cosmos-vulnerability-scanner

Narzędzie do audytu łańcuchów Cosmos SDK i kontraktów CosmWasm. Wykrywa 9 specyficznych dla platformy Cosmos podatności: niedeterminizm, błędnych podpisujących, paniki ABCI, błędy zaokrąglania i inne zagrożenia konsensusowe. Przeskanuj moduły x/, keeper'y i implementacje ABCI przed uruchomieniem łańcucha lub podczas badania incydentów zatrzymania sieci.

1. Przygotuj kod do skanowania — upewnij się, że masz dostęp do repozytorium Cosmos SDK z plikami .go, .proto lub kontraktów CosmWasm w Rust (.rs). Skill automatycznie wykryje moduły w katalogach x/, keeper'y, definicje wiadomości w types/ i implementacje BeginBlocker/EndBlocker w abci.go.

2. Uruchom skill na wybranym module lub całym łańcuchu — wskaż ścieżkę do kodu, który chcesz przeskanować. Skill przeszuka importy SDK, wzorce keeper.Keeper, sdk.Msg, GetSigners() oraz deklaracje protobuf, aby potwierdzić, że analizuje kod Cosmos.

3. Przejrzyj wyniki skanowania — skill zidentyfikuje podatności z 9 kategorii konsensusowych, w tym niedeterminizm w logice stanu, nieprawidłowe weryfikacje podpisów, paniki w metodach ABCI, błędy zaokrąglania w obliczeniach finansowych i inne zagrożenia specyficzne dla Cosmos.

4. Skoncentruj się na kodzie krytycznym — priorytetowo przeanalizuj moduły x/, implementacje keeper'ów i metody BeginBlocker/EndBlocker, ponieważ błędy w tych obszarach mogą zatrzymać cały łańcuch lub spowodować utratę funduszy.

5. Uzupełnij wyniki o ręczny przegląd — skill wspiera analizę statyczną, ale dla zagadnień konsensusowych zalecane jest ręczne sprawdzenie logiki, szczególnie w kodzie obsługującym transakcje i zmianę stanu.

6. Użyj przed uruchomieniem lub podczas badania incydentów — skill jest przydatny zarówno do oceny bezpieczeństwa przed wdrożeniem, jak i do diagnozowania przyczyn zatrzymania lub anomalii sieci.