Comment décoder une transaction de smart contract ?

Trois étapes. **(1)** Copiez le *« Input Data »* depuis Etherscan ou votre wallet (le long blob hex). **(2)** Collez ici en mode **Decode calldata**. **(3)** Si le selector est dans le registre des fonctions courantes (ERC-20, NFTs, Uniswap), vous voyez le nom de la fonction et les arguments tout de suite. Sinon, saisissez la signature à la main (vous la trouverez dans l'ABI sur Etherscan sous *« Contract → Read/Write »*). Les tableaux et chaînes sont sautés, mais les nombres et adresses sont décodés.

Pourquoi les 4 premiers octets de la calldata décrivent-ils ce que fait une transaction ?

Parce que c'est ainsi qu'est conçue l'**Application Binary Interface (ABI)** pour Solidity. Le compilateur prend votre signature de fonction (par exemple **transfer(address,uint256)**), lance **keccak256** (un hash) dessus, prend les 4 premiers octets et retient : *« c'est le selector de transfer »*. Quand quelqu'un envoie une transaction qui commence par ces 4 octets, le contrat sait quelle fonction exécuter. **4 octets** = environ **4 milliards de fonctions possibles**, en pratique, c'est largement suffisant.

Que signifie 0xa9059cbb au début d'une transaction ?

C'est le selector de **transfer(address,uint256)**, c'est-à-dire un **transfert de token ERC-20**. Toute transaction qui **envoie de l'USDT, USDC, SHIB, LINK** ou tout autre token Ethereum commence par **0xa9059cbb**. Les 32 octets suivants (64 caractères hex) sont l'adresse du destinataire, et les 32 derniers octets sont le montant de tokens (dans la plus petite unité). C'est le selector le plus courant sur Ethereum, vous le verrez dans 80 % du trafic DeFi.

Comment savoir quelle fonction ma transaction appelle ?

Trois façons : - **Collez la calldata dans notre décodeur** : nous regardons le registre intégré d'environ 30 fonctions courantes. - **Ouvrez Etherscan**, allez à la transaction, cliquez sur *« Decode Input Data »* : si le contrat est **vérifié** (coche verte), Etherscan connaît son ABI et décode pour vous. - **Copiez le selector** (10 premiers caractères après 0x) et cherchez sur **4byte.directory** : une base externe avec des millions de signatures de fonction.

Qu'est-ce que keccak256 ?

**Une fonction qui transforme n'importe quel texte en empreinte unique de 32 octets.** Nourrissez-la avec *« transfer(address,uint256) »*, il en sort un nombre comme **a9059cbb2ab09eb219583f4a59a5d0623ade346d962bcd4e46b11da047c9049b**. La même entrée donne toujours la même empreinte ; changez une seule lettre et l'empreinte est totalement différente. Ethereum utilise les 4 premiers octets de cette empreinte comme function selector. Keccak256 est un cousin de **SHA-3**, mais pas identique (le padding diffère, détails à la question suivante).

Pourquoi Ethereum utilise-t-il keccak plutôt que SHA-3 ?

**Malchance historique.** Ethereum a été conçu en 2014, avant que **SHA-3** soit finalisé par le NIST. Vitalik et l'équipe ont choisi la **version draft** de l'algorithme Keccak, qui est devenu le standard **avant** que le NIST ajoute le tweak de padding final. Le NIST a changé le padding plus tard, mais Ethereum avait déjà un mainnet en vie et ne pouvait pas le changer sans casser tous les contrats existants. Résultat : **keccak256** d'Ethereum ≠ **SHA3-256** officiel, même s'ils sont pratiquement identiques par ailleurs.

Pourquoi ne pas écrire les noms des arguments dans la signature de fonction ?

Parce que le calcul du selector **ne se préoccupe que des types**. **transfer(address,uint256)** et **transfer(address to,uint256 amount)** produisent **le même selector**. La convention : écrire les types seulement, séparés par des virgules, sans espaces, sans mots-clés comme **memory** ou **calldata**. **uint** est un raccourci pour **uint256**, mais attention, dans la signature du selector, vous **devez** écrire **uint256** (le nom complet), pas **uint**, sinon vous obtenez un hash différent.

Pourquoi les tableaux (address[]) et les chaînes ne sont-ils pas décodés ?

Parce que les **types dynamiques** (string, bytes, T[]) sont encodés spécialement : leur slot dans la calldata contient un **offset** (pointeur vers l'endroit où vivent les vraies données), et les données réelles sont ajoutées à la fin de la calldata. Le décodage complet exige de suivre l'offset, lire la longueur, puis lire les octets. Le faire correctement représente beaucoup de code (essentiellement ce que **ethers.js** fait en interne). Pour une première inspection d'une transaction, voir les adresses et nombres suffit en général, et ça, nous le décodons. Pour un décodage complet, utilisez Etherscan ou une lib comme **viem** ou **ethers**.

Deux fonctions différentes peuvent-elles partager le même selector (collision) ?

**Oui, mais rarement.** 4 octets = environ 4 milliards de possibilités, dans un même contrat, le risque de collision est microscopique. Mais **à l'échelle de tout Ethereum** (des millions de contrats), de vraies collisions sont survenues. La fameuse : une fonction malveillante appelée **gasprice_bit_ether(int128)** a le même selector que **transfer(address,uint256)** (les deux hashent en **0xa9059cbb**). Des attaquants ont essayé d'exploiter ça pour du social engineering. **Leçon** : ne faites pas confiance au selector seul, vérifiez toujours la signature complète de la fonction.

Sélecteur de fonction Solidity - gratuit

Que fait vraiment cette transaction Ethereum ?

Vous regardez une transaction de smart contract (un programme qui tourne sur la blockchain Ethereum) et vous voyez quelque chose comme 0xa9059cbb000000...0de0b6b3a7640000. Les dix premiers caractères ne sont pas aléatoires. C'est le function selector, un court identifiant qui dit au contrat : *« appelle la fonction transfer »*.

Cet outil fait deux choses. Un : saisissez une signature de fonction comme transfer(address,uint256) et obtenez son identifiant de 4 octets (0xa9059cbb). Ce sont les 4 octets qui apparaissent au début de chaque transaction appelant cette fonction.

Deux : collez un blob de calldata brut (l'hex d'une transaction), l'outil extrait le selector, le cherche dans un registre intégré d'environ 30 fonctions courantes (ERC-20, NFTs, Uniswap, WETH, proxies, ENS), et vous montre quels arguments ont été passés.

Tout tourne localement dans votre navigateur, sans appel d'API, sans données qui quittent l'appareil. Parfait pour déboguer des transactions de wallet, lire des transactions en attente sur Etherscan, ou juste apprendre comment fonctionne l'ABI de l'EVM.

Mode d'emploi

Choisissez un mode en haut : Compute selector (vous connaissez le nom de la fonction, vous voulez l'identifiant) ou Decode calldata (vous avez un blob hex et voulez savoir ce qu'il fait).
En mode Compute selector : saisissez la signature de fonction du type functionName(argType1,argType2). Pas d'espaces, pas de noms d'arguments, juste les types. Le résultat de 4 octets apparaît instantanément.
En mode Decode calldata : collez l'hex complet de la transaction (avec 0x ou sans). L'outil lit les 4 premiers octets et les cherche dans le registre intégré. S'il les trouve, il affiche le nom de la fonction et un tableau de paramètres. Sinon, vous pouvez saisir la signature à la main.
Cliquez sur les pastilles d'exemple sous le champ (transfer, approve, swap) pour voir à quoi ressemblent les opérations courantes.
La liste en bas est le registre intégré de selectors (environ 30 courants). Cliquez sur n'importe quelle entrée pour pré-remplir le champ.
Les arguments string, bytes et tableaux sont marqués *« (type dynamique) »* et sautés, le décodage complet exige une logique d'offset complexe (hors scope ici). Les adresses et entiers se décodent très bien.

Quand c'est utile

Six situations typiques où le selector vous donne une réponse concrète :

Déboguer une transaction wallet bizarre. Quelque chose a disparu de votre wallet et vous ne savez plus ce que vous avez cliqué. Copiez la calldata depuis Etherscan, collez ici, vous voyez immédiatement : *« ah, c'était un approve pour de l'USDT illimité vers un contrat random »*. Vous savez maintenant quoi révoquer.
Lire une transaction en attente sur Etherscan. Vous voulez savoir ce que le contrat va faire avant de signer dans MetaMask. Collez le champ *« Input Data »*, vous voyez : *« swapExactTokensForTokens, un swap DEX »*. Cerveau apaisé.
Construire une intégration avec un smart contract. Vous devez construire la calldata à la main (par exemple pour un multicall ou un framework non standard). Vous calculez le selector pour chaque fonction, concaténez avec les arguments. C'est l'étape un.
Apprendre comment l'ABI fonctionne. Premier jour avec Solidity et quelqu'un vous lance *« function selector »*. Saisissez transfer(address,uint256), vous obtenez 0xa9059cbb, changez en Transfer(...) (T majuscule), selector totalement différent. Donc même la casse compte. Leçon retenue.
Revue de sécurité d'un contrat. Vous avez une transaction suspecte qui aurait appelé *« claimAirdrop »*, mais quelque chose cloche. Calculez le selector pour claimAirdrop() et vérifiez s'il correspond aux 4 premiers octets de la calldata. Sinon, quelqu'un a essayé de vous duper.
Écrire des tests Foundry / Hardhat. Vous devez hardcoder un selector dans un test (par exemple pour expectRevert(bytes4)). Calculez ici, copiez, collez dans le test. Pas besoin d'installer cast ni de monter une toolchain à part.

Questions et réponses

Quatre octets en hex qui disent à un smart contract quelle fonction appeler. Un contrat Ethereum a beaucoup de fonctions (transfer, approve, balanceOf, ...). Quand quelqu'un lui envoie une transaction, les 4 premiers octets de la calldata pointent la fonction à exécuter. Le reste de la calldata, ce sont les arguments. Imaginez ça comme un numéro de chambre d'hôtel : d'abord vous dites *« chambre 412 »* (le selector), puis vous dites ce que vous voulez faire dans cette chambre (les arguments).

Que fait vraiment cette transaction Ethereum ?

Mode d'emploi

Choisissez un mode en haut : Compute selector (vous connaissez le nom de la fonction, vous voulez l'identifiant) ou Decode calldata (vous avez un blob hex et voulez savoir ce qu'il fait).

En mode Compute selector : saisissez la signature de fonction du type functionName(argType1,argType2). Pas d'espaces, pas de noms d'arguments, juste les types. Le résultat de 4 octets apparaît instantanément.

En mode Decode calldata : collez l'hex complet de la transaction (avec 0x ou sans). L'outil lit les 4 premiers octets et les cherche dans le registre intégré. S'il les trouve, il affiche le nom de la fonction et un tableau de paramètres. Sinon, vous pouvez saisir la signature à la main.

Cliquez sur les pastilles d'exemple sous le champ (transfer, approve, swap) pour voir à quoi ressemblent les opérations courantes.

La liste en bas est le registre intégré de selectors (environ 30 courants). Cliquez sur n'importe quelle entrée pour pré-remplir le champ.

Les arguments string, bytes et tableaux sont marqués *« (type dynamique) »* et sautés, le décodage complet exige une logique d'offset complexe (hors scope ici). Les adresses et entiers se décodent très bien.

Quand c'est utile

Six situations typiques où le selector vous donne une réponse concrète :

Déboguer une transaction wallet bizarre. Quelque chose a disparu de votre wallet et vous ne savez plus ce que vous avez cliqué. Copiez la calldata depuis Etherscan, collez ici, vous voyez immédiatement : *« ah, c'était un approve pour de l'USDT illimité vers un contrat random »*. Vous savez maintenant quoi révoquer.
Lire une transaction en attente sur Etherscan. Vous voulez savoir ce que le contrat va faire avant de signer dans MetaMask. Collez le champ *« Input Data »*, vous voyez : *« swapExactTokensForTokens, un swap DEX »*. Cerveau apaisé.
Construire une intégration avec un smart contract. Vous devez construire la calldata à la main (par exemple pour un multicall ou un framework non standard). Vous calculez le selector pour chaque fonction, concaténez avec les arguments. C'est l'étape un.
Apprendre comment l'ABI fonctionne. Premier jour avec Solidity et quelqu'un vous lance *« function selector »*. Saisissez transfer(address,uint256), vous obtenez 0xa9059cbb, changez en Transfer(...) (T majuscule), selector totalement différent. Donc même la casse compte. Leçon retenue.
Revue de sécurité d'un contrat. Vous avez une transaction suspecte qui aurait appelé *« claimAirdrop »*, mais quelque chose cloche. Calculez le selector pour claimAirdrop() et vérifiez s'il correspond aux 4 premiers octets de la calldata. Sinon, quelqu'un a essayé de vous duper.
Écrire des tests Foundry / Hardhat. Vous devez hardcoder un selector dans un test (par exemple pour expectRevert(bytes4)). Calculez ici, copiez, collez dans le test. Pas besoin d'installer cast ni de monter une toolchain à part.

Questions et réponses

Sélecteur de fonction Solidity

Que fait vraiment cette transaction Ethereum ?

Mode d'emploi

Quand c'est utile

Questions et réponses

Outils similaires

Convertisseur unités Ethereum

Validateur adresses crypto

Dérivation portefeuille HD

Sélecteur de fonction Solidity

Que fait vraiment cette transaction Ethereum ?

Mode d'emploi

Quand c'est utile

Questions et réponses

Outils similaires

Convertisseur unités Ethereum

Validateur adresses crypto

Dérivation portefeuille HD