Scan Report
5 /100
polymarket-maker
Continuous Static Market Making execution skill for Polymarket. Sells BOTH sides of 5-minute binary markets at $0.52. Features multi-asset support and an automated 8% Stop-Loss.
合法的 Polymarket 做市商交易机器人,代码结构清晰,无恶意行为,所有网络调用均为声明的交易所 API,无阴影功能。
Safe to install
无需修改,可直接使用。建议在生产环境启用 LIVE_TRADING 前确保 WALLET_PRIVATE_KEY 通过安全方式注入。
Findings 1 items
| Severity | Finding | Location |
|---|---|---|
| Low | 依赖包版本未锁定 Supply Chain | package.json:1 |
| Resource | Declared | Inferred | Status | Evidence |
|---|---|---|---|---|
| Filesystem | NONE | NONE | — | index.mjs 无文件读写操作,仅通过 nohup 重定向做日志输出 |
| Network | READ | READ | ✓ Aligned | index.mjs:56,65,80 — 仅访问 Binance 价格 API、Polymarket 订单簿和市场查询 API,均在文档中隐含声明 |
| Shell | WRITE | WRITE | ✓ Aligned | SKILL.md 明确声明使用 nohup node ... 启动后台进程,代码本身不执行 shell 命令 |
| Environment | READ | READ | ✓ Aligned | index.mjs:15 仅读取 WALLET_PRIVATE_KEY 和 LIVE_TRADING,与做市商功能直接相关 |
| Database | NONE | NONE | — | 无数据库操作 |
4 findings
Medium External URL 外部 URL
https://api.binance.com/api/v3/ticker/price?symbol=$ index.mjs:56 Medium External URL 外部 URL
https://clob.polymarket.com/book?token_id=$ index.mjs:65 Medium External URL 外部 URL
https://gamma-api.polymarket.com/markets?slug=$ index.mjs:80 Medium External URL 外部 URL
https://clob.polymarket.com index.mjs:98 File Tree
3 files · 9.6 KB · 273 lines JavaScript 1f · 238L
Markdown 1f · 25L
JSON 1f · 10L
├─
index.mjs
JavaScript
├─
package.json
JSON
└─
SKILL.md
Markdown
Dependencies 3 items
| Package | Version | Source | Known Vulns | Notes |
|---|---|---|---|---|
ethers | ^6.16.0 | npm | No | 版本未锁定,存在供应链风险 |
@polymarket/clob-client | ^5.8.0 | npm | No | 版本未锁定 |
dotenv | ^17.3.1 | npm | No | 版本未锁定 |
Security Positives
✓ 代码结构清晰,无混淆、无 base64、无隐藏执行路径
✓ 无凭证外传行为,PRIVATE_KEY 仅用于本地签名交易
✓ 无敏感路径访问(~/.ssh、~/.aws、.env 文件读取等)
✓ 所有网络请求均为 Polymarket 和 Binance 官方 API 端点
✓ Live trading 由 LIVE_TRADING 开关控制,默认关闭(模拟模式)
✓ 有内置 8% Stop-Loss 风险控制机制
✓ 无 HTML 注释、无隐藏指令
✓ 命令参数完全硬编码,无注入风险