solana-vulnerability-scanner
Scans Solana programs for 6 critical vulnerabilities including arbitrary CPI, improper PDA validation, missing signer/ownership checks, and sysvar spoofing. Use when auditing Solana/Anchor programs.
Installation
Pick a client and clone the repository into its skills directory.
Installation
About this skill
Scans Solana programs for 6 critical vulnerabilities including arbitrary CPI, improper PDA validation, missing signer/ownership checks, and sysvar spoofing. Use when auditing Solana/Anchor programs.
How to use
Przygotuj projekt Solana lub Anchor do skanowania. Upewnij się, że masz pliki Rust (.rs) w katalogu programu, plik Anchor.toml (dla projektów Anchor) i Cargo.toml zawierający zależności solana-program lub anchor-lang.
Zidentyfikuj pliki do przeanalizowania. Skill automatycznie wykrywa programy Solana po rozszerzeniu .rs i markerach frameworka (use solana_program, use anchor_lang::prelude::, #[program], entrypoint!). Skoncentruj się na głównych plikach logiki w programs//src/lib.rs.
Uruchom skil na wybranym kodzie. Przekaż zawartość pliku Rust do skanera — narzędzie przeanalizuje kod i wyszuka 6 krytycznych wzorców: arbitrary CPI, improper PDA validation, missing signer checks, missing ownership checks, sysvar spoofing i błędy introspection instrukcji.
Przejrzyj wyniki skanowania. Skill zwróci listę znalezionych podatności z opisem każdej luki. Zwróć szczególną uwagę na cross-program invocation, implementacje PDA (seeds, bump), użycie invoke() i invoke_signed(), oraz constraints w strukturach #[derive(Accounts)].
Skoryguj zidentyfikowane problemy w kodzie. Każda podatność wskazana przez skil wymaga naprawy przed wdrożeniem — dodaj brakujące walidacje kont, popraw logikę CPI, upewnij się że sygnatariusze są prawidłowo sprawdzani.
Powtórz skanowanie po zmianach. Po naprawie podatności uruchom skil ponownie na zaktualizowanym kodzie, aby potwierdzić że wszystkie krytyczne luki zostały usunięte.