Cómo verificar un contrato inteligente en TRON antes de confiar en él — TRON Wiki

Cómo verificar un contrato inteligente en TRON antes de confiar en él

10 min de lectura · ⌘K buscar

Antes de aprobar un token TRC-20, apostar activos o depositar en un grupo DeFi en TRON, debe saber con qué código está interactuando. TronScan permite a cualquiera inspeccionar contratos inteligentes: los contratos verificados publican una fuente de Solidity legible por humanos. Los contratos no verificados son binarios opacos que pueden ocultar puertas traseras.

Esta guía explica la verificación práctica de contratos para usuarios y desarrolladores cotidianos, con énfasis en la seguridad USDT y la debida diligencia de DeFi.

Por qué es importante la verificación del contrato

En TRON, los contratos inteligentes controlan:

  • TRC-20 saldos de tokens y reglas de transferencia
  • Enrutamiento de swaps DEX y fondos de liquidez
  • Garantía de préstamo y lógica de liquidación.
  • Gastadores de aprobación que pueden mover tus tokens.

Un contrato malicioso puede parecer una interfaz de DApp legítima al implementar llamadas transferFrom ocultas, funciones mint exclusivas para el propietario o bloques de venta de honeypot. La verificación es la primera capa de defensa, no la única.

Verificado ≠ auditado ≠ seguro
La verificación confirma que el origen coincide con el código de bytes implementado. No prueba que los desarrolladores sean honestos o que los auditores revisaron el código.

Paso 1: busque el contrato en TronScan

  1. Navegue hasta https://tronscan.org.
  2. Pegue la dirección del contrato (34 caracteres, comienza con T).
  3. Abra la pestaña Contrato.

Para los tokens, consulte también la descripción general de Token: nombre, símbolo, titulares y volumen de transferencia.

Paso 2: Verificar la insignia de verificación

Visualización de contratos verificados:

  • Cheque verde / etiqueta "Verificado"
  • Código fuente en la pestaña Contrato (Solididad)
  • Versión del compilador y configuración de optimización.
  • Identificador de licencia (si se proporciona)

Los contratos no verificados solo muestran código de bytes. No apruebe tokens ni deposite fondos en contratos opacos a menos que acepte completamente el riesgo.

Paso 3: Referencias cruzadas de fuentes oficiales

Compare la dirección con:

Activo / ProtocoloDónde verificar
USDT TRC-20Anuncios de Tether.to, listas de tokens de intercambio
SunSwapDocumentos de sun.io y GitHub oficial
JustLenddocumentación justlend.org
Proyecto personalizadoLanzamientos oficiales de Twitter/X, Medium y GitHub

Las direcciones en los sitios de phishing a menudo difieren en un carácter de las implementaciones reales. Copia de documentos oficiales, no de mensajes directos de Discord.

Paso 4: Revisar los metadatos del contrato

Campos útiles en TronScan:

  • Dirección del creador: billetera del implementador. Buscar en el historial del creador tiradores de alfombras.
  • Fecha de creación: los contratos nuevos que suponen millones en TVL son sospechosos.
  • Recuento de transacciones: Legítimo USDT tiene una enorme actividad.
  • Leer contrato/escribir contrato: llame a name(), symbol(), decimals() en los tokens TRC-20 para confirmar los metadatos.

Para USDT, espere siempre:

Código
TR7NHqjeKQxGTCi8q8ZY4pL8otSzgjLj6t

Banderas rojas en el código fuente verificado

Incluso el código verificado puede ser malicioso. Los no desarrolladores deben estar atentos a las insignias de auditoría y la reputación de la comunidad; los desarrolladores pueden buscar:

  • Funciones onlyOwner que llaman a _transfer desde saldos de usuarios arbitrarios
  • Oculto mint sin tapa
  • Ventas de bloqueo de mapeo de lista negra (patrón Honeypot)
  • Contratos proxy que apuntan a implementaciones actualizables controladas por una clave
  • selfdestruct o delegar llamada a módulos externos no verificados

Consulte tokens de Honeypot en TRON para conocer los patrones de bloques de venta.

Verificación antes de la aprobación de tokens

Cuando una dApp solicita la aprobación USDT, la dirección del gastador es el contrato que debe verificar, no solo el token.

  1. Anote la dirección del gastador en la ventana emergente TronLink.
  2. Búscalo en TronScan.
  3. Confirme que coincida con la dirección del enrutador/grupo en los documentos oficiales del protocolo.
  4. Rechazar si se desconoce o se implementó recientemente sin documentación.

Para desarrolladores: enviar verificación

Después de implementar con TronBox o TronIDE:

  1. Compile con la versión exacta del compilador utilizada en la cadena.
  2. En TronScan página de contrato → Verificar contrato.
  3. Cargue la fuente, los argumentos del constructor y la configuración de optimización.
  4. Haga coincidir los enlaces de licencia y biblioteca (importaciones de OpenZeppelin).

La verificación precisa genera confianza en el usuario y reduce los tickets de soporte.

Referencia rápida: contratos de alta confianza

Confirme siempre las direcciones actuales en los documentos oficiales: las implementaciones se pueden actualizar a través de servidores proxy.

Token/ProtocoloContrato Mainnet (verificar antes de usar)
USDTTR7NHqjeKQxGTCi8q8ZY4pL8otSzgjLj6t
WTRX (SunSwap)Consulte los documentos de sun.io para conocer la dirección actual de WTRX
USDDConsulte los anuncios oficiales de TRON DAO / USDD

Preguntas frecuentes

¿Un contrato verificado en TronScan significa que es seguro?

No. La verificación solo demuestra que el código de bytes en cadena coincide con el código fuente publicado. El código en sí aún puede contener lógica maliciosa o trampas económicas.

¿Dónde verifico el contrato oficial USDT?

Busque TR7NHqjeKQxGTCi8q8ZY4pL8otSzgjLj6t en TronScan. Tether USD debería mostrarse como verificado con un extenso historial de transferencias y un recuento de titulares.

¿Pueden los estafadores verificar contratos maliciosos?

Sí. La verificación no tiene permiso. Un honeypot verificado sigue siendo un honeypot: lea auditorías e informes de la comunidad.

¿Qué pasa si el contrato utiliza un patrón de proxy?

Verifique la dirección del proxy en TronScan y rastree el contrato de implementación. Las actualizaciones pueden cambiar la lógica: monitorear la gobernanza y los bloqueos de tiempo.

¿Cómo se relaciona esto con el USDT falso?

Fake USDT utiliza diferentes direcciones de contrato con nombres engañosos. La verificación y el control cruzado de direcciones detectan falsificaciones. Consulte estafas falsas USDT.

Lista de verificación para solucionar problemasSi algo sale mal en TRON, trátelo como un problema de depuración estructurado: confirme el txid exacto en la cadena, verifique la dirección del contrato de destino y solo entonces decida si la falla es recuperable. En TRON, muchos problemas "misteriosos" son simplemente uno de: red incorrecta (mainnet vs testnet), contrato de token incorrecto (falso USDT/tokens con nombres similares), recursos insuficientes (OUT_OF_ENERGY/ancho de banda) o retraso en la interfaz de usuario/indexador entre la billetera y el explorador.

Comience con estas comprobaciones en cadena:

  • Copie siempre el txid/hash completo de su billetera o explorador.
  • Confirme el estado del resultado del tx en TronScan (SUCCESS, REVERT, OUT_OF_ENERGY o aún pendiente).
  • Compruebe si la dirección del destinatario/contrato coincide con la que desea enviar.
  • Si se trata de una llamada de contrato, confirme que el selector de función y los parámetros coincidan con el estándar de token que cree que está utilizando (TRC-20 vs TRC-10 vs BEP-20 en BSC).

Luego aplique la ruta de corrección para su categoría:

  • Confirmar el estado y los parámetros de la transacción.
  • Verificar direcciones (contrato de token, destinatario, enrutador/gastador).
  • Agregar o delegar recursos (Energía/Ancho de banda) cuando el fallo esté basado en recursos.

Errores comunes

Estos patrones causan la mayoría de los errores a nivel de usuario:

  • Usar direcciones de mainnet en testnet (o al revés).
  • Copiar un símbolo de token en lugar de la dirección del contrato TRC-20 real.
  • Firmar la dirección de aprobación/gastador incorrecta porque el enlace de la interfaz de usuario es malicioso o está desactualizado.
  • Reintentar sin cambiar la entrada fallida (por ejemplo, REVERT sigue revirtiéndose hasta que corrija el parámetro).

Si no está seguro, no “simplemente envíe de nuevo”. Realice un cambio controlado, verifique en TronScan y luego continúe.

Preguntas frecuentes

¿Cómo sé si una transacción está realmente confirmada?

Utilice TronScan y verifique el estado del resultado del tx. Las etiquetas "pendientes" de la billetera pueden retrasarse; El estado de la cadena es la fuente de la verdad. Copie txid y verifique SUCCESS/REVERT/OUT_OF_ENERGY, no solo el texto de la interfaz de usuario.

¿Por qué la interfaz de usuario difiere de TronScan?

Algunas billeteras y dApps utilizan diferentes indexadores o capas de caché. Es normal que haya un breve retraso entre la transmisión y la indexación; compare txid y espere a que la cadena se estabilice antes de concluir que hay una falla.

¿Qué debo hacer después de un REVERT?

Detenga y decodifique la llamada fallida. La mayoría de los REVERT se deben a parámetros no válidos, dirección de contrato incorrecta, aprobaciones faltantes o una falta de coincidencia entre el estándar del token y el método. Solucione la causa y luego vuelva a firmar.

¿Es seguro firmar una aprobación ilimitada?

Las aprobaciones ilimitadas son seguras solo para direcciones de gastadores confiables que usted haya verificado (fuente verificada, enrutador correcto y contrato de token esperado). Para las pruebas, prefiera aprobaciones limitadas y revoque una vez que haya terminado.

¿Qué recursos requiere TRON para las llamadas de contrato?

La ejecución de contratos inteligentes consume principalmente energía, mientras que los bytes de transacciones consumen ancho de banda. Si recibe OUT_OF_ENERGY, agregue/congela/delegue energía. Si se agota el ancho de banda, concéntrese en mantener suficiente líquido TRX para bytes y asignación de recursos.

¿Cómo puedo reducir los tickets de soporte?

Muestre a los usuarios un mensaje claro de "qué sucedió" basado en el estado de la cadena y vincule directamente a la guía relevante (pendiente, fallida, sin energía o verificación). Guarda txid para que puedas conciliar rápidamente.