whale-alert-monitor 安全扫描报告 — 低风险 | ClawSafe

20 /100

whale-alert-monitor

虚拟币大户账户预警监测助手 - 实时监控鲸鱼钱包动向、大额转账、交易所资金流向

鲸鱼监控技能功能正常，但存在硬编码支付API密钥的安全隐患，属于轻微配置问题而非恶意行为

技能名称whale-alert-monitor

分析耗时33.7s

引擎pi

✓

可以安装

将 BILLING_API_KEY 移至环境变量或配置文件，不要硬编码在源代码中

安全发现 3 项

严重性	安全发现	位置
中危	支付API密钥硬编码 payment.py 第12行硬编码了 BILLING_API_KEY = 'sk_f03aa8f8bbcf79f7aa11c112d904780f22e62add1464e3c41a79600a451eb1d2'，应使用环境变量 SKILLPAY_API_KEY 替代 `BILLING_API_KEY = "sk_f03aa8f8bbcf79f7aa11c112d904780f22e62add1464e3c41a79600a451eb1d2"` → 修改为: BILLING_API_KEY = os.getenv('SKILLPAY_API_KEY') 并在文档中说明需要配置环境变量	`payment.py:12`
低危	第三方依赖无版本锁定代码依赖 requests 和其他第三方库但未在 requirements.txt 中声明版本 `import requests` → 创建 requirements.txt 锁定第三方依赖版本	`N/A`
提示	模拟数据而非真实API 脚本使用模拟数据，未实际调用链上API（如Etherscan、Alchemy） `import random 生成模拟交易记录` → 如需生产使用，应接入真实链上数据源	`scripts/*.py`

资源类型	声明权限	推断权限	状态	证据
网络访问	`READ`	`READ`	✓ 一致	所有脚本使用 requests 库进行 API 调用
文件系统	`NONE`	`NONE`	—	代码仅在本地目录读写配置和日志，无敏感路径访问
命令执行	`NONE`	`NONE`	—	未使用 subprocess/os.system 等 shell 执行

1 高危 24 项发现

🔑

高危 API 密钥疑似硬编码凭证

API_KEY = "sk_f03aa8f8bbcf79f7aa11c112d904780f22e62add1464e3c41a79600a451eb1d2"

payment.py:12

💰

中危钱包地址加密货币钱包地址

0x742d35Cc6634C0532925a3b8D4E6D3b6e8d3e8D3

SKILL.md:78

💰

中危钱包地址加密货币钱包地址

0x3f5CE5FBFe3E9af3971dD833D26bA9b5C936f0bE

SKILL.md:96

💰

中危钱包地址加密货币钱包地址

0x71660c4005BA85c37ccec55d0C4493E66Fe775d3

SKILL.md:101

🔗

中危外部 URL 外部 URL

https://skillpay.me

payment.py:11

🔗

中危外部 URL 外部 URL

https://api.etherscan.io/api

references/api-configuration.md:8

🔗

中危外部 URL 外部 URL

https://eth-mainnet.g.alchemy.com/v2/

references/api-configuration.md:54

🔗

中危外部 URL 外部 URL

https://deep-index.moralis.io/api/v2/

references/api-configuration.md:89

🔗

中危外部 URL 外部 URL

https://eth-mainnet.g.alchemy.com/v2/KEY

references/api-configuration.md:112

🔗

中危外部 URL 外部 URL

https://eth-mainnet.g.alchemy.com/v2/$

references/api-configuration.md:137

🔗

中危外部 URL 外部 URL

https://etherscan.io

references/api-configuration.md:138

🔗

中危外部 URL 外部 URL

https://bsc-dataseed.binance.org

references/api-configuration.md:142

🔗

中危外部 URL 外部 URL

https://bscscan.com

references/api-configuration.md:143

🔗

中危外部 URL 外部 URL

https://arb-mainnet.g.alchemy.com/v2/$

references/api-configuration.md:147

🔗

中危外部 URL 外部 URL

https://arbiscan.io

references/api-configuration.md:148

🔗

中危外部 URL 外部 URL

https://opt-mainnet.g.alchemy.com/v2/$

references/api-configuration.md:152

🔗

中危外部 URL 外部 URL

https://optimistic.etherscan.io

references/api-configuration.md:153

💰

中危钱包地址加密货币钱包地址

0xdB3c617cDd2fBf0c8611C04A49d34C7B332e2BB6

references/wallet-labels.md:8

💰

中危钱包地址加密货币钱包地址

0x5a52E96BAcdaBb82fd05763E25335261B270Efcb

references/wallet-labels.md:9

💰

中危钱包地址加密货币钱包地址

0x503828976D22510aad0201ac7EC88293211D23Da

references/wallet-labels.md:15

💰

中危钱包地址加密货币钱包地址

0x6b75d8AF000000e20B7a7DD000000090D0000000

references/wallet-labels.md:20

💰

中危钱包地址加密货币钱包地址

0xf89d7b9c864f589bbF53f821d7EfC68c91d70958

references/wallet-labels.md:25

💰

中危钱包地址加密货币钱包地址

0x2B6eD29a95753C3Ad948348e3e7b1A251039FBB9

references/wallet-labels.md:30

🔗

中危外部 URL 外部 URL

https://api.telegram.org/bot

scripts/alert_manager.py:149

目录结构

11 文件 · 74.5 KB · 2441 行

Python 7f · 1864L Markdown 3f · 558L JSON 1f · 19L

├─ ▾ 📁 references

│ ├─ 📝 api-configuration.md Markdown 181L · 2.9 KB

│ └─ 📝 wallet-labels.md Markdown 90L · 1.5 KB

├─ ▾ 📁 scripts

│ ├─ 🐍 alert_manager.py Python 303L · 9.9 KB

│ ├─ 🐍 exchange_flow.py Python 311L · 10.6 KB

│ ├─ 🐍 holding_analyzer.py Python 283L · 9.5 KB

│ ├─ 🐍 monitor_daemon.py Python 246L · 7.9 KB

│ ├─ 🐍 transfer_monitor.py Python 300L · 9.6 KB

│ └─ 🐍 whale_tracker.py Python 279L · 9.9 KB

├─ 📋 _meta.json JSON 19L · 440 B

├─ 🐍 payment.py Python 142L · 5.2 KB

└─ 📝 SKILL.md Markdown 287L · 6.9 KB

依赖分析 1 项

包名	版本	来源	已知漏洞	备注
`requests`	`*`	pip	否	无版本锁定，建议锁定版本如 requests>=2.28.0

安全亮点

✓ 文档与代码功能一致，无阴影功能

✓ 未使用 shell 命令执行，无远程代码注入风险

✓ 未访问敏感文件路径（~/.ssh、.env等）

✓ 无 base64/eval 等可疑编码执行

✓ 通知发送使用环境变量配置，不存在凭证收割

✓ 代码结构清晰，纯业务逻辑，无恶意行为