Segurança de Programas

Agradecimentos especiais à Unboxed Software por pioneirizar e moldar o conteúdo inicial deste curso com seu guia!

Todos os dias, milhões de dólares fluem por programas Solana em velocidade relâmpago. Neste ambiente de alto risco e alto desempenho, uma única linha de código vulnerável pode drenar um protocolo em segundos, enquanto um programa bem seguro pode processar milhares de transações por segundo sem suar.

A arquitetura revolucionária de processamento paralelo da Solana não é apenas mais rápida que outras blockchains; é fundamentalmente diferente.

Enquanto desenvolvedores Ethereum se preocupam com otimização de gas e execução sequencial, desenvolvedores Solana devem dominar um cenário de ameaças inteiramente novo onde accounts substituem o armazenamento, programas são stateless e transações competem entre si em pistas de execução paralela.

Existem muitos exploits de segurança únicos no desenvolvimento blockchain da Solana. Neste curso, você aprenderá todos os Ataques Sealevel que são baseados no repositório de Ataques Sealevel da Coral, incorporando exemplos do mundo real e estratégias práticas de mitigação.

Antes de implantar seus programas na Mainnet, você deve ter pelo menos um entendimento básico dos fundamentos de segurança.

Os mesmos exploits são "válidos" tanto para desenvolvimento Native quanto Anchor

Introdução à Segurança de Programas

As considerações de segurança mais críticas no desenvolvimento Solana derivam do modelo de propriedade de accounts da plataforma e da forma como os programas interagem com as accounts.

Os programas devem validar cuidadosamente a propriedade das accounts, implementar controles de acesso adequados e lidar com as complexidades de invocações entre programas (CPIs).

A natureza stateless dos programas significa que toda lógica de validação deve ser implementada explicitamente, pois não há proteções integradas contra manipulação maliciosa de accounts.

Adicionalmente, padrões comuns de vulnerabilidade em programas Solana incluem verificações de propriedade ausentes, verificação de signatário insuficiente, overflow/underflow aritmético e tratamento inadequado da inicialização e fechamento de accounts.

O Anchor foi desenvolvido com a ideia de tornar os programas Solana mais seguros, forçando os desenvolvedores a usar tipos específicos ou fazer escolhas deliberadas para seus programas.

Embora cada vulnerabilidade de segurança possa parecer "simples" à primeira vista, há uma profundidade substancial a ser discutida em cada cenário. Estas lições contêm menos prosa e mais exemplos práticos de código, garantindo que você ganhe um entendimento sólido e prático dos riscos de segurança discutidos.

Pronto para aprimorar seu conhecimento de segurança na Solana? Vamos começar a construir programas mais seguros juntos.