智能合约验证的全面指南

BuildBear
发布于 2024-06-11 15:13
阅读 87

本文介绍了智能合约的验证过程及其在区块链交易中的重要性，通过实例展示了如何使用Sourcify工具进行智能合约的验证，确保合约的安全性和透明性。此外，文章还包含了如何在BuildBear环境中部署和验证多个合约的详细步骤，帮助开发者降低合约漏洞风险。

![](https://img.learnblockchain.cn/2025/03/29/1gr2rj3mQE4zsAXMOQtkDzg.png)

智能合约自动化并确保区块链交易的防篡改执行。鉴于区块链的不可变性，彻底测试和验证智能合约对于保护有价值资产免受黑客利用的漏洞至关重要。本教程将解释智能合约验证的重要性，并演示如何使用最好的工具之一验证合约。

## 智能合约：通过验证确保安全

让我们回顾一下智能合约及其组成部分。智能合约是基于区块链上预定义条件执行的程序。它消除了对中介的需求，确保交易透明、安全且不可篡改。但我们如何确保部署在区块链上的智能合约是安全和透明的呢？我们如何能确信智能合约中的逻辑如预期般执行？

让我们看看2016年DAO黑客攻击等往事，其中智能合约中的漏洞导致价值5000万美元的以太币被盗。如果合约经过彻底验证，这次违规行为可能本可以被阻止。同样，2017年Parity钱包的错误导致由于合约代码中的缺陷，1.5亿美元的以太币被冻结。这些事件突显了验证过程的重要性，以防止因未经验证的合约而造成重大损失。

## 什么是智能合约验证？

智能合约验证确保合约的源代码与其在区块链上的字节码匹配。当合约被编译时，会生成几个副产品，包括字节码、ABI（应用程序二进制接口）和元数据。字节码是机器可读的，人类无法直接检查它是否与源代码匹配。验证确认已部署的字节码与源代码相对应，从而提供透明度和安全性。以下是你应验证合约的原因：

- **安全性：** 验证帮助识别和减轻漏洞。
- **透明性：** 确保合约按预期行为。
- **信任：** 增强用户和利益相关者之间的信心。

## 如何验证智能合约？

智能合约的验证可以使用自动化工具进行。工具的选择取决于所使用的区块链和编程语言。虽然Etherscan是一个流行的工具，但它是中心化的，这与区块链的去中心化特性相悖。为什么选择中心化的工具，而智能合约和区块链的唯一目的就是去中心化？

[**Sourcify**](https://sourcify.dev/) 是最好的替代方案去中心化平台用于solidity智能合约验证，预计未来会变得更加广泛使用。它利用你的合约的[元数据](https://learnblockchain.cn/docs/solidity/metadata.html) 进行验证。元数据包含与合约交互的所有信息，如编译器设置、源代码、ABI 和 Natspec 注释。Etherscan 不保证注释与部署期间使用的匹配。因此，Etherscan上的第一次验证被接受为正确，这可能导致如果注释不同而出现不一致。

你想在主网部署之前在类似环境中测试你的智能合约，并在私有设置中验证合约以调用智能合约功能吗？BuildBear Sourcify插件可以满足你的需求。我们将看到如何使用Sourcify插件在Foundry项目中一次性验证多个合约。

## 使用BuildBear Sandbox与Sourcify验证合约

在本教程中，我们将探讨如何使用一组经过Sourcify验证的智能合约在Foundry中实现去中心化治理系统。

### 设置开发环境：

从[BuildBear](https://home.buildbear.io/) 创建一个私有沙箱，如果你是BuildBear的新用户，请参考我们全面的文档以注册和创建你的沙箱 [这里](https://docs.buildbear.io/docs/intro)。

![](https://img.learnblockchain.cn/2025/03/29/0BU9VWgx_YAWEHCAX.png)

### 编写智能合约

我们的治理系统将包括以下合约：

**GovToken.sol**：具有投票和权限功能的ERC20代币，允许代币持有者参与治理流程。

**Timelock Contract：** 该合约扩展了OpenZeppelin TimelockController合约，并添加了指定提案者和执行者的附加功能。

**Box contract：** 该合约允许所有者存储和检索一个单一的无符号整数值。

**MyGovernor.sol**：OpenZeppelin Governor合约的扩展，融入投票、投票计数、投票法定人数、时间锁控制和提案管理功能。

克隆包含所有合约和脚本的库以部署和验证DAO治理。

```
git clone https://github.com/BuildBearLabs/Tutorials.git
cd DAO
forge install
forge build
```

### 部署合约并使用Sourcify进行验证。

为了在一个命令中部署所有合约，我们设置了一个部署脚本。通过运行以下命令，它将一次性部署和验证所有合约。

你可以根据“验证合约”选项轻松复制和粘贴沙箱仪表板上的命令。

要运行脚本，请将其替换为你的BuildBear沙箱RPC：

```
forge script script/Deploy.s.sol --rpc-url <YOUR_RPC_URL> --private-key <"YOUR_PRIVATE_KEY"> --verify --verifier sourcify --verifier-url https://rpc.buildbear.io/verify/sourcify/server/<YOR_NODE_ID> -vvvv --broadcast --slow
```

![](https://img.learnblockchain.cn/2025/03/29/0dJiqQ3ZwMkMA_JM_.png)

成功执行后，前往Explorer检查源代码，确保你的合约验证通过Sourcify。

![](https://img.learnblockchain.cn/2025/03/29/0GpzUksLYUjkBuZV9.png)

## 结论

智能合约的测试和验证是Web3开发生命周期的关键。它确保了区块链的无信任、透明特性，使源代码可验证，并减小了漏洞风险。Sourcify可以定义为去中心化的Etherscan，实现无缝的验证，利用合约元数据。BuildBear沙箱通过提供一个与主网设置相似的私有部署环境来补充这一点。随着Sourcify插件的无缝集成到BuildBear沙箱中，开发者体验到了智能合约验证过程的高效与便利。

## 关于BuildBear：

[BuildBear](https://www.buildbear.io/) 是一个为DApp开发和测试量身定制的平台。开发者可以在各种区块链网络上自由构建个性化的私有测试网络沙箱。在BuildBear上铸造无限的本地和ERC20代币，加上快速的交易时间（低于3秒！），极大地提升了DApp开发生命周期。该平台配备了实时测试和调试的工具和插件，确保开发者能够以无与伦比的便利跟踪复杂的区块链交易。

**关注我们的** [Twitter](https://twitter.com/_BuildBear) \| [LinkedIn](https://www.linkedin.com/company/build-bear/) \| [Telegram](https://t.me/Web3_dApp_Developers) \| [GitHub](https://github.com/BuildBearLabs)

>- 原文链接： [medium.com/buildbear/a-c...](https://medium.com/buildbear/a-comprehensive-guide-to-smart-contract-verification-3755afe54d6b)
>- 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

智能合约：通过验证确保安全

什么是智能合约验证？

安全性： 验证帮助识别和减轻漏洞。
透明性： 确保合约按预期行为。
信任： 增强用户和利益相关者之间的信心。

如何验证智能合约？

Sourcify 是最好的替代方案去中心化平台用于solidity智能合约验证，预计未来会变得更加广泛使用。它利用你的合约的元数据进行验证。元数据包含与合约交互的所有信息，如编译器设置、源代码、ABI 和 Natspec 注释。Etherscan 不保证注释与部署期间使用的匹配。因此，Etherscan上的第一次验证被接受为正确，这可能导致如果注释不同而出现不一致。

使用BuildBear Sandbox与Sourcify验证合约

在本教程中，我们将探讨如何使用一组经过Sourcify验证的智能合约在Foundry中实现去中心化治理系统。

设置开发环境：

从BuildBear 创建一个私有沙箱，如果你是BuildBear的新用户，请参考我们全面的文档以注册和创建你的沙箱这里。

编写智能合约

我们的治理系统将包括以下合约：

GovToken.sol：具有投票和权限功能的ERC20代币，允许代币持有者参与治理流程。

Timelock Contract： 该合约扩展了OpenZeppelin TimelockController合约，并添加了指定提案者和执行者的附加功能。

Box contract： 该合约允许所有者存储和检索一个单一的无符号整数值。

MyGovernor.sol：OpenZeppelin Governor合约的扩展，融入投票、投票计数、投票法定人数、时间锁控制和提案管理功能。

克隆包含所有合约和脚本的库以部署和验证DAO治理。

git clone https://github.com/BuildBearLabs/Tutorials.git
cd DAO
forge install
forge build

部署合约并使用Sourcify进行验证。

为了在一个命令中部署所有合约，我们设置了一个部署脚本。通过运行以下命令，它将一次性部署和验证所有合约。

你可以根据“验证合约”选项轻松复制和粘贴沙箱仪表板上的命令。

要运行脚本，请将其替换为你的BuildBear沙箱RPC：

forge script script/Deploy.s.sol --rpc-url &lt;YOUR_RPC_URL> --private-key &lt;"YOUR_PRIVATE_KEY"> --verify --verifier sourcify --verifier-url https://rpc.buildbear.io/verify/sourcify/server/&lt;YOR_NODE_ID> -vvvv --broadcast --slow

成功执行后，前往Explorer检查源代码，确保你的合约验证通过Sourcify。

结论

关于BuildBear：

BuildBear 是一个为DApp开发和测试量身定制的平台。开发者可以在各种区块链网络上自由构建个性化的私有测试网络沙箱。在BuildBear上铸造无限的本地和ERC20代币，加上快速的交易时间（低于3秒！），极大地提升了DApp开发生命周期。该平台配备了实时测试和调试的工具和插件，确保开发者能够以无与伦比的便利跟踪复杂的区块链交易。

关注我们的 Twitter | LinkedIn | Telegram | GitHub