Name: overlay-market 安全扫描报告 — 可信 | ClawSafe
Item: overlay-market
Rating: 95
Author: ClawSafe

5 /100

overlay-market

Trade leveraged perpetual futures on Overlay Protocol (BSC)

Overlay Protocol DeFi 交易技能，代码干净透明，声明与实现完全一致，无恶意行为。

技能名称overlay-market

分析耗时32.4s

引擎pi

ClawHub Overlay Market (perpetual futures trading) v0.1.6 by arthurka-o

📥 246

ClawHub 判定可疑 potential_exfiltration

✓

可以安装

可直接使用，已遵循安全最佳实践（白名单限制、凭证本地签名不外传）。

资源类型	声明权限	推断权限	状态	证据
网络访问	`READ`	`READ`	✓ 一致	SKILL.md:54-62 所有外部调用均为声明的 API
文件系统	`NONE`	`READ`	✓ 一致	scripts/common.js:180-191 仅操作 .cache/ 目录缓存
命令执行	`NONE`	`NONE`	—	无任何 shell:WRITE 调用
环境变量	`READ`	`READ`	✓ 一致	仅读取声明的三个 env: BSC_RPC_URL, OVERLAY_PRIVATE_KEY, ONEINCH_API_KEY

16 项发现

💰

中危钱包地址加密货币钱包地址

0xeB497c228F130BD91E7F13f81c312243961d894A

SKILL.md:209

💰

中危钱包地址加密货币钱包地址

0x10575a9C8F36F9F42D7DB71Ef179eD9BEf8Df238

SKILL.md:210

🔗

中危外部 URL 外部 URL

https://app.overlay.market

SKILL.md:214

🔗

中危外部 URL 外部 URL

https://docs.overlay.market

SKILL.md:215

🔗

中危外部 URL 外部 URL

https://paulmillr.com/funding/

package-lock.json:27

💰

中危钱包地址加密货币钱包地址

0xb777ef1b4581677a0c764bFBc33c568d00e97DfC

scripts/common.js:24

💰

中危钱包地址加密货币钱包地址

0x927aE3c2cd88717a1525a55021AF9612C3F04583

scripts/common.js:26

💰

中危钱包地址加密货币钱包地址

0x1F34c87ded863Fe3A3Cd76FAc8adA9608137C8c3

scripts/common.js:30

💰

中危钱包地址加密货币钱包地址

0x55d398326f99059fF775485246999027B3197955

scripts/common.js:31

🔗

中危外部 URL 外部 URL

https://api.overlay.market/data/api/markets

scripts/common.js:33

🔗

中危外部 URL 外部 URL

https://api.overlay.market/bsc-charts/v1/charts

scripts/common.js:34

🔗

中危外部 URL 外部 URL

https://api.overlay.market/bsc-charts/v1/charts/marketsPricesOverview

scripts/common.js:35

🔗

中危外部 URL 外部 URL

https://api.goldsky.com/api/public/project_clyiptt06ifuv01ul9xiwfj28/subgraphs/overlay-bsc/prod/gn

scripts/common.js:36

🔗

中危外部 URL 外部 URL

https://bsc-dataseed.binance.org/

scripts/common.js:145

🔗

中危外部 URL 外部 URL

https://1inch-proxy.overlay-market-account.workers.dev

scripts/unwind.js:13

🔗

中危外部 URL 外部 URL

https://api.1inch.dev

scripts/unwind.js:14

目录结构

13 文件 · 60.6 KB · 1742 行

JavaScript 9f · 1298L JSON 2f · 224L Markdown 2f · 220L

├─ ▾ 📁 scripts

│ ├─ 📜 approve.js JavaScript 44L · 1.4 KB

│ ├─ 📜 balance.js JavaScript 46L · 1.1 KB

│ ├─ 📜 build.js JavaScript 161L · 5.7 KB

│ ├─ 📜 chart.js JavaScript 118L · 5.2 KB

│ ├─ 📜 common.js JavaScript 319L · 11.7 KB

│ ├─ 📜 positions.js JavaScript 171L · 5.6 KB

│ ├─ 📜 scan.js JavaScript 93L · 3.5 KB

│ ├─ 📜 send.js JavaScript 77L · 2.3 KB

│ └─ 📜 unwind.js JavaScript 269L · 9.1 KB

├─ 📋 package-lock.json JSON 217L · 6.7 KB

├─ 📋 package.json JSON 7L · 115 B

├─ 📝 README.md Markdown 5L · 123 B

└─ 📝 SKILL.md Markdown 215L · 8.0 KB

依赖分析 1 项

包名	版本	来源	已知漏洞	备注
`viem`	`^2.0.0`	npm	否	使用语义化版本范围，建议锁定到具体版本以确保可重现性

安全亮点

✓ 凭证安全：OVERLAY_PRIVATE_KEY 仅通过 viem/privateKeyToAccount 本地签名，从不外传

✓ 白名单限制：send.js ALLOWED_TARGETS 仅允许 SHIVA 合约和 USDT 代币，防止重定向

✓ 函数限制：USDT 代币仅允许 approve() 调用，阻止 transfer/transferFrom

✓ 无敏感路径访问：不访问 ~/.ssh、~/.aws、.env 等敏感路径

✓ 无代码混淆：无 base64 编码、eval、atob 等可疑模式

✓ 文档完善：SKILL.md 清晰说明交易签名流程和风险

✓ 本地缓存：.cache/ 目录仅存储市场数据，与外部服务行为一致