«Todo DeFi é inseguro»: o alarme IA da OpenZeppelin

Em 1 de junho de 2026, não existe nenhum hack de DeFi em escala atribuído a um agente de IA autônomo atuando como atacante. E, no entanto, em 26 de maio, Manuel Aráoz — cofundador da OpenZeppelin, a auditora de smart contracts mais utilizada do mundo — escreveu no X que «agora considero todo o DeFi inseguro». Seu argumento não é que já existam roubos perpetrados por inteligência artificial autónoma, mas algo mais estrutural: os agentes de codificação com IA (modelos que leem e escrevem código de forma autónoma) são «superhumanos encontrando vulnerabilidades», e a segurança dos contratos inteligentes (programas que executam sozinhos na blockchain e custodiam o dinheiro) é «demasiado assimétrica: o defensor tem que corrigir todas as falhas, enquanto ao atacante basta um único exploit para roubar os fundos». Aráoz inclusive declarou ter aconselhado amigos e família a sair de Aave, MakerDAO e Compound. Este artigo separa o verificável do projetivo: quantifica a assimetria que ele denuncia, revisa com números datados o pior quadrimestre de hacks da história do DeFi — mais de 606 milhões de dólares apenas em abril, 76% do valor roubado no ano em apenas dois ataques da Coreia do Norte, segundo a TRM Labs — e explica o que muda operacionalmente, sem cair no alarmismo que contagiou a cobertura destes dias.

O que disse exatamente o cofundador da OpenZeppelin?

A mensagem de Aráoz foi um «PSA» (aviso de serviço público) breve e contundente, publicado em 26 de maio e amplificado pela imprensa especializada no dia seguinte. A frase-chave — «coding agents are superhuman at finding vulnerabilities» — sustenta que o gargalo histórico de um ataque a um protocolo (encontrar a falha) está colapsando: o que antes exigia semanas de um auditor humano especialista, agora um agente de IA pode fazer em horas, sobre qualquer código público.

Convém precisar quem fala, pois a imprensa simplificou a questão. Aráoz cofundou a OpenZeppelin em 2015 e foi seu CTO, mas deixou a empresa em 2019: não ocupa nenhum cargo atual. Sua advertência tem peso por sua trajetória — ele escreveu parte das bibliotecas de contratos que hoje metade do Ethereum utiliza —, não porque represente a posição oficial da companhia. De fato, a OpenZeppelin distanciou-se perante a mídia: declarou que «as opiniões de Aráoz não representam a posição atual da OpenZeppelin», e seu CEO e cofundador, Demian Brener, defendeu que a resposta correta é segurança contínua aumentada por IA, não a retirada. Não foi um comunicado formal em seu blog corporativo, mas esclarecimentos à imprensa.

Importa um detalhe cronológico que vários veículos confundiram: o framework «Four Layers of DeFi Risk» que a OpenZeppelin publicou em 12 de maio é anterior ao post de Aráoz e não é uma réplica ao seu cofundador. Quem o apresenta como «a empresa respondeu com um framework» equivoca-se nas datas.

Por que a superfície de ataque do DeFi é tão assimétrica?

A assimetria que Aráoz denuncia não é retórica: é a propriedade estrutural de como o DeFi funciona. Um smart contract implantado possui três traços que, combinados, dão vantagem ao atacante.

Primeiro, o código é público. Qualquer um pode ler o bytecode na blockchain, e a imensa maioria dos protocolos sérios publica também o código-fonte verificado. O atacante não precisa vazar plantas nem subornar um funcionário para ver como o cofre foi construído: ele o tem aberto sobre a mesa, com os esquemas ao lado.

Segundo, o código é imutável ou quase. Uma vez implantado, não é corrigido como um aplicativo móvel que recebe uma atualização durante a noite. Alterá-lo exige mecanismos de governança, chaves de administração ou contratos atualizáveis — que, por sua vez, são superfícies de ataque adicionais. O defensor chega atrasado por design.

Terceiro, o código custodia o dinheiro diretamente. Não há uma camada bancária que congele uma transferência suspeita a posteriori. Se o exploit funciona, os fundos saem no mesmo bloco e, com uma ponte cruzada de cadeias, dispersam-se em minutos.

Sobre esses três traços monta-se a assimetria matemática: o defensor tem que fechar cem por cento das falhas possíveis — as conhecidas e as que ainda não imagina —, indefinidamente; o atacante precisa encontrar exatamente uma. É a mesma lógica da cibersegurança clássica, com uma diferença brutal: aqui não há patch de emergência nem reversão da transação.

O que a IA muda nesta equação não é a criatividade — os melhores exploits continuam exigindo intuição sobre a lógica econômica de um protocolo —, mas a escala e a velocidade da auditoria ofensiva. O ciclo é concreto e barato de operar: um coding agent extrai o código-fonte verificado de um contrato via API pública do Etherscan, o implanta sobre um fork local da rede, executa fuzzing simbólico — testando entradas geradas automaticamente para forçar estados inesperados — sobre cada função e itera sobre milhares de contratos sem custo marginal por tentativa. Não é preciso subornar ninguém nem vazar plantas: o material de partida é público e a máquina não cansa. O defensor de um único protocolo continua avançando em velocidade humana; o escaneamento ofensivo massivo, não.

Quanto se perdeu realmente no DeFi em 2026?

Aqui está o dado concreto que dá credibilidade à advertência, independentemente da IA. Segundo a CoinDesk, nos doze meses entre maio de 2025 e maio de 2026, perderam-se mais de 1,1 bilhão de dólares no DeFi — um número que deve ser lido como um agregado jornalístico, não como um dado on-chain auditado de forma independente. E o ritmo disparou em 2026: 47 incidentes nos primeiros quatro meses e meio do ano, contra 28 no mesmo período de 2025, um aumento de 68%, segundo a CryptoTimes e a Crowdfund Insider.

A distribuição mensal conta uma história de aceleração violenta em direção a abril:

Os números de janeiro a março são faixas porque as fontes (DefiLlama, CryptoTimes) consolidam em ritmos diferentes; o trimestre fechou em torno de 169 milhões segundo a DefiLlama. A leitura não está no decimal exato, mas na forma da curva: três meses contidos e depois um abril que, sozinho, multiplica por mais de três o trimestre inteiro. O reflexo é uma queda do TVL (valor total bloqueado em protocolos DeFi) de mais de 20 bilhões de dólares no que vai do ano, segundo a CoinDesk — nem tudo atribuível a hacks, mas a perda de confiança pesa.

Quem está por trás dos grandes roubos de abril?

Aqui é onde o relato de que «a IA já está atacando o DeFi» desmorona perante os fatos. Os dois maiores roubos do ano têm autores humanos perfeitamente identificados, e nenhum foi obra de um agente autônomo.

A prova empírica mais contundente vem da TRM Labs: a Coreia do Norte roubou 76% de todo o valor hackeado em cripto em 2026 (até abril) com apenas dois ataques — Drift em 1 de abril e Kelp DAO em 18 de abril, cerca de 577 milhões de dólares combinados. Nas palavras da TRM, esses dois golpes representam «3% da contagem de incidentes de 2026 e 76% do valor roubado». A concentração importa mais que a porcentagem em si: o problema de 2026 não é uma nuvem difusa de IA autónoma escaneando contratos, mas um único ator estatal humano que move o ponteiro do ano inteiro com duas operações cuidadosamente preparadas. Qualquer modelo de ameaça que ignore isso está olhando para o lugar errado.

O hack da Kelp DAO (292 milhões de dólares, 18 de abril) explorou a ponte da LayerZero do protocolo. A causa não foi uma falha de lógica que uma IA «descobriu»: foi uma configuração insegura — um único verificador (DVN, Decentralized Verifier Network) em modo «1 de 1» — combinada com um ataque de negação de serviço (DDoS) aos nós RPC para cegar o protocolo durante a manobra. O wETH ficou retido em cerca de vinte cadeias. Chainalysis e Halborn atribuem o ataque ao Lazarus, o grupo da Coreia do Norte.

O hack do Drift Protocol (~285 milhões, 1 de abril, sobre Solana) foi ainda mais analógico: segundo a Chainalysis, meses de engenharia social contra os signatários do protocolo, finalizados com um abuso de «durable nonces» (um mecanismo da Solana que permite assinar transações válidas indefinidamente). Chainalysis, TRM Labs e Elliptic atribuem o ataque a atores da Coreia do Norte. Paciência humana, não velocidade de máquina.

O caso que mais se aproxima da tese de Aráoz é a Step Finance (entre 27 e 40 milhões de dólares, dependendo da fonte; protocolo encerrado em 24 de fevereiro de 2026). A sequência importa: atacantes humanos comprometeram os dispositivos de executivos do protocolo, obtiveram assim suas chaves privadas e, uma vez dentro, abusaram dos próprios agentes de IA do protocolo — que tinham permissões de transferência de fundos — como vetor amplificador para mover o saque. A BleepingComputer estima o roubo em 40 milhões; a Halborn, que reconstruiu o incidente, situa-o em torno de 30 milhões a partir dos 261.854 SOL desviados. É um detalhe decisivo e exatamente o inverso da manchete fácil: a IA foi uma ferramenta explorada após um comprometimento humano clássico, não um atacante autônomo. A peça vulnerada foi a identidade de máquina com permissões excessivas, não um modelo que decidiu roubar por conta própria.

Então, a IA já está hackeando o DeFi ou ainda não?

Em 1 de junho de 2026, não existe nenhum hack de DeFi em escala atribuído a um agente de IA autônomo atuando como atacante. Quem afirmar o contrário está vendendo manchetes. Os grandes roubos de 2026 são operações humanas — Lazarus à frente — que em alguns casos usam IA como mais uma ferramenta, assim como usam exploits, engenharia social ou DDoS.

Isso não enfraquece a advertência de Aráoz: fortalece-a ao situá-la em seu devido lugar. O que ele descreve é uma capacidade emergente, não um relatório de baixas. Sua tese é que a barreira que historicamente protegia os protocolos medíocres — o fato de que encontrar uma falha era caro e lento — está caindo. Quando auditar ofensivamente todo o código público do DeFi custar pouco e for rápido, o inventário de falhas «economicamente não rentáveis de buscar» deixará de existir. A assimetria defensor-atacante, que sempre esteve lá, torna-se insustentável para qualquer protocolo que não possua segurança de primeira linha.

A honestidade sobre esta distinção é justamente o que separa a análise do clique fácil. O perigo é real e estrutural; o «já está acontecendo com IA» ainda é falso. Ambas as coisas ao mesmo tempo.

Um usuário deveria sair da Aave ou Compound por causa disso?

A resposta curta: a posição de Aráoz é a de uma pessoa física que deixou a empresa em 2019, e a própria OpenZeppelin a relativizou. Aave, MakerDAO (hoje Sky) e Compound são precisamente os protocolos com auditorias contínuas mais densas, maiores bug bounties (recompensas por reportar falhas) e mecanismos de pausa de emergência do setor. Não são o elo fraco; são os alvos mais caros de atacar.

Dito isso, a advertência traz uma leitura operacional sensata para qualquer usuário, sem pânico:

Sair correndo dos protocolos mais auditados para colocar o capital em alternativas menos revisadas seria o pior desfecho possível desta advertência: exatamente o contrário do que ela aponta.

O que torna um protocolo seguro em 2026?

A resposta mais incômoda para a tese do «atacante superhumano» é esta: os dois maiores hacks de 2026 não ocorreram por uma vulnerabilidade oculta que uma IA teve que descobrir, mas por uma decisão humana de configuração que já havia sido sinalizada. A LayerZero tinha advertido explicitamente a Kelp sobre o risco de operar a ponte com um verificador em modo «1 de 1» — uma única DVN assinando, sem redundância — antes do hack. Não foi necessário um agente para escanear milhares de funções: a porta estava marcada como insegura pelo próprio fornecedor e foi deixada aberta da mesma forma. A assimetria defensor-atacante não se perde na sofisticação do atacante; perde-se na negligência concreta do defensor.

Isso reordena a hierarquia da defesa. Antes da pilha de camadas, vem a disciplina de não ignorar as advertências que já estão sobre a mesa. E a economia da defesa, quando bem feita, é quantificável: o programa de bug bounty da Aave na Immunefi paga até 1.000.000 de dólares por uma falha crítica reportada. Esse valor é a alavanca principal — se recompensar o reporte de uma falha for mais rentável do que explorá-la, a economia do atacante se inverte e os buscadores (humanos e, cada vez mais, assistidos por IA) trabalham para o defensor. Sobre esses dois alicerces — não ignorar advertências, pagar pelas falhas — monta-se o restante:

• Auditoria contínua, não pontual. Uma auditoria de dois anos atrás sobre um protocolo que mudou dez vezes não vale nada. Os protocolos sérios auditam cada mudança e mantêm monitoramento on-chain em tempo real.
• Mecanismos de pausa. A capacidade de congelar o contrato diante de um comportamento anômalo é a única coisa que transforma um roubo de centenas de milhões em um de apenas alguns — desde que ativado a tempo; na Kelp, os nós RPC foram cegados com um DDoS justamente para impedir isso.
• Configuração de pontes verificada. O caso Kelp em uma linha: nunca operar uma ponte cruzada com um verificador único quando o fornecedor recomenda redundância.
• Seguros on-chain. Coberturas como as da Nexus Mutual não impedem o hack, mas transferem parte do risco e são um sinal de que terceiros independentes avaliaram o protocolo como segurável.
• Permissões mínimas para identidades de máquina. A lição da Step Finance: um agente de IA com permissões de transferência é uma bomba. O princípio do privilégio mínimo aplica-se tanto a bots quanto a pessoas.

O que fica como lição desta advertência?

A frase de Aráoz funciona como termômetro, não como sentença. E o termômetro real de 2026 aponta para um lugar muito diferente do sugerido pela manchete: se a Coreia do Norte concentra 76% do valor roubado do ano em dois ataques, o risco dominante do DeFi hoje não está difuso em uma IA autónoma que ainda não existe, mas concentrado em um ator estatal humano com tempo, paciência e objetivos selecionados a dedo. O modelo de ameaça correto para 2026 é o Lazarus fazendo engenharia social contra signatários, não um modelo de linguagem roubando por conta própria.

A ironia defendida por Brener, CEO da OpenZeppelin, é coerente: a mesma IA que amplifica o atacante pode ser colocada para auditar de forma contínua do lado do defensor. A pergunta aberta — e honestamente sem resposta até hoje — é quem corre mais rápido nessa corrida de escaneamento: quem defende um protocolo ou quem escaneia milhares ao mesmo tempo. Essa corrida ainda não foi decidida, e fingir que o atacante já venceu é espalhar medo onde é necessária gestão de risco.

O projetivo — que os agentes de codificação tornem a assimetria defensor-atacante insustentável ao baratear o escaneamento ofensivo massivo — é plausível e merece ser levado a sério. Mas a conduta racional hoje não é fugir do DeFi: é preferir protocolos que não ignoram as advertências que já possuem (a lição da Kelp), com defesa em profundidade e bug bounties grandes, minimizar a exposição em pontes, revogar approvals ociosos e desconfiar do rendimento que provém de protocolos sem auditoria. A assimetria sempre esteve lá; o novo não é que a IA já ataca, mas que o custo de explorá-la está caindo enquanto o ator que mais rouba continua sendo de carne e osso.

Fontes e links: CoinDesk — Aráoz: «DeFi isn't safe anymore» · CoinDesk — Kelp DAO, 292 M$ · Chainalysis — Lições do hack da Drift · CryptoTimes — Abril 2026, pior mês · OpenZeppelin — Four Layers of DeFi Risk · CoinDesk — Queda de 20.000 M$ do TVL · TRM Labs — Coreia do Norte, 76% do valor roubado em dois ataques · Halborn — O hack da Step Finance · BleepingComputer — Step Finance, dispositivos comprometidos e 40 M$