Name: self-hosted-crypto-payments Security Report — Trusted | ClawSafe
Item: self-hosted-crypto-payments
Rating: 95
Author: ClawSafe

This report was generated in Chinese. Some content may be in Chinese.

5 /100

self-hosted-crypto-payments

Add self-custodied crypto payment checkout to a Next.js + Supabase app. Accepts ETH, BTC, SOL, USDC, USDT and 25+ coins across 9 chains.

这是一个合法且代码质量高的自托管加密货币支付集成技能，声明与行为完全一致，无恶意特征。

Skill Nameself-hosted-crypto-payments

Duration39.9s

Enginepi

ClawHub Self-hosted Crypto Payment v1.0.0 by flacko2048

📥 18

ClawHub Verdict Suspicious env_credential_accessllm_suspiciousvt_suspicious

✓

Safe to install

可直接使用。该技能为 Next.js + Supabase 应用添加加密货币支付功能（ETH/BTC/SOL/USDC 等），所有代码均为标准的区块链交互和 HD 钱包派生逻辑。

Findings 2 items

Severity	Finding	Location
Low	npm 依赖未锁定版本 Supply Chain SKILL.md 中的 npm install 命令未指定依赖版本（`npm install ethers @scure/bip32 @scure/bip39 @scure/base @noble/hashes @solana/web3.js`），这可能导致未来安装到包含已知漏洞的版本。 `npm install ethers @scure/bip32 @scure/bip39 @scure/base @noble/hashes @solana/web3.js` → 建议使用固定版本或使用 npm shrinkwrap/yarn.lock/pnpm-lock.yaml，例如 `ethers@^6.0.0`。	`SKILL.md:51`
Low	客户端剪贴板写入（低风险） Sensitive Access crypto-payment-modal.tsx 中的 CopyButton 组件使用 navigator.clipboard.writeText 复制钱包地址和金额。这是加密货币支付 UX 的标准做法（用户需要复制地址），仅在用户主动点击按钮时触发，不存在恶意窃取风险。 `await navigator.clipboard.writeText(text)` → 无需修改，这是支付场景的标准行为。	`resources/crypto-payment-modal.tsx:155`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`WRITE`	`WRITE`	✓ Aligned	技能声明 Write 工具用于将资源文件复制到目标项目，代码行为一致（生成 Next.js API routes 和 React 组件文件）。
Network	`READ`	`READ`	✓ Aligned	crypto-checkout-route.ts:46 调用 CoinGecko API，check-crypto-payments-route.ts:64 调…
Shell	`WRITE`	`NONE`	✓ Aligned	Bash 工具声明用于运行 npm install，但代码本身无 shell 执行 — 行为符合预期。
Environment	`NONE`	`READ`	✓ Aligned	crypto-wallets.ts 读取 CRYPTO_MASTER_MNEMONIC，check-crypto-payments-route.ts 读取 CR…
Skill Invoke	`NONE`	`NONE`	—	无子技能调用行为。
Clipboard	`NONE`	`NONE`	—	crypto-payment-modal.tsx 使用 navigator.clipboard.writeText 复制钱包地址 — 这是支付场景的合法 UX …
Browser	`NONE`	`READ`	✓ Aligned	crypto-payment-modal.tsx 使用 router.refresh() 和 fetch 进行状态轮询 — 标准的 React 客户端组件行为，…
Database	`NONE`	`WRITE`	✓ Aligned	Supabase 写入 crypto_payments 表（insert）、更新 profiles 和 bots 表 — 未在 allowed-tools 中声…

26 findings

🔗

Medium External URL 外部 URL

https://cr8claw.com

LICENSE.txt:3

🔗

Medium External URL 外部 URL

https://iancoleman.io/bip39/

SKILL.md:69

🔗

Medium External URL 外部 URL

https://etherscan.io

SKILL.md:180

🔗

Medium External URL 外部 URL

https://api.coingecko.com/api/v3/simple/price?ids=$

resources/crypto-checkout-route.ts:47

🔗

Medium External URL 外部 URL

https://api.qrserver.com/v1/create-qr-code/?data=$

resources/crypto-payment-modal.tsx:208

🔗

Medium External URL 外部 URL

https://cloudflare-eth.com

resources/crypto-wallets.ts:43

🔗

Medium External URL 外部 URL

https://mainnet.base.org

resources/crypto-wallets.ts:44

🔗

Medium External URL 外部 URL

https://polygon-rpc.com

resources/crypto-wallets.ts:45

🔗

Medium External URL 外部 URL

https://arb1.arbitrum.io/rpc

resources/crypto-wallets.ts:46

🔗

Medium External URL 外部 URL

https://mainnet.optimism.io

resources/crypto-wallets.ts:47

🔗

Medium External URL 外部 URL

https://bsc-dataseed.binance.org

resources/crypto-wallets.ts:48

🔗

Medium External URL 外部 URL

https://api.avax.network/ext/bc/C/rpc

resources/crypto-wallets.ts:49

💰