Todos os DeFi são inseguros? Líderes da indústria rebatem após o fundador da OpenZeppelin alertar varejistas a sair das blue-chips

Os cofundadores da Openzeppelin Manuel Aráoz provocou um amplo debate na indústria ao afirmar que as finanças descentralizadas (DeFi) não são seguras. Líderes do setor contrapuseram que a forma como Aráoz enquadrou o tema exagera o risco, apontando que a segurança dos empréstimos em DeFi melhorou em cerca de 98% desde 2020.

• Principais destaques:
• • As declarações recentes do fundador da Openzeppelin Manuel Aráoz reacenderam os temores de segurança no DeFi.
• • O CEO da 0G Labs, Heinrich, observou um aumento de 98% na segurança dos empréstimos desde 2020, enfraquecendo as alegações de que todo DeFi é inseguro.
• • O fã da Cysic enxerga um aumento de cinco vezes no valor do seguro até 2029, pedindo que reguladores miram a opsec sobre o código de IA.

Saindo do drama e entrando nos dados

Quando o cofundador da Openzeppelin e ex-diretor de tecnologia (CTO) Manuel Aráoz caracterizou as finanças descentralizadas (DeFi) como completamente inseguras, isso abalou uma indústria que já lidava com um aumento de ataques. Ao destacar essa vulnerabilidade, uma análise recente da empresa de segurança blockchain Peckshield encontrou que, apenas com explorações de protocolos cross-chain, foram drenados US$ 328,6 milhões entre o início do ano e meados de maio.

Os alertas virais de Aráoz fizeram com que a Openzeppelin se distanciasse publicamente de algumas de suas afirmações, mas os comentários conseguiram desencadear um debate intenso sobre a segurança do DeFi. Ainda assim, críticos descartaram sua linguagem dramática como uma tentativa de se beneficiar ao estimular medo e pânico. Outros, como Leo Fan, fundador da Cysic, acreditam que o enquadramento reduz a credibilidade de uma mensagem que tem um núcleo real.

“Envolver isso em ‘saia de tudo’ transforma um alerta necessário em conteúdo de doomer,” disse Fan. “Você não precisa de drama para mover pessoas neste espaço; você precisa de um número.”

O mesmo sentimento é ecoado por Michael Heinrich, cofundador e CEO da 0G Labs, que aponta para a melhoria de aproximadamente 98% na segurança dos empréstimos em DeFi em relação ao patamar de 2020. Heinrich também destaca a redução marcante nas taxas diárias de perdas em grandes protocolos de empréstimo, agora em torno de 0,001%, como outro fator que enfraquece os comentários de Aráoz de que “todo DeFi é inseguro”.

“Dizer ao varejo para sair de blue-chips como Aave e Maker não corresponde ao quadro real ajustado ao risco,” disse Heinrich à Bitcoin.com News.

Ao defender seu argumento contra o DeFi, Aráoz afirmou que agentes de codificação de inteligência artificial (IA) se tornaram incrivelmente avançados em escanear contratos inteligentes open-source e identificar falhas complexas exploráveis em velocidade de máquina. A ameaça desses agentes é tão grande que ele teria aconselhado, em particular, amigos e familiares a saírem completamente de suas posições em grandes e tradicionais protocolos de DeFi “blue-chip”.

A morte da auditoria estática

No entanto, Heinrich e Fan argumentam que o aumento de atacantes de IA acima da capacidade humana não significa que defensores devam abandonar o barco. Em vez disso, eles dizem que isso exige uma mudança fundamental na forma como a indústria aborda a segurança.

“A auditoria pontual no tempo já morreu; as pessoas só não fizeram o funeral,” disse Fan. Ele alertou que mudar totalmente de auditorias para bug bounties é um aprendizado equivocado. “Você não substitui prevenção por monitoramento — você colapsa a distância entre os dois.”

Segundo Heinrich, depender de uma auditoria anual não é mais uma defesa crível. Em vez disso, o futuro da segurança de contratos inteligentes depende de um pipeline em camadas, com defesa em velocidade de máquina, em que auditorias servem como o primeiro checkpoint, e não como um evento único. Ele descreveu uma pilha de segurança de quatro camadas: auditorias assistidas por IA antes do deploy, combinadas com revisão humana; monitoramento contínuo após o deploy; bug bounties bem financiados; e IA verificável do lado do defensor.

O objetivo final, segundo Heinrich, é incorporar verificação formal em caminhos críticos — usando provas matemáticas em vez de revisões subjetivas — junto com revisões contínuas potencializadas por IA rodando contra contratos ao vivo do mesmo jeito que os atacantes operam.

“Auditorias não desaparecem,” disse. “Elas se tornam o primeiro checkpoint em um pipeline de defesa em velocidade de máquina.”

Além de pipelines de segurança preventiva, a conversa sobre mitigação de risco inevitavelmente chega ao tema de seguros, uma “primitiva” que Heinrich observa continuar severamente subdesenvolvida no ecossistema cripto. De acordo com Heinrich, alguns obstáculos estruturais mantêm o setor de seguros descentralizado limitado. Primeiro, pools de seguro imobilizam capital que poderia render em forma de yield ativo em outras partes do DeFi.

Para ilustrar esse ponto, Heinrich cita a líder de mercado Nexus Mutual, que mantém aproximadamente US$ 190 milhões contra um mercado mais amplo de DeFi que oscilou entre US$ 40 bilhões e mais de US$ 100 bilhões em valor total bloqueado. Heinrich observa que a razão de capital é estruturalmente baixa. Outro obstáculo é definir o que constitui um exploit on-chain, algo que ele descreve como um exercício não trivial.

Apesar desses entraves, Heinrich argumenta que impor exigências de seguros entre protocolos é uma ferramenta equivocada para acelerar a adoção. Em vez disso, a indústria precisa inovar no nível do produto.

“O que realmente faz diferença são produtos paramétricos on-chain que pagam automaticamente com base em sinais verificáveis, e protocolos que incorporam seguro ao produto do jeito que taxas de compensação funcionam nos mercados tradicionais,” disse Heinrich.

Regulando operações, não apenas código

Embora a rede de segurança atual seja estreita, a demanda do mercado está acelerando. De acordo com uma previsão de março de 2026 da Coinlaw, o mercado de seguros descentralizados deve crescer quase cinco vezes até 2029.

“O capital está chegando,” observou Heinrich. “O que falta é a superfície de produto para implantá-lo.”

A mudança interna da indústria em direção a defesas em velocidade de máquina e redes de segurança automatizadas levanta questões mais amplas sobre supervisão regulatória. À medida que os formuladores de políticas passam a examinar com mais rigor a segurança de ativos digitais, Fan alerta que reguladores podem acabar hiperfocalizando nas ameaças erradas, como o espectro de sistemas de IA criminosos.

“A instinto regulatório mais inteligente não é entrar em pânico especificamente com atacantes de IA,” disse Fan. “É focar na camada operacional onde o dinheiro realmente sai: custódia de chaves, governança por multisig, segurança de bridges e resposta a incidentes.”

Fan argumenta que, ao impor padrões rigorosos de segurança operacional nesses vetores específicos, órgãos de supervisão poderiam eliminar a grande maioria das perdas reais de capital no mundo. Focar exclusivamente no código de contratos inteligentes enquanto negligencia operações do dia a dia, ele alertou, equivale a “regular os 10% e perder os 90%.”

Além disso, Fan apontou uma “primitiva” técnica que formuladores de políticas consistentemente subestimam: criptografia avançada.

“Prova criptográfica, como provas de zero conhecimento, do que o código executou e de que ele executou corretamente é uma primitiva de conformidade muito melhor do que um relatório PDF de auditoria,” disse Fan. “É auditável por matemática, não por confiança. É para onde eu gostaria que a energia regulatória fosse.”