solana-vulnerability-scanner

Solana 漏洞掃描器是一項專門的安全工具，專為處理 Solana 區塊鏈的審計人員、開發人員與安全研究人員所設計。它能自動檢測原生 Rust 程式及使用 Anchor 框架開發的程式中常見且具高影響力的安全缺陷。透過識別與帳戶驗證、跨程式調用 (CPI) 及程式衍生地址 (PDA) 相關的模式，此技能有助於在部署前或安全評估期間強化智慧合約的安全性。它提供一套系統化的工作流程，確保帳戶授權、所有權檢查與指令內省邏輯符合安全最佳實踐。

• 檢測 6 種關鍵的 Solana 特定漏洞模式：任意 CPI、不當 PDA 驗證、缺失所有權檢查、缺失簽署者檢查、系統變數 (Sysvar) 帳戶偽造以及不當指令內省。

• 提供可執行的補救指導，包括特定檔案位置與建議的程式碼修復方式。

• 協助進行特定平台的安全審查，確認 anchor-lang 與 solana-program 入口點的正確使用。

• 整合標準開發工作流程，支援針對 Anchor.toml 專案、Cargo.toml 依賴項及特定程式目錄進行本地執行。

• 驗證安全的帳戶驗證模式，檢查 Signer、Account 與 Seeds 約束的正確使用。

• 最適合用於發布前審計、持續的程式安全維護與程式碼審查流程。

• 透過掃描 Rust 原始程式碼與程式邏輯運作，需要對專案結構與建置檔案的存取權限。

• 輸出內容採用結構化格式，標示漏洞類型、嚴重程度、程式碼位置以及風險說明。

• 使用者需熟悉 Solana 開發術語，如程式衍生地址 (PDA)、CPI 調用、系統變數與 Anchor 約束，以便有效地解讀檢測結果。

• 侷限於 Solana 生態系統安全；旨在輔助人工程式碼審查與 Trail of Bits Solana Lints，而非取代深度架構分析。