cairo-vulnerability-scanner

Narzędzie do audytu inteligentnych kontraktów na sieci StarkNet. Automatycznie skanuje kod Cairo w poszukiwaniu typowych dla tego ekosystemu podatności: przepełnienia arytmetyki felt252, problemów w komunikacji L1-L2, błędów konwersji adresów i ataków powtórzeniowych na sygnatury. Idealne do przeglądu bezpieczeństwa przed uruchomieniem projektu lub walidacji obsługi wiadomości między warstwami.

1. Zainstaluj narzędzie Caracal, które stanowi podstawę skanera: uruchom polecenie pip install caracal w swoim środowisku Python.

2. Przygotuj projekt Cairo do analizy. Upewnij się, że struktura katalogów zawiera pliki kontraktów w formacie .cairo (zwykle w katalogu src/) oraz plik konfiguracyjny Scarb.toml.

3. Zidentyfikuj obszary do audytu: skoncentruj się na funkcjach L1 handler (oznaczonych #[l1_handler]), logice transferu tokenów operujących na felt252, konwersjach adresów między L1 i L2 oraz weryfikacji podpisów.

4. Uruchom skaner na wybranym pliku lub katalogu projektu. Caracal przeskanuje kod w poszukiwaniu 6 krytycznych wzorców podatności specyficznych dla StarkNet.

5. Przejrzyj raport z wynikami skanowania. Zwróć szczególną uwagę na wykryte problemy z arytmetyką, obsługą wiadomości cross-layer i logowaniem zdarzeń bezpieczeństwa.

6. Dla projektów z mostami L1-L2 przeprowadź dodatkową walidację implementacji obsługi wiadomości między warstwami, aby upewnić się, że wszystkie ścieżki komunikacji są bezpieczne.