3 perguntas que decidem se seu programa Solana está pronto para mainnet

⚠ 70% dos exploits em Solana começam com falhas que passam despercebidas em testes unitários.

Founders de projetos DeFi e infra estruturam lançamentos com pressa — mas um audit técnico não é etapa final, é parte do design. A decisão de ir para mainnet exige resposta clara a três perguntas técnicas.

1. Seu programa valida todas as CPIs com is_signer e is_writable corretamente?
   Programas em Solana delegam chamadas entre contratos via CPI. Se o callee não valida rigorosamente quais contas são signers ou mutáveis, um atacante pode forçar reentrância ou manipular estado. Nossa equipe viu múltiplos exploits onde invoke_signed foi usado com seeds mal formadas — permitindo spoofing de PDA.

2. A derivação de PDAs usa find_program_address com seeds imutáveis e verificáveis?
   Seeds derivados de entrada de usuário ou dados mutáveis geram PDAs previsíveis. Isso abre brecha para ataques de account hijacking. O padrão seguro exige seeds fixos, concatenados com bump explicitamente verificado no programa — não confiável apenas no lado do cliente.

3. Você testou edge cases de clock, rent epoch e sysvar expiry?
   Programas que dependem de Sysvar::Clock falham silenciosamente quando o slot avança em testes de stress. Projetos com timers, vesting ou expiração de ofertas são especialmente vulneráveis. Simular +100k slots em localnet é obrigatório — não opcional.

✓ Um programa de staking auditado por nossa equipe em Q1 2026 evitou perda de R$2.3M ao corrigir falha em CPI guard antes do launch.

Agende revisão técnica: drexbrasil.com/contato