¿Qué diferencia hay entre un match perfecto y un match parcial?

Un **match perfecto (full)** significa que cada byte del código on-chain encaja con la fuente recompilada, **incluido el hash de metadatos final** que añade el compilador de Solidity. Un **match parcial** significa que el código de runtime coincide, pero los bytes de metadatos difieren, normalmente porque el dev subió archivos fuente ligeramente distintos a los usados en el despliegue, aunque el comportamiento compilado sea el mismo. Perfecto es lo preferido; parcial sigue siendo fiable para la lógica pero no para "esta es la fuente exacta que escribió el dev".

¿Por qué importa la verificación para la confianza?

Los contratos sin verificar son **cajas negras**. Puedes ver qué hacen mandándoles transacciones, pero no puedes leer la intención. La verificación lo invierte: puedes leer cada función, ver controles de acceso, detectar puertas traseras y comparar con una plantilla conocida. La mayoría de auditorías, tokens y DAOs principales exigen verificación antes de listarse en agregadores como CoinGecko, DefiLlama o 1inch. **Sin verificación, sin listado** es un default razonable también para los usuarios.

¿Quién verifica realmente, Sourcify o Etherscan?

Los dos, y son independientes. **Sourcify** es una iniciativa **sin ánimo de lucro** gestionada por la Ethereum Foundation. Guarda fuentes en un repositorio público respaldado por IPFS y verifica recompilando y comparando el **hash de metadatos**. **Etherscan** ejecuta un servicio de verificación propietario por cadena (Etherscan, Arbiscan, BscScan, etc.). Un contrato puede estar verificado en uno pero no en el otro. Esta herramienta consulta **Sourcify** porque su API es totalmente abierta; si Sourcify dice "verificado", Etherscan suele estar de acuerdo en horas.

¿Se puede reverificar un contrato más adelante?

**Sí**, cualquiera puede enviar fuentes a Sourcify en cualquier momento, incluso años después del despliegue. Mientras las fuentes recompilen al bytecode desplegado, aparece la entrada. Así es como miembros de la comunidad verifican contratos huérfanos cuyo deployer original nunca se molestó. No hace falta permiso ni hay tarifa, y la verificación es **públicamente contribuible**, no controlada por el propietario del contrato.

¿Qué es el hash de metadatos que compara el match perfecto?

Cuando solc compila un contrato añade un pequeño blob codificado en CBOR al final del bytecode. Ese blob incluye un **hash SHA-256 del metadata.json** que describe la versión del compilador, los ajustes del optimizer y el contenido exacto de los archivos fuente. Hasta un cambio de un espacio en cualquier archivo cambia el hash. **Match perfecto = hash de metadatos coincide**, por eso es una garantía fuerte de que las fuentes publicadas son bit a bit idénticas a lo desplegado.

¿El bytecode on-chain es realmente inmutable?

**Sí para contratos planos.** Una vez desplegado, el código de runtime en una dirección no se puede modificar: no hay clave de admin, ningún compilador puede reescribirlo. La única forma de "cambiar" un contrato es **desplegar uno nuevo y dejar de usar el viejo**, por eso existen los proxies (ver abajo). La excepción es el raro opcode **SELFDESTRUCT**, que elimina el código del todo pero no puede reemplazarlo. Así que si una fuente verificada coincidía hoy, sigue coincidiendo en diez años.

¿Por qué es útil el ABI y de dónde sale?

El **ABI** es una lista JSON de cada función y evento que expone el contrato, con sus tipos de argumento y selectores. Librerías como ethers, viem, web3.js y web3.py lo necesitan para **codificar llamadas** y **decodificar respuestas**. Puedes escribirlo a mano desde la fuente, pero el compilador genera uno gratis y lo embebe en los metadatos. Esta herramienta saca ese ABI directamente de Sourcify para que nunca tengas que recompilar tú.

¿Qué son los constructor args y por qué se muestran aparte?

Los **constructor args** son inputs que el deployer pasó **una vez** en el despliegue para inicializar cosas como la dirección de admin inicial, el nombre del token, el supply máximo, etc. Se añaden a la transacción de despliegue y se guardan junto al bytecode. Verificar un contrato exige recompilar la fuente exacta Y conocer los constructor args exactos; si cualquiera difiere, el bytecode no encaja. Sourcify los expone como archivo de texto separado cuando están disponibles.

¿Y los contratos proxy? ¿Por qué se ven raros?

Un **proxy** es un contrato fino que reenvía cada llamada a un **contrato de implementación** guardado en una dirección aparte. Patrones comunes son la **EIP-1967** (transparent proxy), **UUPS** y **diamond proxies**. El propio proxy suele tener una fuente verificada minúscula (solo la lógica de reenvío), mientras que el comportamiento real vive en la implementación. Para auditar un proxy, debes verificar también la **dirección de implementación**: lee el storage slot 0x360894... (EIP-1967) en el proxy y luego ejecuta esta herramienta sobre la dirección que encuentres ahí. USDC, USDT y la mayoría de tokens modernos son proxies actualizables por esta razón.

Verificador de smart contracts - gratis

Verificador de código de contratos inteligentes

Pega una dirección de contrato y elige una cadena. El servidor lee el bytecode on-chain y comprueba Sourcify en busca de código fuente coincidente. Obtienes archivos Solidity, la ABI, los ajustes del optimizador y los argumentos del constructor, cada uno con un botón Copiar.

Cómo funciona

El servidor llama a eth_getCode en el RPC público de la cadena elegida y luego consulta los endpoints check-by-addresses y files/any de Sourcify. De metadata.json extraemos la versión del compilador, los ajustes del optimizador y la ABI. Los resultados se cachean una hora por chain:address. Límite de 30 verificaciones por hora por IP.

Qué hace esta herramienta

Pega la dirección de un smart contract, elige una cadena y comprobamos si el bytecode desplegado tiene una fuente pública coincidente en Sourcify. Ves el estado de verificación de un vistazo: Totalmente verificado, Parcialmente verificado o No verificado. Cuando hay match, sacamos cada archivo `.sol`, el ABI parseado, los constructor args y los ajustes del compilador.

No hace falta API key ni wallet connect. La consulta corre en el servidor a través de endpoints públicos de Sourcify y una RPC de cadena, así que puedes auditar cualquier contrato en Ethereum, Optimism, Arbitrum, Base, Polygon o BSC sin instalar nada.

Cómo usarlo

Pega una dirección de contrato en el campo. Debe ser `0x` seguido de 40 caracteres hexadecimales.

Elige la cadena donde vive el contrato. La misma dirección puede tener código distinto en redes distintas.

Pulsa "Verificar". El servidor lee el bytecode on-chain y pregunta a Sourcify si alguien ha publicado el código fuente coincidente.

Lee el badge de verificación: verde es match perfecto, ámbar es match parcial (los metadatos difieren), rojo es que no se encontró fuente verificada.

Abre el panel de archivos fuente y pulsa cualquier archivo para desplegarlo. Cada bloque tiene un botón de copiar de un clic.

Haz scroll al ABI para llevarte la descripción de la interfaz en JSON. Es lo que pegas en ethers, viem o web3.py para hablar con el contrato.

Si el contrato tenía constructor args, aparecen como un bloque copiable aparte: útil para redeploiar el mismo contrato en una testnet.

Usa los chips de ejemplo (USDC, WETH, Uniswap V2 Router) si solo quieres ver cómo se ve un contrato totalmente verificado.

Cuándo es útil

Seis situaciones comunes en las que comprobar la verificación de fuente te ahorra errores caros:

Antes de firmar una transacción con una dApp nueva: abre la dirección del contrato, mira si la fuente es pública y echa un vistazo a la función que vas a llamar. Los contratos sin verificar pueden hacer cualquier cosa.
Auditar un token antes de añadirlo a un watchlist: un contrato verificado con implementación ERC-20 estándar es una señal de scam mucho más débil que uno sin verificar con el mismo nombre.
Conseguir el ABI de un contrato contra el que quieres scriptear: no hace falta buscar el repo del proyecto ni adivinar selectores de función. El bloque ABI está a un clic.
Comparar dos contratos que deberían ser idénticos: pega cada dirección a su turno, ve a los archivos fuente y diff en local. Los matches perfectos comparten el mismo hash de metadatos.
Verificar que una implementación tras un proxy no ha cambiado en silencio: lee la fuente del proxy, encuentra el slot de implementación y verifica también el contrato de implementación.
Onboarding de nuevos ingenieros: abre Uniswap V2 Router o USDC en los chips de ejemplo para enseñar cómo se ve un contrato verificado sano en tres segundos.

Herramientas relacionadas: consulta de info de token, detective de hash de tx, actividad de dirección multi-cadena, validador de direcciones cripto.

Preguntas y respuestas

Cuando un desarrollador despliega un smart contract, en la cadena solo aterriza el bytecode compilado. El Solidity original no está ahí. La verificación de fuente significa que el desarrollador publica los archivos Solidity más los ajustes exactos del compilador, alguien los recompila y el resultado es byte a byte idéntico al código on-chain. A partir de ese momento, cualquiera que lea el explorer ve tanto la fuente legible como una prueba de que coincide con lo que está corriendo. Es lo más cercano que tiene cripto a un rastro de auditoría público.