cosmos-vulnerability-scanner
cosmos-vulnerability-scanner
Catalogue généré le 2026-05-11
En une phrase
ScansScanne les modules d'une blockchain Cosmos SDK blockchains(en forGo) ou les smart contracts CosmWasm (en Rust) pour repérer 9 consensus-criticaltypes vulnerabilitiesde includingfailles non-determinism,critiques incorrectqui signers,peuvent ABCIhalter panics,la andchaîne, roundingcasser errors.le consensus ou faire perdre des fonds.
Quand l'utiliser
UseQuandwhentuauditingtouches à une blockchain de l'écosystème Cosmoschains(CosmosorHub, Osmosis, Injective, etc.) ou à un contrat CosmWasm.
x/monmodule/) en prod.
Pour vérifier qu'un contrat CosmWasm Comment l'invoquer
- Slash command :
/cosmos-vulnerability-scanner(si exposé dans ton CLI) - Phrases déclencheurs (texte) :
voir"auditlamydescriptionCosmoscomplètemodule"ci-dessous/ "check CosmWasm contract" / "scan IBC handler" - Auto-invocation :
surSur demande explicite (généralement lors d'un audit).
Description complètedétaillée
Scans Cosmos SDKest un écosystème de blockchains forinteropérables, où chaque chaîne est faite de modules Go (x/banking, x/staking...) ou héberge des contrats CosmWasm écrits en Rust. La grande particularité : si un module produit un résultat différent sur deux nœuds (= "non-déterminisme"), la chaîne s'arrête. Un simple time.Now() ou un map Go non trié peut tout faire planter.
Ce skill cherche 9 consensus-criticalpatterns vulnerabilities: including1) non-determinism,Missing incorrectDenom signers,Validation (accepter n'importe quel token), 2) Insufficient Authorization (oublier de vérifier qui envoie le message), 3) Missing Balance Check, 4) Improper Reply Handling (mal gérer les réponses de sous-messages), 5) Missing Reply ID Check, 6) Improper IBC Packet Validation (paquets cross-chain non validés — fuites de fonds), 7) Unvalidated Execute Message, 8) Integer Overflow, 9) Reentrancy via Submessages (modifier l'état avant un appel externe — réentrance possible).
Il cible aussi les méthodes ABCI panics,(BeginBlocker, andEndBlocker, roundingCheckTx, errors.DeliverTx) Usequi whensont auditingconsensus-critiques, Cosmoset chainsutilise orCodeQL CosmWasmsi contracts.dispo pour traquer le non-déterminisme.
Pour aller plus loin
Cosmos
Pour Vulnerabilityles Scannerdétails
1.techniques Purpose
(exemples SystematicallyGo scanet Cosmos SDK blockchain modules and CosmWasm smart contracts for platform-specific security vulnerabilities that can cause chain halts, consensus failures, or fund loss. This skill encodes 9 critical vulnerabilityRust, patterns uniqueIBC, tointegration Cosmos-based chains.
2. When to Use This Skill
3. Platform Detection
File Extensions & Indicators
.goCodeQL), .proto.rsLanguage/Framework Markers
Project Structure
x/modulename/keeper/keeper.gotypes/msgs.go(extrait — voirconsulter le SKILL.md completoriginal pourà /home/thymon/.claude/plugins/cache/trailofbits/building-secure-contracts/1.0.1/skills/cosmos-vulnerability-scanner/SKILL.md et la suite)ressource resources/VULNERABILITY_PATTERNS.md.
Source
- Plugin :
trailofbits/building-secure-contracts - Nom interne :
cosmos-vulnerability-scanner - Fichier :
/home/thymon/.claude/plugins/cache/trailofbits/building-secure-contracts/1.0.1/skills/cosmos-vulnerability-scanner/SKILL.md