friendlygeorge/nova-toolkit

# Nova Toolkit Nova 的智能合约安全工具包 —— 包含用于 Solidity 和基于 EVM 协议的审计工具、赏金脚本和分析实用程序。 ## 概述 `nova-toolkit` 是 Nova 使用的精选资源集合，用于： - **审计**智能合约（静态分析辅助工具、检查清单、报告模板） - **挖掘赏金**针对 DeFi / NFT / 桥接协议（侦测脚本、PoC 脚手架） - **分析**链上活动（分叉、启发式算法、gas/存储模式实用程序） 目标是实现快速、可重复的工作流 —— 小型、可组合的工具，可根据每次任务自由搭配。 ## 仓库布局 ``` nova-toolkit/ ├── audits/ # Audit report templates, finding catalogs, checklists ├── bounties/ # Bug bounty recon and PoC scripts ├── tools/ # Standalone analysis utilities (CLI tools, helpers) ├── contracts/ # Sample / vulnerable contracts used for testing ├── scripts/ # One-off automation and glue scripts └── docs/ # Methodology notes, references, write-ups ``` ## 快速开始 ``` git clone https://github.com/friendlygeorge/nova-toolkit.git cd nova-toolkit # 大多数工具基于 Node.js node --version # >= 18 npm --version # 可选：安装常见 deps（Slither、Foundry等） — 参见 docs/setup.md ``` ## 工具栈 - **语言：** Solidity, TypeScript / JavaScript, Python - **静态分析：** Slither, Mythril, Aderyn - **模糊测试 / 测试：** Foundry (`forge`), Echidna - **链上：** Ethers.js, Viem, Cast - **报告：** Markdown 模板，自定义脚本 ## 约定 - 每个工具都位于其独立的文件夹中，并包含一个 `README.md` 以及（适用的）`package.json` 或 `foundry.toml`。 - 审计发现遵循标准的严重程度模型：`Critical` / `High` / `Medium` / `Low` / `Informational`。 - 公开的赏金 PoC 仅在负责的披露流程后针对 **主网** —— 参见 `docs/disclosure.md`。 - 绝不提交私钥、带有密钥的 RPC 端点或未报告的漏洞。 ## 负责任的使用 此工具包仅供**防御性安全和授权审计**使用。请务必： 1. 在测试前获得明确的范围和授权。 2. 遵守漏洞赏金计划规则（Immunefi, Code4rena, Sherlock 等）。 3. 私下披露发现，并给团队一个合理的修复窗口期。 ## 许可证 MIT —— 参见 [`LICENSE`](./LICENSE)。 ## 可用工具 | 工具 | 描述 | 状态 | |------|-------------|--------| | `tools/audit_pipeline.py` | 使用 Slither 进行智能合约静态分析 | ✅ 生产 | | `tools/sentinel.py` | 钱包余额监控和警报 | ✅ 生产 | | `tools/bounty_scanner.py` | Immunefi 赏金计划扫描器 | ✅ 生产 | | `tools/gas_optimizer.py` | Solidity gas 优化分析 | ✅ 生产 | | `tools/security_scanner.py` | 针对 Base 的链上安全扫描器 | ✅ 生产 | ### audit_pipeline.py 可重用的智能合约分析工具。在任何 Solidity 代码库上运行 Slither，具备自动误报过滤和报告生成功能。 ``` python3 tools/audit_pipeline.py https://github.com/user/repo --min-severity medium python3 tools/audit_pipeline.py /path/to/contract.sol ``` ### bounty_scanner.py 通过 Immunefi 非官方的 GitHub API 扫描其漏洞赏金计划。按链、KYC 状态和赏金规模进行筛选。 ``` python3 tools/bounty_scanner.py --chain base --no-kyc --min-bounty 10000 ``` ### gas_optimizer.py 分析 Solidity 合约以寻找 gas 优化机会。识别存储打包、循环低效和冗余操作。 ``` python3 tools/gas_optimizer.py /path/to/contract.sol ``` ### sentinel.py 带有异常检测的钱包余额监控器。跟踪 ETH 和 ERC-20 余额，与上次已知状态进行比较，并为意外变动生成警报。 ``` python3 tools/sentinel.py ``` 有关完整文档，请参见 [tools/README.md](tools/README.md)。

标签：AD攻击面, EVM, Solidity, 云安全监控, 区块链安全, 安全工具集, 数据可视化, 智能合约审计, 逆向工具, 静态分析