文章总结: 本文介绍SolidityDetectionv1.1智能合约安全漏洞检测工具,基于SmartCheck理论开发,通过XML中间表示、XPath规则库和漏洞匹配三大模块实现26种漏洞检测,共56个XPath模式。工具主要支持Solidity0.4至0.6版本,不支持0.8及以上版本。文章提供了详细的漏洞规则表、命令行参数说明及获取方式,但需关注公众号回复关键字下载。 综合评分: 83 文章分类: 安全工具,漏洞分析,代码审计,区块链安全
Web3智能合约安全漏洞检测工具
EthanOK EthanOK
夜组安全
2026年7月15日 07:30 青海
在小说阅读器读本章
去阅读
免责声明
由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!所有工具安全性自测!!!VX:NightCTI
朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把夜组安全“设为星标”,否则可能就看不到了啦!
工具介绍
SolidityDetection v1.1在 SmartCheck 理论研究基础上开发,该工具实现了对以太坊智能合约 Solidity 源码的安全漏洞检测。
主要包括 XML 中间表示、XPath 规则库和漏洞匹配检测三大模块,定义了 26 个合约漏洞检测规则,共包含 56 个 XPath 检测模式。
功能介绍
⚠️ 本工具主要面向 Solidity 0.4 ~ 0.6 版本,不支持 0.8 及以上版本,对新版本语法的检测结果可能不准确。
漏洞检测规则
| Solidity 智能合约漏洞类型 | 风险等级 | 规则名称 | XPath 模式数量 |
| — | — | — | — |
| 可重入 | 3 | SOLIDITY_Reentrancy | 2 |
| 整数溢出 | 3 | SOLIDITY_IntegerOverflow | 4 |
| DoS 攻击 | 3 | SOLIDITY_DOS_Gas | 2 |
| 时间戳依赖 | 2 | SOLIDITY_TimestampDependence | 5 |
| tx.origin 依赖 | 3 | SOLIDITY_Tx.Origin | 2 |
| Gas 高消耗模式 | 1 | SOLIDITY_OutOfGas | 2 |
| 未检查调用返回值 | 3 | SOLIDITY_UncheckedCall | 2 |
| 随机数误用 | 2 | SOLIDITY_MisuseOfRandom | 2 |
| 不正确的 blockhash | 2 | SOLIDITY_IncorrectBlockhash | 1 |
| 账户冻结 | 2 | SOLIDITY_FrozenEther | 1 |
| 未检查 selfdestruct 权限 | 2 | SOLIDITY_UncheckedSelfDestruct | 1 |
| Div 检查 | 1 | SOLIDITY_DivMul_Zero | 2 |
| 代码语法规范 | 1 | SOLIDITY_VersionNotFixed | 1 |
| 2 | SOLIDITY_Pragma0.4 | 1 |
| 2 | SOLIDITY_VarInLoop | 1 |
| 1 | SOLIDITY_Incorrect_View | 1 |
| 1 | SOLIDITY_Incorrect_Pure | 1 |
| 1 | SOLIDITY_FunctionReturns_NoReturn | 2 |
| 1 | SOLIDITY_Address_BitWrong | 3 |
| 1 | SOLIDITY_InlineAssembly | 1 |
| 1 | SOLIDITY_SAFEMATH | 1 |
| Solidity 新版本问题 (0.5–0.6.8) | 1 | SOLIDITY_DeprecatedVersion0.5 | 9 |
| 2 | SOLIDITY_FunctionExplicitVisibility | 4 |
| 1 | SOLIDITY_IncorrectStorageLocation | 3 |
| 2 | SOLIDITY_StructNull | 1 |
| 1 | SOLIDITY_CALL_NotDate | 1 |
命令行参数
漏洞检测(DetectionOne / DetectionAll):
| 参数 | 说明 | 备注 |
| — | — | — |
| -p / --path | 待扫描的目录 | 必填 |
| -r / --rules | 指定规则库文件(xml) | 非必填,默认加载 solidity-rules.xml |
| -o / --output | 结果输出文件 | 非必填,仅 DetectionAll 使用 |
辅助工具:
| 工具 | 参数 | 说明 |
| — | — | — |
| TreeView | -p / --path | 单个 .sol / .vy 源文件(ANTLR 图形树,需本地 Java) |
| XmlView | -s / --source、-t / --target | 源文件路径、输出 XML 路径(xml-view/) |
| XML Tree Viewer | — | 推荐 :Cursor 扩展,IDE 内查看 XML 图形树 |
| view-xml-tree.sh | [xml-view/xxx.xml] | 备选:浏览器 D3 图形树 |
完整 CLI 一览见 查看语法树 与 ARCHITECTURE.md。
工具获取
点击关注下方名片进入公众号
回复关键字【260715】获取下载链接
往期精彩
[一款面向攻防演练、红蓝对抗和安全研究场景的高交互智能欺骗蜜罐平台
2026-07-14
](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247497199&idx=1&sn=f4f3fb6762f2e957d25ec35eaebb73d6&scene=21#wechatredirect)[Godzilla 深度二次开发的 WebShell 管理与红队后渗透平台 | MCP 服务、团队协作、RASP 绕过 + 字节码多态混淆、内存马注入
2026-07-13
](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247497194&idx=1&sn=73ecd97867963a43b393b5cd7f34f97e&scene=21#wechatredirect)[Fuck Claude自测工具— 你是「Claude 中国用户」吗
2026-07-07
](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247497188&idx=1&sn=5a84923ffb86d07e75cff19f8fa5da28&scene=21#wechatredirect)[H3C Router Security Scanner v1.0 — GUI路由器配置泄露检测工具
2026-07-06
](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247497183&idx=1&sn=73696d8bfb15ee464bea982bd725c04e&scene=21#wechatredirect)[若依 Vue 漏洞检测工具 | 支持若依(RuoYi-Vue)多种安全漏洞
2026-07-03
](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247497178&idx=1&sn=73891e1a78d5df7decc653218a459701&scene=21#wechatredirect)
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:夜组安全 EthanOK EthanOK《Web3智能合约安全漏洞检测工具》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论