EdgeVault/solgov

# solgov [](SUBMISSION.md) [](https://github.com/EdgeVault/solgov/commits/main) [](https://solgov.xyz) [](https://api.solgov.xyz/api/state)  solgov 是 Solana DeFi 的治理透明度层。对 50 多个协议进行持续读取，揭示在 admin-key 攻击之前出现的设置风险模式。 ## 试用 - 3 分钟演示：[youtu.be/F1clEqm7SRk](https://youtu.be/F1clEqm7SRk) - 仪表盘：[solgov.xyz](https://solgov.xyz) - 公开预警：[t.me/SolGovActivity](https://t.me/SolGovActivity)（用于实时预警 threshold、member、timelock 和 configAuthority 变更的 Telegram 频道） - 个人订阅：[@SolGov_bot](https://t.me/SolGov_bot)（按严重程度和事件类型过滤，`/check` 查询） ## 验证 - 实时 API：[api.solgov.xyz/api/state](https://api.solgov.xyz/api/state) 返回每个受追踪协议的当前治理状态。JSON 格式，无需身份验证。 - API 文档 (OpenAPI 3.1)：[solgov.xyz/api-docs.html](https://solgov.xyz/api-docs.html) - 协议条目的真实来源：[`public-dashboard/src/data/protocols.ts`](public-dashboard/src/data/protocols.ts) 仪表盘中的每一项声明都可以追溯到链上的 RPC 读取或指定的源 URL。在任何浏览器中打开 API endpoint 进行确认。 ## 最新动态 - 2026 年 6 月：为具有原生 token 的协议添加了 token 托管视图，显示主要持有者、托管分类、mint 和 freeze authority 状态，以及共享首个资助者的钱包 - 2026 年 6 月：持续监控捕获了受追踪协议间的实时治理变更，包括 timelock 的添加和移除、threshold 的提高以及 signer 集的扩大 - 2026 年 6 月：在公开 Telegram 频道中增加了每周治理摘要广播 - 2026 年 6 月：扩展了受追踪的协议集，增加了新的 perps 和 DEX 条目 - 2026 年 5 月：程序覆盖范围扩展到 50 多个协议中的 188 个程序 - 2026 年 5 月：在关键事件上引入了带有链上后续 RPC 验证的 LLM 自动分诊。系统在对预警进行分类（判断是真实信号还是噪音）之前，会读取额外的账户状态 - 2026 年 5 月：根据程序关键性（国库、admin authority、TVL 暴露程度）实现风险加权预警频率 - 2026 年 4 月：发布了公共 API，包含 OpenAPI 3.1 规范、版本化 endpoint、批量+搜索功能以及 webhook 订阅 - 2026 年 4 月：引入集中式 alert-guard，具备速率限制、严重性分级和 panic-mode 紧急停止开关 - 2026 年 4 月：将 Yieldbay 事件集成到仪表盘活动流和 Telegram 订阅者分发中 - 2026 年 4 月：signer-funder 检测上线，并配备了跨协议的 funder 注册表 ## 本仓库包含的内容 ``` public-dashboard/ React + Vite, deployed to Vercel sentinel/ Scanner, listener, monitor cron, API, Telegram bot (VPS) ``` ### 架构 ``` flowchart LR A[Solana RPC
Helius WebSocket] --> B[solgov-listener] A --> C[solgov-monitor
cron] B --> D[scanner modules
9 detection rules] C --> D D --> E[LLM auto-triage
+ RPC verification] E --> F[Telegram broadcast
+ personal bot] E --> G[solgov-api
OpenAPI 3.1] G --> H[public-dashboard
solgov.xyz] G --> I[Partner webhooks
HMAC signed] ``` ### public-dashboard 位于 `solgov.xyz` 的 Web UI。包含四个标签页： - **Dashboard** - 每个受追踪协议治理状态的可排序表格 - **GovWatch** - 实时活动流以及表中每个团队的治理健康状况视图 - **Blast Radius** - 依赖关系图，展示一个协议被攻陷后如何产生级联影响 - **Charts** - 攻击历史、风险指标、随时间变化的治理健康状况  数据流：构建时的快照打包到应用中，随后在首次渲染时通过 `/api/state` 和 `/api/historical` 叠加实时状态。 ### sentinel 在 VPS 上运行的后端： - `solgov-listener.ts` - 对每个受追踪的 Squads V4 multisig 进行 WebSocket account-subscribe。实时检测 threshold、member、timelock 和 configAuthority 的差异。 - `solgov-monitor.ts` - 基于 cron 驱动的全面及配置扫描。捕获 listener 遗漏的任何内容（V3 multisig、未在 upgrade authority 上找到 multisig 的程序、Wormhole、Realms DAO）。 - `solgov-api.ts` - HTTP API。提供 monitor 状态、历史聚合数据以及任何受追踪协议的治理切片。接收 Helius webhook。 - `solgov-bot.ts` - Telegram bot。包含 `/status`、`/check`、`/report`、`/nonce`、具有严重性和事件类型过滤器的订阅，以及在关键预警上的自动分诊。  - `scanner/` - 可重用的检测模块（治理类型、nonce signer、circuit breaker、signer 配置文件、验证构建、程序 authority 查找、轮换检测）。 - `output/` - 报告生成（Markdown 摘要 + 结构化数据）。 - `llm-*.ts` - 由 Groq 支持的关键预警分诊。当关键事件触发时，分诊层会在显示预警之前进行后续的 RPC 读取，以针对当前账户状态验证信号，从而在不掩盖真实警告的情况下消除噪音。 #### 检测规则 scanner 库实现了九种模式检测器，专门针对 multisig 设置中的早期预警迹象进行了调整： 1. 在全新的 multisig 创建时放置了全新的 signer 2. 演练模式指纹（成员极少、全员签名的提案，从未执行） 3. 受控 multisig 集群（多个 multisig 间存在相同的外部 configAuthority） 4. 最薄弱环节迁移（admin 角色转移到防御姿态较弱的 multisig） 5. 全新 multisig 交接（admin 角色转移到存在不到 14 天的 multisig） 6. 陈旧的 config authority（长期处于休眠状态的外部 configAuthority 密钥） 7. 治理爆发（在单个 multisig 上快速连续发生的安全模型配置更改） 8. Upgrade authority 集中化（单个 vault PDA 控制着许多程序的 upgrade authority） 9. Signer funder 检测（signer 由现有注册表之外的来源提供资金）  ## 深度，而不仅仅是广度 上述规则只是表面。在底层，该系统旨在处理单一来源监控所遗漏的模式。 ### 多版本链上解码 - 针对 Squads V4、Squads V3、Serum Multisig、Marinade 的 mean-multisig 分叉以及 SPL Governance 进行自定义字节布局解析。每个程序都有不同的 seed 约定和账户排序；代码维护着独立的反向查找路径，而不是使用一个通用的解码器。 - Vault PDA 反向查找运行三种回退策略（指令级解析、带有 owner 验证的顶级账户密钥、基于 createKey 的 PDA 派生），因此 vault 发现极少会静默失败。 - 具有字节偏移先决条件的 BPF Upgradeable Loader authority 查找：在读取 authority 字段之前验证程序数据长度，从而清晰地区分“不可变”和“无法解析”。 - Wormhole guardian set 解码，带有硬编码的 `floor(N*2/3) + 1` VAA threshold 和 little-endian guardian-set-index seed 编码，以匹配链上布局。 ### 多层验证 - WebSocket listener 通过带有前状态差异比对的 account-subscribe，在几秒钟内检测出 threshold、member、timelock 和 configAuthority 差异，从而仅展示真实的增量变化。 - 基于 cron 驱动的回填涵盖了 V3 multisig、Wormhole guardian set、Realms DAO 以及 listener 遗漏的任何新的链上治理变更。 - 关键预警上的 LLM 自动分诊：工具集受限、迭代次数有上限，并在分类前进行后续的 RPC 读取。输出内容在发布前会清理掉 LLM 发出的伪函数调用语法。分诊操作受 admin 权限控制，以限制成本。 ### 超越 multisig 配置的检测 - **跨程序 upgrade authority 集中化**：使用带 memcmp 过滤器的 `getProgramAccounts(BPFLoaderUpgradeab1e)` 查找由给定 vault PDA 控制的每个程序。实时发现：Helium vault 2 控制着 24 个程序；Drift 的 BBC5g 在受攻击时拥有 7 个 Drift 程序的 upgrade authority（现在是 6 个，因为 Drift Protocol V2 已于 4 月 2 日被移至恢复 vault）。 - **Signer 独立性**：团队 multisig 中独立 signer 与总 signer 插槽的比例。Jupiter 在 Perps、Lend 和 Agg 之间零 signer 重叠。Drift 在受攻击前有五个共享的 signer 分布在 2LW6PS 和 BBC5g 上。  - **跨协议 signer-funder 注册表**：当协议 A 处触发新 funder 异常时，该 funder 将被记录。在协议 B 处的重复命中将严重性升级为“跨协议惯犯”。这是一种网络效应防御，即一个协议的检测可以保护其他所有受追踪的协议。 - **全新 signer 检测**：标记在 multisig 创建时钱包年龄少于 7 天的 multisig 成员。Drift 的恢复 multisig 仍然拥有全新的 signer。 - **外部 configAuthority 检测**：标记带有休眠持续时间跟踪的外部密钥。截至 2026 年 4 月 17 日的取证扫描，Drift 的 `A1eC8n2t` 已休眠 139 天（最后一次签名活动是在 2025 年 11 月 29 日），并且是受追踪集合中唯一具有此配置的 V4 协议。 ### 方法论 - TVL 加权优先级：具有不可验证治理配置的高 TVL 协议将受到比具有相同配置的较小协议更严格的审查。面临风险的资本决定了关注度，而不是是否将其暴露出来。 - **Drift 模式条件匹配**：统计受追踪协议中出现了多少个 Drift 受攻击前配置中存在的八个条件。每个条件都被枚举出来，而不是加权。 - 零 timelock 是暴露窗口最大的单一条件。它正是本可以阻止 Drift 攻击的控制手段。 ### Token 层及相关覆盖范围 - 监控 30 个 SPL token 的 freeze/mint authority 变更。 - 在 token mint 上提供 Helium 风格的 circuit breaker 覆盖。 - Token-2022 扩展标志：transfer hook、freeze authority、mint 放弃。 - 包含 22 个 LayerZero DVN multisig，用于展示跨链桥治理面。 - 标记 1-of-N SPL Token Multisig 设置（任何单个密钥均可单方面行动）。 - 对受追踪 signer 的 Durable nonce 检测，按信号强度确定优先级：在 tier-1 signer 上的 `initializeNonceAccount` 被视为最高优先级的情况（一种“Drift 形态，新型预置模式”）；超过 30 天的已建立 nonce 优先级降至最低，以避免对合法操作使用产生误报。Nonce 年龄通过 `getSignaturesForAddress` 确认。 ### 运维强化 - HMAC-SHA256 webhook 签名，采用时序安全的密钥比对（常数时间，抵抗基于时序的密钥枚举）。 - 每个订阅者独立的 webhook 扇出，配有隔离的超时机制，确保一个无响应的合作方不会阻塞 listener。 - 指数退避和带有标记的重试日志记录（失败可追踪，而非静默处理）。 - 感知 Cloudflare 的 Helius 请求（针对 Node 默认 fetch 上的 1010 拦截修复浏览器 User-Agent）。 - 严重性路由的 Telegram 分发至独立线程，以便团队可以在不丢失最紧急预警的情况下静音低优先级输出。 - RPC 配额意识：通过优雅超时限制结果，返回部分数据而非全盘扫描失败。 ### 风险加权预警频率 控制国库、admin authority 和庞大 TVL 的程序将比低风险基础设施获得更高频率的监控。listener 根据信号强度路由：threshold 降低、移除三个或更多 member、timelock 移除以及外部 configAuthority 被设置是最高优先级的情况；部分 member 轮换、timelock 减少和 configAuthority 被清除会单独显示，以便团队可以在不丢失紧急预警的情况下静音低优先级频道。 ### Percolator 研究面 一个独立的观察性研究流通过观察针对不可变 Solana 程序（其 admin 密钥已销毁并设有公开的赏金 vault）的探测活动，来校准 solgov 的噪音底限。交易通过指令标签进行解码，并分类为合法、探测或不明。探测模式会反馈到这里的 scanner 信号过滤器中。方法论、分类桶和反馈循环记录在 [`docs/percolator-research.md`](docs/percolator-research.md) 中。研究面代码本身不属于本仓库；此处仅包含消耗这些数据的检测逻辑。 ## 运行 ### public-dashboard ``` cd public-dashboard npm install npm run dev ``` 构建： ``` npm run build ``` Vercel 部署是直接的——无需 GitHub 集成。 ### sentinel ``` cd sentinel npm install cp .env.example .env # fill in HELIUS_API_KEY, HELIUS_RPC_URL, TELEGRAM_BOT_TOKEN, GROQ_API_KEY ``` 运行配置扫描： ``` npx tsx src/solgov-monitor.ts config ``` 运行 listener： ``` npx tsx src/solgov-listener.ts ``` 运行 API： ``` npx tsx src/solgov-api.ts ``` Telegram bot、listener、monitor 和 API 在生产环境中均作为 `pm2` daemon 运行。 ## 数据源 - **链上读取** 通过 Helius RPC：每个 multisig threshold、signer、timelock、config authority、程序升级以及提案生命周期 - **TVL** 通过 DeFiLlama - **协议健康标志** 通过 Yieldbay API（缓存在 `sentinel/data/yieldbay-cache.json`） - **审计公司、公开文档和披露上下文** 均根据 `public-dashboard/src/data/protocols.ts` 中的源链接进行了人工整理 无任何抓取内容。非链上读取的数据均在来源处注明。 ## 状态 - 通过 63 个 multisig 追踪了 50 多个协议（Squads V4、V3、Serum、mean-multisig） - 映射了 190 个程序，覆盖范围包含 22 个 LayerZero DVN 和 30 个 SPL token - Durable nonce 检测、Token-2022 扩展标志以及 1-of-N signer 设置均已展现 - 公共利益：在 MIT 下开源，免费仪表盘，免费 API 且无身份验证，无 token - 参与度：生态系统领导者和协议团队已私下联系。详见 [`disclosures.md`](disclosures.md)。 由 [@Trader_CSK](https://x.com/Trader_CSK) 独立构建。 ## 贡献 请参阅 [`CONTRIBUTING.md`](CONTRIBUTING.md) 了解如何建议协议或报告事实更正。有关 solgov 本身的漏洞，请参阅 [`SECURITY.md`](SECURITY.md)。有关如何处理关于受追踪协议的链上观察结果，请参阅 [`disclosures.md`](disclosures.md)。方向性说明在 [`ROADMAP.md`](ROADMAP.md) 中。 联系方式：在 X 上联系 [@Trader_CSK](https://x.com/Trader_CSK)。

标签：DeFi, Solana, 区块链安全, 威胁情报, 开发者工具, 治理风险, 自动化攻击, 链上监控