defi-amm-security

defi-amm-security スキルの概要

defi-amm-security は何のためのものか

defi-amm-security スキルは、Solidity 製の AMM、流動性プール、LP Vault、スワップロジックを重点的にレビューするための支援ツールです。特に壊れやすい箇所、つまり reentrancy、checks-effects-interactions の順序、reserve と share の計算、スリッページ処理、オラクル前提、寄付攻撃やインフレ攻撃、特権的な管理者権限などの監査に役立ちます。

どんな人が導入すべきか

トークン残高、価格ロジック、ユーザー向けエントリポイントを含む DeFi プロトコルを構築・レビューしているなら、defi-amm-security スキルの導入をおすすめします。特に、一般的な Solidity チェックリストではなく、実務で使える defi-amm-security for Security Audit のワークフローを必要とする監査人、プロトコルエンジニア、セキュリティレビュワーに向いています。

何が違うのか

このスキルは、汎用的なスマートコントラクトセキュリティ用プロンプトよりも対象を絞っています。defi-amm-security の価値は、資金、価格、share accounting に実際の影響を与える AMM の失敗モードに焦点を当てている点です。そのため、プールを本番投入してよいか、スワップ経路が操作可能か、Vault の計算が空状態や残高ベースの境界条件で歪められないかを判断するときの迷いが減ります。

defi-amm-security スキルの使い方

スキルをインストールして場所を確認する

環境に合わせたリポジトリのインストール手順を使い、その後でエージェントを skills/defi-amm-security に向けます。最初に SKILL.md を読むべきです。そこには、このスキルの想定範囲と、チェック対象として前提にしているセキュリティ分類が書かれています。

スキルに適切な入力を与える

defi-amm-security usage が最も効果を発揮するのは、プロンプトに次の情報が含まれているときです:

• コントラクト種別: AMM、LP Vault、router、swapper、fee module
• リスクの高い関数: swap, deposit, withdraw, mint, burn, skim, sync
• トークンモデル: ERC20、fee-on-transfer、rebasing、wrapped assets
• 価格モデル: constant product、stableswap、share-based accounting、oracle-dependent pricing

より良いプロンプトは具体的です。たとえば「この AMM を寄付攻撃、reentrancy、reserve 操作の観点で監査し、token.balanceOf(address(this)) が share 計算で悪用可能か確認してほしい」といった形です。「この DeFi コントラクトをレビューして」より、はるかに有効です。

リポジトリは正しい順番で読む

defi-amm-security install では、信号の強い順に次を確認するのが効果的です:

1. スコープと例がまとまっている SKILL.md
2. 対象の AMM または Vault コントラクト
3. 価格や実行に影響する router、adapter、oracle のファイル
4. 境界値を扱うテスト、特に zero-liquidity、手数料変更、通常とは異なるトークン挙動をカバーするもの

このスキルは、リポジトリ内の補助フォルダに依存しません。したがって、重要なのは追加資産を探すことではなく、このチェックリストを自分のコードベースに適用することです。

セキュリティ監査のワークフローで使う

このスキルは、各エントリポイントと会計上の前提に対する1回のレビューとして扱うのが適切です:

• state update より前に external call がないか確認する
• ユーザーが期待する場所に slippage と deadline の保護があるか検証する
• deposit、withdraw、swap が stale balance によって歪められないかテストする
• 管理者権限が、制御やイベントなしに経済条件を静かに変更できないか確認する

最も良い defi-amm-security guide の使い方は、各関数を1つの脅威クラスに対応付け、そこから排除したい exploit path を書き出すことです。

defi-amm-security スキル FAQ

これは AMM 専用ですか?

いいえ。defi-amm-security スキルは、LP Vault、swap router、そして残高や reserve を基に資産価格を決める Solidity コントラクトにも適しています。トークンを動かし、share を計算するコントラクトであれば、このスキルは有用です。

どんなときは使わないほうがいいですか?

ガバナンス、クロスチェーンブリッジ、または非 DeFi の業務ロジックをレビューするための唯一の手段として defi-amm-security を使うべきではありません。これは pool math、swap 実行、token-flow のセキュリティに特化しているため、より広いプロトコルリスクには別途レビューが必要です。

汎用プロンプトより優れていますか?

この用途では、たいていはそうです。汎用プロンプトでは、寄付攻撃、reserve の同期ずれ、オラクル依存、スワップ経路での CEI 破りを見落とすことがあります。defi-amm-security skill は、実際に AMM の損失につながる論点に注意を絞れます。

初心者でも使いやすいですか?

はい。ただし、基本的な Solidity と ERC20 の挙動を理解していることが前提です。このスキルは具体的なレビューの枠組みを与えてくれるので初心者にも役立ちますが、結果をそのまま信じる前に、balance、share、external call の相互作用を理解しておく必要があります。

defi-amm-security スキルを改善するには

まずコントラクトの前提条件を伝える

defi-amm-security の出力は、プール設計、トークン挙動、信頼前提を含めるほど良くなります。手数料の有無、プロトコルがオラクルを使うかどうか、管理者が pause、upgrade、parameter 設定を行えるかを明示してください。こうした情報で攻撃面は変わります。

バグ名だけでなく失敗モードを聞く

良い defi-amm-security usage のプロンプトは、問題がどう悪用されるか、どの state transition がそれを可能にするかまで説明させます。そうすると、単に「脆弱性を見つけて」という依頼より、実用的なレビュー結果が得られます。

境界条件のチェックを強制する

AMM レビューで大きな失敗につながるのは、空のプール、初回 deposit、丸め誤差、fee-on-transfer トークン、残高ベースの accounting に集中しがちです。これらの経路を明示的にテストするようスキルに指示し、標準的な reentrancy の指摘だけで終わらないようにしてください。

コードとテスト結果を使って反復する

最初の確認が終わったら、再チェックしたい正確な関数、invariant、失敗テストを入力します。defi-amm-security for Security Audit では、質問を絞るほど改善が速くなります。たとえば「この withdraw 経路は、トークンに transfer fee がある場合でも寄付攻撃に耐えられるか？」のように聞くのが効果的です。