# 加密狗干货分享:为投资者提供的15大智能合约审计工具(从此不怕Rug Pull盘) - 加密狗 - Medium By [nishishui](https://paragraph.com/@nishishui) · 2023-04-22 --- ![](https://storage.googleapis.com/papyrus_images/7ac890cfec2b7669e532ba4b779eb6a30e1e5eec296cb818c2293b3102a68b9b.png) 智能合约并非不受攻击的影响,这可能会导致金钱损失。因此,保护​​智能合约的安全对于基于区块链应用的开发至关重要。 智能合约安全工具通过检查代码的缺陷、评估其稳健性,对于识别和预防潜在的安全问题有很大的作用。这篇博文汇总了开发人员和审计人员常用来验证其智能合约安全性的10大智能合约安全工具,投资者若学会使用该工具可以规避很多Rug Pull盘。 一、**Cyber​​scan** ----------------- ![](https://storage.googleapis.com/papyrus_images/20baa84b6c888154897944b6fe6f8d8f501fbace84ba77c6c37767501e39ba76.png) [**Cyber​​scan**](https://www.cyberscope.io/cyberscan)是网络安装平台Cyber​​scope 开发的合约地址扫描工具,该工具可以对智能合约进行专业的安全扫描。 你只需将合同地址粘贴到搜索框中,选择好网络,然后搜索。Cyber​​scope就会提供智能合约综合分析报告,以及合约所有权、合约代理、审计和 KYC 附件等重要指标,还提供与知名项目代码相似性(查看是不是克隆盘)。 Cyber​​scan 工具还将提供包括流动性最总、代币池和持有人分布等功能。 ![](https://storage.googleapis.com/papyrus_images/7b4cb8428f2bcd91fba355a05e0a91b1084abb0cbf940a57a72847962dc4214e.png) Similarityscan -------------- Cyber​​scan提供的相似性扫描工具:[Similarityscan](https://www.cyberscope.io/similarityscan);可帮助用户识别任何智能合约与智能合约数据库的相似程度。该工具对于审核项目是否是克隆盘特别有用。 ![](https://storage.googleapis.com/papyrus_images/c35c42e4fe1d59c5d9fdb0c721efe454cfbda8ec45bdbe525cc07ffe2fbf7121.png) Signaturescan ------------- \*\*Cyber​​scope 还提供了一个名为 \*\*[\*\*Signaturescan \*\*](https://www.cyberscope.io/signaturescan)**的签名扫描工具**,可帮助用户发现可疑活动。该工具专为以太坊创建,基于一组经过安全审计的特殊私有代码。 ![](https://storage.googleapis.com/papyrus_images/ff438466967dcff92a749e5f7aac815a603730098b1ea47fca18a61bf8f8e7cf.webp) Safescan -------- **Cyber​​scope 还提供**一种用于钱包的 AML(反洗钱)和 KYC 工具[Safescan](https://www.coinscope.co/safescan),该工具将开始对提供的地址进行处理和运行背景检查。[它将审查地址的所有交易以及它如何与各种可疑的其他钱包交互,然后将其与 CEX 热钱包、流行的桥接器、 tornado cash](https://tornado.cash/)和其他类似的洗钱应用程序进行交叉引用。Safescan 还会使用包含超过 30,000 个列入黑名单和可疑钱包的数据库来交叉检查给定的钱包。 二、ScamSniper ------------ ![](https://storage.googleapis.com/papyrus_images/2a489b0ebf4106a3f6abaf72a2ab951aade5d9505cda9b6a1d9ab7c7a99c32b9.webp) [Scamsniper](https://scamsniper.net/)是 Coinsniper 开发的一款工具,可帮助投资者在投资前快速查看加密代币。它具有 [honeypot](http://is%20just%20a%20tool%20to%20help%20you%20spot%20scams./)检查、流动性检查和检查是否审计等指标。 三、CoinTool Audit Contract ------------------------- ![](https://storage.googleapis.com/papyrus_images/1153d70267920da9c6f13e43bed4367e8fc4a50c45c97838d772a6fc462ab691.webp) [CoinTool Audit Contract](https://cointool.app/audit)对给定的智能合约运行一些自动检查并显示任何潜在的安全风险发现。该软件会检查很多事情,例如代币是否具有反鲸鱼机制、黑名单功能、铸币功能等。用户还可以下载包含调查结果的 pdf 报告。 四、Honeypot.is ------------- ![](https://storage.googleapis.com/papyrus_images/31151018f775a8aec500b38413d438613e50d7682b3f48df58bc8c852c8dbc2f.webp) [Honeypot.is](https://honeypot.is/)是另一个免费工具,可以检查智能合约是否是貔貅盘。 五、Token Sniffer --------------- ![](https://storage.googleapis.com/papyrus_images/004bab51253aee2f22c10655f3ed4d2fe102879dcf222d4dacd77ca4a9c32668.webp) [Token Sniffer](https://tokensniffer.com/) 可以为用户提供一份自动的免费审计报告,该站点还扫描已知骗局的合约,计算有用的代币指标,并提供一个骗局列表数据库,之前跑路的项目都可以查得到。 六、BSC Check ----------- ![](https://storage.googleapis.com/papyrus_images/3480850fbbdac2c46ff5a13d333d092b043b478db6bd4296ccabd080a1654bd2.webp) [BSC Check](https://bscheck.eu/)是BNB Chain 的专用工具,也非常易于使用。只需在搜索栏中输入代币合约,BSC Check 就会显示: * 合约所有者状态 — — 流动性是否被放弃/锁定? * 合约中是否写入了已知的貔貅代码? * 开发者钱包信息 * 流动资金池信息 * 顶级代币持有者 七、Dextools ---------- [Dextools](https://www.dextools.io/app/)可支持ETH和BSC,是一个可以快速查看代币动态的绝佳平台。 搜索代币合约地址后,你可以将所有买卖列表进行排序。如果没有看到任何卖单,可能该代币就是一个貔貅盘[蜜罐](https://help.1inch.io/en/articles/5359933-1inch-network-s-guide-to-defi-terminology),或者存在某种类型的销售限制。 比如下图,你可以看到没有一个钱包地址出售代币: ![](https://storage.googleapis.com/papyrus_images/b210be1a8311658addd043a7a60d67704cd3b3c4371f79278fbd4cc2c8da0a37.webp) 话虽如此,如果你确实看到一些可见的卖单,仍然不能保证这不是貔貅盘。一些诈骗者会将一些地址“列入白名单”(同时将其余大部分地址列入“黑名单”),只是为了让该货币对看起来像是正常的交易活动。 八、Unicrypt ---------- [Unicrypt](https://app.unicrypt.network/amm) 是一个可用于快速检查特定代币的流动性状态。如果代币创建者的初始流动性被锁定,那么他们就无法提取资金(Rug)。 ![](https://storage.googleapis.com/papyrus_images/e3e248662a4639dd710b7290b29974b60ed19ed84c1db260686074db6fd924f9.webp) 请注意留意流动性的锁定时间,有时诈骗者只会将代币“锁定”几天,然后当时间到了就跑路。 九、其他貔貅盘检测工具 ----------- [https://www.honeypot.is](https://www.honeypot.is/) [http://detecthoneypot.com](http://detecthoneypot.com/) [https://rugdoc.io/honeypot/](https://rugdoc.io/honeypot/) **代币审核平台** [https://kryptview.com](https://kryptview.com/) > 以下工具一般是开发人员使用,主要做只能合约安全分析来使用,投资者如果能熟练使用这些平台也会给自己投研带来很大的帮助: 十、MythX ------- ![](https://storage.googleapis.com/papyrus_images/12ff424dca1e603d5303af48b5e1ba6c8c71cf44820c78868c5c68b315a03d79.png) [MythX](https://mythx.io/)是一个以太坊智能合约安全分析平台,它能够发现智能合约中的缺陷。它被认为是可用于智能合约开发的最彻底和最前沿的安全分析工具之一。 它是一种基于云的服务,使开发人员可以访问各种安全分析工具,例如静态和动态分析以及一组安全专家的手动审查。在以太坊网络上部署智能合约之前, MythX兼容主流编程环境Remix、Truffle、VSCode,支持智能合约Solidity、Vyper、LLL。提供人工审核、符号执行、模糊测试、污点分析等多种安全分析工具,开发人员可以使用 MythX 查找并修复代码中的任何漏洞。 十一、Slither ---------- ![](https://storage.googleapis.com/papyrus_images/8b8a9d3b43090c62d65677351689496bc02eea56e04fbb7e2236b729a024dfcd.jpg) [Slither](https://www.alchemy.com/dapps/slither)帮助开发人员发现其 Solidity 智能合约中的安全漏洞。它可以检测广泛的安全问题,包括reentrancy、uninitialized storage pointers、integer overflows和underflows。Slither 提供有关检测到的错误和纠正建议的综合报告,并且可以轻松集成到开发工作流程中。 十二、Echidna ---------- ![](https://storage.googleapis.com/papyrus_images/2b13622d68176e0c5aa460c42b70c79c0fec2f41ee5595b96da2ebfe14a3c6c4.png) [Echidna](https://github.com/crytic/echidna) 是一个强大的**智能合约安全工具**,可以通过 Remix 和 Truffle 等主流编程环境的插件无缝集成到开发过程中。对于在各种区块链系统上工作的开发人员来说,这是一个灵活的选择,因为它支持 Solidity、Vyper 和 Bamboo 合约。 Echidna 可以使用模糊测试方法通过生成随机输入来全面测试智能合约,以发现更传统的测试技术可能遗漏的边缘情况。开发人员可以使用 Echidna 为其智能合约设置要求,程序将找到满足这些要求的输入。这种策略被称为“基于属性的测试”,有助于确保智能合约的准确性和安全性。 除了强大的测试功能外,Echidna 还提供有关漏洞和财产违规的全面报告,使开发人员可以轻松找到并解决可能的问题。此外,它还具有命令行界面,可作为开源软件在 GitHub 上访问。Echidna 是目前市场上最好的智能合约安全工具之一,它特别适用于需要经过广泛测试以确保其安全性和准确性的复杂合约。 十三、ZeppelinOS ------------- ![](https://storage.googleapis.com/papyrus_images/743b9cee0ccc4308dce782a038dc4c2159ca296277d7ea7384214981c7b61bdf.png) 在以太坊区块链上,[ZeppelinOS](https://docs.zeppelinos.org/docs/1.0.0/start)是一个用于创建、实施和管理智能合约的开源平台。通过提供各种简化开发过程和增强安全性的工具和功能,旨在使开发人员更容易构建安全和可升级的智能合约。 ZeppelinOS 包括许多关键组件,包括: * \*\*OpenZeppelin:\*\*一组安全、可靠的智能合约构建块,可用于创建独特的智能合约。 * \*\*ZeppelinOS SDK:\*\*一个开发工具包,包含用于在以太坊区块链上构建、测试和部署智能合约的工具。 * \*\*ZeppelinOS Registry:\*\*一个去中心化的智能合约注册表,使开发人员可以轻松找到和重用已有的合约,并保证它们的安全性和最新性。 * \*\*ZeppelinOS 仪表板:\*\*一个基于 Web 的界面,为程序员提供了许多管理智能合约的选项,例如跟踪活动并在必要时更新它们。 ZeppelinOS 提供了多种工具和功能来减少错误和漏洞的可能性,目的是简化智能合约的构建并增强其安全性。 十四、Truffle Security ------------------- ![](https://storage.googleapis.com/papyrus_images/6153a5fca185705a0796ad3a1f321843c4f04516a1cbad16cf5532a2066b6c4f.png) 开发人员可以使用安全工具包[Truffle Security](https://trufflesecurity.com/)查找、修复和防止智能合约中的安全漏洞。它构建在 Truffle 框架之上,这是一个广受欢迎的以太坊开发平台,可以更轻松地创建、测试和部署智能合约。 Truffle Security 提供了许多资源和服务,包括: **与 MythX 集成:** Truffle Security 与 MythX 配合使用,MythX 是一个安全分析平台,使用尖端的符号分析方法识别智能合约中可能存在的弱点。 \*\*自动扫描:\*\*作为开发过程的一部分,Truffle Security 可以自动检查智能合约是否存在安全漏洞,帮助开发人员在开发生命周期的早期阶段发现可能存在的问题。 **持续监控:** Truffle Security 可以持续检查部署的智能合约是否存在安全漏洞,帮助开发人员在漏洞被滥用之前发现并解决漏洞。 \*\*漏洞数据库:\*\*随着新漏洞的发现,Truffle Security 不断更新其智能合约安全漏洞数据库。 希望保证其智能合约的安全性和可靠性的开发人员将从使用 Truffle Security 中受益匪浅。 十五、Manticore ------------ ![](https://storage.googleapis.com/papyrus_images/a85cbe9d949b25fa2b7181d436c0217c6438710013debd51fe9c45b8c73d8b82.jpg) [Manticore](https://manticore.readthedocs.io/en/latest/)是一种开源的分析工具和智能合约安全工具,用于检查和测试以太坊区块链上的智能合约。在将他们的智能合约部署到区块链上之前,它旨在帮助开发人员和安全审计员识别这些合约中的缺陷。 为了通过智能合约探索每条路线并创建可用于验证合约行为的测试用例,Manticore 利用符号执行。还可以检查智能合约的字节码以发现任何可能的安全漏洞,或者可以反汇编合约本身以揭示其内部工作原理。 **Solidity、Vyper**和**Bamboo**只是 Manticore 支持的几种编程语言。它还可以与其他智能合约创建和测试工具连接,如**Truffle**和**Mythril**。对于想要确保其智能合约安全可靠的开发人员和安全审计员来说,它是一个强大的工具。 以上就是今天全部内容,更多信息请关注: 加密狗推特:[https://twitter.com/JiamigouCn](https://twitter.com/JiamigouCn) 电报:[https://t.me/JIAMIGOU002](https://t.me/JIAMIGOU002) --- *Originally published on [nishishui](https://paragraph.com/@nishishui/15-rug-pull-medium)*