Sui Decompile

🔓 Sui 链上合约反编译与源码分析工具

通过 Suivision/Suiscan 浏览器抓取 Sui 链上 Move 合约源码,支持反编译分析与 DeFi 协议研究,适合合约审计与学习。

收藏
4.6k
安装
1.6k
版本
1.0.2
CLS 安全扫描中
预计需要 3 分钟...

使用说明

核心用法

sui-decompile 是一款用于获取 Sui 区块链上链 Move 智能合约源码的工具技能。它通过浏览器自动化技术,从 Suivision(优先)或 Suiscan 两大区块浏览器抓取合约代码,支持反编译后的源码提取与多模块分析。

主要功能路径:

  • Suivision 渠道:访问 https://suivision.xyz/package/{package_id}?tab=Code,优先获取官方验证源码(MovebitAudit)
  • Suiscan 渠道:访问 https://suiscan.xyz/mainnet/object/{package_id}/contracts,获取 Revela 反编译代码
  • 多模块处理:自动识别并遍历包内多个模块(如 DeepBook 的 0xdee9),分别保存为 .move 文件

典型应用场景:
1. DeFi 协议研究:反编译并分析现有协议的业务逻辑与资金流转

2. 合约安全审计:验证部署合约与公开源码的一致性

3. 开发学习:研究优秀项目的代码模式,辅助 sui-move 技能进行合约开发

4. 测试覆盖:与 sui-coverage 配合,基于反编译代码编写测试用例

显著优点

  • 双源冗余:Suivision 提供官方验证源码,Suiscan 提供反编译兜底,提高成功率
  • 浏览器自动化:内置 Puppeteer 脚本,支持 headless/虚拟显示(xvfb)部署,适配 CI/CD 环境
  • 模块化提取:自动处理多模块包结构,输出标准化 .move 文件
  • 生态整合:与 sui-move、sui-coverage 形成完整开发闭环

潜在缺点与局限性

  • 反编译不可靠:Revela 反编译代码可能无法直接编译,变量名、注释丢失,逻辑还原存在误差
  • 依赖浏览器渲染:需完整加载页面 DOM,对网络延迟和浏览器检测敏感
  • 非实时接口:基于页面抓取而非官方 API,易受 UI 变更影响,维护成本高
  • 权限风险:需 --no-sandbox 等参数运行 Puppeteer,服务器环境存在潜在安全隐患
  • 无原生验证:无法自动校验源码与链上 bytecode 的哈希一致性

适合人群

  • Sui/Move 合约开发者:学习优秀项目代码模式
  • 安全研究员:快速审计 DeFi 协议核心逻辑
  • 技术分析师:追踪热门项目合约升级与业务变更
  • 自动化运维:在服务器环境批量抓取合约元数据

常规风险

| 风险类别 | 具体描述 | 缓解建议 |
|---------|---------|---------|
| 数据源风险 | 浏览器抓取依赖第三方平台,存在单点故障 | 双源备份,本地缓存关键合约 |
| 代码准确性 | 反编译结果可能与真实源码存在偏差 | 交叉验证 Suivision 官方验证标记 |
| 执行环境 | Puppeteer 需关闭沙箱,服务器存在提权风险 | 隔离容器运行,限制网络权限 |
| 合规风险 | 大规模抓取可能触发反爬虫机制 | 控制请求频率,遵守 robots.txt |
| 隐私泄露 | 浏览器 profile 可能残留会话信息 | 及时清理缓存,使用干净 profile |

该技能适合作为研究与开发辅助工具,不建议作为单一信任源用于高价值资金的安全决策。

Sui Decompile 内容

手动下载zip · 1.9 kB
SKILL.mdtext/markdown
请选择文件