

Après l'échange : révoquer les approbations et surveiller les mises à niveau

La vérification à l'entrée représente la moitié du travail. Après avoir négocié, vous laissez généralement une approbation symbolique derrière vous. Cette approbation constitue une autorisation permanente pour le contrat de dépenser ce jeton, et si le contrat est ultérieurement mis à niveau avec une logique malveillante, les fonds peuvent être drainés sans nouvelle signature.

L'hygiène d'approbation fait partie du flux de travail. Notre Tutoriel sur la révocation des approbations de jetons couvre les outils et la cadence. Associer avec Protection MEV pour le dimensionnement des jetons volatils.

FAQ

Que prouve réellement un contrat vérifié sur Etherscan ?

La vérification prouve que le bytecode déployé correspond à la source Solidity publiée par le déployeur. Cela ne prouve pas que le code est équitable, sûr ou aligné avec le marketing du projet. Il faut quand même lire la source pour les fonctions à risque.

Un contrat vérifié peut-il encore être une arnaque ?

Oui, facilement. De nombreux pots de miel sont vérifiés parce que le déployeur souhaite obtenir le contrôle vert de crédibilité. Le comportement malveillant est écrit de manière transparente dans des fonctions telles que setFee ou pauseTransfers et contrôlé par le propriétaire.

Qu'est-ce qu'un contrat de procuration et pourquoi est-il important ?

Un proxy délègue les appels à un contrat de mise en œuvre distinct qu'un administrateur peut échanger. Si l'administrateur est un seul portefeuille, toute la logique du jeton peut être remplacée après le lancement. Vérifiez toujours l’emplacement d’administrateur et préférez les administrateurs multisig ou renoncés.

En quoi Solscan est-il différent d'Etherscan ?

Les programmes Solana sont compilés en BPF plutôt qu'en Solidity, il n'y a donc pas de code source à lire directement. Solscan se concentre sur le statut d'autorité, la distribution des détenteurs et l'évolutivité du programme au lieu de la vérification de la source.

Que sont les emplacements de stockage EIP-1967 ?

Ce sont des adresses d'emplacement standardisées où les proxys stockent les pointeurs d'implémentation et d'administration. Etherscan lit l'emplacement 0x36089...d382bbc pour l'implémentation et 0xb53127...0b5d6103 pour que l'administrateur affiche les informations du proxy.

Dois-je éviter tous les jetons avec une fonction de menthe active ?

Pas automatiquement. Les Stablecoins, les jetons de gouvernance et les récompenses de mise ont légitimement besoin de menthe. La question est de savoir qui le contrôle et si la conception du projet justifie le maintien de ce pouvoir actif.

Qu'est-ce qu'un pot de miel ?

Un jeton que vous pouvez acheter mais que vous ne pouvez pas vendre. Le blocage de la vente est généralement mis en œuvre via des frais de transfert fixés à près de 100 %, une liste noire qui cible les vendeurs ou un crochet de transfert qui revient. Les simulations de vendabilité en capturent la plupart.

La renonciation à la propriété sécurise-t-elle un contrat ?

Il supprime une classe de risque mais n'élimine pas les proxys, les frais immuables ou les portefeuilles préfinancés. Le renoncement est positif mais il faut quand même lire le code qui s'exécute lorsque personne ne le contrôle.

Comment vérifier si la liquidité est bloquée ?

Sur Etherscan ou BscScan, ouvrez la page des jetons LP et regardez les principaux détenteurs. La liquidité verrouillée se trouve dans un contrat de casier connu tel que Unicrypt ou Team.Finance. La liquidité brûlée se trouve à l’adresse zéro.

Pourquoi DEXTools affiche-t-il un panneau d'audit ?

Pour faire apparaître les contrôles de vérification les plus courants sans quitter le graphique. Il extrait la vérification du contrat, la propriété, la vendabilité, les frais, les taxes et le statut de verrouillage de liquidité afin que les traders puissent dimensionner les positions avec ces informations déjà chargées.

Puis-je faire confiance uniquement aux scanners automatisés ?

Pour les petites positions et les tokens connus, oui. Pour de nouveaux lancements et une taille significative, non. Les scanners détectent les modèles et les modèles évidents. Les escroqueries personnalisées qui transmettent des modèles nécessitent une inspection humaine de la source.

Quel est le contrôle le plus important ?

Source vérifiée et modèle de propriété propre. Si ces deux-là manquent, rien d'autre n'a d'importance. Si les deux sont présents, le reste des contrôles consiste à évaluer le risque résiduel plutôt que de se demander s’il faut ou non s’engager.

CTA
Auditez n'importe quelle paire sur DEXTools
Ouvrez n'importe quelle paire DEX, faites défiler jusqu'au panneau d'audit et exécutez les contrôles de vérification de ce guide en moins de cinq minutes avant de dimensionner.
Ouvrez DEXTools
Lecture connexe
Continuez à partir d'ici
Révoquer les approbations de jetons : tutoriel sur la sécurité du portefeuille 2026
Protection MEV : comment utiliser MEVX pour des transactions DEX plus sûres
Liste de contrôle de sécurité du portefeuille : 10 étapes incontournables avant de conserver
Qu'est-ce qu'un contrat de proxy en crypto ? Guide des contrats intelligents évolutifs 2026