O aviso da OpenZeppelin é um alerta: a IA está mudando a forma como o DeFi é hackeado

Passei os últimos anos vendo o DeFi evoluir de simples pools de liquidez para esses blocos de Lego financeiros incrivelmente complexos e interconectados. Mas o aviso recente do CEO da OpenZeppelin, que basicamente define o padrão ouro de segurança para contratos inteligentes, muda a narrativa. Ele disse, essencialmente, que todo o DeFi está inseguro porque agora enfrentamos agentes de codificação de IA sobre-humanos. Para quem quer saber se os protocolos defi são seguros contra ia, a resposta honesta é que as regras do jogo mudaram. Não estamos mais lutando apenas contra hackers humanos, mas contra algoritmos que encontram um furo do tamanho de uma agulha em dez mil linhas de código em questão de segundos. Já falamos sobre IA e Segurança em Cripto para dar mais contexto.

A nova realidade dos exploits sobre-humanos

Por muito tempo, acreditamos que uma auditoria rigorosa de uma empresa respeitada era um selo de segurança. Eu costumava pensar que, se um projeto tinha três auditorias e um programa de bug bounty, estava "seguro o suficiente". Mas o exploit da StablR e a onda recente de rugpulls sofisticados na Coreia do Sul mostram que a superfície de ataque está expandindo.

O perigo aqui não é apenas um chatbot melhor escrevendo um script. É o surgimento de agentes de IA que conseguem simular milhões de combinações de transações para achar um caminho obscuro e específico para drenar a tesouraria de um protocolo. Enquanto já cobrimos como o risco da complexidade do DeFi tornou os protocolos frágeis, a IA é o catalisador que transforma essa fragilidade em um desastre imediato.

Por que os protocolos defi são seguros contra ia (ou por que não são)

Se você procura um motivo para se sentir melhor, pode argumentar que a IA também ajuda os "mocinhos". Vimos casos onde a IA identifica vulnerabilidades antes mesmo do código ser implantado. Mas, na minha experiência, o atacante sempre tem a vantagem. Um desenvolvedor precisa proteger cada ponto de entrada. O hacker só precisa encontrar um.

Quando juntamos a IA com o estado atual do mercado, as coisas ficam tensas. O Índice de Medo e Ganância está em 37, bem na zona de "Medo". O market cap total está em torno de US$ 2,83 trilhões, mas a história real está no volume. Estamos vendo quase US$ 96 bilhões em volume nas últimas 24 horas, mas as taxas de gás do Ethereum estão incrivelmente baixas. Isso sugere um desconexão estranha onde o dinheiro grosso está girando em exchanges, mas a atividade DeFi on-chain está estagnada. Essa falta de movimento pode ser um sintoma de que as pessoas perceberam que os riscos estão superando as recompensas.

A lacuna entre auditorias e a realidade

Já li whitepapers suficientes para saber que "auditado" não significa "imune a hacks". Significa apenas que um humano não viu o erro durante uma janela de tempo específica. A IA não cansa, não ignora um ponto e vírgula e não tem "dias ruins".

É por isso que estou ficando muito mais cética com protocolos de rendimento alto. Quando vejo um projeto prometendo 50% de APY, não vejo mais uma mina de ouro. Vejo um alvo gigante para um agente de IA. Se o código é complexo e a recompensa é alta, é questão de tempo até que um algoritmo encontre a falha.

Como proteger seus ativos de verdade

Já que não podemos confiar que os protocolos sejam perfeitamente seguros, a única jogada lógica é tirar o risco do protocolo e trazê-lo para você. Sempre defendi a autocustódia, mas o nível de segurança necessário agora é maior do que era em 2019.

Para quem detém uma quantia significativa de ETH ou SOL, você precisa de um assinante de hardware que permita ver exatamente o que está assinando. A maioria das pessoas apenas clica em "Confirmar" em um popup do MetaMask, que é exatamente como a maioria dos ataques de phishing movidos por IA funciona. Eu prefiro o Ledger Stax especificamente por causa da tela touchscreen E Ink e do recurso de verificação de transações para detectar golpes antes da assinatura. Custa caro, US$ 399, mas é bem mais barato do que perder todo o seu portfólio para um bot.

Minha opinião final sobre a ameaça da IA

Não estou dizendo que você deve sair do DeFi completamente, mas precisa parar de tratá-lo como uma conta poupança. É um laboratório de alto risco. A era do "deposita e esquece" no yield farming acabou porque os predadores agora são mais rápidos que os desenvolvedores.

Vou acompanhar de perto as atualizações de protocolos nos próximos meses. Se não virmos uma mudança massiva para monitoramento em tempo real via IA e verificação formal, acho que veremos uma série de eventos "cisne negro" que farão as quedas de 2022 parecerem um aquecimento. Até lá, mantenha seus ativos offline e assuma que qualquer protocolo que você use tem um buraco que uma IA já encontrou.

Opere as notícias na exchange escolhida pelo nosso editorial: MEXC