Skip to main content

cosmos-vulnerability-scanner

cosmos-vulnerability-scanner

Catalogue généré le 2026-05-11

En une phrase

ScansScanne les modules d'une blockchain Cosmos SDK blockchains(en forGo) ou les smart contracts CosmWasm (en Rust) pour repérer 9 consensus-criticaltypes vulnerabilitiesde includingfailles non-determinism,critiques incorrectqui signers,peuvent ABCIhalter panics,la andchaîne, roundingcasser errors.le consensus ou faire perdre des fonds.

Quand l'utiliser

  • UseQuand whentu auditingtouches à une blockchain de l'écosystème Cosmos chains(Cosmos orHub, Osmosis, Injective, etc.) ou à un contrat CosmWasm.
Avant de pousser un module custom (x/monmodule/) en prod. Pour vérifier qu'un contrat CosmWasm contracts.valide bien les "denoms" (= les noms de tokens — accepter un token bidon est une attaque classique). Quand tu intègres l'IBC (Inter-Blockchain Communication, le pont entre chaînes Cosmos) — des erreurs IBC peuvent vider des pools. Pour enquêter sur un crash de chaîne ("chain halt") après un upgrade.

Comment l'invoquer

  • Slash command : /cosmos-vulnerability-scanner (si exposé dans ton CLI)
  • Phrases déclencheurs (texte) : voir"audit lamy descriptionCosmos complètemodule" ci-dessous/ "check CosmWasm contract" / "scan IBC handler"
  • Auto-invocation : surSur demande explicite (généralement lors d'un audit).

Description complètedétaillée

Scans Cosmos SDKest un écosystème de blockchains forinteropérables, où chaque chaîne est faite de modules Go (x/banking, x/staking...) ou héberge des contrats CosmWasm écrits en Rust. La grande particularité : si un module produit un résultat différent sur deux nœuds (= "non-déterminisme"), la chaîne s'arrête. Un simple time.Now() ou un map Go non trié peut tout faire planter.

Ce skill cherche 9 consensus-criticalpatterns vulnerabilities: including1) non-determinism,Missing incorrectDenom signers,Validation (accepter n'importe quel token), 2) Insufficient Authorization (oublier de vérifier qui envoie le message), 3) Missing Balance Check, 4) Improper Reply Handling (mal gérer les réponses de sous-messages), 5) Missing Reply ID Check, 6) Improper IBC Packet Validation (paquets cross-chain non validés — fuites de fonds), 7) Unvalidated Execute Message, 8) Integer Overflow, 9) Reentrancy via Submessages (modifier l'état avant un appel externe — réentrance possible).

Il cible aussi les méthodes ABCI panics,(BeginBlocker, andEndBlocker, roundingCheckTx, errors.DeliverTx) Usequi whensont auditingconsensus-critiques, Cosmoset chainsutilise orCodeQL CosmWasmsi contracts.dispo pour traquer le non-déterminisme.

Pour aller plus loin

Cosmos

Pour Vulnerabilityles Scannerdétails

1.techniques Purpose

(exemples

SystematicallyGo scanet Cosmos SDK blockchain modules and CosmWasm smart contracts for platform-specific security vulnerabilities that can cause chain halts, consensus failures, or fund loss. This skill encodes 9 critical vulnerabilityRust, patterns uniqueIBC, tointegration Cosmos-based chains.

2. When to Use This Skill

    Auditing Cosmos SDK modules (custom x/ modules) Reviewing CosmWasm smart contracts (Rust) Pre-launch security assessment of Cosmos chains Investigating chain halt incidents Validating consensus-critical code changes Reviewing ABCI method implementations

    3. Platform Detection

    File Extensions & Indicators

      Go files: .goCodeQL), .proto CosmWasm: .rs (Rust with cosmwasm imports)

      Language/Framework Markers

      Project Structure

        x/modulename/ - Custom modules keeper/keeper.go - State management types/msgs.go - Message definitions

        (extrait — voirconsulter le SKILL.md completoriginal pourà /home/thymon/.claude/plugins/cache/trailofbits/building-secure-contracts/1.0.1/skills/cosmos-vulnerability-scanner/SKILL.md et la suite)ressource resources/VULNERABILITY_PATTERNS.md.

        Source

        • Plugin : trailofbits/building-secure-contracts
        • Nom interne : cosmos-vulnerability-scanner
        • Fichier : /home/thymon/.claude/plugins/cache/trailofbits/building-secure-contracts/1.0.1/skills/cosmos-vulnerability-scanner/SKILL.md