2026年7月12日日曜日

EVM系のトークンってDEXにあげるときに、監査サービスみたいなのがあったが、

EVM系のトークンってDEXにあげるときに、監査サービスみたいなのがあったが、
Solanaはどうなのか調べてみた、SPLトークンだとできなそうだが・・・




🔥 まず大前提:Solanaでは「独自トークンプログラム」はほぼ使われない

Solanaのトークンは SPL Token Program(2020)か Token-2022(Token Extensions) のどちらかで作るのが普通。 ウォレットもDEXもこれらの標準プログラムしか扱わない。

つまり:

  • 勝手に新しいトークンプログラムを作って配布しても、ウォレットが対応しないのでユーザーは受け取れない

  • そのトークンを扱うには専用UIや専用ウォレットが必要になる

  • 一般ユーザーを騙す用途には使えない

⚠️ しかし Token-2022 は「危険な拡張」を持てる

検索結果からも分かる通り、Token-2022 は SPL よりはるかに複雑で、悪意ある設計が可能

危険な拡張例(すべて公式機能)

以下はすべて Token-2022 が標準で持つ機能:

1. Permanent Delegate(恒久デリゲート)

  • トークン発行者が ユーザーの残高を勝手に移動・焼却できる

  • 署名不要、ユーザーの許可不要

  • これは公式仕様(悪用可能)

2. Transfer Hook(転送フック)

  • トークン送信のたびに 任意の外部プログラムを強制実行

  • つまり「トークンを送るだけで任意コードが走る」

  • EVM の ERC-777 のコールバックと同じで、最も危険な拡張

3. Mint Close → 再初期化攻撃

  • トークン発行者が Mint を閉じて再初期化できる

  • 再初期化後に別の拡張(例:Transfer Fee、NonTransferable)を付けられる

  • 古いトークンアカウントは「旧ルールのまま」動く → プロトコル側が想定外の挙動になる

4. Transfer Fee(転送手数料)

  • 転送時に自動で手数料徴収

  • 手数料は受信側から引かれる(仕様が特殊)

  • 会計処理を誤るとプロトコルが損失

🧨 これらは「ウォレットをハックする」わけではないが…

ユーザー資産を奪うトークンを作ることは可能

できること

  • ユーザーが受け取った瞬間に残高を勝手に移動(Permanent Delegate)

  • トークン送信時に任意コード実行(Transfer Hook)

  • DEX や Lending に預けられた資産を吸い上げる(Permanent Delegate)

  • プロトコルの会計を狂わせて資金を抜く(Transfer Fee)

できないこと

  • ウォレットの秘密鍵を盗む

  • 他のトークンを勝手に操作する

  • SOL を勝手に送金させる

  • ウォレットアプリを乗っ取る

Solana のセキュリティモデル上、トークンはそのトークンのアカウントしか操作できないため。

🧩 つまり「怪しいトークン」は作れるが、仕組みはこう

✔ トークン自体に悪意ある権限を付ける

✔ トークン転送時に悪意あるプログラムを呼び出す

✔ プロトコル側の検証不足を突いて資金を抜く

これらはすべて Token-2022 の公式機能の悪用

🛡️ ユーザー視点での防御策

Solanaで怪しいトークンを受け取った時に確認すべきポイント:

  • Permanent Delegate が設定されていないか

  • Transfer Hook が付いていないか

  • Transfer Fee が異常に高くないか

  • Mint Close Authority が存在しないか

  • Token-2022 かどうか(SPLより危険性が高い)

これらは solana account <mint> で確認できる。







って、監査必要なんか・・・・








🏆 Solana監査の主要プレイヤー(EVM系+Solanaネイティブ)

🔥 Solanaネイティブ(Solana特化)

これらは Rust / Anchor / CPI / アカウントモデル を深く理解しているため、Solana監査では最重要。

  • OtterSec Solanaネイティブの代表格。Wormhole、Jito Labs、Solana Foundation などを監査。 Solanaの TVL 36.8B を超える領域を担当。

  • Zellic Solana Foundation とも協業。Wormhole や Pyth を監査。Rust と Solana専門性が高い。

  • Neodyme Solanaの古参セキュリティチーム。CTF文化が強く、低レイヤーの脆弱性に強い。

  • Sec3 Solana専用の自動脆弱性スキャナとリアルタイム監視を提供。

  • Softstack 1,200+監査、ゼロエクスプロイト。Solanaのアカウントモデルや Anchor に強い。

🧩 EVM系の大手で Solana も対応している会社

EVMで有名な監査会社の多くは Solana もカバーしている。

  • Trail of Bits Rust解析・形式手法が強い。Solana runtime や SPL の監査も実施。

  • Halborn Solana Labs / Solana Foundation とも協業。インフラ・アプリ・スマートコントラクトを総合的に監査。

  • Quantstamp 初期からの大手監査会社。Solanaも対応。

  • CertiK 高ボリューム監査会社。Solanaも対応。

  • Hacken EU中心の大手。Solana監査も提供。

  • Cyfrin Codehawks などで有名。Solanaも対応。

  • Spearbit 世界中のトップ研究者を束ねる監査集団。Solana対応。

📊 まとめ:Solana監査は「EVMより専門性が高い」

Solanaは Rust / Anchor / CPI / アカウントモデル / runtime の理解が必要で、 EVMより監査難易度が高いと言われている。

そのため:

  • EVM監査会社でも Solanaを扱えるところは限られる

  • Solanaネイティブの OtterSec / Zellic / Neodyme / Sec3 が強い

  • Halborn / Trail of Bits は EVM・Solana両方でトップクラス



2026年7月11日土曜日

GoogleのAntigravityがClaude DesktopやChatGPT Codex(旧Codex Desktop)と同じ感じになってる。

Antigravity 2.0系

いつのまにかIDEじゃなくなってる。

IDEモードもあるんだけど、他のChatエージェント系のデスクトップアプリとほとんど同じになってる。

スケージュール(定期タスク)もある。



2026年7月10日金曜日

SUMinchoVを調べてみる。

「SUJPMLFV.TTF」は、ウイングアーク1st社が提供する帳票出力システム「SVF(Super Visual Formade)」に付属している「SUMinchoV(明朝体)」というフォントファイルです。前回の回答にあった台湾の「AVECTOR TECHNOLOGY」社が製造したフォントをベースに、リコー社がSVF用にチューニングして提供しているものです。



どうやらSUMinchoVはLinux環境でMS明朝の代替品として作られた。

なのでWindowsの場合、MS明朝でほぼ同じになるっぽい。




SUMinchoV は MS明朝と同じグリフ順序を持つため、フォントファイルを差し替えるだけで済みます。グリフマッピングの調整は不要です。全GIDの一致を包括的に確認します



全角英数字・記号の11文字だけGIDがずれています。これらは「(」「)」「*」「:」「B」「E」「G」「L」「O」「R」などです。


非常に良い知らせです。ずれは全角文字11個すべて一定の-304です。


つまり、これらの全角文字だけGIDが304ずつずれていますが、すべて同じ差分です。これは、SUMinchoVの作成時に全角英数字・記号ブロック(U+FF00〜)のGIDが304だけ後ろにずらされたことを意味します。


2026年7月9日木曜日

Wrangler v4 の主な変更点

 

⚡ Wrangler v4 の主な変更点(実質 “小規模アップデート”)

1. Node.js 16 が完全に非対応

  • Wrangler v4 は Node.js 18 以上必須

  • Node.js 16(2022年に EOL)はサポート外。

  • v16 のままだと Wrangler が正常動作しない可能性あり。

2. esbuild が v0.17 → v0.24 に大幅アップデート

  • 内部バンドラーが新しくなり、以下の影響が出る可能性:

    • ワイルドカード動的 import の挙動が変わる

    • esbuild は pre-1.0 のため、今後も Wrangler minor 更新で破壊的変更が入る可能性あり

  • 新しい JS 機能が利用可能:

    • using キーワード(Explicit Resource Management)

    • Import Attributes(例:with { type: "json" }

3. CLI のデフォルトが “local mode” に変更

  • 以前:必要に応じて remote

  • 今回:すべてのコマンドが local をデフォルトに

  • リモート API を叩きたい場合は --remote を明示する必要あり

    • 例:wrangler kv list --remote

4. 古いコマンド・設定が削除

  • Wrangler v3 で非推奨だったものが完全削除

  • 古い flags や legacy 設定が使えなくなる

2026年7月8日水曜日

surrealdb v3ってメモリ2Gじゃコンパイルできない。

Out of Memory で落ちる。

wasmer.ioでcronは無料では無理

有料プランだと使えるんだけど、無料だと使えない。
引き落とし失敗して無料プランになってたっぽ・・・


なので、cron-job.orgを使った。




ちなみにプロセスは30秒まで、スクレイプが最大で17秒なので間に合う。

2026年7月7日火曜日

AI IDEをすべてやめてしまったので、とっ散らかる

以前まで以下のIDEで、大枠でざっくり分けていた。
8個。

・VScode
・cursor
・Windsurf
・Antigravity
・Trae
・Verdent
・Zed
・Lapce



それが、ほぼ3つに固定されしまった。
それぞれが20以上のプロジェクトがあり、プロジェクトを選択することがダルイ。
・ClaudeDesktop
・Codex
・Opencode(Mimo-V2.5)


根本的に人生をgithubで管理した方がいいと思うが、苦肉の策で以下を入れた。
・pi-desktop
・kimi Work(moonshot AI K2.6agent)
・ZCode(z.ai GLM-5.2)
・ClawX(Xiaomi Mimo-V2.5) ※xiaomiはTUIしかないのでClaw系を入れた。

前から入れっぱなしClaw
・GensparkClaw
・OpenClaw


マジで自分が何の仕事を、どこまで進んでるのか、わけわからんくなる。
完全に俺(人間)がボトルネックで、よろしくないが、
最後の砦として機能しているからいいのかもしれない。


※いつの間にかkimiでブラウザ拡張ができてた。
https://www.kimi.com/features/webbridge


あいうえお