defi-risk-mcp

赋予 Claude DeFi 级别的风险意识。

一款 MCP 服务器，整合了跨审计、漏洞利用、预言机依赖、可组合性、MEV 和滑点等方面的 DeFi 风险，作为任何 Claude Desktop / Cursor / Cline 代理均可调用的工具暴露出来。

安装 · 工具 · 完整安装指南 · 缺失功能 · PRD

## 演示 **提示词：** _"我正考虑在 Base 上的 Aave 中存入 10,000 USDC。有哪些风险？"_ Claude 调用 `get_position_risk` + `explain_protocol_risk` + `get_recent_exploits` + `get_chain_info` 并进行综合分析 —— 以下直接来自 Linux 上的实时 Claude Code 会话： 完整的验证日志 —— 包括提示词 #2（收益发现 → 正确挑选出 Pendle APXUSD）和提示词 #3（捕获了一笔带有销毁形态接收者 + 过期截止日期的抽水模式交易）—— 存放于 [issue #5](https://github.com/Alike001/defi-risk-mcp/issues/5) 和 [issue #9](https://github.com/Alike001/defi-risk-mcp/issues/9)。 ## 安装说明 MCP 服务器的安装方式是将其作为工具服务器注册到兼容 MCP 的客户端中（Claude Desktop、Cursor、Cline、Continue、Windsurf）。它通过 stdio 使用 JSON-RPC 通信 —— 你的客户端会生成它并将工具调用路由给它。 ### 快速安装（单行命令） ``` npx -y -p @alike001/defi-risk-mcp defi-risk-mcp-install ``` 这会将一个 `defi-risk` 条目写入你的 Claude Desktop 配置中（如果文件不存在则创建），并保留你已经拥有的所有其他 MCP 服务器。如果 `defi-risk` 条目已经存在，脚本会在覆盖前询问；传入 `--force` 可跳过提示。 ### 手动安装 如果你更愿意自己编辑配置，请将此代码块粘贴到 `claude_desktop_config.json` 中并完全重启 Claude Desktop（Cmd/Ctrl-Q）： ``` { "mcpServers": { "defi-risk": { "command": "npx", "args": ["-y", "-p", "@alike001/defi-risk-mcp", "defi-risk-mcp"], "env": { "ALCHEMY_API_KEY": "", "ETHERSCAN_API_KEY": "", "TENDERLY_USER": "", "TENDERLY_PROJECT": "", "TENDERLY_ACCESS_KEY": "", "INDEX_NETWORK_KEY": "", "BRAVE_SEARCH_API_KEY": "" } } } } ``` 配置文件路径： - **macOS**: `~/Library/Application Support/Claude/claude_desktop_config.json` - **Windows**: `%APPDATA%\Claude\claude_desktop_config.json` 完整的指南 —— 包括 Cursor 和 Cline 的路径、故障排除和验证提示词 —— 存放在 [`docs/INSTALL.md`](docs/INSTALL.md)。一个可直接复制粘贴的初始配置位于 [`claude-desktop-config-example.json`](claude-desktop-config-example.json)。 ## 工具 | # | 工具 | 功能说明 | |---|---|---| | 1 | `health_check` | 存活探针 —— 通过 stdio 进行往返，以便客户端在调用工具前确认服务器已启动。 | | 2 | `get_position_risk` | 跨 6 个维度（预言机、审计、漏洞利用、交易对手、可组合性、MEV/滑点）综合评估已知 DeFi 头寸的风险。 | | 3 | `simulate_tx_risk` | 通过 Tenderly 解码并模拟原始交易；在你签名之前暴露 MEV / 滑点 / 交易对手 / 预言机依赖。 | | 4 | `explain_protocol_risk` | 协议（Aave、Lido、Compound 等）的审计历史 + 漏洞利用链 + 治理姿态。 | | 5 | `get_recent_exploits` | 跨 Rekt 和 BlockSec 整合的漏洞利用信息流，去重并按时间顺序和严重程度排名。 | | 6 | `discover_yields_by_intent` | 向 Index Network 发布收益发现意图（根据 ADR-006 以 DefiLlama 作为后备）；按风险排名。 | | 7 | `find_safer_alternatives` | _延伸功能_ —— 当前头寸的较低风险替代方案。路线图。 | | 8 | `check_oracle_dependencies` | _延伸功能_ —— 头寸或协议的预言机依赖图。路线图。 | 需要凭证但未提供的工具会返回结构化的 `missing_credentials` 错误而不是崩溃 —— 服务器在你的客户端中仍然会显示为“已连接”。将缺失的密钥添加到 `env` 块并完全重启。 ## 缺失功能（诚实说明） 此 MCP 是在紧凑的时间限制下为 [Encode DeFi Mini Hack 2026](https://www.encodeclub.com/programmes/defi-mini-hack) 提交的。以下内容被明确推迟： - **代币排放质量评分**（真实收益 vs. 通胀型）—— 路线图；可根据 PRD 范围裁剪。 - **治理提案翻译器** —— 路线图；可根据 PRD 范围裁剪。 - **实时钱包推断** (`portfolio_after`) —— 路线图。 - **`find_safer_alternatives` 和 `check_oracle_dependencies`** —— 在工具表中列为延伸功能；在此构建版本中尚未实现。 - **Index Network 完整意图流** —— 通过 SDK→CLI→Brave→DefiLlama 后备路由器运行 (ADR-006)；端到端意图匹配受限于 SDK 达到与发布规范同等的功能。 - **Ethereum + Base + Arbitrum 之外的多链覆盖** —— 受限于免费层 RPC 预算。 如果你需要的工具缺失，请提交一个 issue —— 该架构的设计使得添加工具只需在 `src/tools/` 中添加一个文件并在 `src/index.ts` 中进行一次注册。 ## 开发 ``` git clone https://github.com/Alike001/defi-risk-mcp.git cd defi-risk-mcp pnpm install pnpm test # full vitest suite pnpm exec tsc --noEmit pnpm run lint # biome pnpm run build # writes dist/ ``` 本仓库强制执行： - **BDD 测试的 PR** —— `research/encode-defi-mini-hack/docs/stories/*.md` 下的每个故事都列出了 Given/When/Then 验收标准；测试优先。 - **§14 防劣质代码门控** —— 关键路径中无 mock / fake / dummy 数据（参见 `CLAUDE.md`）。 - **分支保护** —— 要求通过 CI，禁止强制推送到 `main`。 ### 发布（仅限维护者） `prepublishOnly` 运行 `pnpm build`。从干净的工作树执行： ``` pnpm publish --dry-run --access public # preview the tarball npm login && pnpm publish --access public # actual publish (requires npm auth) ``` `bin` 字段暴露了两个入口： - `defi-risk-mcp` —— MCP 服务器入口点（Claude Desktop 生成的对象）。 - `defi-risk-mcp-install` —— 安装辅助工具，将规范条目合并到 Claude Desktop 配置中而不覆盖其他服务器。 ## 许可证 MIT。参见 [`LICENSE`](LICENSE)。 为 Encode DeFi Mini Hack 2026 构建 —— [encodeclub.com/programmes/defi-mini-hack](https://www.encodeclub.com/programmes/defi-mini-hack)。

标签：Aave, AI安全助手, CISA项目, Claude Desktop, Cline, Cursor, DeFi, IP 地址批量处理, JSON-RPC, LLM工具, MCP Server, MEV, MITM代理, npx, TypeScript, Web3, 加密货币, 区块链安全, 可组合性, 安全插件, 密码管理, 智能合约审计, 滑点, 漏洞利用分析, 自动化攻击, 预言机, 黑客马拉松