cairo-vulnerability-scanner

Cairo/StarkNet 漏洞扫描工具是一款专为 StarkNet 生态系统中的开发人员与审计人员设计的专业安全分析工具。它针对 Cairo 智能合约进行系统性审查，以识别跨链区块链应用中常见的平台特定安全缺陷。通过结合 Caracal 等静态分析工具与人工代码审查模式，此技能协助团队在部署前保护协议安全，确保涉及 felt252 算术、L1-L2 桥接通讯与签名验证的核心逻辑符合安全最佳实践。

• 针对 6 种关键漏洞模式执行自动化检测，包括未检查的算术运算、存储冲突、缺失访问控制及不当的 felt252 边界处理。

• 验证跨层互动逻辑，确保 L1 处理器函数（L1 handler）正确验证 from_address 并实施强健的跨链消息处理。

• 检查加密安全缺陷，如签名重放漏洞及外部合约调用中的不当 Nonce 管理。

• 提供可执行的修复建议，包含 Cairo 1.0+ 代码库的具体代码修复方案与安全性单元测试策略。

• 整合于 Cairo 开发生命周期，分析标准 Scarb.toml 项目结构与 src/ 目录下的合约产物。

• 在发布前安全评估中使用此技能，以揭露复杂 L1-L2 桥接架构中的漏洞。

• 需要本地访问包含 .cairo 文件的代码库。技能可能会建议安装相关支持工具，如 Caracal 静态分析器。

• 预期输出包含结构化的漏洞报告，指明文件位置、漏洞描述、攻击场景及推荐的代码补丁。

• 有效适用于审计如 #[l1_handler]、#[external(v0)] 以及依赖 felt252, u128, 或 u256 类型存储密集型合约。

• 专注于常见的 StarkNet 攻击向量，如缺失 get_caller_address() 验证与不安全的 L1 地址转换。