Was ist der Unterschied zwischen einem perfekten Match und einem Partial-Match?

Ein **perfekter (voller) Match** heißt, jedes Byte des On-Chain-Codes deckt sich mit der neu kompilierten Quelle, **einschließlich des nachgestellten Metadaten-Hashs**, den der Solidity-Compiler anhängt. Ein **Partial-Match** heißt, der Runtime-Code passt, aber die Metadaten-Bytes unterscheiden sich, meist weil der Entwickler leicht andere Quelldateien hochgeladen hat als die, die beim Deployment verwendet wurden, auch wenn das kompilierte Verhalten dasselbe ist. Perfekt wird bevorzugt, Partial ist immer noch vertrauenswürdig für die Logik, aber nicht für "das ist die exakte Quelle, die der Entwickler geschrieben hat".

Warum zählt Verifizierung für Vertrauen?

Unverifizierte Contracts sind **Blackboxen**. Du kannst sehen, was sie tun, indem du Transaktionen sendest, aber du kannst die Absicht nicht lesen. Verifizierung dreht das um: du kannst jede Funktion lesen, Zugriffskontrollen sehen, Hintertüren entdecken und mit einem bekannt-guten Template vergleichen. Die meisten großen Audits, Tokens und DAOs verlangen Verifizierung, bevor sie auf Aggregatoren wie CoinGecko, DefiLlama oder 1inch gelistet werden. **Keine Verifizierung, keine Listung** ist auch für Nutzer ein sinnvoller Default.

Wer verifiziert eigentlich, Sourcify oder Etherscan?

Beide, und sie sind unabhängig. **Sourcify** ist eine **Non-Profit**-Initiative der Ethereum Foundation. Sie speichert Quellen in einem öffentlichen IPFS-gestützten Repository und verifiziert durch Neu-Kompilieren und Vergleichen des **Metadaten-Hashs**. **Etherscan** betreibt einen proprietären Verifizierungs-Service pro Chain (Etherscan, Arbiscan, BscScan usw.). Ein Contract kann auf einem verifiziert sein, auf dem anderen nicht. Dieses Tool fragt **Sourcify** ab, weil seine API vollständig offen ist; wenn Sourcify "verifiziert" sagt, stimmt Etherscan meist innerhalb von Stunden zu.

Kann ein Contract später neu verifiziert werden?

**Ja**, jeder kann jederzeit Quellen an Sourcify einreichen, selbst Jahre nach dem Deployment. Solange die Quellen zum deployten Bytecode neu kompilieren, erscheint der Eintrag. So verifizieren Community-Mitglieder verwaiste Contracts, deren ursprünglicher Deployer sich nicht darum geschert hat. Es ist keine Erlaubnis nötig und keine Gebühr, und Verifizierung ist **öffentlich beitragbar**, nicht durch den Contract-Owner gesperrt.

Was ist der Metadaten-Hash, den perfekt-Match-Verifizierung vergleicht?

Wenn solc einen Contract kompiliert, hängt es einen kleinen CBOR-kodierten Blob ans Ende des Bytecodes. Dieser Blob enthält einen **SHA-256-Hash der metadata.json**, der die Compiler-Version, Optimizer-Einstellungen und die exakten Quelldatei-Inhalte beschreibt. Selbst eine Whitespace-Änderung in irgendeiner Quelldatei flippt den Hash. **Perfekter Match = Metadaten-Hash passt**, deshalb ist es eine starke Garantie, dass die veröffentlichten Quellen bit-identisch zu dem sind, was deployt wurde.

Ist der Bytecode On-Chain wirklich unveränderlich?

**Ja für einfache Contracts.** Einmal deployt, kann der Runtime-Code an einer Adresse nicht mehr modifiziert werden: kein Admin-Key, kein Compiler kann ihn umschreiben. Der einzige Weg, einen Contract zu "ändern", ist **einen neuen zu deployen und den alten nicht mehr zu nutzen**, deshalb existieren Proxies. Die Ausnahme ist der seltene **SELFDESTRUCT**-Opcode, der den Code komplett entfernt, aber nicht ersetzen kann. Wenn eine verifizierte Quelle heute passte, passt sie in zehn Jahren immer noch.

Warum ist die ABI nützlich und woher kommt sie?

Die **ABI** ist eine JSON-Liste jeder Funktion und jedes Events, die der Contract exponiert, mit ihren Argument-Typen und Selectors. Bibliotheken wie ethers, viem, web3.js und web3.py brauchen sie, um **Aufrufe zu kodieren** und **Antworten zu dekodieren**. Du kannst eine ABI per Hand aus der Quelle schreiben, aber der Compiler generiert eine kostenlos und bettet sie in die Metadaten ein. Dieses Tool zieht diese ABI direkt von Sourcify, du musst nie selbst neu kompilieren.

Was sind Konstruktor-Args und warum werden sie separat angezeigt?

**Konstruktor-Args** sind Eingaben, die der Deployer **einmal** während des Deployments übergeben hat, um Dinge wie die initiale Admin-Adresse, den Token-Namen, das maximale Supply usw. zu initialisieren. Sie werden an die Deployment-Transaktion angehängt und neben dem Bytecode gespeichert. Einen Contract zu verifizieren erfordert das Neu-Kompilieren der exakten Quelle UND das Kennen der exakten Konstruktor-Args; wenn beides abweicht, deckt sich der Bytecode nicht. Sourcify exponiert sie als separate Textdatei, wenn verfügbar.

Was ist mit Proxy-Contracts, warum sehen sie seltsam aus?

Ein **Proxy** ist ein dünner Contract, der jeden Aufruf an einen **Implementation-Contract** weiterleitet, der unter einer separaten Adresse gespeichert ist. Gängige Muster sind **EIP-1967** (transparenter Proxy), **UUPS** und **Diamond-Proxies**. Der Proxy selbst hat oft eine winzige verifizierte Quelle (nur die Weiterleitungs-Logik), während das echte Verhalten in der Implementation lebt. Um einen Proxy zu auditieren, musst du auch die **Implementation-Adresse** verifizieren: lies den Storage-Slot 0x360894... (EIP-1967) auf dem Proxy, dann lass dieses Tool auf der Adresse laufen, die du dort findest. USDC, USDT und die meisten modernen Tokens sind aus diesem Grund upgradeable Proxies.

Smart-Contract Source Verifier - kostenlos

Was dieses Tool macht

Paste eine Smart-Contract-Adresse, wähl eine Chain, und wir prüfen, ob die deployte Bytecode eine passende öffentliche Quelle in Sourcify hat. Du siehst den Verifizierungs-Status auf einen Blick: Voll verifiziert, Teilweise verifiziert oder Nicht verifiziert. Wenn eine Übereinstimmung existiert, ziehen wir jede `.sol`-Datei, die geparste ABI, die Konstruktor-Args und die Compiler-Einstellungen.

Kein API-Key, kein Wallet-Connect. Der Lookup läuft auf dem Server über öffentliche Sourcify-Endpunkte und einen Chain-RPC, du kannst also jeden Contract auf Ethereum, Optimism, Arbitrum, Base, Polygon oder BSC auditieren, ohne etwas zu installieren.

So nutzt du es

Paste eine Contract-Adresse ins Eingabefeld. Sie muss `0x` gefolgt von 40 hexadezimalen Zeichen sein.
Wähl die Chain, auf der der Contract lebt. Dieselbe Adresse kann auf verschiedenen Netzwerken unterschiedlichen Code hosten.
Klick "Verifizieren". Der Server liest On-Chain-Bytecode und fragt Sourcify, ob jemand passenden Quellcode veröffentlicht hat.
Lies das Verifizierungs-Badge: grün heißt perfekter Match, bernsteinfarben heißt Partial-Match (Metadaten unterscheiden sich), rot heißt keine verifizierte Quelle gefunden.
Öffne das Quelldateien-Panel und klick eine Datei, um sie auszuklappen. Jeder Block hat einen Ein-Klick-Kopier-Button.
Scroll zur ABI, um die Interface-Beschreibung im JSON zu holen. Das ist, was du in ethers, viem oder web3.py pastest, um mit dem Contract zu sprechen.
Wenn der Contract Konstruktor-Args hatte, erscheinen sie als separater kopierbarer Block, nützlich, um denselben Contract auf einem Testnet neu zu deployen.
Nutz die Sample-Chips (USDC, WETH, Uniswap V2 Router), wenn du einfach sehen willst, wie ein voll verifizierter Contract aussieht.

Wann das nützlich ist

Sechs häufige Situationen, in denen das Prüfen der Quellverifizierung dich vor teuren Fehlern bewahrt:

Vor dem Signieren einer Transaktion mit einer brandneuen dApp: öffne die Contract-Adresse, sieh, ob die Quelle öffentlich ist, und überfliege die Funktion, die du aufrufen willst. Unverifizierte Contracts können alles tun.
Ein Token vor dem Hinzufügen zu einer Watchlist auditieren: ein verifizierter Contract mit einer Standard-ERC-20-Implementierung ist ein viel schwächeres Scam-Signal als ein unverifizierter mit demselben Namen.
Die ABI für einen Contract ziehen, gegen den du scripten willst: kein Suchen des Projekt-Repos oder Raten von Function-Selectors. Der ABI-Block ist einen Klick entfernt.
Zwei Contracts vergleichen, die identisch sein sollten: paste jede Adresse nacheinander, scroll zu den Quelldateien und diff sie lokal. Perfekte Matches teilen denselben Metadaten-Hash.
Verifizieren, dass eine Proxy-Implementierung sich nicht still geändert hat: lies die Quelle des Proxys, finde den Implementation-Slot, dann verifizier auch den Implementation-Contract.
Onboarding neuer Engineers: öffne Uniswap V2 Router oder USDC in den Sample-Chips, um in drei Sekunden zu zeigen, wie ein gesunder verifizierter Contract aussieht.

Fragen und Antworten

Wenn ein Entwickler einen Smart Contract deployt, landet nur der kompilierte Bytecode On-Chain. Das originale Solidity ist nicht da. Quellverifizierung heißt, der Entwickler veröffentlicht die Solidity-Dateien plus die exakten Compiler-Einstellungen, jemand kompiliert sie neu, und das Ergebnis ist Byte-für-Byte identisch mit dem On-Chain-Code. Ab diesem Moment sieht jeder, der den Explorer liest, sowohl die menschenlesbare Quelle als auch einen Beweis, dass sie zum Laufenden passt. Es ist das, was Krypto an einem öffentlichen Audit-Trail am nächsten kommt.

Smart-Contract-Quellcode-Verifier

Füge eine Vertragsadresse ein und wähle eine Chain. Der Server liest On-Chain-Bytecode und prüft Sourcify auf passenden Quellcode. Du erhältst Solidity-Dateien, die ABI, Optimizer-Einstellungen und Konstruktor-Argumente, jeweils mit Kopier-Button.

So funktioniert es

Der Server ruft eth_getCode auf dem öffentlichen RPC der gewählten Chain auf und fragt anschließend die Endpoints check-by-addresses und files/any von Sourcify ab. Aus metadata.json entnehmen wir Compiler-Version, Optimizer-Einstellungen und ABI. Die Ergebnisse werden eine Stunde pro chain:address gecacht. Limit 30 Verifikationen pro Stunde pro IP.

Was dieses Tool macht

So nutzt du es

Paste eine Contract-Adresse ins Eingabefeld. Sie muss `0x` gefolgt von 40 hexadezimalen Zeichen sein.

Wähl die Chain, auf der der Contract lebt. Dieselbe Adresse kann auf verschiedenen Netzwerken unterschiedlichen Code hosten.

Klick "Verifizieren". Der Server liest On-Chain-Bytecode und fragt Sourcify, ob jemand passenden Quellcode veröffentlicht hat.

Lies das Verifizierungs-Badge: grün heißt perfekter Match, bernsteinfarben heißt Partial-Match (Metadaten unterscheiden sich), rot heißt keine verifizierte Quelle gefunden.

Öffne das Quelldateien-Panel und klick eine Datei, um sie auszuklappen. Jeder Block hat einen Ein-Klick-Kopier-Button.

Scroll zur ABI, um die Interface-Beschreibung im JSON zu holen. Das ist, was du in ethers, viem oder web3.py pastest, um mit dem Contract zu sprechen.

Wenn der Contract Konstruktor-Args hatte, erscheinen sie als separater kopierbarer Block, nützlich, um denselben Contract auf einem Testnet neu zu deployen.

Nutz die Sample-Chips (USDC, WETH, Uniswap V2 Router), wenn du einfach sehen willst, wie ein voll verifizierter Contract aussieht.

Wann das nützlich ist

Sechs häufige Situationen, in denen das Prüfen der Quellverifizierung dich vor teuren Fehlern bewahrt:

Vor dem Signieren einer Transaktion mit einer brandneuen dApp: öffne die Contract-Adresse, sieh, ob die Quelle öffentlich ist, und überfliege die Funktion, die du aufrufen willst. Unverifizierte Contracts können alles tun.
Ein Token vor dem Hinzufügen zu einer Watchlist auditieren: ein verifizierter Contract mit einer Standard-ERC-20-Implementierung ist ein viel schwächeres Scam-Signal als ein unverifizierter mit demselben Namen.
Die ABI für einen Contract ziehen, gegen den du scripten willst: kein Suchen des Projekt-Repos oder Raten von Function-Selectors. Der ABI-Block ist einen Klick entfernt.
Zwei Contracts vergleichen, die identisch sein sollten: paste jede Adresse nacheinander, scroll zu den Quelldateien und diff sie lokal. Perfekte Matches teilen denselben Metadaten-Hash.
Verifizieren, dass eine Proxy-Implementierung sich nicht still geändert hat: lies die Quelle des Proxys, finde den Implementation-Slot, dann verifizier auch den Implementation-Contract.
Onboarding neuer Engineers: öffne Uniswap V2 Router oder USDC in den Sample-Chips, um in drei Sekunden zu zeigen, wie ein gesunder verifizierter Contract aussieht.

Fragen und Antworten

Smart-Contract Source Verifier

Was dieses Tool macht

So nutzt du es

Wann das nützlich ist

Fragen und Antworten

Passende Tools

ERC-20-/Token-Info-Abfrage

TX-Hash-Detektiv

Multi-Chain-Adressen-Aktivität

Krypto-Adressen-Validator

Smart-Contract Source Verifier

Was dieses Tool macht

So nutzt du es

Wann das nützlich ist

Fragen und Antworten

Passende Tools

ERC-20-/Token-Info-Abfrage

TX-Hash-Detektiv

Multi-Chain-Adressen-Aktivität

Krypto-Adressen-Validator