typhoon-starknet-account

🌪️ Starknet 隐私账户与 DeFi 自动化

基于 Typhoon 匿名部署器的 Starknet 账户管理技能,支持隐私交易、DeFi 交互与链上事件监听,为 Web3 用户提供企业级安全防护。

收藏
3.4k
安装
785
版本
v0.3.8
CLS 安全性认证2026-06-04
点击查看完整报告 >

使用说明

核心用法

Typhoon Starknet Account 是一款专为 Starknet 生态设计的区块链账户管理技能,通过 Typhoon 匿名部署器实现隐私保护型账户创建与管理。其核心工作流程分为三步:首先由 parse-smart.js 解析用户自然语言指令,进行安全校验并提取代币、协议、ABI 等关键信息;随后 LLM 基于解析结果构建结构化操作指令;最后 resolve-smart.js 执行具体操作,涵盖合约读取、写入交易、事件监听及条件触发四种模式。

该技能深度集成 AVNU、Ekubo、Vesu 等主流 DeFi 协议,支持 ETH/STRK 等代币的 swap、转账、流动性提供等操作。独特的事件监听功能允许用户设置条件触发器——例如当 Ekubo 发生特定 Swap 事件时,自动通过 AVNU 执行对冲交易,并内置 TTL 自动清理机制管理定时任务。

显著优点

隐私优先架构:依托 Typhoon 协议实现账户匿名部署,链上地址无法关联到用户身份,满足合规敏感场景需求。多层安全防护:30+ 条正则规则防御提示词注入、执行认证令牌防止注入攻击、私钥 600 权限存储、目录 700 权限隔离,形成纵深防御体系。智能解析能力:结合 Compromise NLP 库与 ABI 上下文,将"把 10 个 ETH 换成 STRK"等自然语言精准映射为链上操作。生态原生集成:直接调用 AVNU SDK、Starknet 官方 SDK,无需用户手动处理合约地址与调用数据。条件自动化:支持"监听+执行"的复合策略,满足量化交易、套利监控等高级场景。

潜在缺点与局限性

来源可信度限制:当前为个人开发者账号(T3),虽代码质量优秀但缺乏组织背书。外部依赖风险:核心功能依赖 AVNU API、Typhoon 合约等中心化服务,存在单点故障可能。私钥传递方式:子脚本通过命令行参数接收私钥,虽有文件权限保护,但相比内存隔离方案安全性稍逊。定时任务复杂度:crontab 操作对普通用户不够透明,需手动审计 ~/.openclaw/cron// 目录。性能瓶颈:事件监听采用 WebSocket/轮询模式,高频场景下可能存在延迟,不适合毫秒级套利。不可逆操作风险:区块链交易一旦上链无法撤销,误操作可能导致资产损失。

适合的目标群体

  • 隐私敏感型用户:需要隐藏交易轨迹的 DeFi 参与者、机构交易员
  • Starknet 生态开发者:快速原型验证、合约交互测试
  • 自动化策略交易者:需要事件驱动执行的中低频量化策略
  • Web3 新手探索者:自然语言交互降低链上操作门槛
  • 多协议套利者:跨 Ekubo/AVNU/Vesu 的流动性挖掘与套利

使用风险

资产安全风险:私钥文件需严格备份,丢失将导致账户永久不可恢复;建议大额资金配合硬件钱包使用。智能合约风险:交互的 DeFi 协议可能存在漏洞,需自行评估协议安全性。网络与 RPC 风险:默认 lava.build RPC 可能出现延迟或故障,建议配置备用节点。定时任务残留:条件监听任务若未正常清理,可能持续消耗系统资源。授权误操作:虽有多层确认,但用户仍需仔细核对每笔交易的代币、金额、接收地址。监管合规风险:匿名功能在某些司法辖区可能受限,用户需自行评估合规性。

安全解读

核心用法

本Skill为AI代理提供完整的Starknet区块链交互能力,核心功能包括:

账户管理:通过Typhoon匿名部署器创建无需关联真实身份的Starknet账户,私钥本地加密存储(权限0o600)。

交易执行:集成AVNU SDK实现DEX代币兑换(ETH/STRK等),支持自动协议识别与最优路由选择。

合约交互:读取链上数据、执行合约写操作、监听链上事件,支持条件触发式自动化(如"当Ekubo发生Swap事件后5分钟内执行AVNU兑换")。

安全流程:采用"解析→授权→执行"三层架构——parse-smart.js分析意图并生成安全令牌,resolve-smart.js在获得用户明确确认后广播交易,全程隔离提示词注入风险。

显著优点

  • 隐私优先:Typhoon协议确保账户部署与交易链路匿名,不关联真实身份
  • 自动化能力:支持事件监听+条件触发的智能合约交互,可设置带TTL的定时任务
  • 安全防护完善:实现vard提示词注入检测、危险函数黑名单(upgrade/set_admin等需额外确认)、10分钟有效期的执行认证令牌
  • 协议兼容性强:原生支持Ekubo、AVNU等主流Starknet DEX协议
  • 依赖可信:基于starknet.js、AVNU SDK等成熟区块链基础设施

潜在局限

  • 私钥本地存储:虽设置600权限,仍存在被恶意程序或物理访问窃取的理论风险(暂不支持硬件钱包)
  • 系统级修改:事件监听功能需修改用户crontab,侵入性较强
  • 外部依赖集中:依赖Lava Network RPC、AVNU Paymaster等第三方服务可用性
  • WebSocket稳定性:长连接事件监听存在网络波动风险
  • 子进程执行:使用child_process.spawn派生交易脚本,需运行时权限

适合人群

  • 需要自动化执行Starknet策略交易的DeFi用户
  • 重视隐私保护、希望隔离链上身份的个人或机构
  • 已理解区块链操作风险、具备基础安全意识的加密货币持有者
  • 寻求AI代理托管链上操作的开发者

常规风险

| 风险类型 | 具体表现 | 缓释措施 |
|---------|---------|---------|
| **资金损失** | 智能合约漏洞、交易滑点、Gas波动 | 每笔交易需用户显式确认,支持交易预览 |
| **密钥泄露** | 本地文件被窃取、系统入侵 | 文件权限严格限制,建议配合全盘加密 |
| **授权滥用** | 恶意提示诱导授权危险操作 | vard注入检测+危险函数黑名单双重防护 |
| **服务中断** | RPC节点故障、API限流 | 内置多节点轮询与自动降级机制 |
| **隐私泄露** | RPC节点记录IP与请求模式 | Typhoon协议混淆交易链路,建议配合VPN |

认证摘要

CLS安全认证评分72分(Grade A),静态分析与威胁情报表现良好,主要扣分项集中于动态行为(子进程执行)与隐私合规(本地密钥存储)。代码结构清晰,2,847行/12文件规模适中,MIT开源协议便于审计。

typhoon-starknet-account 内容

references文件夹
scripts文件夹
手动下载zip · 56.9 kB
argentx-class-hashes.mdtext/markdown
请选择文件