A empresa de segurança de contratos inteligentes distanciou-se do aviso de Manuel Aráoz de que os agentes de codificação de IA tornaram impossível a defesa do DeFi, chamando a ameaça de real, mas administrável.
OpenZeppelin, uma empresa de segurança de contrato inteligente cujas bibliotecas sustentam a maioria dos protocolos DeFi, rejeitou na terça-feira uma postagem viral de seu cofundador e ex-CTO declarando que todo o DeFi é fundamentalmente inseguro, esclarecendo que as afirmações não representam a posição da empresa.
Manuel Aráoz, que foi cofundador da OpenZeppelin e atuou como diretor de tecnologia até sair em 2019, escreveu no X na segunda-feira que agora considera “todo o DeFi inseguro”. Aráoz argumentou que os agentes de codificação de IA se tornaram “sobre-humanos na descoberta de vulnerabilidades” e que a segurança dos contratos inteligentes é demasiado assimétrica: os defensores devem corrigir todos os bugs, enquanto os atacantes precisam apenas de uma exploração para drenar fundos.
Aráoz disse que tem aconselhado em particular amigos e familiares a abandonarem todas as posições DeFi, incluindo os chamados blue chips, como Aave, MakerDAO e Compound.
A postagem atraiu grande atenção, acumulando mais de 600.000 visualizações no X, e levou os clientes a entrar em contato diretamente com a OpenZeppelin para perguntar se ela refletia a posição da empresa.
OpenZeppelin recua
Num tópico publicado na terça-feira, a OpenZeppelin disse que as opiniões expressas por Aráoz “não representam” a posição da empresa e observou que ele partiu há mais de seis anos.
“Desde 2015, o OpenZeppelin garantiu mais de US$ 35 trilhões em valor transferido onchain”, escreveu a empresa. “Mantemos as bibliotecas que sustentam a maioria dos protocolos DeFi e um número crescente de casos de uso financeiro inovadores.
Especificamente na IA, o OpenZeppelin reconheceu a ameaça, mas enquadrou-a como uma ferramenta de dois gumes.
“A IA é um vetor de ameaça real, mas também é uma das ferramentas defensivas mais poderosas que temos, se usada com rigor e julgamento humano especializado”, escreveu a empresa. “Nossos pesquisadores usam IA diariamente para detectar mais problemas e casos extremos. A resposta ao risco da IA não é recuar do DeFi. É melhor segurança.”
Segurança Operacional
O OpenZeppelin também ofereceu uma reformulação pontual de onde estão as verdadeiras vulnerabilidades.
“O último mês foi difícil para a indústria”, escreveu a empresa. “Mas os incidentes mais recentes remontam a falhas de segurança operacional, e não a erros de contratos inteligentes. Essa distinção é importante.”
Abril registrou 28 explorações de DeFi totalizando US$ 635 milhões roubados, um recorde para ambas as medidas. Muitos dos maiores incidentes dos últimos meses envolveram chaves privadas comprometidas e controlos de acesso mal configurados, em vez de falhas no código do contrato auditado.
Uma exploração do StakeDAO na quarta-feira que cunhou 5,4 trilhões de tokens no Arbitrum, por exemplo, foi atribuída a uma chave privada do implantador comprometida, e não a um bug nos contratos inteligentes do protocolo.
O OpenZeppelin não abordou diretamente as afirmações específicas de Aráoz sobre a descoberta de vulnerabilidades habilitadas por IA, nem contestou a natureza assimétrica da dinâmica atacante-defensor que ele descreveu.
OpenZeppelin, que audita protocolos DeFi desde os primeiros dias do ecossistema, encerrou sua declaração com uma nota prospectiva. “Garantimos o DeFi há uma década e esse trabalho agora é mais importante do que nunca”, escreveu a empresa. “Estamos nisso ao lado dos protocolos, instituições e desenvolvedores que constroem a próxima era das finanças.”
Fontesthedefiant
