analyzing-ethereum-smart-contract-vulnerabilities

使用 Slither 和 Mythril 对 Solidity 智能合约进行静态分析和符号执行,在部署到以太坊主网之前检测重入攻击、整数溢出、访问控制缺陷和其他漏洞类型。

9 stars

Best use case

analyzing-ethereum-smart-contract-vulnerabilities is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

使用 Slither 和 Mythril 对 Solidity 智能合约进行静态分析和符号执行,在部署到以太坊主网之前检测重入攻击、整数溢出、访问控制缺陷和其他漏洞类型。

Teams using analyzing-ethereum-smart-contract-vulnerabilities should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/analyzing-ethereum-smart-contract-vulnerabilities/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/analyzing-ethereum-smart-contract-vulnerabilities/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/analyzing-ethereum-smart-contract-vulnerabilities/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How analyzing-ethereum-smart-contract-vulnerabilities Compares

Feature / Agentanalyzing-ethereum-smart-contract-vulnerabilitiesStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

使用 Slither 和 Mythril 对 Solidity 智能合约进行静态分析和符号执行,在部署到以太坊主网之前检测重入攻击、整数溢出、访问控制缺陷和其他漏洞类型。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 分析以太坊智能合约漏洞

## 概述

智能合约漏洞已在各 DeFi 协议中造成数十亿美元的损失。与传统软件不同,已部署的智能合约是不可变的,且直接处理真实金融资产,这使得部署前的安全分析至关重要。Slither 使用中间表示进行快速静态分析,能在几秒内检测 90 多种漏洞模式;而 Mythril 则使用符号执行和 SMT 求解来发现复杂执行路径漏洞,如重入攻击(Reentrancy)和整数溢出。本技能涵盖对 Solidity 合约运行两款工具、解读分析结果、按严重程度分类发现项,以及生成审计报告。

## 前置条件

- Python 3.10+ 与 pip
- Slither(`pip install slither-analyzer`)和 solc 编译器
- Mythril(`pip install mythril`)与 solc-select(用于管理编译器版本)
- Solidity 源代码或编译后的合约字节码
- Foundry 或 Hardhat 开发框架(可选,用于项目级分析)

## 步骤

### 步骤 1:运行 Slither 静态分析

对合约代码库执行 Slither,使用其 90+ 内置检测器识别漏洞模式、优化机会和代码质量问题。

### 步骤 2:运行 Mythril 符号执行

运行 Mythril 深度分析,探索执行路径,发现需要路径敏感分析的重入攻击、未检查的外部调用和算术漏洞。

### 步骤 3:分类和关联发现

合并两款工具的结果,去重发现项,根据可利用性和财务影响评估严重程度,并过滤误报。

### 步骤 4:生成审计报告

生成包含漏洞描述、受影响代码位置、利用场景和修复建议的结构化审计报告。

## 预期输出

JSON 报告,列出漏洞及其 SWC(智能合约弱点分类)标识符、严重程度评级、受影响函数和建议修复方案。

Related Skills

triaging-vulnerabilities-with-ssvc-framework

9
from killvxk/cybersecurity-skills-zh

使用 CISA 的利益相关方特定漏洞分类(SSVC)决策树框架对漏洞进行分类和优先排序,产出可操作的修复优先级:Track、Track*、Attend 或 Act。

testing-for-xxe-injection-vulnerabilities

9
from killvxk/cybersecurity-skills-zh

在授权的渗透测试中发现和利用 XML 外部实体(XXE)注入漏洞,以读取服务器文件、执行 SSRF 并外泄数据。

testing-for-xss-vulnerabilities

9
from killvxk/cybersecurity-skills-zh

通过向反射型、存储型和 DOM 型上下文注入 JavaScript 载荷,测试 Web 应用程序的跨站脚本(XSS)漏洞, 演示客户端代码执行、会话劫持和用户冒充。测试人员识别所有注入点和输出上下文,构造适合上下文的载荷, 并绕过净化和 CSP 保护。适用于 XSS 测试、跨站脚本评估、客户端注入测试或 JavaScript 注入漏洞测试等请求场景。

testing-for-xss-vulnerabilities-with-burpsuite

9
from killvxk/cybersecurity-skills-zh

在授权的安全评估过程中,使用 Burp Suite 的扫描器、Intruder 和 Repeater 工具识别和验证跨站脚本(XSS)漏洞。适用于 Web 应用渗透测试中检测反射型、存储型和 DOM 型 XSS,验证自动化扫描器报告的 XSS 发现,以及评估 CSP 和 XSS 过滤器的有效性时使用。

testing-for-xml-injection-vulnerabilities

9
from killvxk/cybersecurity-skills-zh

测试 Web 应用程序中的 XML 注入漏洞,包括 XXE(XML 外部实体注入)、XPath 注入和 XML 实体攻击,以识别数据泄露和服务器端请求伪造(SSRF)风险。

testing-for-open-redirect-vulnerabilities

9
from killvxk/cybersecurity-skills-zh

通过分析 URL 重定向参数、绕过技术和利用链,识别并测试 Web 应用程序中的开放重定向漏洞,用于网络钓鱼和 Token 窃取。

testing-for-json-web-token-vulnerabilities

9
from killvxk/cybersecurity-skills-zh

测试 JWT 实现中的关键漏洞,包括算法混淆、none 算法绕过、kid 参数注入和弱密钥利用,以实现认证绕过和权限提升。

testing-for-business-logic-vulnerabilities

9
from killvxk/cybersecurity-skills-zh

识别应用程序业务逻辑中的缺陷,这些缺陷允许价格操控、工作流绕过和权限提升,超出技术漏洞扫描器的检测范围。

testing-android-intents-for-vulnerabilities

9
from killvxk/cybersecurity-skills-zh

测试 Android 进程间通信(IPC)中 Intent 的安全漏洞,包括 Intent 注入、未授权组件访问、 广播嗅探、PendingIntent 劫持和 ContentProvider 数据泄露。适用于评估 Android 应用导出组件 攻击面、测试 Intent 数据流或评估 IPC 安全性的场景。适合涉及 Android Intent 安全、IPC 测试、 导出组件分析或 Drozer 评估的相关请求。

prioritizing-vulnerabilities-with-cvss-scoring

9
from killvxk/cybersecurity-skills-zh

通用漏洞评分系统(CVSS)是由 FIRST(事件响应和安全团队论坛)维护的行业标准框架,用于评估漏洞严重性。CVSS v4.0 于 2023 年 11 月发布,引入了更精确的评分指标。

exploiting-websocket-vulnerabilities

9
from killvxk/cybersecurity-skills-zh

在授权安全评估中测试 WebSocket 实现的身份验证绕过、跨站劫持、注入攻击和不安全消息处理。

exploiting-vulnerabilities-with-metasploit-framework

9
from killvxk/cybersecurity-skills-zh

Metasploit Framework 是全球最广泛使用的渗透测试平台,由 Rapid7 维护,包含超过 2300 个漏洞利用模块、1200 个辅助模块和 400 个后渗透模块