O cofundador da OpenZeppelin, Manuel Aráoz, afirmou acreditar agora que «toda a DeFi é insegura» e ter aconselhado pessoalmente amigos e família a sair de todas as posições em DeFi. O seu raciocínio: os agentes de programação por IA estão a atingir uma capacidade sobre-humana na descoberta de vulnerabilidades, e a segurança dos smart contracts é inerentemente assimétrica — uma única falha derruba o protocolo, tornando o relatório do auditor irrelevante.
Por que é relevante
A citação pesa pelo peso de quem a diz. A OpenZeppelin não é uma crítica na plateia — é uma das firmas de segurança mais respeitadas do setor, com clientes de auditoria que incluem Aave, Compound, MakerDAO, Uniswap e Coinbase. Quando um cofundador da empresa que ajudou a certificar esses protocolos como seguros diz publicamente ao público retalhista para abandonar o setor, isso reformula todo o modelo mental de «auditado = seguro» em que o mercado se apoiou durante anos.
A leitura de segunda ordem é sobre a superfície de ameaça da IA. Aráoz enquadra a descoberta de vulnerabilidades assistida por LLM como um salto qualitativo na capacidade dos atacantes — as mesmas ferramentas que permitem a uma equipa de cinco pessoas fazer deploy mais rápido também permitem a um agente hostil descobrir uma classe de exploits que nenhum auditor humano cobriu. Os exploits em smart contracts não são perdas probabilísticas; são eventos de perda total. A assimetria que ele aponta está entre o custo de uma auditoria e o valor em risco que a auditoria supostamente protege.
Impacto no mercado
É de esperar que a citação surja no comentário regulatório e na subscrição de seguros — fornecedores de cobertura DeFi, tesourarias de protocolos e custodiantes vão ter de rever as premissas sobre o que uma auditoria da OpenZeppelin garante na prática em termos de pricing. A leitura honesta para os utilizadores não é «a DeFi acabou»; é que a distância entre «auditado» e «seguro» é maior do que o marketing sugeriu, e essa distância está a alargar-se à medida que os atacantes com IA ficam mais baratos.
Perguntas frequentes
-
Quem é Manuel Aráoz e por que razão o seu aviso sobre a DeFi tem peso?
Manuel Aráoz é cofundador da OpenZeppelin, uma das firmas de segurança de smart contracts mais respeitadas em cripto. Os clientes de auditoria da OpenZeppelin incluem Aave, Compound, MakerDAO, Uniswap e Coinbase, por isso um aviso de um cofundador a dizer que «toda a DeFi é insegura» vem de dentro da indústria de…
-
Qual é a ameaça de vulnerabilidade por IA que Aráoz está a apontar?
Aráoz defende que os agentes de programação por IA estão a atingir uma capacidade sobre-humana na descoberta de vulnerabilidades em smart contracts. As mesmas ferramentas LLM que ajudam as equipas de protocolos a fazer deploy mais rápido também permitem aos atacantes encontrarem classes de exploits mais depressa do…
-
Por que razão a segurança de smart contracts é descrita como «assimétrica»?
A assimetria está entre o custo de uma auditoria e o valor em risco que a auditoria supostamente protege. Um protocolo pode proteger dezenas de milhões em TVL, mas uma única falha não detetada pode drená-lo por completo — por isso o downside de uma auditoria incompleta é total, enquanto o upside para o atacante é o…
-
Isto significa que os protocolos DeFi auditados são efetivamente inseguros?
O enquadramento de Aráoz é que a distância entre «auditado» e «seguro» é maior do que o marketing sugeriu e está a alargar-se à medida que os atacantes movidos a IA ficam mais baratos. Não significa que todos os protocolos auditados sejam exploráveis hoje, mas defende que os relatórios de auditoria já não devem ser…
-
Como pode este aviso afetar o pricing de seguros e custódia em DeFi?
É de esperar que seguradoras DeFi, tesourarias de protocolos e custodiantes revejam o que uma auditoria da OpenZeppelin garante na prática em termos de pricing. Se a própria indústria de auditorias está a sinalizar que os atacantes assistidos por IA ultrapassam os revisores humanos, é provável que os prémios de…