Saltar para o conteúdo principal

O Hack de $ 1,22: O CTO da Ledger diz que a IA quebrou a economia da segurança cripto

· 15 min de leitura
Dora Noda
Dora Noda
Software Engineer

Um exploit funcional de contrato inteligente custa agora cerca de 1,22emcreˊditosdeAPIparasergerado.Essenuˊmerouˊnico,reveladopelaequipederedteamdaAnthropicnofinalde2025ereforc\cadoporumgeradordeexploitsacade^micoqueextraiuateˊ1,22 em créditos de API para ser gerado. Esse número único, revelado pela equipe de red team da Anthropic no final de 2025 e reforçado por um gerador de exploits acadêmico que extraiu até 8,59 milhões por ataque, é o pano de fundo para o alerta emitido pelo CTO da Ledger, Charles Guillemet, em 5 de abril de 2026: a inteligência artificial não está quebrando a criptografia. Ela está quebrando a economia da segurança cripto, e as defesas tradicionais do setor nunca foram precificadas para este regime.

Se 2024 foi o ano em que a IA reescreveu como os desenvolvedores entregam código, 2026 é o ano em que ela reescreveu como os atacantes entregam exploits. A assimetria inverteu-se tão rapidamente que até as empresas que passaram uma década construindo carteiras de hardware estão agora se perguntando se todo o modelo de confiança precisa de uma reescrita.

O que Guillemet realmente disse

Falando publicamente no início de abril, Guillemet — o diretor de tecnologia da Ledger e pesquisador de segurança de hardware de longa data — apresentou uma tese desconfortável. A curva de custo por ataque para cripto está colapsando porque os grandes modelos de linguagem (LLMs) são competentes o suficiente para realizar as partes mais difíceis do trabalho de um invasor: ler Solidity desconhecido, raciocinar sobre máquinas de estado, gerar transações de exploit plausíveis e iterar contra forks on-chain até que algo funcione.

Sua abordagem foi deliberadamente econômica. A criptografia não é mais fraca hoje do que era em 2024. As funções de hash ainda fazem o hash. As curvas elípticas ainda fazem a curva. O que mudou é que o insumo de trabalho por trás de um ataque bem-sucedido — o olhar do auditor sênior, os meses de engenharia reversa paciente — foi compactado em uma linha de orçamento que cabe em uma única fatura da Anthropic ou OpenAI. "Vamos produzir muito código que será inseguro por design", alertou Guillemet, apontando para o efeito de segunda ordem de desenvolvedores entregando Solidity gerado por IA mais rápido do que os revisores conseguem ler.

O número da Ledger para as perdas do ano passado situa-se em cerca de 1,4bilha~oemhackseexploitsdiretamenteatribuıˊveis,comostotaismaisamplosdegolpesefraudesalcanc\candovaloresmuitomaiores,dependendodequalcontabilidadevoce^aceita.AChainalysisestimouovalortotaldefundosroubadosem2025em1,4 bilhão em hacks e exploits diretamente atribuíveis, com os totais mais amplos de golpes e fraudes alcançando valores muito maiores, dependendo de qual contabilidade você aceita. A Chainalysis estimou o valor total de fundos roubados em 2025 em 3,4 bilhões. A retrospectiva de janeiro de 2026 do CoinDesk situou o universo mais amplo de golpes e personificação em até $ 17 bilhões. Qualquer que seja o número em que você confie, a linha de tendência está na direção errada, e o argumento de Guillemet é que a trajetória agora tem o formato da IA.

O número da Anthropic que mudou a conversa

Em dezembro de 2025, a própria equipe de red team da Anthropic publicou resultados do SCONE-bench — um benchmark de 405 contratos inteligentes que foram efetivamente explorados entre 2020 e 2025. A estatística principal foi contundente. Em todos os 405 problemas, os modelos de fronteira modernos produziram exploits prontos para uso para 207 deles, uma taxa de sucesso de 51,11 %, totalizando $ 550,1 milhões em valor simulado roubado.

Mais perturbadoramente, quando os mesmos agentes foram direcionados a 2.849 contratos recém-implantados que não tinham vulnerabilidades conhecidas, tanto o Claude Sonnet 4.5 quanto o GPT-5 revelaram dois zero-days genuínos e produziram exploits funcionais no valor de 3.694aumcustodeAPIdeaproximadamente3.694 — a um custo de API de aproximadamente 3.476. Essa proporção é mal o suficiente para empatar no papel, mas desmantela a suposição de que a descoberta de zero-days requer uma equipe humana.

Trabalhos acadêmicos independentes contam a mesma história do outro lado. O sistema "A1", publicado no arxiv em 2025 e atualizado até o início de 2026, empacota qualquer LLM com seis ferramentas específicas de domínio — desassembladores de bytecode, executores de fork, rastreadores de saldo, perfis de gas, simuladores de oráculo e mutadores de estado — e o aponta para um contrato alvo. O A1 atingiu uma taxa de sucesso de 62,96 % no conjunto de dados de exploits VERITE, superando a linha de base de fuzzing anterior (ItyFuzz, 37,03 %) por uma margem enorme. Os custos por tentativa variaram de 0,01a0,01 a 3,59. O maior pagamento único que ele modelou foi de $ 8,59 milhões.

Estes não são números teóricos. Eles são o custo de entrada de um exploit. E uma vez que esse custo de entrada atinge o preço de uma refeição de fast-food, a questão deixa de ser "os atacantes podem pagar por isso" e passa a ser "os defensores podem se dar ao luxo de perder qualquer coisa".

O desajuste de rendimento de 1000 : 1

Aqui está a parte do quadro que as empresas de auditoria ainda estão lutando para articular. Os auditores cobram por engajamento. Eles revisam uma base de código de cada vez, muitas vezes ao longo de semanas, e suas ferramentas de IA — quando as utilizam — estão acopladas a um fluxo de trabalho com humanos no ciclo e faturas para enviar. Os atacantes, por outro lado, podem alugar os mesmos modelos, apontá-los para milhares de contratos em paralelo e pagar apenas quando algo funciona.

Um artigo do Frontiers in Blockchain do início de 2026 capturou a assimetria em uma única linha: um atacante obtém lucro com aproximadamente 6.000emvalorextraıˊvel,enquantoopontodeequilıˊbriodeumdefensorestaˊproˊximode6.000 em valor extraível, enquanto o ponto de equilíbrio de um defensor está próximo de 60.000. A lacuna de 10 x não é porque a defesa seja tecnicamente mais difícil — é porque a defesa tem que ser completa, e a ofensa só precisa estar correta uma vez.

Combine isso com o desajuste de volume — digamos, 1000 : 1 entre contratos que um invasor pode escanear e contratos que uma empresa de auditoria pode revisar — e você chega à conclusão de Guillemet quase mecanicamente. Nenhum orçamento de auditoria pode fechar essa lacuna. A economia simplesmente não funciona.

O que os grandes impactos de 2026 já nos dizem

Os hacks que realmente ocorreram em 2026 nem todos se apresentam como histórias de "exploração de IA" à primeira vista. As duas maiores perdas do ano até agora são lembretes preocupantes de que o ferramental de ataque assistido por LLM está sendo construído sobre técnicas mais antigas e comuns.

Em 1 de abril de 2026, o Drift Protocol na Solana perdeu $ 285 milhões — mais da metade de seu TVL — em um ataque que a TRM Labs e a Elliptic atribuíram ao Lazarus Group da Coreia do Norte. O mecanismo foi engenharia social, não um bug de Solidity. Os atacantes passaram meses construindo relacionamentos com a equipe do Drift, e então abusaram do recurso de "nonce durável" da Solana para fazer com que os membros do Conselho de Segurança pré-assinassem transações cujos efeitos eles não compreendiam. Uma vez que o controle administrativo foi invertido, os atacantes colocaram um token sem valor (CVT) na lista de permissões como colateral e o usaram para drenar USDC, SOL e ETH reais.

Dezoito dias depois, o Kelp DAO sofreu um golpe de $ 292 milhões através de sua ponte baseada na LayerZero — agora a maior exploração de DeFi de 2026. O atacante convenceu a camada de mensagens cross-chain da LayerZero de que uma instrução válida havia chegado de outra rede, e a ponte do Kelp liberou devidamente 116.500 rsETH para um endereço controlado pelo atacante. Atribuído novamente ao Lazarus, segundo a maioria das fontes.

O que isso tem a ver com IA? Duas coisas. Primeiro, o reconhecimento que torna possível a engenharia social de cauda longa — mapeamento de perfil, correspondência de tom de mensagem, escolha do momento certo no calendário de um alvo — é exatamente no que as LLMs são boas. A previsão da CertiK para 2026 já aponta phishing, deepfakes e comprometimento da cadeia de suprimentos como os vetores de ataque dominantes para o ano, e observa um salto de 207 % nas perdas por phishing apenas de dezembro de 2025 a janeiro de 2026. Segundo, a IA reduz a barreira para operações paralelas: onde uma equipe de nível Lazarus poderia executar algumas campanhas por vez em 2024, o ferramental de IA permite que uma equipe muito menor execute dezenas delas.

Um lembrete de quão granular isso pode chegar veio em abril de 2026, quando o Zerion, um aplicativo de carteira popular, revelou que atacantes usaram engenharia social impulsionada por IA para drenar cerca de $ 100.000 de suas hot wallets. O número é pequeno para os padrões de 2026. A técnica — IA gerando o roteiro de personificação, IA gerando a página de suporte falsa, IA gerando o e-mail de phishing — é o que Guillemet está alertando.

Por que "apenas auditar mais" não é uma resposta

A resposta instintiva da indústria é financiar mais auditorias. Essa resposta está ignorando a natureza do problema.

As auditorias escalam linearmente com as horas do auditor. Os ataques agora escalam com créditos de API. Mesmo que todas as empresas de auditoria de Nível 1 dobrassem o número de funcionários amanhã, a área de superfície do atacante ainda estaria crescendo 10 vezes mais rápido, porque qualquer pessoa com uma chave de API e uma compreensão básica de Solidity pode agora realizar varreduras ofensivas contínuas em todo o universo de contratos implantados.

Pior ainda, as auditorias revisam o código em um momento específico no tempo. O código gerado por IA está sendo enviado continuamente, e o alerta de "inseguro por design" de Guillemet sugere que a taxa de introdução de bugs está subindo, não descendo. Um estudo de 2026 citado pela comunidade de segurança blockchain descobriu que a autoria de Solidity assistida por LLM correlaciona-se com erros sutis de reentrância e controle de acesso que os revisores humanos, fatigados por ler código formatado por máquina, perdem em taxas mais altas do que perdem os mesmos bugs em códigos escritos por humanos.

O enquadramento honesto é que as auditorias continuam sendo necessárias, mas não são suficientes. A resposta real que Guillemet defende — e que a própria equipe vermelha da Anthropic ecoa — é estrutural.

O stack defensivo que realmente sobrevive a isso

Três categorias de defesa podem plausivelmente escalar contra a ofensa acelerada por IA, e todas as três são desconfortáveis para a parte da indústria que otimizou para a velocidade de entrega.

Verificação formal. Ferramentas como Certora, Halmos e, cada vez mais, os stacks de verificação integrados com Move (Sui, Aptos) e Cairo (Starknet) tratam a correção como um problema matemático em vez de um problema de revisão. Se uma propriedade for provada, nenhuma quantidade de fuzzing de IA poderá quebrá-la. O contraponto é o esforço de engenharia: escrever invariantes significativos é difícil, lento e implacável. Mas é uma das poucas defesas cujo custo não escala com o poder computacional do atacante.

Raízes de confiança de hardware. A própria linha de produtos da Ledger é o exemplo óbvio, mas a categoria mais ampla inclui enclaves seguros, custódia MPC e primitivas emergentes de atestação de conhecimento zero. O princípio é o mesmo: pegar a ação mais consequente — assinar uma transação — e forçá-la através de um substrato que uma campanha de phishing movida a LLM não consegue alcançar. O enquadramento de Guillemet de "assumir que os sistemas podem e irão falhar" é essencialmente um argumento para mover a autoridade de assinatura para fora de computadores de uso geral.

Defesa de IA contra IA. O artigo de dezembro de 2025 da Anthropic argumenta que os mesmos agentes capazes de gerar exploits devem ser implantados para gerar correções. Na prática, isso significa monitoramento contínuo impulsionado por IA de mempools, contratos implantados e comportamento de chaves administrativas — sinalizando anomalias da mesma forma que os sistemas de detecção de fraude fazem para o setor bancário tradicional. A economia é imperfeita (os custos do defensor ainda são maiores que os custos do atacante), mas eles pelo menos colocam ambos os lados na mesma curva computacional.

O padrão em todas as três é o mesmo: parar de depender de humanos no processo para as partes rápidas da segurança e reservar o julgamento humano para as partes estruturais, lentas e caras.

O que isso significa para os desenvolvedores agora

Para equipes entregando em 2026, o alerta de Guillemet se traduz em algumas mudanças concretas:

  • Trate o código gerado por IA como não confiável por padrão. Passe-o por verificação formal ou testes baseados em propriedades antes que ele toque a mainnet, independentemente de quão limpo pareça.
  • Mova as chaves de administrador para trás de hardware. Multi-sig com signatários "quentes" (hot signers) não é mais uma postura de segurança aceitável para contratos de nível de tesouraria; o incidente da Drift provou que até mesmo membros da equipe "confiáveis" podem ser alvo de engenharia social para pré-assinar transações destrutivas.
  • Assuma que sua superfície de phishing é maior do que sua superfície de código. O dreno da Zerion ($ 100K) e o salto mais amplo de 207% no phishing sugerem que o dólar mais barato do invasor ainda é direcionado a humanos, não ao Solidity.
  • Reserve orçamento para monitoramento contínuo e automatizado. Uma cadência de auditoria semanal não é uma defesa contra um invasor que executa ferramentas de nível SCONE-bench 24 horas por dia, 7 dias por semana.

Nenhuma dessas ideias é nova. O que mudou é a curva de urgência. Na era pré-LLM, uma organização poderia sobreviver a falhas em qualquer uma dessas áreas se as outras fossem fortes. Em 2026, a assimetria de custos é muito acentuada para esse tipo de folga.

A leitura honesta

É tentador ler o alerta de Guillemet como a Ledger falando em causa própria — um fornecedor de carteiras de hardware naturalmente defende o hardware. Essa leitura seria um erro. O mesmo argumento está sendo feito de forma independente pela equipe de red team da Anthropic, por grupos acadêmicos por trás do A1 e do SCONE-bench, pela previsão de 2026 da CertiK e por empresas de análise on-chain que observam os totais mensais de hacks. O consenso da indústria está convergindo para um único ponto: o custo de um exploit competente caiu de uma a duas ordens de magnitude, e o stack defensivo deve se mover de acordo.

O que é genuinamente novo é que esta é a primeira grande mudança assimétrica na segurança cripto desde a onda de demanda por auditoria do verão DeFi de 2020. Aquela onda produziu uma geração de empresas de auditoria, plataformas de bug-bounty e startups de verificação formal. A onda de 2026 produzirá algo diferente: infraestrutura contínua monitorada por IA, assinatura baseada em hardware como padrão e um ceticismo muito mais rigoroso em relação a qualquer contrato cujo modelo de segurança ainda dependa de "nós vamos pegar isso na revisão".

O número de $ 1,22 de Guillemet — mesmo que esse valor exato fosse da Anthropic, não da Ledger — é o tipo de estatística que encerra uma era. A era que ela encerra é aquela em que o trabalho do invasor era o gargalo. A era que ela inicia é aquela em que o gargalo é o que o defensor ainda não automatizou.

BlockEden.xyz opera infraestrutura de RPC e indexação de blockchain em Sui, Aptos, Ethereum, Solana e mais de 20 outras redes, com monitoramento de anomalias assistido por IA integrado ao caminho da requisição. Se você está reconstruindo sua postura de segurança para o cenário de ameaças pós-LLM, explore nossos serviços de infraestrutura ou entre em contato para discutir o monitoramento contínuo para o seu protocolo.

Fontes

Share on Twitter