オンチェーンでスマート コントラクトを検証する方法: ステップバイステップ 2026

セキュリティチェックリスト: 新しいトークンを交換、承認、またはブリッジする前に、オンチェーンのコントラクトを確認してください。このガイドでは、Etherscan、BscScan、および Solscan について、隠されたミント関数、プロキシ トラップ、および所有権に関するレッド フラグを検出する正確なチェックを使用して説明します。 5 分しかない場合は、ウォークスルー セクションの手順に従ってください。

スマートコントラクトがお金を動かします。ウォレットの署名はコードに渡される法的な形式の命令であるため、そのコードの動作を読み取ることはオプションではありません。良いニュースです。3 つの最大のエクスプローラーは必要なものをほぼすべて公開しており、パターンを学習すると、ワークフローはチェーン間で繰り返されます。

購入前に契約の確認が重要な理由

DEX 上のトークンは単なるコントラクトアドレスです。ティッカー、ロゴ、電報はマーケティングです。契約は唯一の真実の情報源であり、販売できるかどうか、適用される手数料、新規供給が可能かどうか、どのウォレットがすべてを一時停止できるかなどを制御します。

検証では 2 つの質問に答えます。手順的なもの: デプロイヤーは、デプロイされたバイトコードにコンパイルするソースを公開しました。編集上のもの: 公開されたコードはあなたが同意するものですか。両方必要です。契約は検証されても、設計上悪意のあるものである可能性があります。

Etherscan 検証済みソース コード: 緑色のチェックの本当の意味

Etherscan を開き、契約アドレスを貼り付けて、[契約] タブをクリックします。 Contract の横にある緑色のチェックは、Etherscan がパブリック Solidity をコンパイルし、バイトコードがメインネットにデプロイされているものと一致することを確認したことを意味します。

検証は必要ですが、十分ではありません。これは、これから読もうとしているコードが実行されるコードであることを証明するだけです。コードが公平かどうかについては何も語られていません。

[契約] タブ内には、コード、契約の読み取り、契約の書き込みのサブタブがあります。コードはSolidityを示しています。ガスなしでクエリ可能なリスト表示関数を読み取ります。ウォレットを通じて呼び出すことができる状態を変更する関数のリストを作成します。これらを合わせて、契約の表面積全体を記述します。

コントラクトソースの読み取り: コンストラクター、ミント、オーナー、料金関数

行ごとに監査していません。トークンが公平かどうかを決定する 5 つの要素をざっとチェックしていることになります。これらのキーワードについては、「コード」タブ内の検索を使用してください。

プロキシ契約と EIP-1967 ストレージ スロットの検出

最近のトークンの多くは代理契約です。デリゲートと対話するアドレスは、管理者が交換できる別の実装を呼び出します。今日読んだロジックが、明日実行されるロジックであるとは限りません。

Etherscan はこれに直接フラグを立てます。 [契約] タブで、「この契約はプロキシです」というバナーを探します。 Etherscan は、次の EIP-1967 ストレージ スロットを読み取ります。 0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc を使用して実装アドレスを見つけます。

プロキシが表示されたら、さらに 2 つのことを実行します。プロキシはほとんどがデリゲート ロジックであるため、プロキシ自体ではなく実装コントラクト ソースを読んでください。次に、管理者スロットを確認します。 0xb53127684a568b3173ae13b9f8a6016e243e63b6e8ee1178d6a717850b5d6103 アップグレードウォレットを識別します。放棄された管理者またはアドレスがゼロの管理者が最も安全です。マルチシグは許容されます。新しい EOA は黄色信号です。

代理契約のご案内 では、透過プロキシと UUPS プロキシについて詳しく説明します。

BscScan ワークフロー: 同様のサーフェス、忙しい環境

BscScan は Etherscan をミラーリングしています。これは、どちらも同じチームによって構築されているためです。 [コントラクト] タブ、[読み取り] および [書き込み] サブタブ、緑色のチェック、およびプロキシ検出機能はすべて同じように動作します。チェーンは異なります。検証ワークフローは同じです。

BNB Chainで変わるのは環境速度です。上場はより速く、コピーキャットトークンはより一般的であり、労力の少ない契約はより高価です。 Etherscan チェックよりも多くの BscScan チェックが不要になることが予想されます。バーも同じです。命中率が違います。

すでに Etherscan を自信を持って使用している場合は、BscScan も同じ Playbook です。私たちの BscScan チュートリアル では、BEP-20 の癖や最も一般的なコピーキャット トラップを含む BNB チェーンの詳細について説明します。

Solscan と Solana の契約検証: 異なるパラダイム

Solana は Solidity を使用せず、コントラクト内にアカウントの状態を保存しません。プログラムは BPF バイトコードにコンパイルされ、ユーザー残高は SPL トークン プログラムが所有するトークン アカウントに保存されます。これにより、Solscan での検証の意味が変わります。

Solidity ソースがないため読み取れません。代わりに、プログラムはアップグレード可能か、誰がアップグレードを管理するか、トークン アカウントのミント権限は何か、凍結権限はまだ存在するかという 3 つのことを確認します。

Solscan はトークン ページで 4 つすべてを公開します。権限フィールド全体に Null があり、健全に分散されている場合は、トークンが構造的に安全であることを意味します。正当な理由なくミームコインに関して依然として活動を行っている当局が存在するかどうかは、サイズを決める前に答える価値のある質問です。

よくある危険信号: 隠れミント、ブラックリスト、送金手数料

ほとんどのラグには新しいエクスプロイトは必要ありません。同じパターンを再利用します。エクスプローラー上でそれらを認識することが防御のほとんどです。

1 回の赤旗が常に失格になるわけではありません。組み合わせは通常そうです。アクティブ ミントと調整可能な料金、そして新しい EOA オーナーが古典的なハニーポット セットアップです。

チェックを自動化するツール: TokenSniffer、GoPlus、DEXTools 監査

手動エクスプローラー読み取りがゴールドスタンダードです。自動ツールは、契約に時間を費やす前に明らかな問題にフラグを立てる高速フィルターです。

最速のワークフロー: ペアの DEXTools 監査から開始し、黄色のものがあればエクスプローラーにエスカレーションし、TokenSniffer または RugCheck でクロスチェックします。動作するには、3 つのソースからの 3 つの信号で十分です。

ステップバイステップのチュートリアル: 5 分でトークンを検証する

新しいトークン交換前の正確なシーケンス。

すべてのステップに合格した場合、トークンが安全であることは証明されていません。明らかに不正操作されていないことが証明されましたが、これはほとんどのトレーダーがスワップをクリックする前にクリアするハードルよりも高いです。これを私たちのものと組み合わせてください ウォレットのセキュリティチェックリスト ほとんどの損失ベクトルを削除します。

取引後: 承認を取り消し、アップグレードを監視します

入国時の認証は仕事の半分です。通常、取引後はトークンの承認を残します。その承認は、そのトークンを使用する契約に対する永続的な許可となり、後で契約が悪意のあるロジックでアップグレードされた場合、新しい署名なしで資金が流出する可能性があります。

承認の衛生管理はワークフローの一部です。私たちの トークンの承認を取り消すチュートリアル ではツールとリズムについて説明します。とペアリングする MEV 保護 揮発性トークンのサイジング用。

よくある質問