DeFi no ano passado foi alvo de ataques que totalizaram 6,49 bilhões, por que a16z apela para abandonar o conceito de "código é lei"

A indústria DeFi enfrenta uma realidade embaraçosa: cada vez mais vulnerabilidades são exploradas por hackers. Segundo o relatório da Slowmist, em 2025, os protocolos DeFi perderam mais de 6,49 bilhões de dólares devido a falhas de código, mesmo projetos veteranos como o Balancer, que operam de forma estável desde 2021, sofreram uma perda de 1,28 bilhões de dólares em novembro de 2025. Nesse contexto, Daejun Park, pesquisador sênior de segurança da a16z Crypto, recentemente publicou um artigo convocando a indústria para uma mudança de paradigma: de “código é lei” para “normas são lei”, por meio da padronização de normas de segurança para enfrentar ameaças cada vez mais complexas.

Problemas profundos da crise de segurança

A filosofia de “código é lei” do DeFi já foi seu principal diferencial, enfatizando a descentralização total e a transparência do código. Mas as fraquezas desse conceito também se tornaram evidentes: o próprio código pode conter vulnerabilidades, que muitas vezes só são descobertas após a implantação. Segundo preocupações dos desenvolvedores, hackers estão cada vez mais usando ferramentas de IA para encontrar essas vulnerabilidades, tornando as auditorias tradicionais de segurança insuficientes.

Os dados mostram que a escala do problema é considerável. Uma perda anual de 6,49 bilhões de dólares significa que cada protocolo atacado enfrenta riscos enormes. O caso do Balancer demonstra que, mesmo códigos validados ao longo de anos, ainda podem conter vulnerabilidades negligenciadas.

A nova proposta da a16z

A solução sugerida por Daejun Park é relativamente concreta: usar verificações de invariantes para codificar garantias de segurança de forma fixa. Em termos simples, definir previamente regras inquebráveis nos contratos inteligentes, de modo que, ao serem acionadas durante a execução de uma transação, o sistema automaticamente reverta essa transação.

As vantagens dessa abordagem incluem:

• Proteção em tempo real durante a execução, sem depender de auditorias posteriores
• Quase todas as vulnerabilidades conhecidas do DeFi acionariam essas verificações
• Comparado à reescrita completa do código, o custo de implementação é relativamente baixo

Park aponta que essa metodologia pode impedir ataques no instante em que eles ocorrem, mudando fundamentalmente a lógica de proteção de segurança do DeFi.

Desafios práticos

No entanto, a indústria não aceita essa proposta de forma unânime. Segundo as últimas notícias, o chefe de segurança da Immunefi destacou duas questões práticas: primeiro, as verificações de invariantes aumentam o custo de gás das transações, o que pode levar à perda de usuários; segundo, essa solução não é uma cura definitiva.

O cofundador da Asymmetric Research também questiona do ponto de vista técnico: a complexidade de muitas vulnerabilidades torna difícil criar regras de invariantes que detectem ataques de forma eficaz sem gerar falsos positivos. Em outras palavras, o próprio design das regras é um desafio.

Tentativas existentes

Vale notar que essa ideia não é totalmente nova. Segundo informações relacionadas, projetos como Kamino e XRP Ledger já começaram a adotar verificações de invariantes. Isso mostra que, apesar dos desafios, alguns pioneiros já exploram esse caminho.

Resumo

O apelo da a16z reflete uma mudança importante na indústria DeFi: de uma busca absoluta por descentralização, com “código é lei”, para uma abordagem de segurança controlada, com “normas são lei”. Diante da perda anual de 6,49 bilhões de dólares, essa mudança se torna necessária e urgente.

Porém, a implementação dessa solução não é simples. Custos de gás, complexidade no design das regras e outros problemas práticos ainda precisam ser resolvidos. Uma questão mais profunda é: a indústria DeFi está preparada para fazer concessões entre segurança e descentralização? Essa pode ser uma das principais discussões que o setor precisará manter nos próximos tempos.