O CEO da OpenZeppelin Manuel Aráoz alertou esta quarta-feira que considera agora "toda" a finança descentralizada insegura, argumentando que os agentes de IA de programação se tornaram "sobre-humanos" na deteção de vulnerabilidades em smart contracts. O aviso surge numa altura em que o valor total bloqueado em DeFi caiu mais de $20 mil milhões desde o início do ano e as perdas por hacks acompanhadas pela DeFiLlama ultrapassaram os $1,1 mil milhões nos últimos 12 meses — incluindo o exploit de $292 milhões à Kelp DAO em abril e a violação de $27 milhões na Step Finance que forçou o projeto baseado em Solana a encerrar.
Porque importa
O argumento de Aráoz assenta numa assimetria de longa data na segurança de smart contracts: os defensores têm de corrigir todas as vulnerabilidades, enquanto os atacantes só precisam de encontrar uma. Os agentes de IA de programação, escreveu no X, inclinaram decisivamente esse equilíbrio para o lado dos atacantes. O seu aviso coincide com a divulgação pela Anthropic de que o seu modelo restrito Claude Mythos consegue descobrir autonomamente vulnerabilidades de software e desenvolver exploits funcionais a um nível que a empresa considera superior às ferramentas automatizadas existentes. Uma classe de atacantes que opera à velocidade das máquinas, analisando código on-chain publicamente legível em busca de falhas, altera o modelo de ameaça para o qual a DeFi foi desenhada — um modelo feito para humanos a trabalhar à velocidade humana.
Impacto no mercado
O quadro macro reforça o aviso. A contração de mais de $20 mil milhões no TVL da DeFi este ano é em parte uma história de preços, mas o ritmo constante de exploits de alto perfil continua a retirar liquidez do setor por si só. A violação na Kelp DAO mostrou como uma vulnerabilidade em infraestruturas cross-chain se pode propagar ao ecossistema mais amplo em poucas horas, enquanto o encerramento da Step Finance demonstrou que protocolos de média dimensão têm pouca margem para absorver um único golpe de grande dimensão. Por agora, a questão prática para os protocolos é se as ferramentas do lado dos defensores — verificação formal, monitorização on-chain, correção automatizada — conseguem ser implementadas ao mesmo ritmo que os agentes do lado dos atacantes que Aráoz está a assinalar.
Perguntas frequentes
-
Quem é Manuel Aráoz e porque é que o seu aviso tem peso?
Aráoz é o CEO da OpenZeppelin, uma das firmas de segurança de smart contracts mais utilizadas em cripto, cujas bibliotecas protegem uma parte significativa do código DeFi em produção. O aviso de que considera agora toda a DeFi insegura é significativo porque vem de dentro do campo dos defensores, não de um crítico…
-
Quanto perdeu a DeFi em hacks nos últimos 12 meses?
Dados da DeFiLlama citados no relatório mostram mais de $1,1 mil milhões perdidos em hacks DeFi nos últimos 12 meses. Isto inclui o exploit de $292 milhões à Kelp DAO em abril e a violação de $27 milhões na Step Finance, que forçou o projeto baseado em Solana a encerrar.
-
O que é o Claude Mythos e como se relaciona com o aviso?
O Claude Mythos é um modelo de IA restrito da Anthropic que, segundo a empresa, consegue descobrir autonomamente vulnerabilidades de software e desenvolver exploits funcionais a um nível superior ao das ferramentas automatizadas existentes. O aviso de Aráoz sobre agentes de IA de programação chega na mesma semana…
-
Porque é que a segurança de smart contracts é descrita como assimétrica?
Os defensores têm de corrigir todas as vulnerabilidades no código de um protocolo para o manter seguro, enquanto os atacantes só precisam de encontrar uma única falha explorável para drenar fundos. O argumento de Aráoz é que os agentes de IA de programação estão a pender ainda mais esse equilíbrio para os atacantes,…
-
Quanto caiu o valor total bloqueado em DeFi este ano?
Os dados da DeFiLlama mostram que o valor total bloqueado em DeFi caiu mais de $20 mil milhões desde o início de 2026. Parte reflete a fraqueza mais ampla dos preços cripto, mas um ritmo constante de exploits de alto perfil também tem retirado liquidez do setor por si só.
CoinDesk