Resultados reais

O que acontece quando o sistema não pode falhar.

4 casos documentados com autorização. Clientes em segurança, DeFi e blockchain operam sob NDA — os dados sensíveis ficam fora, os resultados ficam registrados.

Auditoria de Smart ContractPublicado com autorização

3 vulnerabilidades críticas encontradas antes do mainnet.

Contexto

Protocolo DeFi de liquidez concentrada com R$ 2M+ em TVL planejando lançamento em mainnet. O time interno havia revisado o código por 4 semanas. Duas auditorias externas haviam sido realizadas.

O que precisavam

Após as auditorias padrão de mercado, o fundador queria uma revisão focada em padrões de ataque específicos da rede Solana antes do lançamento definitivo.

Abordagem

1Análise estática com foco em padrões de reentrancy no modelo de contas da Solana
2Simulação de ataques de flash loan e oracle manipulation no ambiente devnet
3Revisão da lógica de autorização em instruções compostas
4Mapeamento de todos os caminhos de execução com estado compartilhado

Vulnerabilidades encontradas

CríticaReentrancy em instrução de saque

Permitia drenar o pool completo em uma única transação via cross-program invocation. Não detectado nas auditorias anteriores por não seguir o padrão clássico de reentrancy do Ethereum.

CríticaValidação de signer ausente em instrução de atualização de fee

Qualquer conta poderia atualizar as taxas do protocolo sem autorização. Exploração silenciosa sem eventos emitidos.

AltaOverflow em cálculo de recompensas com valores extremos

Possível com depósitos artificialmente grandes combinados com períodos de acúmulo longos. Resultaria em valores incorretos distribuídos.

Resultado

Protocolo corrigiu todas as vulnerabilidades antes do lançamento. Lançou em mainnet 3 semanas depois. 8 meses em produção sem incidentes de segurança.

“O relatório foi cirúrgico. Duas outras auditorias passaram por cima. A 38bits encontrou o que realmente importava.”
CTO · Protocolo DeFi (NDA)

Detalhes do projeto

Serviço: Auditoria de Smart Contract
Duração: 5 dias úteis
Entregável: Relatório técnico com CVSS scoring + plano de remediação priorizado

Solicitar auditoria

Outros resultados.

Pentest de Aplicação Web

JWT malformado dava acesso admin a qualquer usuário autenticado.

Fuzzing de tokens com algoritmo 'none' e RS256/HS256 confusion attack
Testes de autorização horizontal (IDOR em recursos de outros usuários)
Análise de rate limiting nas rotas críticas (login, recuperação de senha)

CríticaJWT aceita algoritmo 'none'

AltaIDOR em /api/clientes/[id]

2 vulnerabilidades críticas corrigidas em 48h antes da due diligence. Rodada série A concluída sem incidentes de segurança identificados pelos investidores.

“Encontraram o que nosso time interno passou 3 meses sem ver. Valeu cada centavo.”
CTO · Fintech de Crédito Digital, São Paulo (NDA)

Seu projeto pode ser o próximo.

Uma call de 30 minutos para entender o problema. Uma proposta técnica em até 48 horas.

Falar com a equipe WhatsApp direto

Integração Blockchain

Pagamento crypto em 10 dias. Zero downtime. Documentação completa.

Implementação do transaction request protocol (GET + POST endpoints)
Webhook com Helius para confirmação on-chain em tempo real
Fallback automático para Mercado Pago se carteira não detectada

EntregueQR Code + TX confirmation automático

Bônus50 TXs simultâneas sem falha

Entregue em 10 dias úteis com cobertura de testes, documentação de API e runbook operacional. Taxa de conversão em SOL: 12% dos pagamentos no primeiro mês.

“Não precisei fazer uma pergunta sequer no pós-entrega. O runbook cobre tudo.”
Engenheiro Sênior · E-commerce de Produtos Digitais, Salvador (NDA)

Duração

10 dias úteis

Solicitar integração

Código completo, testes automatizados, documentação e runbook operacional

Desenvolvimento Blockchain

Protocolo de staking com 3 tiers de recompensa deployado em mainnet em 6 semanas.

Arquitetura das PDAs (pool, user_stake, reward_vault) com segurança em cada instrução
Suite de testes TypeScript com 100% de cobertura das instruções críticas
Revisão de segurança interna + documentação técnica para manutenção futura

PrevenidaOverflow em cálculo de APY

CorrigidaConstraint de signer ausente em claim

Deploy em mainnet na data do evento. R$ 180K em tokens stakados nas primeiras 48 horas. 0 incidentes em 4 meses de operação.

“Entregaram um protocolo que funciona de verdade, no prazo, com testes reais. Isso não é o padrão do mercado.”
Fundador · DAO de Arte Digital, Rio de Janeiro (NDA)

Duração

6 semanas

Solicitar desenvolvimento

Programa Anchor completo, suite de testes, documentação e suporte de 30 dias pós-deploy