Explore os riscos de segurança mais relevantes associados à Solana, tais como o ataque à cadeia de abastecimento no valor de 580 M$, exploits em smart contracts, manipulação de oracles, ataques de flash loan e questões relacionadas com a fiabilidade da rede. Descubra estratégias avançadas de gestão de risco para empresas e operações de custódia institucional.
Ataques à Cadeia de Fornecimento e Vulnerabilidades em Carteiras: A Violação de 580 Milhões de Dólares em Agosto de 2022
O incidente ocorrido em agosto de 2022 marcou um ponto de viragem na segurança do ecossistema Solana. A 2 de agosto de 2022, milhares de carteiras ligadas à Solana foram severamente comprometidas após a divulgação e exploração de chaves privadas, permitindo a autorização de transações fraudulentas. Aproximadamente 7 900 carteiras foram alvo deste sofisticado ataque à cadeia de fornecimento, com perdas superiores a 5,2 milhões de dólares na primeira vaga. A ocorrência revelou vulnerabilidades críticas em aplicações de carteira Solana populares, nomeadamente a Slope, assim como em plataformas como a Phantom e a Solflare, que facilitam a gestão de ativos digitais na rede.
O ataque consistiu numa violação da cadeia de fornecimento, visando as dependências de software usadas pelos programadores de carteiras Solana. Foram introduzidas versões maliciosas de pacotes npm no ecossistema de desenvolvimento, expondo chaves privadas armazenadas em ambientes hot wallet. Esta vulnerabilidade comprometeu de forma estrutural a segurança na qual os utilizadores confiavam para proteger as suas criptomoedas. O incidente demonstrou que a segurança das carteiras ultrapassa a arquitetura individual de cada aplicação, abrangendo toda a cadeia de fornecimento de dependências e bibliotecas que suportam as carteiras baseadas em Solana.
Além das perdas financeiras imediatas, este ataque à cadeia de fornecimento evidenciou a vulnerabilidade das hot wallets nos ecossistemas blockchain. A violação mostrou que a infraestrutura das carteiras Solana está sujeita a ameaças sofisticadas que ultrapassam as práticas de segurança convencionais, levando o ecossistema a reforçar protocolos de auditoria e a validar de forma mais rigorosa as dependências de software.
Explorações de Smart Contracts e Riscos DeFi: Manipulação de Oráculos e Ataques com Flash Loan
Manipulação de Oráculos e Vulnerabilidades em Price Feeds
A manipulação de oráculos tornou-se uma das ameaças mais relevantes aos protocolos DeFi em Solana. Quando smart contracts dependem de dados de preços externos para executar transações, os atacantes podem explorar fragilidades no modo como esses preços são determinados. Um dos casos mais emblemáticos envolveu a Mango Markets, onde o protocolo registou perdas substanciais devido à manipulação dos price feeds, ilustrando a vulnerabilidade dos sistemas dependentes de oráculos perante estratégias coordenadas de ataque.
Os ataques com flash loan constituem outro vetor de exploração crítico no DeFi Solana. Estes ataques permitem que os mutuários acedam a grandes volumes de capital numa só transação, provocando movimentos de preços artificiais. Ao realizar operações de elevado montante financiadas por flash loans, os atacantes podem, temporariamente, esgotar a liquidez dos pools, originando oscilações acentuadas nos preços spot calculados diretamente dos saldos em DEX. Esta distorção temporária ocorre apenas durante a execução da transação, mas basta para explorar a lógica dos smart contracts baseada nesses preços manipulados.
A conjugação entre manipulação de oráculos e ataques com flash loan gera cenários especialmente perigosos. Um atacante que realize um flash loan pode distorcer artificialmente os saldos de tokens de um pool, produzindo sinais de preço falsos que os protocolos interpretam como dados de mercado válidos. Após a conclusão da transação e o reembolso do empréstimo, o ataque deixa escassos vestígios, enquanto o protocolo já registou prejuízos. A investigação em segurança DeFi demonstra que estes vetores de ataque combinados resultaram em perdas de milhões de dólares em criptomoedas, sublinhando a necessidade urgente de implementação de mecanismos robustos de verificação de preços e de estratégias de resistência a flash loan.
Dependências de Custódia e Fiabilidade da Rede: Riscos de Custódia de ETF e Incidentes Históricos de Interrupção
A custódia de ETF Solana depende de entidades institucionais responsáveis pela gestão da infraestrutura crítica da rede, incluindo validadores e nós RPC essenciais para o processamento e liquidação de transações. Estas dependências criam riscos de concentração que podem agravar problemas de fiabilidade da rede. O histórico de interrupções da Solana evidencia vulnerabilidades estruturais com impacto nas operações de ETF — sete incidentes principais desde o lançamento, estando cinco relacionados com bugs de clientes de validadores e dois com congestionamento causado por spam transacional. A paralisação de setembro de 2021 prolongou-se por 17 horas após o tráfego de bots exceder a capacidade da rede, enquanto fevereiro de 2023 registou nova interrupção prolongada devido a problemas de reparação de blocos, provando como a indisponibilidade da rede afeta diretamente a custódia e a finalização das transações. Quando a rede fica inoperacional, os custodians não conseguem processar transações nem liquidar posições, causando perturbações operacionais aos fornecedores de ETF. A concentração dos serviços de custódia em poucas entidades institucionais agrava estes riscos, podendo criar pontos únicos de falha se problemas de infraestrutura afetarem vários custodians simultaneamente. Contudo, o plano de evolução da Solana, incluindo a reformulação do cliente validador Firedancer, visa resolver estes desafios históricos de fiabilidade através da diversificação de clientes e de melhorias de desempenho. Esta evolução é determinante para a adoção institucional, pois a custódia de ETF exige uma rede resiliente e processamento de transações consistente para garantir os requisitos regulamentares e operacionais.
FAQ
Que grandes vulnerabilidades de segurança e ataques marcaram a história da Solana?
A Solana registou incidentes de segurança relevantes, incluindo um roubo de 58 milhões de dólares na MEXC e um ataque de 36 milhões de dólares à Upbit em 2025. Outros casos envolvem a violação da cadeia de fornecimento do @solana/web3.js, vulnerabilidades de smart contracts como explorações de reentrância e ataques de phishing a carteiras direcionados a utilizadores Phantom.
Quais são os tipos de vulnerabilidades mais frequentes em smart contracts Solana?
As vulnerabilidades mais frequentes em smart contracts Solana incluem overflow numérico, erros de precisão aritmética, omissão no tratamento de erros de retorno, ausência de controlo de permissões na inicialização, validação insuficiente do Account Owner, verificação inadequada de contas PDA e falhas na validação de assinaturas.
De que forma afetam as vulnerabilidades de runtime e os problemas de validação de contas da Solana a segurança da rede?
A vulnerabilidade de runtime da Solana na implementação de zero-knowledge proof do Token-2022 criou riscos de segurança ao permitir validações indevidas de transações. Apesar de não ter havido exploração, a coordenação privada da correção com 70% dos validadores levantou preocupações quanto à centralização e à governação descentralizada em sistemas blockchain.
Que riscos de segurança distintos existem em smart contracts Solana face ao Ethereum?
Os smart contracts Solana enfrentam riscos relacionados com a execução paralela e a complexidade da gestão de estados das contas. Ao contrário do Ethereum, que processa sequencialmente, o modelo concorrente da Solana pode originar race conditions. Além disso, Solana não inclui proteções de reentrância nativas, exigindo soluções personalizadas por parte dos programadores.
Como desenvolver smart contracts seguros em Solana e quais os aspetos críticos a considerar?
Recorrer ao framework Anchor para desenvolvimento, implementar validação rigorosa de contas para prevenir ataques de type confusion, realizar auditorias de código exaustivas, validar todos os inputs de contas, limitar a profundidade de chamadas cross-program e adotar verificações de reentrância, mesmo com as proteções naturais da Solana.
Que riscos de segurança apresenta o mecanismo de consenso e os métodos de processamento de transações da rede Solana?
O mecanismo de consenso da Solana apresenta riscos, incluindo subornos e ataques direcionados devido à existência de uma única fonte de dados confiável. O calendário de Leader pré-divulgado reduz a sobrecarga de consenso, mas aumenta a vulnerabilidade a interrupções de rede e ataques a validadores.
* As informações não se destinam a ser e não constituem aconselhamento financeiro ou qualquer outra recomendação de qualquer tipo oferecido ou endossado pela Gate.
