Escaneia contratos Solidity antes do deploy
Computadores quânticos rodando o algoritmo de Shor vão quebrar secp256k1 e ECDSA — a base criptográfica de toda carteira EVM, assinatura de oráculo e multi-sig. Escaneia antes de fazer deploy.
O que o QuantumScan detecta em arquivos .sol
address signer = ECDSA.recover(hash, sig);Verificação direta de assinatura secp256k1. Quebrada pelo algoritmo de Shor.
_hashTypedDataV4(structHash)Assinatura estruturada usada em permits, votos e meta-transações. ECDSA internamente.
staticcall(gas(), 0x1, ptr, 0x80, ptr, 0x20)Chamada de baixo nível ao precompile de ecrecover — comum em contratos gas-otimizados.
AggregatorV3Interface(feed).latestRoundData()O DON da Chainlink usa ECDSA secp256k1 threshold para feeds de preço.
IERC20Permit(token).permit(owner, spender, value, deadline, v, r, s)Aprovações de token baseadas em assinatura — vão quebrar pós-quântico.
safe.execTransaction(..., signatures)Cada chave signatária é um par secp256k1. Todos são quantum-vulneráveis.
Dependências Solidity vulneráveis
@openzeppelin/contractsECDSA.sol, EIP712.sol, SignatureChecker.sol
@openzeppelin/contracts-upgradeableContratos ECDSA/EIP712 upgradeable
@chainlink/contractsInterfaces de oráculo — DON usa ECDSA secp256k1
@safe-global/safe-contractsGnosis Safe N-de-M multi-sig secp256k1
Como escanear seus contratos
- 1Rode o CLI no seu projeto Foundry ou Hardhat:
- 2Revise os achados — cada padrão HIGH é quantum-vulnerável
- 3Adicione // quantumscan-ignore para suprimir falsos positivos
- 4Compartilhe o relatório com seu auditor ou DAO
$ npx quantumscan .Escaneia agora — grátis, sem conta
QuantumScan é open-source (MIT). Com o CLI, nenhum código sai da sua máquina.
Escanear um repositório GitHub →QuantumScan para DeFi é apoiado pela comunidade de segurança open-source. Se seu protocolo usa esta ferramenta, considere financiar o projeto.
Caminho de migração passo a passo para cada padrão: ecrecover → ERC-4337, circuit breaker permit(), módulo Safe PQC e mais.