skills/Vortitron/solana-transfer

solana-transfer

💸 Solana 链上安全即时支付

OpenClaw 官方 Solana 转账技能,支持 Agent 间即时 SOL/SPL 代币支付与奖励结算,链上透明可追溯。

收藏
7.5k
安装
2.7k
版本
v0.1.0
CLS 安全性认证2026-05-12
点击查看完整报告 >

使用说明

该技能为 OpenClaw Agent 提供 Solana 区块链原生转账能力,支持 SOL 和 SPL 代币(如 USDC)的链上支付与结算。

核心用法:通过简单的 JavaScript API 调用(sendSOLsendSPLToken),Agent 可向其他 Agent 或钱包地址发送代币。使用时需本地配置 Solana 密钥对(keypair.json)和 RPC 端点,支持 mainnet、devnet 和 testnet 网络。典型场景包括专家查询付费、任务奖励发放、自动化交易结算等,所有操作均通过 @solana/web3.js 官方库与链上交互。

显著优点:基于 Solana 官方库构建,代码规范且经过安全审计;支持原生代币和 SPL 代币,满足不同支付需求;交易上链后可生成唯一哈希,便于构建审计追踪、争议解决和数据分析系统;配置灵活,支持自定义 RPC 端点和多网络切换;API 设计轻量简洁,错误处理完善,几行代码即可集成。

潜在缺点或局限性:使用 parseInt() 处理金额,对于超过 JavaScript 安全整数范围(2^53-1)的大额转账可能存在精度丢失风险;技能本身不提供转账二次确认机制,需调用方自行实现确认逻辑;依赖外部 RPC 服务,网络拥堵时可能出现确认延迟;高频转账可能触发 RPC 限流,需自行添加延迟控制;目前仅支持基础转账,不支持多签、DeFi 交互等复杂操作。

适合的目标群体:构建 Agent 经济系统的开发者(实现 Agent 间自动支付)、搭建专家咨询平台的团队(按查询自动结算)、任务分发与奖励系统构建者(自动发放报酬)、以及需要链上透明结算的 DAO 或自动化组织。

使用风险:私钥以明文存储在本地 keypair.json,若文件权限设置不当(建议 600)或被恶意读取将导致资金被盗;区块链交易不可逆,错误地址或金额会造成永久损失;使用不可信 RPC 可能面临交易信息泄露或 front-running 风险;JavaScript 数字精度限制可能影响大金额转账准确性,建议大额交易前验证金额。

安全解读

核心用法

Solana Transfer Skill 是专为 OpenClaw 代理系统设计的区块链支付组件,提供标准化的 Solana 链上转账能力。核心功能包括:

1. 基础转账:通过 sendSOL(recipient, lamports) 发送原生 SOL,最小单位为 lamports(1 SOL = 10^9 lamports)
2. 代币支付:通过 sendSPLToken(recipient, mint, amount) 发送 USDC 等 SPL 代币,需指定代币合约地址
3. 配置管理:支持 config.json 自定义 RPC 端点(主网/测试网/开发网/私有节点),通过环境变量覆盖密钥路径
4. 链上查询:获取钱包地址、查询余额、检索交易历史等辅助功能

使用流程

import { sendSOL } from '../skills/solana-transfer/index.js';
const result = await sendSOL('recipient-address', 1000000); // 0.001 SOL
console.log(result.signature); // 交易哈希

显著优点

  • 功能专注单一:仅处理转账相关操作,无冗余功能,降低攻击面
  • 依赖官方可信:仅使用 @solana/web3.js@solana/spl-token 官方 SDK,无第三方可疑依赖
  • 配置灵活安全:支持环境变量配置,避免硬编码敏感信息;RPC 端点可自定义,支持私有化部署
  • 典型场景覆盖:内置「专家问答付费」「任务完成奖励」「USDC 结算」等 Agent 经济系统常见模式
  • 安全认证良好:CLS 认证评分 75/A 级,静态分析 82 分,无危险函数调用,无硬编码密钥

潜在缺点与局限性

  • 私钥管理原始:依赖明文 JSON 文件(keypair.json),无内置加密、硬件钱包或 KMS 集成,需用户自行保障文件权限(建议 600)
  • 输入验证有限:金额仅做 parseInt 转换,缺少上限校验与余额预检,依赖网络层拒绝无效交易
  • 无交易限额机制:缺乏单笔/日累计限额配置,存在意外大额转账风险
  • 无本地审计日志:不自动记录交易历史,需外部 Skill 或手动实现链上监控与对账
  • 区块链固有特性:交易不可逆、网络拥堵时可能失败、需自行承担 Gas 费用(尽管 Solana 费用极低)

适合人群

  • Agent 开发者:构建多代理协作系统,需要链上结算机制(如专家咨询市场、任务众包平台)
  • DAO/社区运营:通过程序化方式发放成员奖励、赏金或报销
  • 自动化交易系统:需要低延迟、低成本的链上支付能力(Solana TPS 高、确认快)
  • 测试网开发者:devnet/testnet 环境快速验证 Agent 经济模型

常规风险

| 风险类型 | 说明 | 缓解建议 |
|---------|------|---------|
| 私钥泄露 | keypair.json 被未授权读取 | 设置 600 权限,使用加密存储,考虑硬件钱包 |
| RPC 节点风险 | 恶意 RPC 可能返回错误数据或审查交易 | 使用官方/可信节点,重要交易多节点验证 |
| 交易误发 | 地址错误或金额输入失误 | 小额测试,添加二次确认流程 |
| 网络拥堵 | 交易长时间未确认或失败 | 实现重试机制,设置合理超时 |
| 智能合约风险(SPL) | 代币合约可能存在漏洞 | 仅使用官方认证代币(如 USDC)|
payblockchainautomationfinance-accounting

solana-transfer 内容

手动下载zip · 14.9 kB
config.example.jsonapplication/json
请选择文件