cairo-vulnerability-scanner
cairo-vulnerability-scanner
Catalogue généré le 2026-05-11
En une phrase
ScansScanne Cairo/StarkNetles smart contracts forCairo (le langage des dApps StarkNet, le "L2" de validité sur Ethereum) pour repérer 6 criticaltypes vulnerabilitiesde includingfailles felt252critiques arithmeticliées overflow,à L1-L2l'arithmétique messagingfelt252, issues,au addressstockage, conversionau problems,contrôle andd'accès signatureet replay.aux ponts L1/L2.
Quand l'utiliser
UseQuandwhentuauditingauditeras un contrat StarkNetprojects.écrit en Cairo (le langage spécifique de cet écosystème).
#[l1_handler]).
Si tu veux passer un coup de "Caracal" (l'analyseur statique Trail of Bits pour Cairo) avant l'audit externe.
Comment l'invoquer
- Slash command :
/cairo-vulnerability-scanner(si exposé dans ton CLI) - Phrases déclencheurs (texte) :
voir"auditlamydescriptionStarkNetcomplètecontract"ci-dessous/ "check Cairo contract" / "scan L1-L2 bridge" - Auto-invocation :
surSur demande explicite (généralement lors d'un audit).
Description complètedétaillée
ScansCairo Cairo/StarkNetest le langage des smart contracts forsur StarkNet, un "rollup de validité" qui exécute du code hors-Ethereum puis prouve cryptographiquement le résultat. Cairo a un type natif bizarre, le felt252 (un entier sur 252 bits, presque comme un uint256 mais pas tout à fait), qui crée des bugs d'arithmétique inattendus. Cairo 1.0 a changé pas mal de choses — beaucoup de codes existants ont des reliquats Cairo 0 dangereux.
Ce skill cherche 6 criticalpatterns vulnerabilitiescritiques including: 1) Unchecked Arithmetic (overflow/underflow sur felt252), arithmetic2) overflow,Storage L1-L2Collision messaging(deux issues,variables addressqui conversionse problems,mappent andau signaturemême replay.slot Usede whenstockage auditing— StarkNetl'une projects.écrase l'autre), 3) Missing Access Control (pas de vérification du caller sur des fonctions sensibles), 4) Improper Felt252 Boundaries (oublier que felt252 n'est pas exactement un uint256), 5) Unvalidated Contract Address (utiliser une adresse fournie par l'utilisateur sans la valider), 6) Missing Caller Validation (oublier get_caller_address() sur une fonction admin).
Il peut aussi exécuter Caracal, l'outil officiel Trail of Bits (caracal detect src/), pour compléter avec des règles automatisées.
Pour aller plus loin
Cairo/StarkNet
Pour Vulnerabilityles Scannerdétails
1.techniques Purpose
Systematically scan(exemples Cairo smart contracts on StarkNet for platform-specific security vulnerabilities related to arithmetic, cross-layer messaging, and cryptographic operations. This skill encodes 6 critical vulnerability1.0, patterns unique to Cairo/StarkNet ecosystem.
2. When to Use This Skill
3.et PlatformStarknet Detection
Foundry), File Extensions & Indicators
.cairoLanguage/Framework Markers
Project Structure
src/contract.cairosrc/lib.cairotests/Scarb.toml(extrait — voirconsulter le SKILL.md completoriginal pourà /home/thymon/.claude/plugins/cache/trailofbits/building-secure-contracts/1.0.1/skills/cairo-vulnerability-scanner/SKILL.md et la suite)ressource resources/VULNERABILITY_PATTERNS.md.
Source
- Plugin :
trailofbits/building-secure-contracts - Nom interne :
cairo-vulnerability-scanner - Fichier :
/home/thymon/.claude/plugins/cache/trailofbits/building-secure-contracts/1.0.1/skills/cairo-vulnerability-scanner/SKILL.md