defi-amm-security
par affaan-mdefi-amm-security est une checklist de sécurité ciblée pour les AMM Solidity, les pools de liquidité, les coffres LP et les flux de swap. Elle aide les auditeurs et les ingénieurs à examiner la réentrance, l’ordre CEI, les attaques par donation ou inflation, les hypothèses d’oracle, le slippage, les contrôles d’administration et l’arithmétique entière avec moins d’incertitude qu’avec un prompt générique.
Ce skill obtient 78/100, ce qui en fait une bonne candidate pour un annuaire destiné à des utilisateurs ayant besoin d’un guide de sécurité spécifique aux AMM DeFi. Il apporte suffisamment de contenu concret sur le workflow pour être nettement plus utile qu’un prompt générique, même s’il lui manque encore certains éléments d’adoption, comme une commande d’installation dédiée et des fichiers de référence d’accompagnement.
- Cas d’usage clairs pour les audits d’AMM, de pools de liquidité et de flux de swap, ce qui permet aux agents de le déclencher avec peu d’hésitation
- Contenu substantiel de type checklist + patterns, avec des thèmes de sécurité comme la réentrance, l’ordre CEI, les attaques par donation/inflation, la manipulation d’oracle et les contrôles d’administration
- Bonne structure opérationnelle : frontmatter valide, plusieurs sections et exemples de code qui aident un agent à suivre des patterns d’implémentation durcis
- Aucune commande d’installation et aucun fichier de support (scripts, références, ressources) ; l’adoption repose donc surtout sur le contenu de SKILL.md
- L’aperçu du dépôt ne montre qu’un seul fichier ; les utilisateurs doivent donc s’attendre à un skill de checklist ciblé plutôt qu’à un flux d’audit automatisé plus large
Vue d’ensemble de la skill defi-amm-security
À quoi sert defi-amm-security
La skill defi-amm-security est une aide ciblée pour auditer les AMM Solidity, les pools de liquidité, les coffres de LP et la logique d’échange. Elle permet de passer en revue les points qui cèdent le plus souvent en premier : réentrance, ordre checks-effects-interactions, calcul des réserves et des parts, gestion du slippage, hypothèses sur les oracles, attaques par donation ou par inflation, et contrôles administrateur privilégiés.
Qui devrait l’installer
Installez la skill defi-amm-security si vous développez ou examinez un protocole DeFi avec des soldes de jetons, une logique de prix ou des points d’entrée exposés aux utilisateurs. Elle est particulièrement utile pour les auditeurs, les ingénieurs protocole et les relecteurs sécurité qui ont besoin d’un workflow concret defi-amm-security for Security Audit plutôt que d’une checklist Solidity générique.
Ce qui la différencie
Cette skill est plus étroite qu’un prompt général de sécurité des smart contracts. La valeur de defi-amm-security, c’est qu’elle se concentre sur les vrais modes de défaillance des AMM qui touchent les fonds, les prix et la comptabilité des parts. Moins d’hypothèses à faire quand il faut décider si un pool est prêt à être déployé, si un chemin d’échange est manipulable, ou si la logique d’un vault peut être faussée par des cas limites liés à un état vide ou à un calcul basé sur le solde.
Comment utiliser la skill defi-amm-security
Installer et repérer la skill
Utilisez le flux d’installation du dépôt adapté à votre environnement, puis pointez votre agent vers skills/defi-amm-security. Commencez par lire SKILL.md, car il contient le périmètre visé et les catégories de sécurité que la skill attend de vous.
Fournir les bons éléments d’entrée à la skill
Le defi-amm-security usage donne les meilleurs résultats si votre prompt inclut :
- le type de contrat : AMM, coffre LP, router, swapper ou module de frais
- les fonctions à risque :
swap,deposit,withdraw,mint,burn,skim,sync - le modèle de jeton : ERC20, fee-on-transfer, rebasing ou actifs wrapped
- le modèle de tarification : constant product, stableswap, comptabilité par parts ou tarification dépendante d’un oracle
Un prompt plus solide est précis, par exemple : « Audite cet AMM pour des attaques par donation, la réentrance et la manipulation des réserves, et vérifie si token.balanceOf(address(this)) peut être exploité dans le calcul des parts. » C’est bien meilleur que « révise ce contrat DeFi ».
Lire le dépôt dans le bon ordre
Pour defi-amm-security install, le chemin le plus riche en signaux est :
SKILL.mdpour le périmètre et les exemples- les contrats AMM ou vault ciblés
- tout fichier router, adapter ou oracle qui influence le prix ou l’exécution
- les tests qui couvrent les cas limites, en particulier la liquidité nulle, les changements de frais et les comportements inhabituels des jetons
Cette skill ne dépend pas de dossiers d’aide supplémentaires dans le dépôt, donc l’essentiel de sa valeur vient de l’application de sa checklist à votre codebase, pas d’assets additionnels.
Utiliser un workflow d’audit sécurité
Traitez la skill comme un passage systématique sur chaque point d’entrée et chaque hypothèse comptable :
- vérifiez les appels externes avant les mises à jour d’état
- confirmez que les protections contre le slippage et les deadlines existent là où les utilisateurs s’y attendent
- testez si les dépôts, retraits ou swaps peuvent être faussés par des soldes périmés
- confirmez que les pouvoirs d’admin ne peuvent pas modifier l’économie en silence, sans garde-fous ni événements
Le meilleur usage de defi-amm-security guide consiste à rattacher chaque fonction à une classe de menace, puis à écrire le chemin d’exploitation que vous cherchez à écarter.
FAQ de la skill defi-amm-security
Est-ce réservé aux AMM ?
Non. La skill defi-amm-security convient aussi aux coffres LP, aux routers d’échange et à tout contrat Solidity qui valorise des actifs à partir des soldes ou des réserves. Si le contrat déplace des jetons et calcule des parts, cette skill est pertinente.
Quand ne faut-il pas l’utiliser ?
N’utilisez pas defi-amm-security comme seule méthode de revue pour la gouvernance, les bridges cross-chain ou la logique métier non DeFi. Elle est spécialisée dans la comptabilité des pools, l’exécution des swaps et la sécurité des flux de jetons ; les risques plus larges du protocole exigent donc une revue complémentaire.
Est-elle meilleure qu’un prompt générique ?
En général, oui pour ce cas d’usage. Un prompt générique peut passer à côté des attaques par donation, de la désynchronisation des réserves, de la dépendance à l’oracle ou des violations de CEI dans les chemins de swap. La defi-amm-security skill focalise l’attention sur les problèmes qui provoquent réellement des pertes sur AMM.
Est-elle adaptée aux débutants ?
Oui, si vous connaissez déjà les bases de Solidity et le comportement d’ERC20. La skill est utile aux débutants parce qu’elle fournit un cadre d’analyse concret, mais il faut quand même comprendre comment les soldes, les parts et les appels externes interagissent avant de faire confiance au résultat.
Comment améliorer la skill defi-amm-security
Donner le contexte du contrat dès le départ
La qualité des résultats de defi-amm-security augmente si vous précisez la conception du pool, le comportement des jetons et les hypothèses de confiance. Indiquez s’il existe des frais, si le protocole utilise un oracle, et si les admins peuvent mettre en pause, upgrader ou définir des paramètres. Ces détails changent la surface d’attaque.
Demander le mode de défaillance, pas seulement le bug
Un bon prompt defi-amm-security usage demande au modèle d’expliquer comment le problème pourrait être exploité et quelle transition d’état le rend possible. On obtient ainsi des notes de revue bien plus utiles qu’une simple demande du type « trouve des vulnérabilités ».
Forcer les vérifications de cas limites
Les plus gros modes de défaillance dans une revue d’AMM tournent souvent autour des pools vides, du premier dépôt, des arrondis, des jetons fee-on-transfer et de la comptabilité basée sur les soldes. Demandez à la skill de tester explicitement ces chemins pour obtenir de vrais signaux au-delà du conseil standard sur la réentrance.
Itérer avec le code et les sorties de tests
Après un premier passage, fournissez à la skill la fonction exacte, l’invariant ou le test en échec que vous voulez faire réexaminer. Pour defi-amm-security for Security Audit, le gain le plus rapide vient du fait de resserrer la question : « Ce chemin de retrait résiste-t-il encore à une attaque par donation si le jeton prélève des frais à l’envoi ? »