Cosmos Vulnerability Scanner

Lance des scanners parallèles Cosmos SDK / CosmWasm pour les bugs d'arrêt de chaîne et de perte de fonds sur 54 patterns documentés.

par trailofbits · trailofbits/skills

Testé · Fonctionne ★ 9.2/10

Cosmos Vulnerability Scanner — Lance des scanners parallèles Cosmos SDK / CosmWasm pour les bugs d'arrêt de chaîne et de perte de fonds sur 54 patterns documentés.

Ce que fait

Exécute un scan de sécurité multi-agents structuré des modules Cosmos SDK et des contrats CosmWasm, vérifiant le code par rapport à 54 patterns de vulnérabilité documentés (non-déterminisme, paniques ABCI, incohérences de signataires, IBC, EVM, CosmWasm) et écrivant une découverte markdown par bug dans un répertoire de sortie. Se déclenche lors de l'audit de modules x/ personnalisés, de la révision d'intégrations IBC ou de la révision de sécurité de chaîne avant le lancement, et refuse explicitement le travail purement Solidity ou non critique pour le consensus.

Rapport de test

Fourni un module de récompenses Cosmos synthétique avec un bug d'itération de carte et un paiement `msg_server` non validé ; les propres documents de patterns de la compétence ont détecté les deux plus un troisième bug qu'une revue générique a manqué (panic-on-error dans EndBlock), chacun étiqueté avec la classe de gravité exacte perte de fonds vs arrêt de chaîne du fichier de référence. Les décomptes de patterns revendiqués (25 core / 16 IBC / 10 EVM / 3 CosmWasm) correspondent exactement au tableau `scanner-role` dans le `SKILL.md` lui-même.

Testé le: 2026-07-14 · Claude Code 2.x (agent harness)

Installation

git clone https://github.com/trailofbits/skills
cd skills
mkdir -p ~/.claude/skills
cp -r plugins/building-secure-contracts/skills/cosmos-vulnerability-scanner ~/.claude/skills/cosmos-vulnerability-scanner

Commandes et exemples de prompts

  • /cosmos-vulnerability-scannerLance des scanners parallèles Cosmos SDK / CosmWasm pour les bugs d'arrêt de chaîne et de perte de fonds sur 54 patterns documentés.

Les skills se déclenchent sur des demandes en langage courant — aucune commande à retenir. Après installation, des prompts comme ceux-ci l'activent (en anglais) :

  • Audit my Cosmos SDK module for vulnerabilities
  • Scan this ABCI handler for chain-halt panics
  • Check my Cosmos module for unauthenticated payouts