cairo-vulnerability-scanner

Cairo/StarkNet 漏洞掃描工具是一款專為 StarkNet 生態系統中的開發人員與審計人員設計的專業安全分析工具。它針對 Cairo 智慧合約進行系統性審查，以識別跨鏈區塊鏈應用中常見的平台特定安全缺陷。透過結合 Caracal 等靜態分析工具與人工程式碼審查模式，此技能協助團隊在部署前保護協議安全，確保涉及 felt252 算術、L1-L2 橋接通訊與簽章驗證的核心邏輯符合安全最佳實踐。

• 針對 6 種關鍵漏洞模式執行自動化檢測，包括未檢查的算術運算、儲存衝突、缺失存取控制及不當的 felt252 邊界處理。

• 驗證跨層互動邏輯，確保 L1 處理器函數（L1 handler）正確驗證 from_address 並實施強健的跨鏈訊息處理。

• 檢查加密安全缺陷，如簽章重放漏洞及外部合約呼叫中的不當 Nonce 管理。

• 提供可執行的修復建議，包含 Cairo 1.0+ 程式碼庫的具體程式碼修復方案與安全性單元測試策略。

• 整合於 Cairo 開發生命週期，分析標準 Scarb.toml 專案結構與 src/ 目錄下的合約產物。

• 在發布前安全評估中使用此技能，以揭露複雜 L1-L2 橋接架構中的漏洞。

• 需要本地存取包含 .cairo 檔案的程式碼庫。技能可能會建議安裝相關支援工具，如 Caracal 靜態分析器。

• 預期輸出包含結構化的漏洞報告，指明檔案位置、漏洞描述、攻擊場景及推薦的程式碼補丁。

• 有效適用於審計如 #[l1_handler]、#[external(v0)] 以及依賴 felt252, u128, 或 u256 型別的儲存密集型合約。

• 專注於常見的 StarkNet 攻擊向量，如缺失 get_caller_address() 驗證與不安全的 L1 位址轉換。