安全决策报告
whale-alert-monitor
发现未声明的计费阴影功能(payment.py)和硬编码API密钥,且所有链上监控功能使用模拟数据而非真实API调用。
最直接的威胁证据
高危 凭证窃取
硬编码API密钥 BILLING_API_KEY以明文形式存储在源代码payment.py第12行,这是严重的安全缺陷
payment.py:12 为什么得出这个结论
3/4 个维度触发 阻止
声明与实际能力
发现 2 项声明之外的能力或越权行为。
阻止
隐藏执行与外联
提取到 1 个高危 IOC 或外联信号。
阻止
攻击链与高危发现
报告包含 0 步攻击链,另有 2 项高危或严重发现。
复核
依赖与供应链卫生
没有完整依赖信息,供应链判断需要保留弹性。
风险分是怎么被拉高的
未声明的计费功能 +20
payment.py实现付费墙但SKILL.md未提及
硬编码API密钥 +25
BILLING_API_KEY明文存储在payment.py:12
虚假链上数据 +10
所有脚本使用random生成假数据而非真实API调用
最关键的证据
高危 凭证窃取
硬编码API密钥
BILLING_API_KEY以明文形式存储在源代码payment.py第12行,这是严重的安全缺陷
payment.py:12 使用环境变量存储敏感凭证
高危 文档欺骗
未声明的计费阴影功能
payment.py实现了完整的付费验证系统(verify_payment/require_payment),但SKILL.md完全未提及此功能的存在
payment.py:95 在SKILL.md中明确声明计费机制
中危 供应链
依赖无版本锁定
未发现requirements.txt或依赖声明文件,依赖管理不可追溯
N/A 添加requirements.txt并锁定依赖版本
中危 文档欺骗
虚假链上数据功能
whale_tracker.py/transfer_monitor.py/exchange_flow.py等脚本声称监控链上活动,但实际使用random模块生成完全虚假的数据
scripts/whale_tracker.py:85 使用真实API(Etherscan/Alchemy)或明确标注为演示模式
低危 敏感访问
未声明的环境变量读取
代码读取TELEGRAM_BOT_TOKEN、DISCORD_WEBHOOK_URL等环境变量但SKILL.md未声明
scripts/alert_manager.py:135 在SKILL.md中声明所需环境变量
声明能力 vs 实际能力
网络访问 阻止
声明 NONE
→ 推断 READ
payment.py:26 连接到skillpay.me但未声明 环境变量 阻止
声明 NONE
→ 推断 READ
payment.py:103 读取SKILLPAY_USER_ID 可疑产物与外联
高危 API 密钥
API_KEY = "sk_f03aa8f8bbcf79f7aa11c112d904780f22e62add1464e3c41a79600a451eb1d2" payment.py:12
中危 钱包地址
0x742d35Cc6634C0532925a3b8D4E6D3b6e8d3e8D3 README.md:77
中危 钱包地址
0x3f5CE5FBFe3E9af3971dD833D26bA9b5C936f0bE README.md:95
中危 钱包地址
0x71660c4005BA85c37ccec55d0C4493E66Fe775d3 README.md:100
中危 外部 URL
https://skillpay.me payment.py:11
中危 外部 URL
https://api.etherscan.io/api references/api-configuration.md:8
中危 外部 URL
https://eth-mainnet.g.alchemy.com/v2/ references/api-configuration.md:54
中危 外部 URL
https://deep-index.moralis.io/api/v2/ references/api-configuration.md:89
中危 外部 URL
https://eth-mainnet.g.alchemy.com/v2/KEY references/api-configuration.md:112
中危 外部 URL
https://eth-mainnet.g.alchemy.com/v2/$ references/api-configuration.md:137
中危 外部 URL
https://etherscan.io references/api-configuration.md:138
中危 外部 URL
https://bsc-dataseed.binance.org references/api-configuration.md:142
依赖与供应链
没有结构化依赖告警。
文件构成
12 个文件 · 2728 行
Python 7 个文件 · 1864 行Markdown 4 个文件 · 843 行JSON 1 个文件 · 21 行
需关注文件 · 6
scripts/alert_manager.py 未声明的环境变量读取 · https://api.telegram.org/bot
scripts/whale_tracker.py 虚假链上数据功能
README.md 0x742d35Cc6634C0532925a3b8D4E6D3b6e8d3e8D3 · 0x3f5CE5FBFe3E9af3971dD833D26bA9b5C936f0bE · 0x71660c4005BA85c37ccec55d0C4493E66Fe775d3
payment.py 硬编码API密钥 · 未声明的计费阴影功能 · API_KEY = "sk_f03aa8f8bbcf79f7aa11c112d904780f22e62add1464e3c41a79600a451eb1d2" · https://skillpay.me
references/api-configuration.md https://api.etherscan.io/api · https://eth-mainnet.g.alchemy.com/v2/ · https://deep-index.moralis.io/api/v2/ · https://eth-mainnet.g.alchemy.com/v2/KEY · https://eth-mainnet.g.alchemy.com/v2/$ · https://etherscan.io · https://bsc-dataseed.binance.org · https://bscscan.com · https://arb-mainnet.g.alchemy.com/v2/$ · https://arbiscan.io · https://opt-mainnet.g.alchemy.com/v2/$ · https://optimistic.etherscan.io
references/wallet-labels.md 0xdB3c617cDd2fBf0c8611C04A49d34C7B332e2BB6 · 0x5a52E96BAcdaBb82fd05763E25335261B270Efcb · 0x503828976D22510aad0201ac7EC88293211D23Da · 0x6b75d8AF000000e20B7a7DD000000090D0000000 · 0xf89d7b9c864f589bbF53f821d7EfC68c91d70958 · 0x2B6eD29a95753C3Ad948348e3e7b1A251039FBB9
其他文件 · exchange_flow.py · transfer_monitor.py · holding_analyzer.py · monitor_daemon.py · SKILL.md · _meta.json
安全亮点
无远程代码执行(RCE)风险
无明显的凭证收割外传行为
无base64编码或混淆代码
代码结构清晰,注释完整