Jaka jest różnica między perfect match a partial match?

**Perfect (full) match** oznacza, że każdy bajt kodu on-chain zgadza się z ponownie skompilowanym źródłem, **łącznie z metadata hashem** na końcu, który solc dokleja. **Partial match** oznacza, że runtime się zgadza, ale bajty metadanych się różnią, zwykle dlatego, że developer wgrał trochę inne pliki źródłowe niż te użyte przy deployu, mimo że zachowanie po kompilacji jest takie samo. Perfect jest preferowany, partial wciąż godny zaufania dla logiki, ale nie dla zdania "to dokładnie to źródło, które developer napisał".

Dlaczego weryfikacja ma znaczenie dla zaufania?

Niezweryfikowane kontrakty to **czarne skrzynki**. Możesz zobaczyć, co robią, wysyłając transakcje, ale nie przeczytasz intencji. Weryfikacja to odwraca: czytasz każdą funkcję, widzisz kontrolę dostępu, wyłapujesz back-doory i porównujesz ze znanym dobrym szablonem. Większość poważnych audytów, tokenów i DAO wymaga weryfikacji, zanim wpuści projekt na agregatory typu CoinGecko, DefiLlama czy 1inch. **Brak weryfikacji, brak listingu** to rozsądny default także dla użytkowników.

Kto właściwie weryfikuje, Sourcify czy Etherscan?

Obaj, niezależnie. **Sourcify** to **non-profitowa** inicjatywa prowadzona przez Ethereum Foundation. Trzyma źródła w publicznym repo opartym o IPFS i weryfikuje przez ponowną kompilację i porównanie **metadata hasha**. **Etherscan** prowadzi własną, autorską usługę weryfikacji per sieć (Etherscan, Arbiscan, BscScan itd.). Kontrakt może być zweryfikowany w jednym, ale nie w drugim. To narzędzie odpytuje **Sourcify**, bo jego API jest w pełni otwarte; jeśli Sourcify mówi "verified", Etherscan zwykle zgadza się w ciągu kilku godzin.

Czy kontrakt można zweryfikować ponownie później?

**Tak**, do Sourcify można wysłać źródła w dowolnym momencie, nawet lata po deployu. Dopóki źródła rekompilują się do wdrożonego bytecode'u, wpis się pojawia. W ten sposób członkowie społeczności weryfikują osierocone kontrakty, których oryginalny deployer nigdy nie ruszył. Nie trzeba żadnej zgody i nie ma opłaty, a weryfikacja jest **otwarta na wkład**, a nie zamknięta dla właściciela kontraktu.

Czym jest metadata hash, który porównuje perfect match?

Kiedy solc kompiluje kontrakt, dokleja mały CBOR-owy blob na koniec bytecode'u. Zawiera on **SHA-256 metadata.json** opisującego wersję kompilatora, ustawienia optymalizatora i dokładną treść plików źródłowych. Wystarczy jedna zmiana spacji w dowolnym pliku, żeby hash się zmienił. **Perfect match = metadata hash się zgadza**, dlatego to mocna gwarancja, że opublikowane źródło jest bit-identyczne z tym, co zostało wdrożone.

Czy bytecode on-chain naprawdę jest niezmienny?

**Tak dla zwykłych kontraktów.** Po deployu kodu runtime pod adresem nie można zmodyfikować: żaden klucz admina, żaden kompilator nie przepisze go. Jedyny sposób, żeby "zmienić" kontrakt, to **wdrożyć nowy i przestać używać starego**, dlatego istnieją proxy (patrz niżej). Wyjątkiem jest rzadki opcode **SELFDESTRUCT**, który usuwa kod całkowicie, ale nie może go zastąpić. Więc jeśli zweryfikowane źródło zgadzało się dzisiaj, zgadza się też za dziesięć lat.

Po co jest ABI i skąd się bierze?

**ABI** to JSON-owa lista każdej funkcji i eventu, jaki kontrakt udostępnia, razem z typami argumentów i selektorami. Biblioteki typu ethers, viem, web3.js i web3.py potrzebują go, żeby **kodować wywołania** i **dekodować odpowiedzi**. ABI da się napisać ręcznie ze źródła, ale kompilator generuje je za darmo i wbudowuje w metadane. To narzędzie ciągnie to ABI prosto z Sourcify, więc nie musisz nic rekompilować.

Czym są constructor args i dlaczego są pokazywane osobno?

**Constructor args** to wartości, które deployer przekazał **raz** przy wdrożeniu, żeby zainicjalizować rzeczy takie jak początkowy admin, nazwa tokena, maksymalna podaż itd. Są dopisywane do transakcji deployu i trzymane obok bytecode'u. Weryfikacja kontraktu wymaga rekompilacji dokładnego źródła ORAZ znajomości dokładnych constructor args; jeśli cokolwiek się różni, bytecode się nie zgadza. Sourcify udostępnia je jako osobny plik tekstowy, kiedy są.

A co z kontraktami proxy, czemu wyglądają dziwnie?

**Proxy** to cieniutki kontrakt, który forwarduje każde wywołanie do **kontraktu implementacji** trzymanego pod osobnym adresem. Popularne wzorce to **EIP-1967** (transparent proxy), **UUPS** i **diamond proxies**. Sam proxy ma często maleńkie zweryfikowane źródło (tylko logika forwardowania), a prawdziwe zachowanie żyje w implementacji. Żeby zaudytować proxy, musisz zweryfikować też **adres implementacji**: przeczytaj slot storage 0x360894... (EIP-1967) na proxy, a potem puść to narzędzie na adresie, który tam znajdziesz. USDC, USDT i większość nowoczesnych tokenów to z tego powodu upgradeable proxies.

YourDevToolsPro

Weryfikator smart kontraktów

Wklej adres, wybierz sieć, zobacz czy źródło kontraktu jest publicznie zweryfikowane w Sourcify. Pliki .sol, ABI, ustawienia kompilatora.

LiveDziała w przeglądarce

Weryfikator smart kontraktow

Wklej adres kontraktu i wybierz siec. Serwer odczyta bytecode on-chain i sprawdzi w Sourcify, czy ktos opublikowal pasujace zrodlo. Dostajesz pliki Solidity, ABI, ustawienia kompilatora i constructor args, kazdy z przyciskiem Kopiuj.

Jak to dziala

Serwer wywoluje eth_getCode na publicznym RPC wybranej sieci, a potem odpytuje Sourcify endpointami check-by-addresses i files/any. Z metadata.json wyciagamy wersje kompilatora, ustawienia optymalizatora i ABI. Wyniki cachujemy na godzine per chain:adres. Limit 30 weryfikacji na godzine na IP.

Co robi to narzędzie

Wklej adres smart kontraktu, wybierz sieć, a my sprawdzimy, czy wdrożony bytecode ma pasujące publiczne źródło w Sourcify. Status weryfikacji widzisz od razu: W pełni zweryfikowany, Częściowo zweryfikowany albo Niezweryfikowany. Jeśli dopasowanie istnieje, pobieramy każdy plik `.sol`, sparsowane ABI, constructor args i ustawienia kompilatora.

Bez klucza API i bez podłączania portfela. Lookup leci na serwerze przez publiczne endpointy Sourcify i RPC sieci, więc możesz zaudytować dowolny kontrakt na Ethereum, Optimism, Arbitrum, Base, Polygon lub BSC bez instalowania niczego.

Jak używać

Wklej adres kontraktu w pole. Musi mieć format `0x` plus 40 znaków heksadecymalnych.
Wybierz sieć, w której kontrakt żyje. Ten sam adres może hostować inny kod w różnych sieciach.
Kliknij "Weryfikuj". Serwer czyta bytecode on-chain i pyta Sourcify, czy ktoś opublikował pasujące źródło.
Przeczytaj plakietkę weryfikacji: zielona to perfect match, bursztynowa to partial match (różnią się metadane), czerwona to brak zweryfikowanego źródła.
Otwórz panel plików źródłowych i kliknij dowolny plik, żeby go rozwinąć. Każdy blok ma przycisk Kopiuj.
Przewiń do ABI, żeby wziąć opis interfejsu w JSON. To wkleisz do ethers, viem albo web3.py, żeby gadać z kontraktem.
Jeśli kontrakt miał constructor args, pokażą się jako osobny kopiowalny blok, przydatny przy redeployu tego samego kontraktu na testnecie.
Użyj chipów próbnych (USDC, WETH, Uniswap V2 Router), jeśli chcesz zobaczyć, jak wygląda w pełni zweryfikowany kontrakt.

Kiedy się przydaje

Sześć typowych sytuacji, w których sprawdzenie weryfikacji źródła chroni Cię przed kosztownymi błędami:

Przed podpisaniem transakcji w nowo poznanej dApp: otwórz adres kontraktu, zobacz czy źródło jest publiczne i przejrzyj funkcję, którą zaraz wywołasz. Niezweryfikowane kontrakty mogą robić wszystko.
Audyt tokena przed dodaniem do watchlisty: zweryfikowany kontrakt ze standardową implementacją ERC-20 to dużo słabszy sygnał scamu niż niezweryfikowany o tej samej nazwie.
Wyciąganie ABI dla kontraktu, z którym chcesz skryptować: nie musisz szukać repo projektu ani zgadywać selektorów funkcji. Blok ABI jest jeden klik dalej.
Porównanie dwóch kontraktów, które powinny być identyczne: wklej każdy adres po kolei, przewiń do plików źródłowych i zdiffuj lokalnie. Perfect match dzielą ten sam metadata hash.
Sprawdzenie, że implementacja za proxy nie zmieniła się po cichu: przeczytaj źródło proxy, znajdź slot implementacji, a potem zweryfikuj też sam kontrakt implementacji.
Onboarding nowych inżynierów: otwórz Uniswap V2 Router albo USDC w chipach próbnych, żeby w trzy sekundy pokazać, jak wygląda zdrowy zweryfikowany kontrakt.

Powiązane: info o tokenie ERC-20, tx hash detective, multi-chain address activity, walidator adresów krypto.

Pytania i odpowiedzi

Kiedy developer wdraża smart kontrakt, na chain ląduje tylko skompilowany bytecode. Oryginalnego Solidity tam nie ma. Weryfikacja źródła to sytuacja, w której developer publikuje pliki Solidity plus dokładne ustawienia kompilatora, ktoś je ponownie kompiluje, a wynik jest bajt po bajcie identyczny z kodem on-chain. Od tego momentu każdy patrzący na explorer widzi i czytelne źródło, i dowód, że zgadza się z tym, co działa. To najbliższy odpowiednik publicznego śladu audytowego, jaki krypto ma.

Mogą Cię też zainteresować

Powiązane narzędzia

Info o tokenie ERC-20

Wklej adres kontraktu, wybierz sieć, dostań nazwę, symbol, decimals i total supply prosto z blockchaina.

Detektyw hashy transakcji

Wklej hash 0x i zobacz na której sieci EVM jest, kto był nadawcą i odbiorcą, ile gasu kosztował i jakie tokeny ruszył. Autodetekcja po sześciu sieciach. Bez wallet, bez API key.

Aktywność adresu multi-chain

Wklej jeden adres 0x i zobacz saldo, liczbę transakcji oraz wartość USD na sześciu sieciach EVM: Ethereum, Optimism, Arbitrum, Base, Polygon i BSC. Bez wallet, bez logowania.

Walidator adresów krypto

Sprawdź czy adres BTC, ETH, SOL, LTC albo ADA jest poprawny, zanim wyślesz pieniądze.