Explorações de Contratos Inteligentes por IA: Especialista alerta que agentes podem causar perdas anuais de $10–20 mil milhões no setor DeFi

Um estudo recente da MATS e dos Anthropic Fellows confirma que agentes de IA podem explorar vulnerabilidades em smart contracts de forma lucrativa, estabelecendo um “limite inferior concreto” para os danos económicos.

Novas Explorações e Redução Alarmante de Custos

O esforço cada vez mais acelerado para automatizar tarefas humanas com agentes de Inteligência Artificial (IA) enfrenta agora uma desvantagem significativa e quantificável: estes agentes conseguem explorar vulnerabilidades em smart contracts de forma lucrativa. Um estudo recente da MATS e dos Anthropic Fellows utilizou o benchmark Smart CONtracts Exploitation (SCONE-bench) para medir este risco.

O estudo conseguiu implementar modelos como Claude Opus 4.5, Claude Sonnet 4.5 e GPT-5 para desenvolver explorações simuladas no valor de $4,6 milhões. O SCONE-bench é composto por 405 smart contracts que foram realmente explorados entre 2020 e 2025. No relatório do estudo de 1 de dezembro, a equipa afirmou que o sucesso dos agentes de IA no desenvolvimento de explorações testadas no simulador de blockchain estabelece “um limite inferior concreto para o dano económico que estas capacidades podem permitir”.

A investigação foi além ao testar o Sonnet 4.5 e o GPT-5 em 2.849 contratos recentemente implementados sem vulnerabilidades conhecidas. Os agentes provaram ser capazes de gerar explorações lucrativas mesmo neste novo ambiente: ambos descobriram duas novas vulnerabilidades zero-day e produziram explorações avaliadas em $3.694. O GPT-5 conseguiu este sucesso com um custo de API de apenas $3.476.

Ler mais: Do DeFi ao Defcon: TRM alerta para ofensiva cibernética de Estados-nação

Este resultado serve como prova de conceito para a viabilidade técnica de explorações autónomas, lucrativas e no mundo real, sublinhando a necessidade imediata de mecanismos de defesa proativos baseados em IA.

Talvez o achado mais alarmante seja o aumento dramático de eficiência: um atacante pode agora realizar cerca de 3,4 vezes mais explorações bem-sucedidas com o mesmo orçamento computacional do que há seis meses. Além disso, os custos de tokens para explorações bem-sucedidas caíram uns impressionantes 70%, tornando estes agentes poderosos significativamente mais baratos de operar.

O Papel dos Ciclos Agênticos e da Melhoria de Modelos

Jean Rausis, cofundador da SMARDEX, atribui esta forte redução de custos principalmente aos ciclos agênticos. Estes ciclos permitem fluxos de trabalho multi-etapa e autocorretivos que reduzem o desperdício de tokens durante a análise de contratos. Rausis destaca também o papel da melhoria na arquitetura dos modelos:

“Janelas de contexto maiores e ferramentas de memória em modelos como Claude Opus 4.5 e GPT-5 permitem simulações sustentadas sem repetição, aumentando a eficiência entre 15-100% em tarefas longas.”

Refere que estes ganhos de otimização superam as melhorias brutas na deteção de vulnerabilidades (que apenas aumentaram o sucesso no SCONE-bench de 2% para 51%), pois focam-se em otimizar o tempo de execução em vez de apenas detetar falhas.

Embora o estudo estabeleça um custo simulado de $4,6 milhões, especialistas receiam que o custo económico real possa ser substancialmente superior. Rausis estima que os riscos reais possam ser 10-100x superiores, potencialmente atingindo $50 milhão a $500 milhão ou mais por cada exploração significativa. Ele alerta que, com o aumento da IA, a exposição total do setor—considerando alavancagem não modelada e falhas de oráculo—poderá atingir $10–20 mil milhões anuais.

O artigo da MATS e dos Anthropic Fellows termina com um alerta: embora os smart contracts possam ser o alvo inicial desta vaga de ataques automatizados, o software proprietário é provavelmente o próximo alvo à medida que os agentes melhorarem em engenharia reversa.

Crucialmente, o artigo também recorda aos leitores que os mesmos agentes de IA podem ser utilizados para defesa e correção de vulnerabilidades. Para mitigar a ameaça financeira sistémica de ataques DeFi facilmente automatizados, Rausis propõe um plano de ação em três etapas para decisores e reguladores: supervisão de IA, novos padrões de auditoria e coordenação global.

FAQ ❓

• O que revelou o estudo sobre agentes de IA? Modelos de IA como o GPT‑5 e Claude exploraram smart contracts no valor de $4,6M em simulações.
• Porque é que este risco está a aumentar a nível mundial? Os custos de tokens para explorações caíram 70%, tornando os ataques mais baratos e escaláveis em várias regiões.
• O impacto financeiro pode ir além do DeFi? Especialistas alertam que as perdas reais podem atingir $50M–$500M por exploração, com uma exposição global até $20B anualmente.
• Como podem reguladores e programadores responder? Os investigadores recomendam supervisão de IA, padrões de auditoria mais robustos e coordenação transfronteiriça para defender os sistemas.