defi-amm-security
作者 affaan-mdefi-amm-security 是一份面向 Solidity AMM、流动性池、LP 金库和 swap 流程的聚焦安全清单。它帮助审计人员和工程师检查重入、CEI 顺序、捐赠或通胀攻击、预言机假设、滑点、管理员控制以及整数运算,减少使用通用提示词时的猜测成本。
该技能得分 78/100,说明它很适合作为需要 DeFi AMM 专项安全指导的目录条目。它提供了足够具体的工作流内容,比通用提示词更有实际价值,但仍缺少一些落地辅助,例如专门的安装命令和配套参考文件。
- 明确覆盖 AMM、流动性池和 swap 流程审计场景,便于 agent 低成本触发使用
- 内容兼顾清单与模式,涵盖重入、CEI 顺序、捐赠/通胀攻击、预言机操纵、管理员控制等安全主题
- 操作结构清晰:frontmatter 合法、标题层级完整,还有代码示例,便于 agent 按加固后的实现模式执行
- 没有安装命令,也没有配套支持文件(scripts、references、resources),因此主要依赖 SKILL.md 本身来落地使用
- 仓库预览只显示一个文件,用户应将其视为聚焦型清单技能,而不是更广泛的自动化审计工作流
defi-amm-security 技能概览
defi-amm-security 的用途
defi-amm-security 是一款面向 Solidity AMM、流动性池、LP vault 和 swap 逻辑的专项审计辅助技能。它帮助你检查最容易先出问题的部分:重入、checks-effects-interactions 顺序、储备和份额计算、滑点处理、预言机假设、捐赠攻击或通胀攻击,以及特权管理员控制。
适合谁安装
如果你正在构建或审查一个带有代币余额、定价逻辑或面向用户入口的 DeFi 协议,就应该安装 defi-amm-security 技能。它尤其适合审计员、协议工程师和安全审查人员;相比通用 Solidity 检查清单,它更需要一个实用的 defi-amm-security for Security Audit 工作流。
它的不同之处
这项技能比通用智能合约安全提示更聚焦。defi-amm-security 的价值在于,它把真正会影响资金、定价和份额记账的 AMM 失效模式放到最前面。这样,在你需要判断某个池子是否适合上线、某条 swap 路径是否可被操纵,或者某个 vault 的数学是否会被空状态或基于余额的边界情况扭曲时,能少很多猜测。
如何使用 defi-amm-security 技能
安装并定位技能
先按你的环境走仓库安装流程,然后把代理指向 skills/defi-amm-security。第一步建议先读 SKILL.md,因为里面写明了预期范围,以及这项技能希望你检查的安全类别。
给技能提供正确输入
defi-amm-security usage 的效果最好时,你的提示词应包含:
- 合约类型:AMM、LP vault、router、swapper 或 fee 模块
- 高风险函数:
swap、deposit、withdraw、mint、burn、skim、sync - 代币模型:ERC20、fee-on-transfer、rebasing 或 wrapped assets
- 定价模型:constant product、stableswap、基于份额的记账,或依赖预言机的定价
更强的提示词要具体,比如:“审计这个 AMM 的捐赠攻击、重入和储备操纵风险,并检查 token.balanceOf(address(this)) 是否会被滥用到份额计算中。”这比“帮我 review 这个 DeFi 合约”要好得多。
按正确顺序阅读仓库
对于 defi-amm-security install,信息密度最高的阅读路径是:
SKILL.md,看范围和示例- 目标 AMM 或 vault 合约
- 任何会影响定价或执行的 router、adapter 或 oracle 文件
- 覆盖边界情况的测试,尤其是零流动性、费用变更和异常代币行为
这项技能不依赖仓库里的辅助文件夹,所以它的主要价值来自把清单应用到你的代码库,而不是依赖额外资产。
使用安全审计工作流
把这项技能当成对每个入口点和记账假设的一次逐项检查:
- 检查外部调用是否发生在状态更新之前
- 验证用户预期存在的滑点和 deadline 保护是否真的存在
- 测试存款、提现或 swap 是否会被过时余额扭曲
- 确认管理员权限不能在没有控制或事件的情况下悄悄改变经济模型
最好的 defi-amm-security guide 用法,是把每个函数映射到一个威胁类别,然后写下你想排除的利用路径。
defi-amm-security 技能常见问题
它只适用于 AMM 吗?
不是。defi-amm-security 也适用于 LP vault、swap router,以及任何会根据余额或储备给资产定价的 Solidity 合约。只要合约会搬运代币并计算份额,这项技能就相关。
什么时候不该用它?
不要把 defi-amm-security 当成治理、跨链桥或非 DeFi 业务逻辑的唯一审查方法。它专门针对池子数学、swap 执行和 token 流转安全,因此更广泛的协议风险还需要额外审查。
它比通用提示词更好吗?
在这个场景下通常是的。通用提示词可能会漏掉捐赠攻击、储备不同步、预言机依赖,或者 swap 路径中的 CEI 违规。defi-amm-security skill 会把注意力收紧到真正会导致 AMM 亏损的问题上。
对新手友好吗?
如果你已经了解基本的 Solidity 和 ERC20 行为,那它是友好的。这个技能之所以适合新手,是因为它提供了一个很具体的审查框架;但在信任结果之前,你仍然需要理解余额、份额和外部调用是如何相互作用的。
如何改进 defi-amm-security 技能
先给出合约背景
当你补充池子设计、代币行为和信任假设后,defi-amm-security 的输出质量会明显提升。要说明是否有手续费、协议是否使用预言机,以及管理员是否可以暂停、升级或设置参数。这些细节都会改变攻击面。
要求分析失败模式,而不只是找 bug
一个好的 defi-amm-security usage 提示词,会要求模型解释问题可能如何被利用,以及是哪种状态转换让它成为可能。这样得到的审计笔记,比简单的“找漏洞”请求更有用。
强制检查边界情况
AMM 审查里最常见、也最致命的失效模式,通常出现在空池、首次存款、舍入、fee-on-transfer 代币,以及基于余额的记账上。让技能明确测试这些路径,才能拿到超出标准重入建议之外的有效信号。
结合代码和测试输出迭代
第一轮之后,把你想复查的具体函数、不变量或失败测试喂给技能。对于 defi-amm-security for Security Audit,最快的改进方式就是收窄问题范围:“如果代币收取转账手续费,这条 withdraw 路径还能抵抗捐赠攻击吗?”