solana-vulnerability-scanner
solana-vulnerability-scanner
Catalogue généré le 2026-05-11
En une phrase
ScansScanne automatiquement le code d'un programme Solana programspour forrepérer 6 criticaltypes vulnerabilitiesde includingfailles arbitraryde CPI,sécurité impropercritiques PDApropres validation,à missingcette signer/ownershipblockchain checks,(validation anddes sysvarcomptes, spoofing.signataires, adresses dérivées, appels inter-programmes, etc.).
Quand l'utiliser
UseAvantwhendeauditingdéployerSolana/Anchorunprograms.programme Solana (en Rust natif ou avec le framework Anchor) sur le réseau principal.
Comment l'invoquer
- Slash command :
/solana-vulnerability-scanner(si exposé dans ton CLI) - Phrases déclencheurs (texte) :
voir"auditlamydescriptionSolanacomplèteprogram"ci-dessous/ "check this Anchor contract" / "scan Solana CPI" - Auto-invocation :
surSur demande explicite (généralement lors d'un audit).
Description complètedétaillée
ScansSolana est une blockchain rapide où les programmes (l'équivalent des smart contracts) sont écrits en Rust, parfois avec un framework appelé Anchor. Le modèle Solana programsest fortrès particulier : chaque transaction passe une liste de "comptes" au programme, et c'est au programme de vérifier que ces comptes sont les bons. Beaucoup de hacks viennent d'un oubli de vérification.
Ce skill cherche 6 criticalcatégories vulnerabilitiesde includingbugs arbitraryclassiques CPI,: improper1) Arbitrary CPI (le programme appelle un autre programme sans vérifier que c'est le bon — un attaquant peut substituer un programme malveillant), 2) PDA validation,mal missingvalidée signer/ownership(l'adresse checks,dérivée andn'est sysvarpas spoofing.calculée Usecanoniquement, whendonc auditingusurpable), Solana/Anchor3) programs.Owner check manquant (on lit les données d'un compte sans vérifier qui le possède), 4) Signer check manquant (on autorise une action sans vérifier que la bonne personne a signé), 5) Sysvar usurpé (utilisation d'anciennes fonctions non sécurisées pour lire les variables système), 6) Mauvaise introspection des instructions.
Le workflow : tu lui donnes ton code Rust/Anchor, il fait des recherches ripgrep ciblées, te liste les findings avec gravité (CRITICAL/HIGH/MEDIUM), pointe les lignes concernées et propose un patch.
Pour aller plus loin
Solana
Pour Vulnerabilityles Scannerdétails
1. Purpose
Systematically scan Solana programstechniques (nativepatterns andexacts, exemples de code vulnérable vs corrigé, tests Anchor framework)pour forreproduire platform-specificles securityattaques), vulnerabilities related to cross-program invocations, account validation, and program-derived addresses. This skill encodes 6 critical vulnerability patterns unique to Solana's account model.
2. When to Use This Skill
3. Platform Detection
File Extensions & Indicators
.rsLanguage/Framework Markers
Project Structure
programs/*/src/lib.rsAnchor.tomlCargo.tomlsolana-programanchor-lang(extrait — voirconsulter le SKILL.md completoriginal pourà /home/thymon/.claude/plugins/cache/trailofbits/building-secure-contracts/1.0.1/skills/solana-vulnerability-scanner/SKILL.md et la suite)ressource resources/VULNERABILITY_PATTERNS.md.
Source
- Plugin :
trailofbits/building-secure-contracts - Nom interne :
solana-vulnerability-scanner - Fichier :
/home/thymon/.claude/plugins/cache/trailofbits/building-secure-contracts/1.0.1/skills/solana-vulnerability-scanner/SKILL.md