solana-vulnerability-scanner

Narzędzie do audytu bezpieczeństwa programów Solana i Anchor. Automatycznie skanuje kod pod kątem typowych błędów: arbitralnych CPI, nieprawidłowej walidacji PDA, brakujących sprawdzeń sygnatariusza i właściciela, a także spoofingu sysvara. Idealne do przeglądu logiki cross-program invocation i walidacji kont przed uruchomieniem protokołu.

1. Przygotuj projekt Solana lub Anchor do skanowania. Upewnij się, że masz pliki Rust (.rs) w katalogu programu, plik Anchor.toml (dla projektów Anchor) i Cargo.toml zawierający zależności solana-program lub anchor-lang.

2. Zidentyfikuj pliki do przeanalizowania. Skill automatycznie wykrywa programy Solana po rozszerzeniu .rs i markerach frameworka (use solana_program, use anchor_lang::prelude::, #[program], entrypoint!). Skoncentruj się na głównych plikach logiki w programs//src/lib.rs.

3. Uruchom skil na wybranym kodzie. Przekaż zawartość pliku Rust do skanera — narzędzie przeanalizuje kod i wyszuka 6 krytycznych wzorców: arbitrary CPI, improper PDA validation, missing signer checks, missing ownership checks, sysvar spoofing i błędy introspection instrukcji.

4. Przejrzyj wyniki skanowania. Skill zwróci listę znalezionych podatności z opisem każdej luki. Zwróć szczególną uwagę na cross-program invocation, implementacje PDA (seeds, bump), użycie invoke() i invoke_signed(), oraz constraints w strukturach #[derive(Accounts)].

5. Skoryguj zidentyfikowane problemy w kodzie. Każda podatność wskazana przez skil wymaga naprawy przed wdrożeniem — dodaj brakujące walidacje kont, popraw logikę CPI, upewnij się że sygnatariusze są prawidłowo sprawdzani.

6. Powtórz skanowanie po zmianach. Po naprawie podatności uruchom skil ponownie na zaktualizowanym kodzie, aby potwierdzić że wszystkie krytyczne luki zostały usunięte.