Cosmos Vulnerability Scanner

Genera escáneres paralelos de Cosmos SDK / CosmWasm para errores de detención de cadena y pérdida de fondos en 54 patrones documentados.

Por trailofbits · trailofbits/skills

Probado · Funciona ★ 9.2/10

Cosmos Vulnerability Scanner — Genera escáneres paralelos de Cosmos SDK / CosmWasm para errores de detención de cadena y pérdida de fondos en 54 patrones documentados.

Qué hace

Ejecuta un escaneo de seguridad estructurado multi-agente de módulos Cosmos SDK y contratos CosmWasm, verificando el código contra 54 patrones de vulnerabilidad documentados (no-determinismo, panics de ABCI, desajustes de firmantes, IBC, EVM, CosmWasm) y escribiendo un hallazgo markdown por error en un directorio de salida. Se activa al auditar módulos x/ personalizados, revisar integraciones IBC o realizar una revisión de seguridad de la cadena previa al lanzamiento, y declina explícitamente el trabajo puramente Solidity o no crítico para el consenso.

Informe de la prueba

Se le proporcionó un módulo de recompensas Cosmos sintético con un error de iteración de mapa y un pago msg_server no validado; los propios documentos de patrones de la habilidad detectaron ambos más un tercer error que una revisión genérica pasó por alto (panic-on-error en EndBlock), cada uno etiquetado con la clase de severidad exacta de fund-loss-vs-chain-halt del archivo de referencia. Los recuentos de patrones declarados (25 core / 16 IBC / 10 EVM / 3 CosmWasm) coinciden exactamente con la tabla de roles de escáner en el propio SKILL.md.

Probado el: 2026-07-14 · Claude Code 2.x (agent harness)

Instalación

git clone https://github.com/trailofbits/skills
cd skills
mkdir -p ~/.claude/skills
cp -r plugins/building-secure-contracts/skills/cosmos-vulnerability-scanner ~/.claude/skills/cosmos-vulnerability-scanner

Comandos y prompts de ejemplo

  • /cosmos-vulnerability-scannerGenera escáneres paralelos de Cosmos SDK / CosmWasm para errores de detención de cadena y pérdida de fondos en 54 patrones documentados.

Los skills se activan con peticiones en lenguaje natural, sin comandos que memorizar. Tras instalarlo, prompts como estos lo activan (en inglés):

  • Audit my Cosmos SDK module for vulnerabilities
  • Scan this ABCI handler for chain-halt panics
  • Check my Cosmos module for unauthenticated payouts