Skip to main content

cairo-vulnerability-scanner

cairo-vulnerability-scanner

Catalogue généré le 2026-05-11

En une phrase

ScansScanne Cairo/StarkNetles smart contracts forCairo (le langage des dApps StarkNet, le "L2" de validité sur Ethereum) pour repérer 6 criticaltypes vulnerabilitiesde includingfailles felt252critiques arithmeticliées overflow,à L1-L2l'arithmétique messagingfelt252, issues,au addressstockage, conversionau problems,contrôle andd'accès signatureet replay.aux ponts L1/L2.

Quand l'utiliser

  • UseQuand whentu auditingauditeras un contrat StarkNet projects.écrit en Cairo (le langage spécifique de cet écosystème).
Avant de mettre en prod un projet sur StarkNet (DeFi, NFT, etc.). Quand le projet inclut un pont L1-L2 (un mécanisme qui fait transiter des fonds entre Ethereum et StarkNet) — c'est souvent là que se trouvent les plus gros bugs. Pour valider les fonctions qui acceptent des messages venant d'Ethereum (#[l1_handler]). Si tu veux passer un coup de "Caracal" (l'analyseur statique Trail of Bits pour Cairo) avant l'audit externe.

Comment l'invoquer

  • Slash command : /cairo-vulnerability-scanner (si exposé dans ton CLI)
  • Phrases déclencheurs (texte) : voir"audit lamy descriptionStarkNet complètecontract" ci-dessous/ "check Cairo contract" / "scan L1-L2 bridge"
  • Auto-invocation : surSur demande explicite (généralement lors d'un audit).

Description complètedétaillée

ScansCairo Cairo/StarkNetest le langage des smart contracts forsur StarkNet, un "rollup de validité" qui exécute du code hors-Ethereum puis prouve cryptographiquement le résultat. Cairo a un type natif bizarre, le felt252 (un entier sur 252 bits, presque comme un uint256 mais pas tout à fait), qui crée des bugs d'arithmétique inattendus. Cairo 1.0 a changé pas mal de choses — beaucoup de codes existants ont des reliquats Cairo 0 dangereux.

Ce skill cherche 6 criticalpatterns vulnerabilitiescritiques including: 1) Unchecked Arithmetic (overflow/underflow sur felt252), arithmetic2) overflow,Storage L1-L2Collision messaging(deux issues,variables addressqui conversionse problems,mappent andau signaturemême replay.slot Usede whenstockage auditing StarkNetl'une projects.écrase l'autre), 3) Missing Access Control (pas de vérification du caller sur des fonctions sensibles), 4) Improper Felt252 Boundaries (oublier que felt252 n'est pas exactement un uint256), 5) Unvalidated Contract Address (utiliser une adresse fournie par l'utilisateur sans la valider), 6) Missing Caller Validation (oublier get_caller_address() sur une fonction admin).

Il peut aussi exécuter Caracal, l'outil officiel Trail of Bits (caracal detect src/), pour compléter avec des règles automatisées.

Pour aller plus loin

Cairo/StarkNet

Pour Vulnerabilityles Scannerdétails

1.techniques Purpose

Systematically scan(exemples Cairo smart contracts on StarkNet for platform-specific security vulnerabilities related to arithmetic, cross-layer messaging, and cryptographic operations. This skill encodes 6 critical vulnerability1.0, patterns unique to Cairo/StarkNet ecosystem.

2. When to Use This Skill

    Auditing StarkNet smart contracts (Cairo) Reviewing L1-L2 bridge implementations Pre-launch security assessment of StarkNet applications Validating cross-layer message handling Reviewing signature verification logic Assessing L1 handlerhandlers, functionsintégration Caracal

    3.et PlatformStarknet Detection

    Foundry),

    File Extensions & Indicators

      Cairo files: .cairo

      Language/Framework Markers

      Project Structure

        src/contract.cairo - Main contract implementation src/lib.cairo - Library modules tests/ - Contract tests Scarb.toml - Cairo project configuration

        (extrait — voirconsulter le SKILL.md completoriginal pourà /home/thymon/.claude/plugins/cache/trailofbits/building-secure-contracts/1.0.1/skills/cairo-vulnerability-scanner/SKILL.md et la suite)ressource resources/VULNERABILITY_PATTERNS.md.

        Source

        • Plugin : trailofbits/building-secure-contracts
        • Nom interne : cairo-vulnerability-scanner
        • Fichier : /home/thymon/.claude/plugins/cache/trailofbits/building-secure-contracts/1.0.1/skills/cairo-vulnerability-scanner/SKILL.md