Como verificar um contrato inteligente onchain: passo a passo 2026

May 28, 2026 — By Whatsertrade in Tutorials

Aprenda como verificar um contrato inteligente no Etherscan, BSCScan e Solscan passo a passo. Código-fonte, detecção de proxy, propriedade e verificações de auditoria para 2026.

Lista de verificação de segurança: Antes de trocar, aprovar ou fazer ponte para qualquer novo token, verifique o contrato na cadeia. Este guia percorre Etherscan, BscScan e Solscan com as verificações exatas que detectam funções ocultas do mint, armadilhas de proxy e sinais de alerta de propriedade. Se você tiver apenas cinco minutos, siga as etapas da seção passo a passo.

Os contratos inteligentes controlam o dinheiro. Uma assinatura de carteira é uma instrução de estilo legal transmitida ao código, portanto, ler o que esse código faz não é opcional. A boa notícia: os três maiores exploradores expõem quase tudo que você precisa, e o fluxo de trabalho se repete entre as cadeias assim que você aprende o padrão.

CÓDIGO FONTE PROXY PROPRIEDADE POTE DE MEL FUNÇÃO MENTA

Magnifying lens hovering over a translucent smart contract code block with green verified checkmark, cinematic editorial illustration.

Tokens fraudulentos

~70%

de novos lançamentos sinaliza risco

Média de perda de tapete

$ 2,8 mil

por carteira afetada

Verifique a hora

5 minutos

com esta lista de verificação

Resposta rápida

Verificar um contrato inteligente significa confirmar se o bytecode implantado corresponde à fonte pública do Solidity no explorador e, em seguida, ler o código para obter poderes de propriedade, funções mint, taxas e proxies. Etherscan e BscScan compartilham o mesmo fluxo de trabalho; Solscan usa um modelo diferente porque os programas Solana são compilados em BPF.

Por que a verificação do contrato é importante antes de comprar

Um token em uma DEX é apenas um endereço de contrato. O ticker, o logotipo e o Telegram são de marketing. O contrato é a única fonte da verdade e controla se você pode vender, quais taxas são aplicadas, se novos suprimentos podem ser cunhados e qual carteira pode pausar tudo.

A verificação responde a duas perguntas. O processual: o implantador publicou a fonte que compila para o bytecode implantado. O editorial: o código publicado é algo com o qual você concordaria. Você precisa de ambos. Um contrato pode ser verificado e ainda assim ser malicioso por natureza.

Código-fonte verificado pelo Etherscan: o que o cheque verde realmente significa

Abra o Etherscan, cole o endereço do contrato e clique na aba Contrato. Uma marca verde ao lado de Contrato significa que o Etherscan compilou o Solidity público e confirmou que o bytecode corresponde ao que está implantado na rede principal.

A verificação é necessária, mas não suficiente. Isso apenas prova que o código que você está prestes a ler é o código executado. Não diz nada sobre se o código é justo.

Regra prática

Se um contrato de token não for verificado no Etherscan e a equipe tiver tido mais de uma semana para publicar o código-fonte, trate isso como uma passagem difícil para qualquer coisa além de uma pequena posição exploratória.

Dentro da aba Contrato você encontrará sub-abas para Código, Ler Contrato e Escrever Contrato. O código mostra a Solidez. Listas de leitura visualizam funções consultáveis sem gás. Escreva listas de funções de mudança de estado que você pode chamar através de sua carteira. Juntos, eles descrevem toda a superfície do contrato.

Leitura da fonte do contrato: funções de construtor, casa da moeda, proprietário e taxa

Você não está auditando linha por linha. Você está procurando as cinco coisas que decidem se o token é justo. Use a pesquisa dentro da guia Código para essas palavras-chave.

Verificação 1

Poderes de hortelã e queima

Pesquise mint, _mint, mintTo ou burnFrom. Se estes existirem e forem guardados apenas por uma função de proprietário, a oferta pode aumentar a qualquer momento. Procure um token final não mintável onde essas funções estejam ausentes ou permanentemente desativadas.

Verificação 2

Funções de proprietário e administrador

Pesquise Ownable, onlyOwner, AccessControl, hasRole ou DEFAULT_ADMIN_ROLE. Mapeie cada função poderosa de volta à carteira que a controla. Em seguida, verifique a carteira onchain para ver se é multisig, EOA ou renunciada.

Verificação 3

Taxas e limites de transferência

Pesquise taxa, imposto, maxTx, maxWallet ou transferFee. Um token com taxas ajustáveis pode ser aumentado para 99% pelo proprietário. Um maxTx mais restrito do que o tamanho típico de compra atua como um honeypot suave.

Verificação 4

Listas negras e pausas

Pesquise lista negra, isBlocked, pause ou paused. Isso permite que o proprietário congele carteiras específicas ou todo o token. Algumas stablecoins legítimas usam isso. Os tokens de meme aleatórios geralmente não precisam disso.

Verificação 5

Sementeira de construtor

Leia o construtor no topo do arquivo. Define o fornecimento inicial e a carteira que o recebe. Um construtor que envia 100% do fornecimento para um endereço é um aviso de concentração, mesmo que o restante do código pareça limpo.

Detectando contratos de proxy e slots de armazenamento EIP-1967

Muitos tokens modernos são contratos de procuração. O endereço com o qual você interage delega chamadas para uma implementação separada que um administrador pode trocar. Não há garantia de que a lógica que você lê hoje será a lógica que será executada amanhã.

Etherscan sinaliza isso diretamente. Na aba Contrato procure um banner dizendo Este contrato é uma procuração. O Etherscan lê o slot de armazenamento EIP-1967 em 0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc para encontrar o endereço de implementação.

Por que isso é importante

Um proxy pode ser atualizado. Se a chave de atualização estiver em uma única carteira ativa, o proprietário poderá substituir toda a lógica do token por código malicioso após a adição de liquidez. Sempre verifique quem controla o slot de administração do proxy.

Ao ver um proxy, faça duas coisas extras. Leia a fonte do contrato de implementação em vez do proxy em si, já que o proxy é principalmente uma lógica de delegação. Em seguida, verifique o slot de administrador em 0xb53127684a568b3173ae13b9f8a6016e243e63b6e8ee1178d6a717850b5d6103 para identificar a carteira de atualização. Administrador renunciado ou com endereço zero é o mais seguro. Multisig é aceitável. Uma nova EOA é uma bandeira amarela.

Nosso guia de contrato de procuração cobre em profundidade proxies transparentes versus UUPS.

Fluxo de trabalho BscScan: superfície semelhante, ambiente mais movimentado

BscScan espelha o Etherscan porque ambos são construídos pela mesma equipe. A guia Contrato, as subguias Ler e Gravar, a verificação verde e o detector de proxy se comportam da mesma maneira. A cadeia é diferente; o fluxo de trabalho de verificação é idêntico.

O que muda na Rede BNB é a velocidade do ambiente. As listagens são mais rápidas, os tokens copy-cat são mais comuns e os contratos de baixo esforço são mais elevados. Espere evitar mais verificações BscScan do que verificações Etherscan. A barra é a mesma. A taxa de acerto é diferente.

Etapa	Eterscan	BscScan
Pesquisar endereço	etherscan.io	bscscan.com
Bandeira verificada	Marca verde na aba Contrato	Marca verde na aba Contrato
Detecção de proxy	Bandeira EIP-1967	Bandeira EIP-1967
Funções de leitura	Ler aba Contrato	Ler aba Contrato
Concentração de titulares	Visualização dos 100 principais detentores	Visualização dos 100 principais detentores

Se você já usa o Etherscan com confiança, o BscScan é o mesmo manual. Nosso Tutorial BscScan cobre os detalhes da cadeia BNB, incluindo peculiaridades do BEP-20 e as armadilhas mais comuns para imitadores.

Verificação de contrato Solscan e Solana: um paradigma diferente

Solana não usa Solidity e não armazena o estado da conta dentro de um contrato. Os programas são compilados em bytecode BPF e os saldos dos usuários residem em contas de token de propriedade do Programa SPL Token. Isso muda o que significa verificação no Solscan.

Você não pode ler a fonte do Solidity porque não há nenhuma. Em vez disso, você verifica três coisas: o programa pode ser atualizado e quem controla as atualizações, qual é a autoridade mint na conta do token e se ainda existe uma autoridade de congelamento.

Autoridade da Casa da Moeda

Deve ser nulo após o lançamento. Se ainda apontar para uma carteira, a oferta pode crescer.

Congelar autoridade

Deve ser nulo. Se definido, qualquer saldo do titular poderá ser congelado por essa carteira.

Autoridade de atualização

Os metadados podem ser reescritos por esta carteira. Renunciado é o estado seguro.

Principais titulares

Desconto em pools de LP e carteiras CEX. O que resta é a sua distribuição real.

Solscan expõe todos os quatro na página do token. Nulo nos campos de autoridade mais distribuição saudável significa que o token é estruturalmente mais seguro. Qualquer autoridade ainda ativa em um memecoin sem justificativa é uma questão que vale a pena responder antes de avaliar.

Sinais de alerta comuns: moeda oculta, listas negras e taxas de transferência

A maioria dos tapetes não requer novas explorações. Eles reutilizam os mesmos padrões. Reconhecê-los no explorador é a maior parte da defesa.

Bandeira vermelha	Onde procurar	O que permite ao proprietário fazer
Hortelã escondida	Guia Código, pesquise mint ou _mint	Imprima mais suprimentos e despeje nos suportes
Taxas ajustáveis	Escrever contrato, funções setFee	Aumente a taxa de venda para 99% para que ninguém possa sair
Lista negra	Escrever contrato, lista negra ou setBlocked	Congelar carteiras específicas para transferência
Administrador de proxy ativo	Banner de proxy Etherscan	Substituir lógica de contrato após aumento de liquidez
LP de proprietário único	Página dos detentores de tokens LP	Extraia liquidez em uma transação
Autoridade mint ativa em Solana	Seção Autoridades Solscan	Crie novos tokens a qualquer momento

Uma única bandeira vermelha nem sempre é desqualificante. Geralmente é uma combinação. Mint ativo mais taxas ajustáveis mais um novo proprietário EOA é a configuração clássica do honeypot.

Ferramentas que automatizam as verificações: TokenSniffer, GoPlus, auditoria DEXTools

A leitura manual do explorador é o padrão ouro. Ferramentas automatizadas são o filtro rápido que sinaliza problemas óbvios antes de você dedicar tempo a um contrato.

TokenSniffer

Executa uma análise estática na fonte e fornece uma pontuação de 0 a 100. Melhor para capturar tokens de golpes modelados que copiam padrões maliciosos conhecidos. Veja nosso Guia TokenSniffer para saber como ler a partitura corretamente.

Go Plus

Scanner de risco baseado em API usado por muitas carteiras e agregadores. Sinaliza honeypots, funções de lista negra, pausa de transferência e autoridade mint em múltiplas cadeias.

Verificação de tapete

Focado em Solana, superfícies com status de autoridade de hortelã e congelamento, além de concentração de LP. Combine-o com o nosso Tutorial RugCheck para negociação de memecoin.

Auditoria DEXTools

Incorporado diretamente na página do par. Mostra status de verificação, propriedade, simulação de venda e status de bloqueio de liquidez sem sair do gráfico.

Fluxo de trabalho mais rápido: comece com a auditoria do DEXTools no par, passe para o explorador se algo estiver amarelo, verifique com TokenSniffer ou RugCheck. Três sinais de três fontes são suficientes para agir.

Passo a passo: verificando um token em cinco minutos

Sequência exata antes de qualquer troca de novo token.

Minuto 1

Confirme o endereço do contrato

Obtenha o endereço da fonte oficial, cole no explorer, confirme se corresponde ao que o DEXTools mostra na página do par. As incompatibilidades encerram o processo aqui.

Minuto 2

Verifique a verificação e o status do proxy

Procure a marca verde no Etherscan, BscScan ou no painel Autoridades no Solscan. Se for proxy, anote o endereço de implementação e a carteira do administrador.

Minuto 3

Pesquise na fonte cinco palavras-chave

mint, taxa, lista negra, pausa e único proprietário. Observe quem controla cada um. Se o proprietário for renunciado, a maioria deles será discutível.

Minuto 4

Execute uma auditoria automatizada

Abra o painel de auditoria DEXTools no par mais uma segunda fonte como GoPlus, TokenSniffer ou RugCheck. Dois sinais limpos são melhores que um.

Minuto 5

Inspecionar titulares e liquidez

Verifique a concentração dos principais detentores, a distribuição dos detentores de tokens LP e se a liquidez está bloqueada ou queimada. A concentração acima de 20% em uma carteira que não seja LP é um risco significativo.

Se todas as etapas forem aprovadas, você não provou que o token é seguro; você provou que não é obviamente manipulado, o que é uma barreira mais alta do que a maioria dos traders consegue superar antes de clicar em trocar. Combine isso com nosso lista de verificação de segurança da carteira para remover a maioria dos vetores de perda.

Após a negociação: revogar aprovações e ficar atento a atualizações

A verificação na entrada é metade do trabalho. Depois de negociar, você geralmente deixa um token de aprovação. Essa aprovação é uma permissão permanente para o contrato gastar esse token e, se o contrato for posteriormente atualizado com lógica maliciosa, os fundos poderão ser drenados sem uma nova assinatura.

A higienização da aprovação faz parte do fluxo de trabalho. Nosso Tutorial de revogação de aprovações de token cobre ferramentas e cadência. Emparelhar com Proteção MEV para dimensionamento de token volátil.

Perguntas frequentes

O que um contrato verificado no Etherscan realmente prova?

A verificação prova que o bytecode implantado corresponde à fonte do Solidity que o implantador publicou. Não prova que o código é justo, seguro ou alinhado com o marketing do projeto. Você ainda precisa ler a fonte para funções arriscadas.

Um contrato verificado ainda pode ser uma farsa?

Sim, facilmente. Muitos honeypots são verificados porque o implementador deseja o cheque verde para credibilidade. O comportamento malicioso é gravado de forma transparente em funções como setFee ou pauseTransfers e controlado pelo proprietário.

O que é um contrato de procuração e por que isso é importante?

Um proxy delega chamadas para um contrato de implementação separado que um administrador pode trocar. Se o administrador for uma única carteira, toda a lógica do token poderá ser substituída após o lançamento. Sempre verifique o slot de administrador e prefira administradores multisig ou renunciados.

Qual a diferença entre o Solscan e o Etherscan?

Os programas Solana são compilados em BPF em vez de Solidity, portanto não há código-fonte para ler diretamente. Solscan concentra-se no status de autoridade, na distribuição do titular e na capacidade de atualização do programa, em vez da verificação da fonte.

O que são slots de armazenamento EIP-1967?

São endereços de slots padronizados onde os proxies armazenam os ponteiros de implementação e administração. Etherscan lê o slot 0x36089...d382bbc para a implementação e 0xb53127...0b5d6103 para o administrador exibir informações de proxy.

Devo evitar todos os tokens com função mint ativa?

Não automaticamente. Stablecoins, tokens de governança e recompensas de apostas precisam legitimamente de cunhagem. A questão é quem o controla e se a concepção do projecto justifica manter esse poder activo.

O que é um honeypot?

Um token que você pode comprar, mas não pode vender. O bloqueio à venda geralmente é implementado por meio de taxas de transferência definidas perto de 100%, uma lista negra que visa os vendedores ou um gancho de transferência que reverte. Simulações de capacidade de venda capturam a maioria deles.

A renúncia à propriedade torna um contrato seguro?

Remove uma classe de risco, mas não elimina proxies, taxas imutáveis ou carteiras pré-financiadas. A renúncia é positiva, mas você ainda precisa ler o código que roda quando ninguém o controla.

Como posso verificar se a liquidez está bloqueada?

No Etherscan ou BscScan, abra a página do token LP e veja os principais detentores. A liquidez bloqueada está em um contrato de bloqueio conhecido, como Unicrypt ou Team.Finance. A liquidez queimada fica no endereço zero.

Por que o DEXTools mostra um painel de auditoria?

Para revelar as verificações mais comuns sem sair do gráfico. Ele obtém verificação de contrato, propriedade, capacidade de venda, taxas de impostos e status de bloqueio de liquidez para que os traders possam dimensionar as posições com essas informações já carregadas.

Posso confiar apenas em scanners automatizados?

Para posições pequenas e tokens conhecidos, sim. Para novos lançamentos e tamanho significativo, não. Os scanners detectam modelos e padrões óbvios. Golpes personalizados que passam por modelos exigem inspeção humana da fonte.

Qual é a verificação mais importante?

Fonte verificada mais um padrão de propriedade limpo. Se esses dois estiverem faltando, nada mais importa. Se ambos estiverem presentes, o restante das verificações será sobre a precificação do risco residual, em vez de perguntar se é necessário se envolver.

CTA

Audite qualquer par no DEXTools

Abra qualquer par DEX, vá até o painel de auditoria e execute as verificações deste guia em menos de cinco minutos antes de avaliar.

Abra DEXTools

Leitura relacionada

Continue daqui

Revogar aprovações de token: Tutorial de segurança da carteira 2026

Proteção MEV: como usar MEVX para negociações DEX mais seguras

Lista de verificação de segurança da carteira: 10 etapas obrigatórias antes de segurar

O que é um contrato de proxy na criptografia? Guia de contratos inteligentes atualizáveis 2026