扫描报告
5 /100
polymarket-maker
Continuous Static Market Making execution skill for Polymarket. Sells BOTH sides of 5-minute binary markets at $0.52. Features multi-asset support and an automated 8% Stop-Loss.
合法的 Polymarket 做市商交易机器人,代码结构清晰,无恶意行为,所有网络调用均为声明的交易所 API,无阴影功能。
可以安装
无需修改,可直接使用。建议在生产环境启用 LIVE_TRADING 前确保 WALLET_PRIVATE_KEY 通过安全方式注入。
安全发现 1 项
| 严重性 | 安全发现 | 位置 |
|---|---|---|
| 低危 | 依赖包版本未锁定 供应链 | package.json:1 |
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | NONE | NONE | — | index.mjs 无文件读写操作,仅通过 nohup 重定向做日志输出 |
| 网络访问 | READ | READ | ✓ 一致 | index.mjs:56,65,80 — 仅访问 Binance 价格 API、Polymarket 订单簿和市场查询 API,均在文档中隐含声明 |
| 命令执行 | WRITE | WRITE | ✓ 一致 | SKILL.md 明确声明使用 nohup node ... 启动后台进程,代码本身不执行 shell 命令 |
| 环境变量 | READ | READ | ✓ 一致 | index.mjs:15 仅读取 WALLET_PRIVATE_KEY 和 LIVE_TRADING,与做市商功能直接相关 |
| 数据库 | NONE | NONE | — | 无数据库操作 |
4 项发现
中危 外部 URL 外部 URL
https://api.binance.com/api/v3/ticker/price?symbol=$ index.mjs:56 中危 外部 URL 外部 URL
https://clob.polymarket.com/book?token_id=$ index.mjs:65 中危 外部 URL 外部 URL
https://gamma-api.polymarket.com/markets?slug=$ index.mjs:80 中危 外部 URL 外部 URL
https://clob.polymarket.com index.mjs:98 目录结构
3 文件 · 9.6 KB · 273 行 JavaScript 1f · 238L
Markdown 1f · 25L
JSON 1f · 10L
├─
index.mjs
JavaScript
├─
package.json
JSON
└─
SKILL.md
Markdown
依赖分析 3 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
ethers | ^6.16.0 | npm | 否 | 版本未锁定,存在供应链风险 |
@polymarket/clob-client | ^5.8.0 | npm | 否 | 版本未锁定 |
dotenv | ^17.3.1 | npm | 否 | 版本未锁定 |
安全亮点
✓ 代码结构清晰,无混淆、无 base64、无隐藏执行路径
✓ 无凭证外传行为,PRIVATE_KEY 仅用于本地签名交易
✓ 无敏感路径访问(~/.ssh、~/.aws、.env 文件读取等)
✓ 所有网络请求均为 Polymarket 和 Binance 官方 API 端点
✓ Live trading 由 LIVE_TRADING 开关控制,默认关闭(模拟模式)
✓ 有内置 8% Stop-Loss 风险控制机制
✓ 无 HTML 注释、无隐藏指令
✓ 命令参数完全硬编码,无注入风险