SHA256
Перенести документацию в docs и добавить социальный граф
This commit is contained in:
@@ -0,0 +1,177 @@
|
||||
# Аудит безопасности Solana-программ SHiNE — выпуск 2 (11.06.2026)
|
||||
|
||||
Повторный независимый аудит после исправления всех 4 находок первого отчёта
|
||||
(`Solana-audit-by-Claude-File5-9июня2026.md`). Код перечитан целиком:
|
||||
|
||||
- `shine_login_guard` (183 строки) — stateless-классификатор логинов;
|
||||
- `shine_users` (1069 строк) — реестр пользователей, PDA-записи, подписи, экономика лимитов;
|
||||
- `shine_payments` (1381 строка) — очереди тикетов, выплаты из вольта, оракул Pyth.
|
||||
|
||||
Перебраны классы атак: подмена аккаунтов/PDA, авторизация и подписи, арифметика и
|
||||
переполнения, валидация оракула, экономика, реентранси, griefing/DoS, **алиасинг
|
||||
аккаунтов (передача одного аккаунта в несколько слотов инструкции)**.
|
||||
|
||||
## Статус прошлых находок (все закрыты)
|
||||
|
||||
- 🔴 Critical #1 (economy-config PDA в `shine_users`) — закрыто: `validate_users_economy_config_pda` проверяет и адрес, и `owner == program_id`, и вызывается перед чтением и в create, и в update.
|
||||
- 🔴 Critical #2 (singleton-PDA в `shine_payments`) — закрыто: `validate_singleton_state_pda` проверяет точный адрес + `owner == id()` во всех инструкциях (`update_coef_limit`, `grant_manager_limits`, `buy_ticket*`, `manager_add_ticket`, `step_payout`, `change_ticket_recipient`).
|
||||
- 🟠 Medium (валидация Pyth) — закрыто: пин адреса аккаунта `PYTH_SOL_USD_ACCOUNT`, проверка `owner == pyth_receiver`, разбор официальным `PriceUpdateV2`, `get_price_no_older_than` с проверкой `feed_id`, проверка возраста и доверительного интервала (`ORACLE_MAX_CONFIDENCE_PPM`).
|
||||
- 🟡 Low (griefing на предсказуемых адресах) — закрыто: `create_pda_account` в обеих программах переведён на «создание поверх предзаполненного» (allocate + assign + добор ренты).
|
||||
|
||||
---
|
||||
|
||||
## 🔴 HIGH (НОВОЕ) — `shine_payments`: тикет с `recipient_wallet == inflow_vault` навсегда замораживает все выплаты — ✅ ИСПРАВЛЕНО (11.06.2026)
|
||||
|
||||
Закрыто: равенство `recipient == inflow_vault` запрещено во всех точках задания
|
||||
получателя — `buy_ticket_by_purchase_usd` (через `config.inflow_vault`),
|
||||
`process_manager_add_ticket` и `process_change_ticket_recipient` (через
|
||||
`find_single_pda(INFLOW_VAULT_SEED)`). Дополнительно в `transfer_from_vault` добавлена
|
||||
защита по умолчанию `require!(vault.key != recipient.key)`. Документация —
|
||||
`doc/programs/shine_payments.md` §10.1. Историческое описание находки ниже.
|
||||
|
||||
|
||||
|
||||
### Где
|
||||
`transfer_from_vault` (строки 1258–1268) переводит лампорты из вольта прямой
|
||||
манипуляцией балансами (вольт — PDA без приватного ключа, обычный system-перевод
|
||||
невозможен):
|
||||
|
||||
```rust
|
||||
fn transfer_from_vault(vault: &AccountInfo, recipient: &AccountInfo, amount: u64) -> ProgramResult {
|
||||
if amount == 0 { return Ok(()); }
|
||||
let mut vault_lamports = vault.try_borrow_mut_lamports()?; // займ #1
|
||||
let mut recipient_lamports = recipient.try_borrow_mut_lamports()?; // займ #2
|
||||
...
|
||||
}
|
||||
```
|
||||
|
||||
В `step_payout` (строка 849) получатель — это `ticket.recipient_wallet`:
|
||||
|
||||
```rust
|
||||
transfer_from_vault(inflow_vault_pda, ticket_recipient_wallet, ticket_lamports)?;
|
||||
```
|
||||
|
||||
А `recipient_wallet` нигде не валидируется при создании тикета:
|
||||
`buy_ticket*` (строки 696/711/725 → 1031), `manager_add_ticket` (строка 765),
|
||||
`change_ticket_recipient` (строка 900) — берут его «как есть» из аргументов.
|
||||
|
||||
### Суть атаки (алиасинг аккаунта)
|
||||
В Solana, если один и тот же аккаунт передан в инструкцию в нескольких слотах,
|
||||
рантайм отдаёт для всех слотов **один и тот же** `RefCell` (механизм дублей).
|
||||
Поэтому если `ticket.recipient_wallet` равен адресу `inflow_vault` PDA, то в
|
||||
`step_payout` аккаунт вольта попадает и в слот `inflow_vault_pda`, и в слот
|
||||
`ticket_recipient_wallet`. Тогда внутри `transfer_from_vault`:
|
||||
|
||||
- `vault.try_borrow_mut_lamports()` — берёт mutable-займ (успех);
|
||||
- `recipient.try_borrow_mut_lamports()` — это **тот же** аккаунт → второй
|
||||
mutable-займ → `Err(AccountBorrowFailed)` → `?` возвращает ошибку → инструкция
|
||||
падает.
|
||||
|
||||
### Почему это «заморозка всего», а не один тикет
|
||||
Выплаты идут строго по возрастанию индекса. `step_payout` всегда обслуживает
|
||||
сначала очередь Q1 (если в ней есть pending), затем Q2, затем Q3, и в каждой —
|
||||
ровно «следующий неоплаченный» тикет (`paid + 1`). Тикет с `recipient == vault`:
|
||||
|
||||
- не может быть оплачен (`step_payout` всегда падает на нём);
|
||||
- не может быть пропущен (нет механизма «skip»);
|
||||
- блокирует все тикеты после него в своей очереди;
|
||||
- если он в Q1 — блокирует обслуживание Q2 и Q3 (до них очередь не доходит);
|
||||
- лампорты вольта (накопленные регистрационные комиссии) перестают выплачиваться
|
||||
и не уходят в DAO (слив в DAO происходит только когда `pending == 0` по всем
|
||||
очередям, а это состояние недостижимо).
|
||||
|
||||
### Эксплуатация (тривиальная, перестановочная)
|
||||
Q1 — публичная очередь (`buy_ticket` доступен любому). Атакующий покупает **один**
|
||||
дешёвый тикет Q1, указав `recipient_wallet = <адрес inflow_vault PDA>`. Адрес вольта
|
||||
детерминирован и публичен (`find_single_pda(INFLOW_VAULT_SEED)`). С этого момента вся
|
||||
подсистема выплат и средства вольта заморожены за стоимость одного тикета + ренты.
|
||||
|
||||
Дополнительно: даже при защите на этапе покупки остаётся вектор через
|
||||
`change_ticket_recipient` (строка 900) — владелец любого своего неоплаченного тикета
|
||||
может выставить `new_recipient_wallet = vault` позже.
|
||||
|
||||
### Класс и серьёзность
|
||||
Класс: «account aliasing / duplicate-account mutable borrow» + отсутствие
|
||||
валидации адреса получателя. Прямой кражи средств нет, но это перманентный
|
||||
отказ в обслуживании (availability) с блокировкой средств вольта, триггер —
|
||||
копеечный и доступен анонимно. Оценка: **HIGH**.
|
||||
|
||||
### Рекомендуемый фикс
|
||||
Запретить `recipient`, равный адресу вольта, во всех точках, где он задаётся, чтобы
|
||||
тикет с таким получателем вообще не мог появиться:
|
||||
|
||||
1. в `buy_ticket_by_purchase_usd` — `require!(recipient_wallet != config.inflow_vault, …)`
|
||||
(config уже прочитан);
|
||||
2. в `process_manager_add_ticket` — сверять с `find_single_pda(INFLOW_VAULT_SEED).0`;
|
||||
3. в `process_change_ticket_recipient` — то же для `new_recipient_wallet`.
|
||||
|
||||
Дополнительно (defense-in-depth) — в `transfer_from_vault` явно
|
||||
`require!(vault.key != recipient.key, …)` с понятной ошибкой, чтобы любой будущий
|
||||
вызов был защищён от алиасинга. Этого `require` недостаточно как единственной меры
|
||||
(тикет всё равно застрял бы), поэтому основная защита — на входе.
|
||||
|
||||
---
|
||||
|
||||
## 🟡 LOW / INFO — наблюдения без прямой эксплуатации
|
||||
|
||||
### L1. `change_ticket_recipient` и `buy_ticket` не проверяют получателя на «опасные» адреса
|
||||
Связано с HIGH выше; после фикса основной проблемы стоит заодно зафиксировать
|
||||
правило «получатель не должен совпадать с системными PDA программы».
|
||||
|
||||
### L2. Гонка за логином (first-come) в `shine_users`
|
||||
Адрес `user_pda` выводится из логина. После закрытия griefing-подсева остаётся
|
||||
обычное состязание: увидев в мемпуле регистрацию `alice`, атакующий может
|
||||
зарегистрировать `alice` со своим `root_key` первым. On-chain это решается только
|
||||
commit-reveal; для текущей модели — приемлемый риск, отметить как известный.
|
||||
|
||||
### L3. `step_payout` без slippage-параметра
|
||||
Выплата считается по текущей цене оракула без верхней границы лампортов. Цена
|
||||
ограничена возрастом (120с) и доверительным интервалом (10%), аккаунт оракула
|
||||
запинен — манипуляция маловероятна, но при резком движении цены SOL объём выплаты
|
||||
в лампортах плавает. Риск низкий; при желании добавить верхнюю границу на шаг.
|
||||
|
||||
### L4. Экономическая устойчивость вольта (дизайн, не баг)
|
||||
Деньги за покупку тикетов (`buy_ticket`) уходят на `dao_wallet`, а выплаты в
|
||||
`step_payout` идут из `inflow_vault`, который наполняется **регистрационными
|
||||
комиссиями** `shine_users`. Если поток регистраций меньше обязательств по выплатам,
|
||||
вольт истощается и выплаты останавливаются (без потери средств, но с остановкой
|
||||
сервиса). Это свойство экономической модели — стоит явно держать в уме и
|
||||
мониторить баланс вольта/обязательств.
|
||||
|
||||
### L5. Заполнение Q1 до лимита как мягкий DoS
|
||||
`buy_ticket` блокируется при `q1_sum_total >= limit_usd_cents`. Атакующий может
|
||||
наполнить Q1 своими тикетами и приостановить покупки. Дорого (тратит SOL в DAO и
|
||||
ренту) и его же тикеты потом оплачиваются из вольта, поэтому это скорее
|
||||
экономический, а не дешёвый griefing. Риск низкий.
|
||||
|
||||
---
|
||||
|
||||
## ✅ Проверено и подтверждено как корректное
|
||||
|
||||
- **Подмена singleton-PDA** невозможна: везде сверяется точный адрес и владелец.
|
||||
- **Авторизация**: `update_coef_limit`/`grant_manager_limits` требуют `signer == config.dao_wallet`; `manager_add_ticket` — `signer == allowance.manager_wallet`; `change_ticket_recipient` — `signer == ticket.recipient_wallet`; обновление economy-config — `signer == DAO_AUTHORITY`.
|
||||
- **Ed25519 в `shine_users`**: строгие относительные индексы (−1/−2), `num_signatures == 1`, все три `ix_index == u16::MAX` (данные внутри самой ed25519-инструкции), сверка pubkey/signature/message по хэшу. Подмена и указание на чужую инструкцию исключены.
|
||||
- **Цепочка версий записи** (`version == record_number+1`, `prev_hash == hash(old)`) — корректная защита от replay; сигнатура записи завязана на `root_key`, а не на плательщика.
|
||||
- **Монотонность** `used_bytes`/`last_block_number` и `used_bytes <= paid_limit_bytes`.
|
||||
- **Арифметика**: повсеместные `checked_*`, `overflow-checks = true`, расчёты оракула в `u128` с `u64::try_from` на сужении.
|
||||
- **Оракул Pyth**: пин аккаунта + owner + feed_id + возраст + confidence через официальный SDK.
|
||||
- **Рент-экземпт вольта** сохраняется: `available_vault_lamports` вычитает `minimum_balance`, а суммарная проверка `available >= needed` гарантирует, что после выплат вольт не опустится ниже ренты.
|
||||
- **Двойная оплата тикета** исключена: `is_paid` + инкремент `*_tickets_paid`, следующий шаг адресует следующий индекс.
|
||||
- **Реентранси отсутствует**: CPI только в System Program (transfer/allocate/assign) и в stateless `shine_login_guard` (с проверкой возвращённого `program_id`); обратных вызовов в наши программы нет.
|
||||
- **create_pda_account (новый)**: устойчив к подсеву лампортов; атакующий не может ни выделить данные, ни сменить владельца PDA (нет ключа/seeds), поэтому ветка allocate+assign безопасна.
|
||||
- **shine_login_guard**: stateless, без аккаунтов и средств; DFS-классификация ограничена (`MAX_WORDS_PER_LOGIN = 3`, длина ≤ 20) — без compute-DoS.
|
||||
|
||||
---
|
||||
|
||||
## Приоритет действий
|
||||
|
||||
1. **HIGH** — запретить `recipient == inflow_vault` в `buy_ticket*`, `manager_add_ticket`,
|
||||
`change_ticket_recipient`; добавить `require!(vault.key != recipient.key)` в
|
||||
`transfer_from_vault` как защиту по умолчанию. Закрыть до mainnet.
|
||||
2. **LOW** — зафиксировать правило «получатель ≠ системные PDA» (L1), оценить
|
||||
добавление верхней границы выплаты на шаг (L3).
|
||||
3. **INFO** — формально задокументировать экономику вольта (L4) и known-issue
|
||||
гонки за логином (L5/L2).
|
||||
|
||||
Изменений в код в рамках этого аудита не вносил — это анализ. Готов подготовить патч
|
||||
по пункту 1, если подтвердите.
|
||||
@@ -0,0 +1,134 @@
|
||||
# Аудит безопасности Solana-программ SHiNE — выпуск 3 (12.06.2026)
|
||||
|
||||
Тематический аудит с фокусом на **полноту проверок входных аккаунтов**
|
||||
(signer / owner / каноничный PDA-адрес / system-program / sysvar инструкций /
|
||||
аккаунт оракула) — отвечает на вопрос «точно ли хватает всех проверок входных
|
||||
аккаунтов». Код перечитан целиком после исправлений аудита №2
|
||||
(`Solana-audit-2-by-Claude-11июня2026.md`):
|
||||
|
||||
- `shine_login_guard` (183 строки) — stateless-классификатор логинов, аккаунтами не пользуется;
|
||||
- `shine_users` (1068 строк) — реестр пользователей, PDA-записи, ed25519-подписи, экономика лимитов;
|
||||
- `shine_payments` (1398 строк) — очереди тикетов, выплаты из вольта, оракул Pyth.
|
||||
|
||||
Это ручная (не-Anchor `#[derive(Accounts)]`) реализация на `solana_program`, поэтому
|
||||
каждая проверка аккаунта выполняется явно в коде handler-а. Перебраны: подмена
|
||||
аккаунтов/PDA, подмена владельца, bump-seed атаки, отсутствие signer/authority,
|
||||
подмена system-program и sysvar, подмена аккаунта оракула, неинициализированные/
|
||||
повторно инициализируемые PDA, «лишние» аккаунты.
|
||||
|
||||
## Итоговый вердикт
|
||||
|
||||
**Проверок входных аккаунтов достаточно во всех трёх программах.** По каждому
|
||||
handler присутствуют все требуемые классы проверок; грубых дыр (подмена PDA на
|
||||
чужой аккаунт, отсутствие owner/signer-проверки, использование пользовательского
|
||||
bump, подмена аккаунта оракула) не найдено. Все Critical/HIGH из аудитов №1 и №2
|
||||
закрыты и в этом проходе подтверждены в коде. Новых эксплуатируемых пробелов в
|
||||
валидации аккаунтов нет; есть несколько LOW/INFO-замечаний «by design».
|
||||
|
||||
## Статус прошлых находок (подтверждено в коде на 12.06.2026)
|
||||
|
||||
- 🔴 Critical #1 (economy-config PDA, `shine_users`) — закрыто: `validate_users_economy_config_pda` (адрес + `owner == program_id`) вызывается и в create, и в update перед чтением.
|
||||
- 🔴 Critical #2 (singleton-PDA, `shine_payments`) — закрыто: `validate_singleton_state_pda` (адрес + `owner == id()`) во всех инструкциях.
|
||||
- 🟠 Medium (валидация Pyth) — закрыто: пин адреса `PYTH_SOL_USD_ACCOUNT`, `owner == pyth_receiver`, `PriceUpdateV2`, `feed_id`, возраст, доверительный интервал.
|
||||
- 🟡 Low (griefing на предсказуемых адресах) — закрыто: `create_pda_account` создаёт «поверх предзаполненного» в обеих программах.
|
||||
- 🔴 HIGH аудита №2 (`recipient_wallet == inflow_vault` замораживает выплаты) — закрыто: запрет `recipient == inflow_vault` в `buy_ticket_by_purchase_usd` (стр. 1026), `process_manager_add_ticket` (стр. 747), `process_change_ticket_recipient` (стр. 878) + защита по умолчанию `require!(vault.key != recipient.key)` в `transfer_from_vault` (стр. 1278).
|
||||
|
||||
---
|
||||
|
||||
## Матрица проверок входных аккаунтов
|
||||
|
||||
### shine_users
|
||||
|
||||
| Инструкция | signer | owner PDA | адрес/seed PDA | system | sysvar / подпись | прочее |
|
||||
|---|---|---|---|---|---|---|
|
||||
| `init_users_economy_config` | ✓ | `owner == system` + `data_is_empty` (анти-reinit) | деривация + сверка | ✓ | — | значения из `settings`, не из ввода |
|
||||
| `update_users_economy_config` | ✓ + `signer == DAO_AUTHORITY` | `owner == program_id` | деривация + сверка | — | — | `lamports_per_limit_step > 0` |
|
||||
| `create_user_pda` | ✓ + `signer == client_key` | user_pda `owner == system` + empty; econ_config `owner == program_id` | user_pda, econ_config, inflow_vault, login_guard — все сверены | ✓ | ed25519 (record sig idx −2, last_block idx −1) | `inflow_vault` сверен с PDA `shine_payments`; login_guard сверен дважды |
|
||||
| `update_user_pda` | ✓ + `signer == client_key` | user_pda `owner == program_id`; econ_config `owner == program_id` | деривация + сверка | ✓ | ed25519 + `version == old+1` + `prev_hash == hash(old)` | immutable-поля сверены с прежней записью |
|
||||
|
||||
### shine_payments
|
||||
|
||||
| Инструкция | signer | owner / валидация PDA | адрес PDA | system | прочее |
|
||||
|---|---|---|---|---|---|
|
||||
| `init` | ✓ payer | все 4 PDA `is_uninitialized` | деривация + сверка | ✓ | `dao_wallet` из `settings`, нет лишних аккаунтов |
|
||||
| `update_coef_limit` | ✓ + `signer == config.dao_wallet` | config/coef `owner == id()` | деривация + сверка | — | границы coef/limit/reward; нет лишних аккаунтов |
|
||||
| `grant_manager_limits` | ✓ + `signer == config.dao_wallet` | config `owner == id()`; allowance create/read | allowance из `manager_wallet` | ✓ | `state.manager_wallet == args.manager_wallet` |
|
||||
| `buy_ticket` / `_usd` / `_sol` | ✓ | config/coef/queues `owner == id()` | ticket деривация + сверка + `is_uninitialized` | ✓ | oracle (key+owner+возраст+confidence), `dao_wallet == config.dao_wallet`, `recipient != inflow_vault`, slippage |
|
||||
| `manager_add_ticket` | ✓ | allowance/queues `owner == id()` | allowance из `signer`; ticket деривация + сверка + uninit | ✓ | `allowance.manager_wallet == signer`, `queue_id ∈ {1,2,3}`, `recipient != inflow_vault` |
|
||||
| `step_payout` | ✓ | все singleton-PDA `owner == id()` | ticket деривация + сверка | — | `dao_wallet == config.dao_wallet`, `inflow == config.inflow_vault`, ticket `queue/index/!is_paid/recipient`, oracle |
|
||||
| `change_ticket_recipient` | ✓ + `signer == ticket.recipient_wallet` | queues + ticket `owner == id()` (через `read_state`) | ticket деривация из своих `queue_id/index` + сверка | — | `!is_paid`, запрет менять «следующий к выплате», `recipient != inflow_vault` |
|
||||
|
||||
### shine_login_guard
|
||||
|
||||
Аккаунты не используются (`_accounts`); программа stateless, средствами не владеет.
|
||||
Защита со стороны вызова реализована в `shine_users`: сверяется и адрес вызываемой
|
||||
программы (`login_guard_program.key == SHINE_LOGIN_GUARD_PROGRAM_ID`), и `program_id`
|
||||
в `get_return_data`. Подмена/подделка ответа исключены. Отдельных проверок входных
|
||||
аккаунтов внутри программы не требуется.
|
||||
|
||||
---
|
||||
|
||||
## 🟡 LOW / INFO — наблюдения без прямой эксплуатации
|
||||
|
||||
### L1. Permissionless `init` в обеих программах
|
||||
`shine_payments::init` и `shine_users::init_users_economy_config` может вызвать кто
|
||||
угодно первым. Практического эксплойта нет: все значения (включая `dao_wallet` и
|
||||
`DAO_AUTHORITY`) берутся из констант `settings`, а не из ввода, повторная
|
||||
инициализация заблокирована проверками `is_uninitialized` / `data_is_empty`. Риск
|
||||
низкий; при желании привязать init к ожидаемому деплой-кошельку. Совпадает с моделью
|
||||
«первый init = деплой».
|
||||
|
||||
### L2. В `shine_users` нет явной проверки «лишних аккаунтов» — ✅ ИСПРАВЛЕНО (12.06.2026)
|
||||
`shine_payments` в каждом handler делает `require!(account_iter.next().is_none())`.
|
||||
В `shine_users` такой проверки не было — лишние аккаунты в конце списка просто
|
||||
игнорировались (читается строго нужное количество через `next_account_info`). Это
|
||||
безвредно (на безопасность не влияло), но для симметрии и явности добавлено.
|
||||
Класс: гигиена, не уязвимость.
|
||||
|
||||
Закрыто: во все 4 инструкции `shine_users` (`init_users_economy_config`,
|
||||
`update_users_economy_config`, `create_user_pda`, `update_user_pda`) после чтения
|
||||
фиксированного набора аккаунтов добавлено `require!(it.next().is_none(),
|
||||
ShineUsersError::InvalidInstruction)`. Документация — `doc/programs/shine_users.md` §3.4.
|
||||
|
||||
### L3. Гонка за логином (first-come) в `shine_users` — known issue
|
||||
Адрес `user_pda` детерминирован из логина; после закрытия griefing-подсева остаётся
|
||||
обычное состязание за регистрацию (front-run в мемпуле). On-chain решается только
|
||||
commit-reveal; для текущей модели — приемлемый риск, ранее зафиксирован в аудите №2
|
||||
(L2). К проверкам аккаунтов не относится.
|
||||
|
||||
### L4. Экономическая устойчивость вольта (дизайн, не баг)
|
||||
Деньги за покупку тикетов уходят на `dao_wallet`, а выплаты `step_payout` идут из
|
||||
`inflow_vault`, наполняемого регистрационными комиссиями `shine_users` (коэффициент
|
||||
по умолчанию `START_COEF_PPM = 5x`). При недостаточном притоке регистраций вольт
|
||||
истощается и выплаты останавливаются (без потери средств). Это свойство
|
||||
экономической модели «очередь/билеты», а не дефект валидации аккаунтов — отмечено
|
||||
для полноты (ранее L4 в аудите №2). Мониторить баланс вольта vs обязательств.
|
||||
|
||||
---
|
||||
|
||||
## ✅ Проверено и подтверждено как корректное (по входным аккаунтам)
|
||||
|
||||
- **Подмена PDA** невозможна нигде: всюду пара «деривация `find_program_address` + сверка полного адреса». Пользовательский bump не принимается, `create_program_address` с внешним bump не используется — bump-seed атаки исключены.
|
||||
- **Проверка владельца** при каждом чтении PDA: `read_state` и `validate_singleton_state_pda` (`shine_payments`) требуют `owner == id()`; `validate_users_economy_config_pda` и проверка `user_pda.owner == program_id` (`shine_users`) — перед десериализацией данных.
|
||||
- **Создаваемые PDA**: проверка `is_uninitialized` / `owner == system && data_is_empty` исключает повторную инициализацию и перезапись чужого аккаунта.
|
||||
- **signer / authority**: все handler начинают с обязательного `is_signer`; привилегированные операции дополнительно сверяют ключ с авторитетом (`config.dao_wallet`, `DAO_AUTHORITY`, `allowance.manager_wallet`, `ticket.recipient_wallet`, `client_key`).
|
||||
- **system-program** сверяется с `system_program::ID` там, где идёт создание аккаунта/перевод; **sysvar инструкций** сверяется с `sysvar::instructions::id()` перед ed25519-интроспекцией.
|
||||
- **Аккаунт оракула**: пин адреса `PYTH_SOL_USD_ACCOUNT` + `owner == pyth_receiver` + `feed_id` + возраст (120 с) + доверительный интервал (10%).
|
||||
- **Ed25519 в `shine_users`**: относительные индексы −1/−2, `num_signatures == 1`, все три `ix_index == u16::MAX` (offset-данные внутри самой ed25519-инструкции), сверка `program_id == ed25519_program` и pubkey/signature/message по хэшу — указать на чужую инструкцию нельзя.
|
||||
- **Алиасинг аккаунтов**: `recipient != inflow_vault` запрещён на входе во всех точках задания получателя + `vault.key != recipient.key` в `transfer_from_vault`.
|
||||
- **`inflow_vault` в `shine_users`** сверяется с PDA, выведенным из `SHINE_PAYMENTS_PROGRAM_ID` и `SHINE_PAYMENTS_INFLOW_VAULT_SEED` — комиссия не может уйти на чужой адрес.
|
||||
- **Реентранси** отсутствует: CPI только в System Program и в stateless `shine_login_guard` (с проверкой возвращённого `program_id`); обратных вызовов в наши программы нет.
|
||||
|
||||
---
|
||||
|
||||
## Приоритет действий
|
||||
|
||||
1. **LOW** — ✅ выполнено 12.06.2026: добавлено `require!(it.next().is_none(), …)` во
|
||||
все инструкции `shine_users` для симметрии с `shine_payments` (L2).
|
||||
2. **INFO** — зафиксировать в эксплуатационной документации known-issue гонки за
|
||||
логином (L3) и экономику вольта (L4); рассмотреть привязку `init` к ожидаемому
|
||||
деплой-кошельку (L1).
|
||||
|
||||
Критичных и высоких находок по полноте проверок входных аккаунтов в этом проходе
|
||||
нет. Единственная LOW-правка (L2) применена в рамках этого же изменения; код
|
||||
`shine_users` собирается успешно (`cargo build -p shine_users`).
|
||||
@@ -0,0 +1,114 @@
|
||||
Аудит безопасности Solana-программ SHiNE
|
||||
|
||||
Проверены три программы в shine-solana/shine/programs/:
|
||||
- shine_login_guard (183 строки) — stateless-классификатор логинов
|
||||
- shine_users (1035 строк) — реестр пользователей, PDA-записи, подписи, экономика лимитов
|
||||
- shine_payments (1330 строк) — очереди тикетов, выплаты, оракул Pyth
|
||||
|
||||
Общая инженерная культура высокая: везде checked_*-арифметика, overflow-checks = true, ручная верификация ed25519 через sysvar инструкций, аккуратный bounds-checked парсинг. Но есть две критические дыры одного класса — отсутствие проверки адреса PDA, которые позволяют обойти всю экономику и украсть средства из вольта.
|
||||
|
||||
---
|
||||
🔴 CRITICAL #1 — shine_users: economy-config PDA не валидируется → бесплатная регистрация и бесконечный лимит
|
||||
|
||||
В process_create_user_pda (строка 448) и process_update_user_pda (строка 525):
|
||||
|
||||
let economy = read_users_economy_config(users_economy_config_pda)?;
|
||||
|
||||
А read_users_economy_config (строки 633–643) не проверяет ни адрес, ни владельца аккаунта — просто читает байты:
|
||||
|
||||
fn read_users_economy_config(pda: &AccountInfo) -> Result<...> {
|
||||
let raw = read_pda_all(pda)?; // try_borrow_data, без проверок
|
||||
require!(raw.len() >= 25, ...);
|
||||
Ok(UsersEconomyConfigState { version: raw[0], registration_fee_lamports: ..., ... })
|
||||
}
|
||||
|
||||
Сравните: в init/update_economy_config адрес проверяется через find_users_economy_config_pda (строки 382, 414), а в create/update — нет.
|
||||
|
||||
Эксплуатация. Атакующий создаёт любой свой аккаунт с 25 байтами произвольного содержимого и передаёт его как users_economy_config_pda:
|
||||
- registration_fee_lamports = 0 → регистрация без оплаты;
|
||||
- start_bonus_limit = u64::MAX → запись пользователя сразу получает гигантский paid_limit_bytes (бесплатная безлимитная квота хранилища/блокчейна);
|
||||
- lamports_per_limit_step = 0 → бесплатное пополнение лимита на любую величину.
|
||||
|
||||
Комиссия (когда она ненулевая) уходит в правильный вольт — validate_inflow_vault это проверяет — но атакующему достаточно обнулить комиссию и накрутить лимит. Это полный обход экономической модели программы.
|
||||
|
||||
Фикс: в обеих функциях перед чтением добавить
|
||||
require_keys_eq!(find_users_economy_config_pda(program_id).0, *users_economy_config_pda.key, ShineUsersError::InvalidPdaAddress);
|
||||
require!(users_economy_config_pda.owner == program_id, ShineUsersError::InvalidPdaAddress);
|
||||
|
||||
---
|
||||
🔴 CRITICAL #2 — shine_payments: singleton-PDA не привязаны к адресу → кража из вольта в step_payout
|
||||
|
||||
ensure_expected_pdas вызывается только в process_init (строка 519). Во всех остальных инструкциях config_pda, coef_limit_pda, queues_pda читаются через read_state, который проверяет только владельца (*pda.owner == id()), но не адрес:
|
||||
|
||||
fn read_state<T>(pda) -> ... {
|
||||
require!(!is_uninitialized_account(pda), ...);
|
||||
require_keys_eq!(*pda.owner, id(), ...); // только owner, адрес НЕ проверяется
|
||||
...
|
||||
}
|
||||
|
||||
Программа владеет аккаунтами нескольких типов (config, coef_limit, queues, vault, tickets, manager_allowances), и часть их содержимого атакующий контролирует напрямую. В TicketState поле recipient_wallet (32 байта по смещению 11) — полностью произвольные байты из BuyTicketArgs, это не обязан быть валидный ключ.
|
||||
|
||||
Эксплуатация (конкретная, практически реализуемая). В process_step_payout (строки 783–846) coef_limit_pda не проверяется по адресу. Раскладка CoefLimitState при декодировании: version=byte0, coef_ppm=[1..9], limit=[9..17], call_reward_lamports=[17..25]. Байты [17..25] тикета попадают на recipient_wallet[6..14] — их атакующий задаёт сам при покупке тикета. То есть:
|
||||
|
||||
1. Атакующий покупает тикет с recipient_wallet, чьи байты 6..14 кодируют огромный call_reward_lamports.
|
||||
2. В step_payout подставляет этот тикет как coef_limit_pda.
|
||||
3. transfer_from_vault(inflow_vault_pda, signer, coef_limit.call_reward_lamports) (строка 840) переводит подписанту (атакующему) почти весь доступный баланс вольта, который должен был накопиться для DAO.
|
||||
|
||||
version тикета = 1, decode значение версии не проверяет, поэтому подстановка проходит.
|
||||
|
||||
Подстановка config_pda для обхода DAO-авторизации в update_coef_limit/grant_manager_limits теоретически тоже возможна, но непрактична: там нужный dao_wallet пересекается со структурными полями тикета, и подбор потребовал бы грайндинга ~80 бит ключа. А вот путь через coef_limit/step_payout — реальная кража.
|
||||
|
||||
Фикс: во всех инструкциях, принимающих singleton-PDA, проверять адрес, например вызывать ensure_expected_pdas-подобную проверку (require_keys_eq!(find_single_pda(program_id, SEED).0, *pda.key, …)) для config/coef_limit/queues/inflow_vault, а для queues_pda в change_ticket_recipient — тоже.
|
||||
|
||||
---
|
||||
🟠 MEDIUM — shine_payments: слабая валидация оракула Pyth
|
||||
|
||||
read_sol_usd_price / parse_pyth_price_update_v2 (строки 1038–1075):
|
||||
|
||||
1. Не проверяется владелец аккаунта цены (что он принадлежит Pyth receiver). Спасает только то, что адрес жёстко закреплён константой PYTH_SOL_USD_ACCOUNT. Это делает подмену невозможной, но защита держится на одном инварианте.
|
||||
2. feed_id не проверяется. Константа PYTH_SOL_USD_FEED_ID объявлена в settings.rs, но в коде нигде не используется — программа доверяет, что в закреплённом аккаунте лежит именно SOL/USD.
|
||||
3. Фиксированные смещения (73/89/93) предполагают VerificationLevel::Full. Borsh сериализует enum переменной длиной: Partial{num_signatures} занимает 2 байта вместо 1, что сдвигает все поля на 1 байт и приведёт к чтению мусорной цены. Уровень верификации не проверяется.
|
||||
4. Confidence (conf) игнорируется — нет защиты от широкого ценового интервала.
|
||||
|
||||
Проверка возраста цены (ORACLE_MAX_AGE_SECS = 120) есть и сделана корректно. Рекомендация: проверять владельца аккаунта, сверять feed_id с константой и валидировать verification_level == Full (или парсить через официальный pyth_solana_receiver_sdk, который уже завендорен в .vendor/).
|
||||
|
||||
---
|
||||
🟡 LOW — DoS через предсказуемые адреса тикетов — ✅ ИСПРАВЛЕНО (11.06.2026)
|
||||
|
||||
Закрыто: `create_pda_account` в `shine_payments` и `shine_users` переведён на паттерн
|
||||
«создание поверх предзаполненного» (allocate + assign + добор ренты вместо строгого
|
||||
`system_instruction::create_account`). «Подсев» лампортов на заранее известный адрес
|
||||
тикета или пользовательской записи больше не блокирует создание PDA. Проверка
|
||||
`is_uninitialized_account` в payments перестала зависеть от нулевого баланса. Тот же фикс
|
||||
закрывает аналогичный сквоттинг логинов в `shine_users` (адрес выводится из логина).
|
||||
Подробности — в `doc/programs/shine_payments.md` §3.4 и `doc/programs/shine_users.md` §3.3.
|
||||
|
||||
Историческое описание находки ниже.
|
||||
|
||||
|
||||
|
||||
is_uninitialized_account (строка 1195) считает аккаунт неинициализированным только если lamports() == 0. Адреса тикетов детерминированы (queue_seed + index), а индекс последователен и предсказуем. Любой может заранее перевести немного лампортов на адрес следующего тикета — тогда create_pda_account упадёт (PdaAlreadyExists / ошибка create_account), заблокировав покупку/добавление тикета. Это griefing-DoS, не кража. Митигировать можно паттерном «create поверх предзаполненного» (allocate + assign + добор ренты) вместо system_instruction::create_account.
|
||||
|
||||
---
|
||||
✅ Что проверено и сделано корректно
|
||||
|
||||
- Верификация подписей ed25519 в shine_users (строки 885–922): строго пинятся относительные индексы инструкций (−1/−2), требуется num_signatures == 1, все три ix-index == u16::MAX (данные внутри самой ed25519-инструкции — нельзя указать на чужую инструкцию), и сверяются pubkey/signature/message. Сделано грамотно.
|
||||
- Цепочка версий записи (version == record_number+1, prev_hash == hash(old)) — корректная защита от replay (строки 535–536).
|
||||
- Авторизация обновления записи завязана на ed25519-подпись root_key, а не на подписанта-плательщика — случайный аккаунт обновить чужую запись не может.
|
||||
- Монотонность used_bytes/last_block_number и used_bytes <= paid_limit_bytes (строки 979–986).
|
||||
- inflow_vault валидируется по derive из программы payments (строки 988–993).
|
||||
- transfer_from_vault сохраняет рент-экземпт (вычитает minimum_balance через available_vault_lamports).
|
||||
- init обеих программ безопасен к front-run: значения берутся из констант, а не от вызывающего; повторная инициализация заблокирована проверкой «uninitialized».
|
||||
- Арифметика: overflow-checks = true в release-профиле + повсеместные checked_add/sub/mul. Парсинг везде с проверкой границ.
|
||||
- manager_allowance PDA — единственный из payments, чей адрес проверяется корректно во всех путях (строки 645–646, 739–740).
|
||||
- shine_login_guard — stateless, без аккаунтов и средств; рисков безопасности не несёт.
|
||||
|
||||
---
|
||||
Приоритет действий
|
||||
|
||||
1. Critical #1 — добавить проверку адреса+владельца economy-config в create/update shine_users. Тривиальный фикс, помощник find_users_economy_config_pda уже есть.
|
||||
2. Critical #2 — добавить проверку адресов всех singleton-PDA во все инструкции shine_payments (минимум coef_limit_pda/config_pda/queues_pda в step_payout и change_ticket_recipient).
|
||||
3. Medium — ужесточить парсинг Pyth (owner + feed_id + verification_level), либо перейти на завендоренный SDK.
|
||||
4. Low — учесть griefing-DoS на предсказуемых адресах тикетов.
|
||||
|
||||
Обе критические находки относятся к одному классу (Solana «missing ownership/address check» — самая частая категория эксплойтов), их стоит закрыть до любого деплоя в mainnet. Изменений в код я не вносил — это только анализ; готов подготовить патчи на оба критических пункта, если подтвердите.
|
||||
Reference in New Issue
Block a user