algorand-vulnerability-scanner

Algorand 漏洞扫描器是一款专为 Algorand 区块链生态系统中的开发人员与审计员设计的专业安全工具。它能系统地检查以 TEAL（交易执行批准语言）或 PyTeal 编写的智能合约，以识别偏离安全开发标准的代码模式。通过对照 Trail of Bits 的「不那么智能的合约」(Not So Smart Contracts) 数据库进行交叉比对，此技能能协助团队在部署前或事件响应期间主动保护状态合约与智能签名。该工具适用于需要确保合约完整性、防范 Algorand 交易模型独有攻击向量的安全研究员、区块链工程师及审计专家。

• 对 .teal 与 .py 源代码文件进行静态分析，以检测 11 种常见的漏洞模式。

• 识别关键风险，例如未验证的 RekeyTo 字段、缺失的群组交易大小检查、不安全的状态操作以及逻辑签名重用。

• 与 Tealer 静态分析框架集成，提供自动化的命令行漏洞报告。

• 为每个发现提供详细的修复建议，包含具体的代码片段与基于模式的修复指南。

• 评估交易字段验证矩阵，涵盖支付、资产转移与应用程序调用交易，以确保强大的访问控制。

• 要求目标项目包含 TEAL 或 PyTeal 源代码；建议搭配 Tealer 工具以获得全面结果。

• 最适合在审计前阶段使用，或作为开发生命周期中持续安全集成流程的一部分。

• 输入期望为合约源文件路径；输出提供结构化报告，强调漏洞位置、严重程度（致命/高/中）及缓解策略。

• 虽然工具能自动发现漏洞，但建议针对复杂逻辑进行人工审核，特别是在应用程序特定的授权规则与原子交易群组约束方面。

• 用户应确保环境已安装必要的 SDK (algosdk) 与框架依赖 (Beaker)，以完整发挥静态分析功能。