O cofundador da OpenZeppelin, Manuel Aráoz, declarou em 26 de maio de 2026 que 'todo o DeFi' está inseguro, pois agentes de IA encontram falhas em contratos inteligentes mais rápido do que os defensores conseguem corr... O alerta de Aráoz veio após abril de 2026, o pior mês para hacks DeFi desde fevereiro de 2025, c...

Create a landscape editorial hero image for this Studio Global article: What prompted OpenZeppelin co-founder Manuel Aráoz to declare "all of DeFi" unsafe, what specific incidents and evidence supported his warni. Article summary: On **May 26, 2026**, OpenZeppelin co-founder Manuel Aráoz posted on X that he now considers **"all of DeFi" unsafe** and advised friends and family to withdraw all funds, including from blue-chip protocols like Aave, Mak. Topic tags: general, general web, news, user generated. Reference image context from search candidates: Reference image 1: visual subject "A circular diagram highlights the core principles of OpenZeppelin AI, Standards & Expertise, emphasizing phases like architecting, building, supporting, and securing, with specific" Reference image 2: visual subject "OpenZeppelin Founder Warns: DeFi Is Unsafe" source context "DeFi Is Unsafe Says OpenZeppeli
Em 26 de maio de 2026, o cofundador da empresa de segurança mais respeitada do mundo cripto deu um veredito que gerou ondas de choque nas finanças descentralizadas. Manuel Aráoz, que transformou a OpenZeppelin no padrão ouro para auditorias de contratos inteligentes, publicou no X (antigo Twitter) que agora considera "todo o DeFi" inseguro — e que estava aconselhando, em particular, amigos e familiares a retirarem seu dinheiro até mesmo de protocolos consagrados como Aave, MakerDAO e Compound .
O alerta não era uma preocupação teórica. Ele estava ancorado em uma realidade brutal: abril de 2026 havia acabado de se tornar o pior mês para hacks de DeFi em mais de um ano, com atacantes explorando um cenário de ameaças fundamentalmente novo .
O argumento de Aráoz é enganosamente simples, e ainda mais alarmante por isso. A segurança de contratos inteligentes sempre foi assimétrica, mas a inteligência artificial transformou essa assimetria em uma armadilha. Os defensores precisam encontrar e corrigir todas as vulnerabilidades no código, na infraestrutura e na governança de um protocolo. Os atacantes, usando agentes de IA para programação, precisam encontrar apenas um único caminho explorável .
"Agentes de programação são sobre-humanos em encontrar vulnerabilidades", escreveu Aráoz. "A segurança de contratos inteligentes é muito assimétrica: os defensores precisam corrigir cada bug, enquanto os atacantes precisam de apenas um exploit para roubar fundos" .
Isso não é um bug que uma auditoria melhor possa consertar. É uma característica estrutural de como os ataques assistidos por IA funcionam agora. As defesas tradicionais — transparência do código aberto, múltiplas auditorias independentes, verificação formal — foram projetadas para uma era em que atacantes humanos enfrentavam defensores humanos em relativa igualdade. A IA muda completamente esse cálculo .
O alerta de Aráoz não surgiu do nada. Abril de 2026 viu uma cascata de ataques que, coletivamente, drenaram entre US$ 630 milhões e US$ 647 milhões de protocolos DeFi em mais de 25 incidentes separados — o maior total mensal desde fevereiro de 2025, quando as perdas chegaram a US$ 1,47 bilhão .
Drift Protocol — US$ 285 milhões (1º de abril)
O mês começou com uma sofisticada campanha de engenharia social atribuída ao grupo norte-coreano Lazarus. Os atacantes passaram cerca de seis meses cultivando a confiança de membros do Conselho de Segurança do Drift, até conseguirem fazê-los pré-assinar transações que concediam acesso privilegiado. Uma vez lá dentro, os atacantes depositaram um token falso como garantia e drenaram aproximadamente US$ 285 milhões da exchange descentralizada (DEX) baseada em Solana — em cerca de 10 segundos .
Isso não foi uma falha em um contrato inteligente. Foi o comprometimento humano de uma estrutura de governança.
KelpDAO — US$ 293 milhões (18 de abril)
O maior ataque a um protocolo DeFi em 2026 atingiu a ponte cross-chain da KelpDAO, que usa a tecnologia LayerZero. Um atacante cunhou 116.500 rsETH — no valor de aproximadamente US$ 293 milhões — e usou os tokens como garantia para tomar ETH real emprestado, que foi então movido através da THORChain . A Chainalysis determinou posteriormente que o exploit expôs fraquezas na verificação off-chain, em vez de uma falha convencional de contrato inteligente
.
Em 48 horas, usuários em pânico desencadearam uma cascata de saques que apagou bilhões do Valor Total Bloqueado (TVL) do DeFi. A Aave, o maior protocolo de empréstimos, congelou imediatamente seus mercados de rsETH em várias versões .
Wasabi — comprometimento de chave de administrador (abril)
Um terceiro grande incidente em abril teve como alvo o Wasabi, envolvendo uma chave de administrador comprometida que desencadeou um efeito dominó em todo o protocolo. Juntamente com Drift e KelpDAO, esses três ataques representaram três categorias distintamente diferentes de "falha não relacionada ao código" — engenharia social, fraquezas de verificação off-chain e comprometimento de infraestrutura .
Analistas de segurança notaram que as classes de vulnerabilidade que causam perdas em 2026 — falhas de controle de acesso, explorações de atualização de proxy e ataques a pontes cross-chain — são vetores de ataque que praticamente não existiam em 2020 .
Os números pintam um quadro sombrio. O Valor Total Bloqueado (TVL) do DeFi caiu mais de 50% de seu pico de outubro de 2025, de aproximadamente US$ 170 bilhões para algo entre US$ 38 e US$ 43 bilhões em meados de maio de 2026 — a pior contração desde o crash da FTX . Um rastreador colocou o TVL em US$ 82,08 bilhões no final de maio, ainda refletindo tanto a compressão do preço dos ativos quanto saques genuínos de capital
.
O alerta de Aráoz em 26 de maio adicionou uma nova onda de saídas de usuários de varejo e institucionais nervosos que se agarravam à esperança de que os protocolos estabelecidos permaneciam seguros. A realidade era que até mesmo protocolos que a OpenZeppelin ajudou a proteger desde 2015 — Aave, MakerDAO e Compound — agora eram sinalizados como inseguros pelo próprio especialista em segurança que conhecia melhor seu código .
Diante de uma crise existencial, a indústria DeFi montou uma das respostas mais coordenadas de sua história.
O fundo de resgate DeFi United. Liderado pela Aave, mais de 30 protocolos e empresas — incluindo Mantle, Consensys, Lido, EtherFi e Compound — comprometeram mais de US$ 300 milhões em Ether para cobrir dívidas incobráveis e restaurar o lastro do rsETH após o ataque à KelpDAO . A iniciativa reuniu compromissos superiores a 43.500 ETH, com a Mantle sozinha propondo emprestar até 30.000 ETH para a DAO da Aave
. O Standard Chartered elogiou publicamente o esforço como evidência do amadurecimento do ecossistema
.
Intervenção sem precedentes do Arbitrum. O Conselho de Segurança do Arbitrum tomou a decisão controversa de congelar e mover aproximadamente 30.766 ETH de fundos rastreáveis provenientes do ataque à KelpDAO — sem as chaves privadas dos atacantes. Isso marcou uma das intervenções on-chain mais agressivas por uma rede de Camada 2 .
Paradas de emergência dos protocolos. A KelpDAO pausou todos os contratos na rede principal e nas L2s horas após detectar a violação. A Aave congelou seus mercados de rsETH nas versões V3 e V4 para evitar liquidações em cascata .
Pressão regulatória aumenta. Reguladores financeiros da União Europeia começaram a elaborar requisitos emergenciais de licenciamento para protocolos DeFi, enquanto o Tesouro dos EUA sinalizou maior supervisão de protocolos que lidam com mais de US$ 50 milhões em ativos de usuários .
Recuperação do Drift Protocol. A Tether anunciou um compromisso de US$ 127,5 milhões para financiar um fundo de recuperação vinculado à receita para usuários do Drift, representando um dos maiores resgates por parte de um emissor de stablecoin na história do DeFi .
Apesar desses esforços extraordinários, o argumento central permanece sem contestação. O alerta de Aráoz não é sobre um pico temporário de ataques ou alguns protocolos que precisam de melhores auditorias. É um diagnóstico estrutural: atacantes com poder de IA alteraram permanentemente a equação de segurança, e a indústria ainda não demonstrou um avanço defensivo comparável .
Os protocolos que sobreviveram a abril de 2026 agora operam em um mundo onde a engenharia social pode drenar US$ 285 milhões em segundos, onde verificadores de ponte podem ser falsificados para cunhar US$ 293 milhões em garantias falsas, e onde agentes de IA podem vasculhar em busca de novas vulnerabilidades mais rápido do que qualquer equipe de auditoria humana pode corrigi-las. Até que a assimetria seja abordada em um nível fundamental — por meio de arquitetura, redesenho de governança e defesa alimentada por IA — o aviso de Aráoz permanecerá de pé.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
O cofundador da OpenZeppelin, Manuel Aráoz, declarou em 26 de maio de 2026 que 'todo o DeFi' está inseguro, pois agentes de IA encontram falhas em contratos inteligentes mais rápido do que os defensores conseguem corr...
O cofundador da OpenZeppelin, Manuel Aráoz, declarou em 26 de maio de 2026 que 'todo o DeFi' está inseguro, pois agentes de IA encontram falhas em contratos inteligentes mais rápido do que os defensores conseguem corr... O alerta de Aráoz veio após abril de 2026, o pior mês para hacks DeFi desde fevereiro de 2025, com ataques que drenaram entre US$ 630 e US$ 647 milhões em mais de 25 incidentes — incluindo um ataque de US$ 293 milhões...
O Valor Total Bloqueado (TVL) em DeFi despencou mais de 50% do pico de US$ 170 bilhões em outubro de 2025 para algo entre US$ 38 e US$ 43 bilhões em meados de maio de 2026, enquanto a indústria monta um resgate colabo...