syedhassan125/solana-incident-response-skill

# Solana 事件响应技能 — 漏洞利用作战室 这是一项专为 **Solana 协议、金库或钱包遭受攻击**（或刚刚被黑客利用）的危急时刻打造的 Claude Code / Codex 技能。它能将你的编码智能体转化为冷静、高效的事件指挥官：提供从第 0 分钟的分诊、止损隔离、链上取证、冻结攻击者资金，到恢复、公关沟通以及事后复盘的全流程支持。 ## 它解决的问题 Solana 在*构建*和*审计*方面拥有世界一流的技能——但是当一个协议正**被疯狂盗取资金**时，创始人却只能孤立无援地靠搜索“如何冻结 USDC”来救火，而每分钟都有数百万资金流失。**2.85 亿美元的 Drift Protocol 漏洞利用事件（2026 年 4 月 1 日）**在**不到 20 分钟内**就转移了所有资金，并在五天后促使 Solana 基金会启动了 **STRIDE** 计划和 **Solana 事件响应网络（SIRN）**。 以前并没有 Solana 原生的事件响应技能。**这项技能正是为此而生。** 它刻意避开了代码审计器的功能（套件中已包含这些工具）——它负责填补了无人问津的关键环节：**当漏洞已经爆发且资金正在转移时，你该怎么做。** ## 涵盖范围 严格限时的生命周期（因为在事件响应中，时间就是金钱，且**止损隔离优先于调查**）： | 阶段 | 功能作用 | |-------|--------------| | **0. 分诊** | 最初的 15 分钟——确认攻击真实性、发布声明、分配角色、冻结现场 | | **1. 止损隔离** | 排列所有 Solana 止损隔离手段：暂停/守护者、参数限制、程序升级、Squads 权限轮换、**durable-nonce 失效**（Drift 攻击向量）、代币冻结权限、撤销授权、前端熔断开关 | | **2. 评估范围** | 读取攻击交易，量化损失，追踪资金流向，并提供具体的 RPC 调用和工具支持 | | **3. 冻结与升级** | 在交易所、Circle/Tether 和跨链桥锁定攻击者资金；启用 **SIRN** | | **4. 沟通** | 披露模板和避免击溃协议本身的沟通节奏 | | **5. 恢复** | 白帽谈判、**受制裁实体的硬性阻断**、执法介入、赔偿 | | **6. 事后复盘** | 根本原因分析、解除暂停的门槛、安全重启、公开报告 | 此外，还包含**五种攻击向量手册**，它们决定了你可以采取哪些止损隔离措施： - **特权访问 / 密钥泄露** — Drift 类事件（durable-nonce 盲签、Squads 接管、社会工程学） - **智能合约逻辑漏洞** — 缺失检查、数学/舍入误差、账户混淆、CPI - **Oracle / 价格操纵** - **前端 / DNS / 供应链劫持** — 钱包资金抽水器 - **单钱包 / 金库资金抽水** — 包含 Sweeper-bot 救援 并提供了一份**[预防](skill/prevention.md)**检查表，确保该运行手册在你真正需要之前就具备可执行性。 ## 为什么它符合套件的标准 - **实用且高频** — 这是每个协议最糟糕的一天；而此套件此前对此毫无对策。 - **创新性** — 此前不存在任何针对漏洞利用后响应的 Solana 原生方案；刻意将其与审计技能区分开来。 - **紧贴 2026 技术栈** — 基于真实的 Drift 漏洞利用、durable-nonce 攻击向量以及正在运行的 STRIDE/SIRN 计划构建（已对照 Solana 基金会公告进行核实）。 - **Token 高效** — `SKILL.md` 负责路由；每个阶段/手册仅在需要时才加载。 - **安全** — 纯 Markdown 指南和只读取证。不包含任何触及密钥或资金的可执行文件；每一项破坏性操作都必须经过人工批准和证据保全。 ## 结构 ``` solana-incident-response-skill/ ├── skill/ │ ├── SKILL.md # entry point — routing + operating procedure │ ├── triage.md # phase 0 — first 15 minutes │ ├── containment.md # phase 1 — every lever, ranked │ ├── forensics.md # phase 2 — read the tx, trace the funds │ ├── recovery.md # phase 3/5 — freeze, escalate, recover │ ├── comms.md # phase 4 — disclosure templates + cadence │ ├── sirn-stride.md # engaging SIRN + the Foundation programs │ ├── postmortem.md # phase 6 — root cause + safe relaunch │ ├── prevention.md # make the runbook executable before you need it │ ├── resources.md # tools, contacts, freeze targets │ └── playbooks/ # 5 vector-specific playbooks ├── agents/ # incident-commander, forensics-analyst, comms-lead ├── commands/ # /ir-triage, /trace-funds, /containment-check, /draft-disclosure ├── rules/ # incident-comms.md (law for what gets said) ├── CLAUDE.md # how Claude loads & uses the skill ├── DISCLAIMER.md # operational guidance, not legal/pro advice ├── install.sh # installer └── LICENSE # MIT ``` ## 安装 ``` git clone https://github.com/syedhassan125/solana-incident-response-skill cd solana-incident-response-skill ./install.sh # personal: ~/.claude/ (use --project for ./.claude/, -y to skip prompt) ``` 这会将技能安装到 `~/.claude/skills/solana-incident-response/` 目录中，并注册相应的智能体、命令和规则。 ### 使用方法 在 Claude Code 中，运行命令或直接描述事件即可： ``` /ir-triage # open the war room and run triage /containment-check # what can I freeze/pause right now? /trace-funds # trace stolen funds to off-ramps /draft-disclosure holding # draft the first statement "we've been hacked — funds are draining from our vault" # plain language also triggers it ``` ## 不可妥协的原则 1. **在采取任何破坏性操作之前，必须保全证据。** 2. **绝不向受制裁实体或国家行为者支付/妥协**（Drift 事件被归因为 DPRK/Lazarus）——这属于执法范畴，而非悬赏。 3. **在沟通中绝不过度承诺**——在了解损失规模之前，不要轻言“补偿所有损失”。 4. **本内容为操作指导，而非法律或专业建议。** 若发生真实事件，请联系 [SIRN](skill/sirn-stride.md) 并咨询法律顾问。详见 [DISCLAIMER.md](DISCLAIMER.md)。 ## 许可证 MIT — 详见 [LICENSE](LICENSE)。专为 Solana AI Kit 构建；欢迎提交 PR 和生态复用。

标签：Cutter, Solana, 区块链安全, 库, 应急响应, 智能合约, 防御加固