3 perguntas que decidem se seu programa Solana está pronto para mainnet
Antes de lançar, responda: seu programa passou por teste de stress em CPIs? Derivação de PDA é segura?
⚠ 70% dos exploits em Solana começam com falhas que passam despercebidas em testes unitários.
Founders de projetos DeFi e infra estruturam lançamentos com pressa — mas um audit técnico não é etapa final, é parte do design. A decisão de ir para mainnet exige resposta clara a três perguntas técnicas.
1. **Seu programa valida todas as CPIs com `is_signer` e `is_writable` corretamente?** Programas em Solana delegam chamadas entre contratos via CPI. Se o callee não valida rigorosamente quais contas são signers ou mutáveis, um atacante pode forçar reentrância ou manipular estado. Nossa equipe viu múltiplos exploits onde `invoke_signed` foi usado com seeds mal formadas — permitindo spoofing de PDA.
2. **A derivação de PDAs usa `find_program_address` com seeds imutáveis e verificáveis?** Seeds derivados de entrada de usuário ou dados mutáveis geram PDAs previsíveis. Isso abre brecha para ataques de account hijacking. O padrão seguro exige seeds fixos, concatenados com bump explicitamente verificado no programa — não confiável apenas no lado do cliente.
3. **Você testou edge cases de clock, rent epoch e sysvar expiry?** Programas que dependem de `Sysvar::Clock` falham silenciosamente quando o slot avança em testes de stress. Projetos com timers, vesting ou expiração de ofertas são especialmente vulneráveis. Simular +100k slots em localnet é obrigatório — não opcional.
✓ Um programa de staking auditado por nossa equipe em Q1 2026 evitou perda de R$2.3M ao corrigir falha em CPI guard antes do launch.
Agende revisão técnica: [drexbrasil.com/contato](drexbrasil.com/contato)