jpromano-swe/solbreach

# SolBreach ⚡️ ## 游戏化的 Web3 安全培训平台，专为 Solana 虚拟机 (SVM) 原生设计。学习如何攻击，掌握如何防御。 注意：本仓库存放了 SolBreach 的核心架构蓝图和智能合约设计。实际的代码脚手架开发正作为 Dev3pack 黑客松和 Superteam Agentic Engineering 资助计划的一部分正式启动。 ## 痛点 随着 Solana 生态系统的扩展，其协议的复杂性呈爆炸式增长。然而，开发者安全教育却未能跟上这一步伐。SVM 采用了与 EVM 截然不同的底层架构，导致基于以太坊的安全培训（如 Ethernaut）变得不再适用。 目前，开发者缺乏一个持久的、交互式的环境来在 Solana 上原生练习攻击性安全技术。这导致不断有包含严重且可预防的逻辑缺陷的智能合约被部署——例如 Anchor 约束遗漏、未检查的跨程序调用 (CPI) 以及程序派生地址 (PDA) 权限绕过等问题。 ## 解决方案：SolBreach SolBreach 是一个开源、交互式的夺旗赛 (CTF) 环境，开发者可以通过主动利用漏洞来学习如何保护智能合约。我们将枯燥的安全文档转化为沉浸式、实操性的黑客工作流。 核心架构创新 为了避免为每个用户部署单独智能合约所带来的高昂成本，同时实现无缝的用户体验 (UX)，SolBreach 采用了高度优化的 Solana 原生架构： 零成本执行 (Rent-Refund PDAs)：SolBreach 并非为每个用户部署一个新程序，而是通过一个单一的庞大 Anchor 注册表来运行。玩家锁定极小量的 SOL，为其特定的关卡实例初始化一个 PDA。在成功“黑掉”关卡后，最终的指令会关闭该 PDA，立即退还租金，从而实现零成本的主网体验。 黑客证明 (Metaplex cNFTs)：进度在链上被不可篡改地追踪。当开发者完成一个关卡时，我们的无服务器 API 会通过 Bubblegum 发行一个 Metaplex 压缩 NFT (cNFT) 作为“Flag”，成本仅需不到一美分，同时为审计公司提供可验证的凭证。 智能体审计员 (AI 集成)：我们将一个自主智能体集成到了核心游戏循环中。当开发者提交漏洞利用程序时，该智能体会自主解析交易模拟，验证链上状态 (PDA) 是否根据关卡的获胜条件被成功操纵，并触发 cNFT 奖励的发放。 ## MVP 课程 (Dev3pack 构建) 最初的黑客松版本聚焦于 3 个基础的 Anchor 反面模式： 关卡 概念 漏洞说明 ### 1. 幻觉师 账户替换 缺少 `#[account(constraint = ...)]`，允许用户传入伪造的 SPL 代币。 ### 2. 身份窃贼 PDA 权限绕过 静态种子允许任何签名者覆盖全局状态 PDA。 ### 3. 特洛伊木马 任意 CPI 通过恶意的用户输入数据调用未检查的外部程序。 #### 💻 黑客工作流 玩家不会仅仅是在网页 UI 上点击按钮；他们会使用真正的开发者工具。 将钱包连接到 SolBreach 网页仪表板。 初始化一个关卡实例（创建你专属的易受攻击 PDA）。 克隆本地的“Hacker Playground”代码仓库。 使用 Rust/TypeScript 结合 Anchor 编写漏洞利用代码。 针对 Mainnet/Devnet 上的程序执行该漏洞利用。 在仪表板上验证黑客行为，以触发智能体审计员并领取你的 cNFT Flag。 ## ⚙️ 技术栈 智能合约：Rust，Anchor Framework 前端：Next.js，React，Tailwind CSS Web3 集成：@solana/web3.js，Wallet Adapter 游戏化：Metaplex Umi / Bubblegum SDK ## 🚀 路线图 [x] 阶段 1：架构蓝图与智能合约设计 [x] 阶段 2：UI/UX 线框图与演示文稿 [ ] 阶段 3：Dev3pack 黑客松 (搭建 Next.js 与 Anchor Registry 脚手架) [ ] 阶段 4：Metaplex cNFT 集成与 Localnet 测试 [ ] 阶段 5：主网部署与社区发布 为 Solana 生态倾注 ❤️ 打造。

标签：Anchor框架, CISA项目, cNFT, CPI, CTF平台, DApp开发, Metaplex, PDA, Rust, Solana, SVM, Web3安全, Web3教育, 交互式学习, 加密货币安全, 区块链安全, 去中心化应用, 可视化界面, 夺旗赛, 安全培训, 安全学习, 安全测试, 开放式安全, 攻击性安全, 智能合约安全, 智能合约审计, 游戏化学习, 私有化部署, 网络流量审计, 跨程序调用, 链上挑战, 防御规避, 零成本执行, 黑客松项目