jpskill.com
✍️ ライティング コミュニティ

osec-solana-auditor-introduction

Otter Secのブログ記事「Solana: Auditor's Introduction」を参照し、Sealevel実行環境やアカウント、BPFエントリーポイントなどSolanaの基礎を解説、セキュリティ監査に必要な知識を提供するSkill。

📜 元の英語説明(参考)

Points to Otter Sec (osec.io) blog post “Solana: An Auditor’s Introduction”—runtime-oriented primer on Sealevel execution, accounts, BPF entrypoint deserialization, attacker-controlled vs runtime-enforced fields, and native programs (e.g. System Program). Use when the user cites this article or needs fundamentals next to neodyme-solana-security-workshop and sealevel-attacks-solana—not as current protocol spec (verify Solana docs and post-2022 runtime changes).

🇯🇵 日本人クリエイター向け解説

一言でいうと

Otter Secのブログ記事「Solana: Auditor's Introduction」を参照し、Sealevel実行環境やアカウント、BPFエントリーポイントなどSolanaの基礎を解説、セキュリティ監査に必要な知識を提供するSkill。

※ jpskill.com 編集部が日本のビジネス現場向けに補足した解説です。Skill本体の挙動とは独立した参考情報です。

⚡ おすすめ: コマンド1行でインストール(60秒)

下記のコマンドをコピーしてターミナル(Mac/Linux)または PowerShell(Windows)に貼り付けてください。 ダウンロード → 解凍 → 配置まで全自動。

🍎 Mac / 🐧 Linux 
mkdir -p ~/.claude/skills && cd ~/.claude/skills && curl -L -o osec-solana-auditor-introduction.zip https://jpskill.com/download/10142.zip && unzip -o osec-solana-auditor-introduction.zip && rm osec-solana-auditor-introduction.zip
🪟 Windows (PowerShell) 
$d = "$env:USERPROFILE\.claude\skills"; ni -Force -ItemType Directory $d | Out-Null; iwr https://jpskill.com/download/10142.zip -OutFile "$d\osec-solana-auditor-introduction.zip"; Expand-Archive "$d\osec-solana-auditor-introduction.zip" -DestinationPath $d -Force; ri "$d\osec-solana-auditor-introduction.zip"

完了後、Claude Code を再起動 → 普通に「動画プロンプト作って」のように話しかけるだけで自動発動します。

💾 手動でダウンロードしたい(コマンドが難しい人向け)
  1. 1. 下の青いボタンを押して osec-solana-auditor-introduction.zip をダウンロード
  2. 2. ZIPファイルをダブルクリックで解凍 → osec-solana-auditor-introduction フォルダができる
  3. 3. そのフォルダを C:\Users\あなたの名前\.claude\skills\(Win)または ~/.claude/skills/(Mac)へ移動
  4. 4. Claude Code を再起動
⬇ .zip でダウンロード(推奨) ⬇ .skill 形式(上級者用) 元のソース ↗

⚠️ ダウンロード・利用は自己責任でお願いします。当サイトは内容・動作・安全性について責任を負いません。

🎯 このSkillでできること

下記の説明文を読むと、このSkillがあなたに何をしてくれるかが分かります。Claudeにこの分野の依頼をすると、自動で発動します。

📦 インストール方法 (3ステップ)

  1. 1. 上の「ダウンロード」ボタンを押して .skill ファイルを取得
  2. 2. ファイル名の拡張子を .skill から .zip に変えて展開(macは自動展開可)
  3. 3. 展開してできたフォルダを、ホームフォルダの .claude/skills/ に置く
    • · macOS / Linux: ~/.claude/skills/
    • · Windows: %USERPROFILE%\.claude\skills\

Claude Code を再起動すれば完了。「このSkillを使って…」と話しかけなくても、関連する依頼で自動的に呼び出されます。

詳しい使い方ガイドを見る →
最終更新
2026-05-18
取得日時
2026-05-18
同梱ファイル
1

📖 Skill本文(日本語訳)

※ 原文(英語/中国語)を Gemini で日本語化したものです。Claude 自身は原文を読みます。誤訳がある場合は原文をご確認ください。

Osec — Solana: 監査者のための入門 (参考)

教育的なルーティングのみです。 このスキルは、記事全体やコードの抜粋を再現するものではありません。完全な詳細については、ライブの投稿をお読みください。

正規 URL

発行者: Otter Sec / Otter Audits LLC (スマートコントラクトのセキュリティ監査; サイトのフッターより)。

記事の内容 (概要)

この記事では、Solanaプログラムのセキュリティを、研究者/監査者の視点から捉えています。つまり、ランタイムがどのようにコントラクトを実行するか、信頼境界がどこにあるか、攻撃者が何に影響を与えられるか、ということです。

テーマ トピック (ハイレベル)
実行モデル プログラムは BPF Loader を介してロードされる eBPF ELF として; アカウントは pubkey-addressed な状態として; 呼び出し = プログラム ID + アカウントリスト + 命令データ; EVMスタイルの "メソッド" は syscall 境界には存在しない — 命令バイト (例: enum) を介してディスパッチ。メモリマップ領域 (code/stack/heap/inputs) の概要; Rust により典型的なメモリ破壊への注目を軽減。
エントリ / デシリアライズ 一般的な entrypoint とデシリアライズヘルパー; ランタイムによってシリアライズされたデータと、攻撃者の制御下にあるフィールド (例: 命令データ; アカウントリストの選択) の区別 — およびランタイムによって強制されるメタデータ (signers, writable, owner)。型混乱 / 間違ったアカウントの問題を、実行レベルの型付けの欠如に関連付け (例: ハードコードされた pubkey, discriminators — 今日では Anchor を介して形式化されることが多い)。
ネイティブプログラム System Program と説明的な CreateAccount vs Transfer signer 要件; 所有権の制約 (例: SPLトークンアカウント vs システム所有アカウント)。

この入門記事では、実践的な脆弱性クラスとして Neodyme’s Security Workshop を明示的に推奨しています。この記事は、基礎優先のランタイムコンテキストでそれを補完します。

blockint との組み合わせ方

ニーズ スキル
実践的な脆弱性レベル neodyme-solana-security-workshop
Anchor のエクスプロイト/緩和スニペット sealevel-attacks-solana
監査/レビューワークフロー solana-defi-vulnerability-analyst-agent
ドキュメントインデックスとツール solana-onchain-intelligence-resources

ガードレール

  • 鮮度の低下2022年に公開; Solana の ランタイム, プログラム ID, および ベストプラクティス は進化します — Solana documentation と最新の SIMD / リリースノートを照合して、重要な事実を確認してください。
  • 仕様ではない — ブログは 教育的です。最終的な権威は ソースコードオンチェーンの動作 です。
  • 倫理 — 理解を 防御, 監査, および 責任ある開示 に使用し、窃盗や不正な悪用には使用しないでください。

目標: blockint における ランタイムを意識した Solana セキュリティの推論のために、osec.io Solana security intro への安定したポインタを提供すること。

📜 原文 SKILL.md(Claudeが読む英語/中国語)を展開

Osec — Solana: An Auditor’s Introduction (reference)

Educational routing only. This skill does not reproduce the full article or code excerpts. Read the live post for complete detail.

Canonical URL

Publisher: Otter Sec / Otter Audits LLC (smart contract security audits; per site footer).

What the article covers (outline)

The post frames Solana program security from a researcher / auditor lens: how the runtime executes contracts, where trust boundaries sit, and what an attacker can influence.

Theme Topics (high level)
Execution model Programs as eBPF ELF loaded via BPF Loader; accounts as pubkey-addressed state; invocations = program id + account list + instruction data; no EVM-style “methods” at the syscall boundary—dispatch via instruction bytes (e.g. enums). Memory map regions (code/stack/heap/inputs) at a glance; Rust reducing typical memory-corruption focus.
Entry / deserialization Common entrypoint and deserialization helpers; distinction between data serialized by the runtime vs fields under attacker control (e.g. instruction data; account list selection)—and metadata enforced by the runtime (signers, writable, owner). Links type confusion / wrong-account issues to lack of execution-level typing (mitigations such as hardcoded pubkeys, discriminators—often formalized today via Anchor).
Native programs System Program and illustrative CreateAccount vs Transfer signer requirements; ownership constraints (e.g. SPL token accounts vs system-owned accounts).

The introduction explicitly recommends Neodyme’s Security Workshop for hands-on vulnerability classes; this article complements it with fundamentals-first runtime context.

How to combine with blockint

Need Skill
Hands-on vulnerable levels neodyme-solana-security-workshop
Anchor exploit/mitigation snippets sealevel-attacks-solana
Audit / review workflow solana-defi-vulnerability-analyst-agent
Doc indexes & tooling solana-onchain-intelligence-resources

Guardrails

  • Staleness — published 2022; Solana runtime, program IDs, and best practices evolve—cross-check Solana documentation and current SIMD / release notes for material facts.
  • Not a specification — blog is pedagogical; final authority is source code and on-chain behavior.
  • Ethics — use understanding for defense, audits, and responsible disclosure, not theft or unauthorized exploitation.

Goal: a stable pointer to osec.io Solana security intro for runtime-aware Solana security reasoning in blockint.