jpskill.com
🛠️ 開発・MCP コミュニティ

evm-solidity-defi-triage-agent

EVM互換のブロックチェーン上のSolidityで書かれたDeFiスマートコントラクトについて、公開されたソースコードやバイトコードから、アクセス制御、プロキシ、再入可能性などの脆弱性を洗い出し、セキュリティレビューの初期段階を支援するSkill。

📜 元の英語説明(参考)

Guides EVM Solidity DeFi triage from public verified source or bytecode—access control, proxies, oracle usage, reentrancy and CEI patterns, DEX/router integrations, and common vulnerability classes. Use when the user asks for Ethereum or L2 smart contract security review, Solidity audit triage, OpenZeppelin proxy risks, or EVM-specific DeFi patterns—not for live exploits or private keys.

🇯🇵 日本人クリエイター向け解説

一言でいうと

EVM互換のブロックチェーン上のSolidityで書かれたDeFiスマートコントラクトについて、公開されたソースコードやバイトコードから、アクセス制御、プロキシ、再入可能性などの脆弱性を洗い出し、セキュリティレビューの初期段階を支援するSkill。

※ jpskill.com 編集部が日本のビジネス現場向けに補足した解説です。Skill本体の挙動とは独立した参考情報です。

⚡ おすすめ: コマンド1行でインストール(60秒)

下記のコマンドをコピーしてターミナル(Mac/Linux)または PowerShell(Windows)に貼り付けてください。 ダウンロード → 解凍 → 配置まで全自動。

🍎 Mac / 🐧 Linux 
mkdir -p ~/.claude/skills && cd ~/.claude/skills && curl -L -o evm-solidity-defi-triage-agent.zip https://jpskill.com/download/10129.zip && unzip -o evm-solidity-defi-triage-agent.zip && rm evm-solidity-defi-triage-agent.zip
🪟 Windows (PowerShell) 
$d = "$env:USERPROFILE\.claude\skills"; ni -Force -ItemType Directory $d | Out-Null; iwr https://jpskill.com/download/10129.zip -OutFile "$d\evm-solidity-defi-triage-agent.zip"; Expand-Archive "$d\evm-solidity-defi-triage-agent.zip" -DestinationPath $d -Force; ri "$d\evm-solidity-defi-triage-agent.zip"

完了後、Claude Code を再起動 → 普通に「動画プロンプト作って」のように話しかけるだけで自動発動します。

💾 手動でダウンロードしたい(コマンドが難しい人向け)
  1. 1. 下の青いボタンを押して evm-solidity-defi-triage-agent.zip をダウンロード
  2. 2. ZIPファイルをダブルクリックで解凍 → evm-solidity-defi-triage-agent フォルダができる
  3. 3. そのフォルダを C:\Users\あなたの名前\.claude\skills\(Win)または ~/.claude/skills/(Mac)へ移動
  4. 4. Claude Code を再起動
⬇ .zip でダウンロード(推奨) ⬇ .skill 形式(上級者用) 元のソース ↗

⚠️ ダウンロード・利用は自己責任でお願いします。当サイトは内容・動作・安全性について責任を負いません。

🎯 このSkillでできること

下記の説明文を読むと、このSkillがあなたに何をしてくれるかが分かります。Claudeにこの分野の依頼をすると、自動で発動します。

📦 インストール方法 (3ステップ)

  1. 1. 上の「ダウンロード」ボタンを押して .skill ファイルを取得
  2. 2. ファイル名の拡張子を .skill から .zip に変えて展開(macは自動展開可)
  3. 3. 展開してできたフォルダを、ホームフォルダの .claude/skills/ に置く
    • · macOS / Linux: ~/.claude/skills/
    • · Windows: %USERPROFILE%\.claude\skills\

Claude Code を再起動すれば完了。「このSkillを使って…」と話しかけなくても、関連する依頼で自動的に呼び出されます。

詳しい使い方ガイドを見る →
最終更新
2026-05-18
取得日時
2026-05-18
同梱ファイル
1

📖 Skill本文(日本語訳)

※ 原文(英語/中国語)を Gemini で日本語化したものです。Claude 自身は原文を読みます。誤訳がある場合は原文をご確認ください。

EVM Solidity DeFi トリアージエージェント

ロールの概要

EVM Solidityコントラクト(DeFiプロトコル、フック付きトークン、ルーター)に対する防御的なレビューワークフローです。検証済みのソースが望ましいですが、そうでない場合は、明示的な制限付きでバイトコードまたは逆コンパイラ分析を行います。

このスキルは、プロの監査に代わるものではありません。クロスエコシステムのDeFiの広範な調査(Solanaを含む)には、defi-security-audit-agentを使用してください。Solanaプログラムには、solana-defi-vulnerability-analyst-agentを使用してください。ハニーポットの転送パターンには、honeypot-detection-techniquesを使用してください。フラッシュローンの事後分析には、flash-loan-exploit-investigator-agentを使用してください。

メインネット攻撃や資金の窃盗を支援しないでください。

1. 静的レビューチェックリスト(Solidity / DeFi)

  • アクセス制御 — ロール、onlyOwner、タイムロック、機密性の高い関数における修飾子の欠落。
  • 再入可能性 — Checks-effects-interactions、状態更新前の外部呼び出し、関連する場合はプッシュよりもプル。
  • オラクル — TWAPとスポット価格の誤用、古い価格、脆弱なカスタムフィード。
  • プロキシ — UUPS / transparent proxyの管理者、イニシャライザ、実装スロットのリスク。
  • トークン — Fee-on-transfer、リベーシング、統合に影響を与えるブラックリスト。
  • 承認 — 無限承認パターン、ルーターとアグリゲーターに対する信頼の前提。

ツール(例): Slither、Mythril、Foundry/Hardhatテストを分離して実行し、手動で結果を確認します。

2. 履歴とオンチェーンのコンテキスト

  • デプロイされたバイトコードを、エクスプローラーが公開している検証済みのソースと照合します。
  • プロキシの実装の変更と管理者の譲渡を追跡します。

3. レポート

  • 前提条件と改善策を含む重大度。
  • 理論上の問題と、パブリックエントリーポイントから到達可能な問題を区別してラベル付けします。

倫理的なガードレール

  • 教育および防御のみを目的とし、新たに発見された脆弱性については責任ある開示を行います。
  • 本番システムに対する武器化されたエクスプロイト手順は行いません。

目標: 公開されているコードと状態から、読みやすいEVM DeFiリスクのトリアージを行うこと。blockint-skillsの他のスキルと連携します。

📜 原文 SKILL.md(Claudeが読む英語/中国語)を展開

EVM Solidity DeFi triage agent

Role overview

Defensive review workflow for EVM Solidity contracts (DeFi protocols, tokens with hooks, routers): verified source preferred; bytecode or decompiler analysis with explicit limits otherwise.

This skill does not replace a professional audit. For cross-ecosystem DeFi breadth (including Solana), defi-security-audit-agent. For Solana programs, solana-defi-vulnerability-analyst-agent. For honeypot transfer patterns, honeypot-detection-techniques. For flash-loan post-mortems, flash-loan-exploit-investigator-agent.

Do not assist with mainnet attacks or stealing funds.

1. Static review checklist (Solidity / DeFi)

  • Access control — Roles, onlyOwner, timelocks; missing modifiers on sensitive functions.
  • Reentrancy — Checks-effects-interactions; external calls before state updates; pull over push where relevant.
  • Oracles — TWAP vs spot misuse, stale prices, weak custom feeds.
  • Proxies — UUPS / transparent proxy admin, initializer, implementation slot risks.
  • Tokens — Fee-on-transfer, rebasing, blacklists affecting integrations.
  • Approvals — Infinite approve patterns; trust assumptions on routers and aggregators.

Tools (examples): Slither, Mythril, Foundry/Hardhat tests in isolation—confirm findings manually.

2. Historical and on-chain context

  • Match deployed bytecode to verified source where explorers expose it.
  • Track proxy implementation changes and admin transfers.

3. Reporting

  • Severity with preconditions and remediation ideas.
  • Label theoretical issues versus reachable from public entry points.

Ethical guardrails

  • Educational and defensive only; responsible disclosure for newly discovered vulnerabilities.
  • No weaponized exploit steps against production systems.

Goal: Readable EVM DeFi risk triage from public code and state—aligned with the rest of blockint-skills.