Skip to main content

algorand-vulnerability-scanner

algorand-vulnerability-scanner

Catalogue généré le 2026-05-11

En une phrase

ScansScanne Algorandles smart contracts forAlgorand (écrits en TEAL ou PyTeal) pour repérer 11 commontypes vulnerabilitiesde includingfailles rekeyingclassiques attacks,sur uncheckedcette transactionchaîne, fees,dont missingla fieldplus validations,emblématique and: accessl'attaque controlpar issues."rekeying" (donner l'autorité d'un compte à un attaquant).

Quand l'utiliser

  • UseQuand whentu auditingauditeras un projet Algorand projects(DeFi, NFT, application stateful).
Avant de pousser une "logic signature" (TEAL/PyTeal)smart contract sans état) en prod. Pour vérifier qu'un programme TEAL bloque bien la "rekeying attack" (= modifier secrètement la clé d'autorité d'un compte pour en prendre le contrôle). Quand le projet utilise des transactions groupées atomiques ("atomic groups") — l'ordre des transactions peut être manipulé. Pour tester rapidement avec Tealer (l'analyseur statique Trail of Bits dédié à Algorand).

Comment l'invoquer

  • Slash command : /algorand-vulnerability-scanner (si exposé dans ton CLI)
  • Phrases déclencheurs (texte) : voir"audit lamy descriptionAlgorand complètecontract" ci-dessous/ "check PyTeal contract" / "scan TEAL approval program"
  • Auto-invocation : surSur demande explicite (généralement lors d'un audit).

Description complètedétaillée

Scans Algorand smartest contractsune forblockchain "pure proof-of-stake" avec un modèle de transaction très particulier : chaque transaction porte beaucoup de champs (RekeyTo, CloseRemainderTo, AssetCloseTo...) que le contrat doit vérifier explicitement. Si tu oublies de vérifier RekeyTo, un attaquant peut détourner ton compte. Les contrats sont écrits en TEAL (assembleur) ou plus souvent en PyTeal (DSL Python qui compile en TEAL).

Ce skill couvre 11 commonpatterns vulnerabilities: including1) rekeyingRekeying attacks, unchecked transaction fees, missing field validations, and access control issues. Use when auditing Algorand projectsVulnerability (TEAL/CRITICAL — oubli du check RekeyTo), 2) Missing Transaction Verification (pas de check GroupSize/GroupIndex), 3) Group Transaction Manipulation, 4) Asset Clawback Risk, 5) Application State Manipulation, 6) Asset Opt-In Missing, 7) Minimum Balance Violation, 8) Close Remainder To Check (oubli qui peut vider un compte), 9) Application Clear State (peut être abusé pour bypass), 10) Atomic Transaction Ordering (supposer un ordre sans le valider), 11) Logic Signature Reuse (sigs réutilisables = replay attack).

Le skill cherche les fichiers .teal et .py (PyTeal)., peut lancer Tealer (pip3 install tealer; tealer contract.teal --detect all) et te livre un rapport hiérarchisé.

Pour aller plus loin

Algorand

Pour Vulnerabilityles Scannerdétails

1. Purpose

Systematically scan Algorand smart contractstechniques (TEAL and PyTeal) for platform-specific security vulnerabilities documented in Trail of Bits' "Not So Smart Contracts" database. This skill encodes 11 critical vulnerability patterns unique to Algorand's transaction model.

2. When to Use This Skill

    Auditing Algorand smart contracts (stateful applications or smart signatures) Reviewing TEAL assembly or TEAL/PyTeal codecomplets, Pre-auditexemples securityde assessmentvulnérabilités ofexploitables, Algorandintégration projectsTealer Validatinget fixesBeaker), for reported Algorand vulnerabilities Training team on Algorand-specific security patterns

    3. Platform Detection

    File Extensions & Indicators

      TEAL files: .teal PyTeal files: .py with PyTeal imports

      Language/Framework Markers

      Project Structure

        approval_program.py / clear_program.py contract.teal / signature.teal

        (extrait — voirconsulter le SKILL.md completoriginal pourà /home/thymon/.claude/plugins/cache/trailofbits/building-secure-contracts/1.0.1/skills/algorand-vulnerability-scanner/SKILL.md et la suite)ressource resources/VULNERABILITY_PATTERNS.md.

        Source

        • Plugin : trailofbits/building-secure-contracts
        • Nom interne : algorand-vulnerability-scanner
        • Fichier : /home/thymon/.claude/plugins/cache/trailofbits/building-secure-contracts/1.0.1/skills/algorand-vulnerability-scanner/SKILL.md