clawcast-wallet

核心用法

该 Skill 基于 Foundry 的 cast 工具链，为 Agent 提供完整的 EVM 钱包生命周期管理能力。通过分步脚本（01_install_cast.sh 至 06_finish.sh）实现交互式引导，涵盖 Foundry 安装、密钥创建或导入（支持助记词/私钥）、加密 Keystore 生成、网络配置（从 assets/evm-networks.json 读取多链 RPC）及代币管理。日常操作中，自动执行 wallet health check 检测现有钱包，配合 cast balance、cast send、cast call 等命令实现余额查询、转账及合约交互，同时通过 logs/tx_mentions.log 记录交易历史。

显著优点

1. 安全架构严谨：敏感文件（私钥、助记词、密码）采用 600 权限存储于 ~/.agent-wallet/，助记词文件通过 at 命令设置 1 小时自动清理，避免长期驻留风险。
2. 输入验证完善：对私钥（0x64 位十六进制）和地址（0x40 位十六进制）实施正则校验，防止格式错误导致的资金损失。
3. 交互体验友好：采用"单步询问-执行-确认"的 tight loop 模式，避免信息过载，适合非技术用户逐步完成复杂的钱包配置。
4. 多链原生支持：内置 EVM 网络清单和代币元数据 JSON，自动配置 Chain ID 和 RPC，支持 Ethereum、BSC 等主流网络无缝切换。

潜在缺点与局限性

1. 来源可信度：开发者 tezatezaz 为 GitHub 个人账号（T3 来源），虽代码通过安全审计，但缺乏组织级维护背书。
2. 依赖外部安装：需从 foundry.paradigm.xyz 下载安装 Foundry 工具链，存在网络供应链风险，且要求系统具备 shell 执行环境。
3. 助记词临时存储窗口：尽管有自动清理机制，助记词仍以明文形式在本地磁盘存在 1 小时，若环境被入侵存在泄露风险。
4. 功能边界：仅支持 EVM 兼容链，不支持 Bitcoin、Solana 等非 EVM 生态；作为热钱包解决方案，不适合大额资产长期存储。

适合的目标群体

• 区块链开发者：需要频繁在测试网/主网部署合约、调试交易的工程师。
• DeFi 高级用户：熟悉 cast 命令行工具，追求自动化脚本管理多链资产的技术型投资者。
• Agent 工作流集成：需要将链上操作（查询余额、执行转账）嵌入 AI Agent 自动化流程的场景。

使用风险提醒

1. 敏感数据残留：虽然脚本设置了 1 小时自动删除，但用户需确保 ~/.agent-wallet/ 目录权限为 700，且避免在多用户共享环境使用。
2. 供应链安全：首次安装 Foundry 时需验证 foundry.paradigm.xyz 的官方域名真实性，防范 DNS 劫持导致的恶意代码注入。
3. 热钱包风险：该 Skill 管理的是软件热钱包，私钥存在于磁盘加密文件中，不建议用于管理超过个人风险承受能力的加密资产，重要资金应使用硬件钱包。
4. 交易不可逆：所有 cast send 操作一旦上链无法撤回，脚本虽提供 cast mktx 离线签名模式，但用户仍需仔细核对交易参数。

核心用法

clawcast-wallet 是一款面向 EVM 生态的专业钱包管理 Skill，围绕 Paradigm Foundry 的 cast 工具链构建。它提供从 0 到 1 的完整钱包生命周期管理：新用户可通过引导式脚本完成 cast 安装、密钥创建或导入（支持 12/24 词 MetaMask 兼容助记词及原始私钥）、加密密钥库生成、网络配置和代币追踪；老用户则可快速查看余额、切换网络、发送交易或安全移除钱包。

关键交互模式：每次会话自动运行健康检查 (check_wallet.sh)，若检测到现有钱包立即展示地址、网络状态及余额；若无钱包则启动六步引导流程，每一步聚焦单一问题（密码、网络选择等），避免信息过载。所有敏感操作（助记词生成、密钥导入）均在本地完成，助记词临时文件受 600 权限保护并设置 1 小时自动清理 (at 定时任务或 sleep 回退)。

显著优点

1. 安全设计到位：加密密钥库 (cast wallet import)、严格文件权限 (umask 077/chmod 600)、助记词自动清理机制形成纵深防御；不向任何第三方服务器传输私钥或助记词。
2. 交互体验优化：分步引导避免技术细节淹没用户；每次仅问一个问题，执行后立即反馈结果（如展示新生成地址），建立信任感。
3. 网络生态丰富：内置 9+ 主流 EVM 网络配置（Ethereum、Arbitrum、Base、Optimism、Polygon、BSC、Avalanche 等），覆盖 Cloudflare、Ankr、官方节点等高信誉 RPC。
4. 功能完整：涵盖 cast 核心能力——余额查询、交易发送/模拟 (send/mktx+publish)、合约只读调用 (call)、收据追踪 (receipt/tx)、nonce 管理、单位转换及 4byte 解码，满足从新手到进阶用户的全场景需求。

潜在缺点或局限性

1. 供应链风险：安装脚本从远程下载 Foundry (curl | bash)，虽来源为可信的 Paradigm 官方，但仍属单层远程代码加载 (L1)，建议用户手动校验。
2. 密码本地存储：当前密码暂存于 ~/.agent-wallet/pw.txt，虽受文件权限保护，但不如系统密钥环 (Keychain/Secret Service) 安全；密钥环集成为未来改进方向。
3. RPC 隐私暴露：默认使用公共 RPC 端点，节点运营方可获知用户 IP 及查询地址；虽支持自定义 RPC，但普通用户可能忽略此选项。
4. 交易无预览确认：cast send 直接执行，缺少发送前的交易详情预览步骤，存在误操作风险（如地址粘贴错误）。

适合人群

• DeFi 日常用户：需频繁切换多链、查询余额、执行转账的轻度至中度使用者。
• 开发者/测试者：熟悉命令行，需要快速生成测试钱包、调用合约、调试交易的以太坊开发者。
• 安全敏感型用户：重视本地密钥控制、不愿将私钥托管给浏览器插件或交易所的自主托管拥护者。

常规风险

• 助记词/私钥泄露：临时文件虽受保护且自动清理，但在此期间若系统被入侵仍有截获风险；建议生成后立即备份至离线介质并验证清理完成。
• 网络钓鱼/误转账：缺少交易预览可能导致资金发送至错误地址；建议大额转账前先用 cast mktx+publish 模式或小额测试。
• RPC 端点故障或恶意响应：公共节点可能返回滞后数据或遭遇 DNS 劫持；重要操作前建议验证区块高度或切换到私有/自托管 RPC。