Cosmos Vulnerability Scanner
Genera escáneres paralelos de Cosmos SDK / CosmWasm para errores de detención de cadena y pérdida de fondos en 54 patrones documentados.
Probado · Funciona
Qué hace
Ejecuta un escaneo de seguridad estructurado multi-agente de módulos Cosmos SDK y contratos CosmWasm, verificando el código contra 54 patrones de vulnerabilidad documentados (no-determinismo, panics de ABCI, desajustes de firmantes, IBC, EVM, CosmWasm) y escribiendo un hallazgo markdown por error en un directorio de salida. Se activa al auditar módulos x/ personalizados, revisar integraciones IBC o realizar una revisión de seguridad de la cadena previa al lanzamiento, y declina explícitamente el trabajo puramente Solidity o no crítico para el consenso.
Informe de la prueba
Se le proporcionó un módulo de recompensas Cosmos sintético con un error de iteración de mapa y un pago msg_server no validado; los propios documentos de patrones de la habilidad detectaron ambos más un tercer error que una revisión genérica pasó por alto (panic-on-error en EndBlock), cada uno etiquetado con la clase de severidad exacta de fund-loss-vs-chain-halt del archivo de referencia. Los recuentos de patrones declarados (25 core / 16 IBC / 10 EVM / 3 CosmWasm) coinciden exactamente con la tabla de roles de escáner en el propio SKILL.md.
Probado el: 2026-07-14 · Claude Code 2.x (agent harness)
Instalación
git clone https://github.com/trailofbits/skills cd skills mkdir -p ~/.claude/skills cp -r plugins/building-secure-contracts/skills/cosmos-vulnerability-scanner ~/.claude/skills/cosmos-vulnerability-scanner
Comandos y prompts de ejemplo
/cosmos-vulnerability-scannerGenera escáneres paralelos de Cosmos SDK / CosmWasm para errores de detención de cadena y pérdida de fondos en 54 patrones documentados.
Los skills se activan con peticiones en lenguaje natural, sin comandos que memorizar. Tras instalarlo, prompts como estos lo activan (en inglés):
Audit my Cosmos SDK module for vulnerabilitiesScan this ABCI handler for chain-halt panicsCheck my Cosmos module for unauthenticated payouts