## 演示 \\\ $ python3 rust-analyzer.py vault-v2/ 已扫描 84 个文件，发现 23 个问题 -> scan-report.md $ cat scan-report.md # 安全扫描报告 ## 高危 (13) - VaultV2.sol:287 - multicall() 中的重入 - VaultV2.sol:848 - transfer() 中的重入 ## 低危 (10) - VaultV2.sol:669 - 整数溢出 \\\ ## 快速开始 \\\bash git clone https://github.com/ajarcoronet5415-commits/smart-contract-security-scanner.git cd smart-contract-security-scanner python3 rust-analyzer.py /path/to/your/project \\\ 输出内容将写入到被扫描目录下的 \scan-report.md\ 文件中。 ## 功能特性 - **多语言支持：** Solidity (.sol)、Rust (.rs)、Move (.move) - **60+ 检测模式：** 重入、整数溢出、访问控制、时间戳依赖、未检查的返回值等 - **速度快：** 30 秒内可扫描超过 1000 个文件 - **零依赖：** 纯 Python 3 编写，无需 npm/cargo 安装 - **保护隐私：** 所有扫描均在本地运行，数据不会离开您的设备 - **可操作性强：** 提供精确到 file:line 的输出以及修复建议 ## 检测模式 | 类别 | 模式 | |----------|----------| | 重入 | 未遵循 CEI 模式的函数中的外部调用 | | 算术 | 未检查上下文中的整数上溢/下溢 | | 访问控制 | 缺少 onlyOwner/Ownable 修饰符，使用了 tx.origin | | 预言机 | 价格陈旧，闪电贷操纵向量 | | 区块重组 | DeFi 上下文中使用了 Block.Difficulty、blockhash | | 拒绝服务 | 无界循环，无限制的数组迭代 | | 事件 | 状态更改时缺少事件触发 | ## 示例输出 有关涵盖 84 个文件和 23 个发现的完整示例输出，请参见 [sample-report.md](sample-report.md)。 ## 使用场景 - **审计前检查清单** — 在付费进行专业审计之前排查明显的问题 - **CI/CD 集成** — 作为 GitHub Action 在每个 PR 上运行 - **漏洞赏金狩猎** — 快速扫描代码库以寻找易被利用的漏洞 - **学习教育** — 了解智能合约中常见的漏洞模式 ## 为什么还要开发另一个扫描器？ 大多数安全扫描器都： - **收费** — 需要许可证或 API 密钥 - **复杂** — 需要 npm/cargo/Foundry 的配置 - **基于云端** — 会将您的代码发送到第三方服务器 这款扫描器是**免费、本地且即时的。** 无需配置，无数据泄露，无使用限制。 ## 许可证 ## MIT ## 💰 定价 | 级别 | 价格 | 您将获得 | |------|-------|-------------| | 免费版 | $0 | 自动化扫描（通过 issue 触发） | | 基础版 | $250 | 包含 PoC 与修复方案的完整报告 | | 专业版 | $500 | 深度分析 + 修复建议 | | 企业版 | $1K | 包含团队咨询的全面审计 | PayPal: `ajarcoronet5415@gmail.com` ## 一行代码安装 \\\bash curl -sSL https://raw.githubusercontent.com/ajarcoronet5415-commits/smart-contract-security-scanner/main/install.sh | bash \\\`n 此命令会将 \gx-scan\ 安装到您的 PATH 中。您可以在任何项目上运行它。

标签：CISA项目, Move, Python, Rust, SAST, Solidity, Streamlit, Web3安全, 代码分析, 凭证管理, 加密, 区块链, 可视化界面, 对称加密, 整数溢出, 无后门, 智能合约安全, 本地扫描, 漏洞扫描器, 盲注攻击, 网络流量审计, 自动化审计, 访问控制, 足迹探测, 重入攻击检测, 错误基检测, 零依赖, 静态代码分析