A IA acabou de baratear o ataque na DeFi

Durante muito tempo, a DeFi vendeu uma ideia confortável.

Se o código estivesse auditado, o risco estaria sob controle. Se houvesse bounty, monitoramento e time técnico respeitado, dava para dormir.

Essa conta nunca foi perfeita.

Agora ficou pior.

Em 26 de maio de 2026, Manuel Aráoz, cofundador e CEO da OpenZeppelin, escreveu no X que passou a tratar toda a DeFi como insegura porque agentes de código ficaram super-humanos para caçar vulnerabilidades. A frase chamou atenção pelo tom. O que interessa mesmo é o mecanismo por trás dela.

O custo de procurar falha está caindo.

Quando esse custo cai, o problema deixa de ser apenas tecnológico. Vira problema econômico. E a DeFi ainda não parece precificar isso direito.

o atacante ficou mais rápido sem precisar ficar genial

Muita gente ouve "IA" e imagina um invasor apertando um botão e recebendo um exploit pronto na tela.

Não precisa ser assim para a situação já ter piorado.

Basta que a IA acelere o trabalho chato. Revisar contratos, comparar versões, mapear dependências, testar combinações de chamadas, procurar padrões conhecidos de erro, sugerir caminhos improváveis. Tudo isso consome horas quando é feito por gente. Tudo isso fica mais barato quando parte da triagem é automatizada.

O efeito prático é simples.

O atacante já não precisa ser um gênio raro para aumentar produtividade. Precisa de uma ferramenta boa, contexto razoável e tempo suficiente para insistir.

Na DeFi, insistência costuma pagar.

a assimetria sempre existiu. a IA só apertou o parafuso

Segurança de smart contract sempre foi um jogo cruel.

Quem defende precisa acertar em toda a superfície relevante: contrato principal, integrações, adapters, bridges, oráculos, governança, permissões e upgrades. Quem ataca precisa encontrar um caminho que funcione uma vez.

Essa diferença não nasceu com os modelos de IA.

Só que a IA piora o lado que já era ruim. Ela não elimina a necessidade de criatividade do atacante, mas comprime a fase de busca. E, em um mercado em que boa parte do capital circula por composições cada vez mais densas, reduzir tempo de reconhecimento já é meio caminho andado.

Foi isso que o post do Aráoz colocou em palavras mais duras.

o dinheiro perdido mostra que o setor ainda está longe da zona segura

O alerta seria só retórica se viesse em um mercado limpo.

Não é o caso.

Dados acompanhados pelo DefiLlama indicavam mais de US$ 1,1 bilhão perdido em hacks de DeFi nos 365 dias anteriores. Em 18 de abril, a Kelp DAO sofreu um ataque de cerca de US$ 292 milhões. Um único evento desses apaga meses de yield, destrói confiança e reabre a discussão sobre risco operacional em todo o setor.

Isso importa porque muita tese de DeFi continua vendida como spread, eficiência ou inovação de produto.

Só que, antes de discutir spread, você precisa discutir sobrevivência.

audit bom continua valendo. só não vale tanto quanto antes

Seria exagero concluir que auditoria perdeu utilidade.

Não perdeu.

Auditoria continua sendo filtro básico. Monitoramento onchain, bug bounty, segregação de funções, limites de exposição e circuit breakers também continuam valendo.

O problema é outro.

Boa parte do stack de defesa foi montada para um atacante mais lento, mais caro e mais escasso. Quando a busca por vulnerabilidade fica mais barata, o prêmio por complexidade cai. Protocolos com arquitetura elegante no slide, mas superfície enorme no código, passam a carregar um passivo maior.

É aí que o mercado começa a separar melhor uma coisa da outra.

Produto sofisticado não é a mesma coisa que produto robusto.

a próxima disputa da defi pode ser simplicidade

Eu suspeito que a consequência mais subestimada dessa fase será estética e financeira ao mesmo tempo.

Protocolos simples, com menos dependências e menos mágica de engenharia, podem voltar a parecer atraentes. Não porque inovação ficou menos importante, mas porque cada nova camada de composição agora precisa justificar um custo de ataque potencialmente mais baixo do outro lado.

Isso muda como você olha para valuation, para prêmio de risco e para confiança em teses de yield.

Se o invasor consegue pesquisar mais rápido do que o protocolo consegue endurecer a base, parte do retorno prometido vira ilusão contábil.

o recado para o investidor é bem menos confortável do que parece

O mercado adora usar IA como sinônimo de produtividade.

Na DeFi, ela também pode virar multiplicador de pressão.

Pressão sobre equipes pequenas. Pressão sobre protocolos que cresceram por integração em série. Pressão sobre usuários que tratam auditoria antiga como escudo eterno. Pressão sobre teses de renda que ignoram o risco de cauda no código.

Nada disso significa que a DeFi morreu.

Significa outra coisa.

O setor entrou em uma fase em que buscar falhas custa menos, enquanto defender um sistema continua caro, lento e imperfeito. Quando essa diferença aumenta, o capital deveria ficar mais seletivo.

A pergunta já não é só onde está o melhor yield.

É onde o código ainda merece confiança quando o atacante deixou de trabalhar sozinho.