58 posts marcados com "Segurança"

Uma única verificação de autorização ausente. Dezessete dias sem detecção. Setenta e oito NFTs blue-chip — incluindo peças de Art Blocks, Doodles e Beeple — desviados de carteiras que nunca iniciaram uma transação. O exploit da Gondi de 9 de março de 2026 é uma aula magistral sobre como "recursos de conveniência" podem se tornar superfícies de ataque, e por que o setor de empréstimos de NFTs enfrenta desafios de segurança que o DeFi de tokens fungíveis nunca teve que confrontar.

Em 12 de março de 2026, uma única transação de Ethereum transformou $50,4 milhões em USDT em 327 tokens AAVE valendo aproximadamente$ 36.000. A perda não foi causada por um hack, um exploit ou um bug de contrato inteligente. Cada protocolo envolvido — Aave, CoW Swap, SushiSwap — funcionou exatamente como projetado. O usuário confirmou um aviso de impacto no preço de 99,9% em um dispositivo móvel, marcou uma caixa e assistiu a quase cinquenta milhões de dólares evaporarem para bots de MEV em menos de trinta segundos.

Este incidente é a falha de UX mais cara da história do DeFi e força uma pergunta desconfortável: se sistemas sem permissão "funcionando como projetados" podem destruir tanto valor, quem é responsável por evitar isso?

Oito wei. Isso é aproximadamente 0,000000000000000008 de um token — uma quantidade tão pequena que não tem valor monetário significativo. No entanto, em 3 de novembro de 2025, um invasor transformou erros de arredondamento nessa escala em US$ 128 milhões em ativos roubados, drenando os Composable Stable Pools da Balancer em nove blockchains em menos de trinta minutos.

A exploração da Balancer V2 é agora a maior exploração DeFi de vulnerabilidade única e multi-chain da história. Ela eliminou 52% do valor total bloqueado da Balancer da noite para o dia, sobreviveu a mais de dez auditorias de segurança das principais empresas do setor e forçou uma rede — a Berachain — a executar um hard fork de emergência apenas para recuperar os fundos. A vulnerabilidade? Uma única linha de código que arredondava na direção errada.

Levou menos de uma hora. Em 31 de janeiro de 2026, um invasor descobriu que uma única função de contrato inteligente na infraestrutura de ponte da CrossCurve carecia de uma verificação de validação crítica — e drenou sistematicamente US$ 3 milhões entre Ethereum, Arbitrum e outras redes antes que qualquer pessoa pudesse reagir. Nenhum zero-day sofisticado. Nenhum comprometimento de chave interna. Apenas uma mensagem fabricada e uma chamada de função que qualquer pessoa na blockchain poderia fazer.

O incidente da CrossCurve é um lembrete contundente de que as pontes cross-chain continuam a ser a superfície de ataque mais perigosa nas finanças descentralizadas — e que mesmo protocolos que ostentam arquiteturas de segurança em várias camadas podem entrar em colapso quando um único contrato falha criticamente.

Agentes de IA que podem negociar tokens de forma autônoma, reequilibrar posições DeFi e pagar por seu próprio processamento parecem revolucionários — até que um sofra uma injeção de prompt para enviar as economias de sua vida para um invasor. O framework de segurança Web3 MCP recém-publicado pelo Google Cloud aborda exatamente esse pesadelo, apresentando um projeto de nível empresarial para proteger agentes do Protocolo de Contexto de Modelo (Model Context Protocol) que interagem com blockchains.

Aqui está o que o framework recomenda, por que isso importa e como ele se compara às abordagens concorrentes da Coinbase, Ledger e ao padrão de pagamento emergente x402.

Uma auditoria de segurança sinalizou o vetor de ataque exato meses antes. A equipe o descartou. No domingo, um invasor fugiu com $ 3,7 milhões.

O Venus Protocol, a plataforma de empréstimo dominante na BNB Chain com aproximadamente $1,47 bilhão em valor total bloqueado, sofreu uma exploração devastadora de manipulação de preço em 15 de março de 2026. O invasor visou o THE — o token nativo da exchange descentralizada Thena — inflando seu preço de$ 0,27 para quase $5 por meio de um loop cuidadosamente orquestrado de depósitos, empréstimos e compras. O resultado: mais de$ 3,7 milhões drenados em BTC, CAKE, USDC e BNB, com aproximadamente $ 2,15 milhões persistindo como dívida incobrável (bad debt) irrecuperável.

O que torna este ataque notável não é apenas sua escala, mas a paciência por trás dele — e o fato de que a vulnerabilidade estava escondida à vista de todos.

Toda semana em 2026, outra startup anuncia um "agente de IA autônomo" que pode negociar cripto, gerenciar posições DeFi ou governar DAOs. Mas aqui está a pergunta que ninguém quer responder: por que alguém deveria confiar dinheiro real a um software?

A resposta da indústria está convergindo para uma pilha surpreendentemente elegante — Ambientes de Execução Confiáveis (TEEs), registros de identidade on-chain e proteções programáveis — que transforma "confiar no agente" em "verificar o agente". No intervalo de três meses, a Coinbase lançou as Agentic Wallets, a MoonPay integrou a assinatura de hardware Ledger para agentes de IA, e a Ethereum Foundation ratificou dois novos padrões (ERC-8004 e ERC-8183) que, juntos, formam o esqueleto de uma camada de confiança nativa de máquina. Este artigo mapeia a arquitetura que está silenciosamente tornando os agentes autônomos bancáveis.

Um único erro de arredondamento — uma perda de precisão de menos de um centavo na divisão de inteiros do Solidity — drenou US$ 128 milhões da Balancer em nove blockchains em menos de 30 minutos. As pools estavam ativas há anos. Múltiplas auditorias revisaram o código. Ninguém percebeu. Este é o estado da segurança DeFi em 2026: bilhões de dólares protegidos por um paradigma que faliu demonstrável e repetidamente.

Agora a a16z crypto está propondo uma reformulação radical. Em seu relatório "Big Ideas" de 2026, a empresa de capital de risco argumenta que a indústria deve abandonar o "código é a lei" — a crença fundamental de que o código de contrato inteligente implantado é a autoridade máxima — e substituí-lo por "a especificação é a lei", onde propriedades de segurança matematicamente definidas se tornam o padrão aplicável. A mudança poderia remodelar fundamentalmente como os protocolos são construídos, auditados e defendidos.

Cada agente de IA precisa de uma carteira. Mas quem detém as chaves?

Em 13 de março de 2026, a MoonPay respondeu a essa pergunta ao lançar a primeira plataforma de agentes de IA protegida por um hardware signer da Ledger — um movimento que força cada transação a passar por um dispositivo físico onde as chaves privadas nunca tocam a internet. Em um mercado onde 60 – 80 % do volume global de negociação de criptomoedas já é impulsionado por IA e agentes autônomos gerenciam bilhões em ativos, a aposta da MoonPay é que a arquitetura vencedora não é a que se move mais rápido, mas aquela em que os humanos ainda confiam.

O Problema Central que Ninguém Resolveu​

A explosão de agentes de IA cripto de 2025 – 2026 criou um paradoxo. Agentes autônomos precisam de acesso a carteiras para negociar, fazer bridge, stake e pagar por serviços. Mas o acesso à carteira significa acesso às chaves — e o acesso às chaves significa confiar ao software tudo o que você possui.

Antes da integração Ledger da MoonPay, a indústria oferecia duas opções imperfeitas:

• Autonomia total, segurança zero. Entregar ao agente sua chave privada ou frase-semente. Ele pode agir instantaneamente, mas uma única vulnerabilidade — uma injeção de prompt, uma dependência comprometida, uma chamada de API maliciosa — esvazia a carteira. Em fevereiro de 2026, ataques à cadeia de suprimentos visando a dYdX através de pacotes npm e Python comprometidos, vinculados ao Lazarus Group, demonstraram o quão real é essa ameaça.

• Segurança total, autonomia zero. Manter as chaves trancadas em armazenamento frio (cold storage) e aprovar cada transação manualmente. Seguro, mas derrota completamente o propósito dos agentes autônomos. Você se torna o gargalo em um sistema projetado para operar na velocidade da máquina.

A integração Ledger da MoonPay introduz um terceiro caminho: estratégia autônoma, execução verificada por humanos. O agente de IA lida com pesquisa, análise de portfólio, roteamento de swap e construção de negociações. Mas cada transação on-chain deve ser confirmada fisicamente em um dispositivo Ledger antes de ser executada. O agente é o cérebro; a carteira de hardware é o cadeado.

Como Realmente Funciona​

O MoonPay Agents, lançado inicialmente em 24 de fevereiro de 2026 como uma ferramenta de interface de linha de comando (CLI), permite que agentes de IA gerenciem carteiras, executem negociações e realizem transações em várias blockchains. A atualização de 13 de março adiciona suporte nativo ao hardware signer da Ledger, tornando-a a primeira carteira CLI com essa integração.

O fluxo técnico é direto:

1. Conecte qualquer hardware signer Ledger (Nano S Plus, Nano X, Gen5, Stax ou Flex) via USB ao CLI da MoonPay.
2. O agente detecta automaticamente carteiras em todas as redes suportadas — Ethereum, Solana, Base, Arbitrum, Polygon, Optimism, BNB Chain e Avalanche.
3. O agente de IA constrói transações com base na sua lógica de estratégia.
4. Cada transação é roteada para o dispositivo Ledger para verificação física e assinatura.
5. Somente após o usuário confirmar no dispositivo de hardware é que a transação é transmitida.

A propriedade crítica de segurança: as chaves privadas são geradas e armazenadas dentro do chip de elemento seguro da Ledger. Elas nunca saem do dispositivo, nunca tocam a memória do computador host e nunca entram no ambiente de execução do agente de IA. O agente pode propor qualquer ação, mas não pode executar sem a aprovação humana.

Disponível agora na versão 0.12.3 do MoonPay CLI em moonpay.com/agents.

O Espectro de Segurança do Agente​

A abordagem da MoonPay situa-se em uma das extremidades de um espectro de segurança que a indústria cripto está definindo rapidamente. Cada grande player estabeleceu uma posição diferente, e as compensações revelam visões fundamentalmente diferentes de como os humanos e os agentes de IA devem interagir.

Carteiras Agênticas da Coinbase: Custódia Hospedada com Limites de Proteção​

A Coinbase lançou suas Carteiras Agênticas (Agentic Wallets) em fevereiro de 2026, baseadas em computação multipartidária (MPC). Cada ação é assinada pelo agente usando MPC e registrada on-chain no Ethereum ou Base. Os criadores mantêm uma chave administrativa de emergência que pode congelar ou recuperar fundos se um comportamento malicioso for detectado.

O modelo prioriza a programabilidade. Os desenvolvedores definem limites de gastos, interações de contrato em lista branca (whitelist) e limites de proteção automatizados. O agente opera dentro de limites definidos sem precisar de aprovação humana transação por transação. É mais parecido com dar a um funcionário um cartão corporativo com limites de gastos do que exigir a assinatura de um gerente em cada compra.

Compensação: As chaves são gerenciadas na infraestrutura hospedada da Coinbase, não em um dispositivo físico que o usuário controla. Isso é conveniente para desenvolvedores que constroem sistemas autônomos, mas exige confiança na infraestrutura de custódia da Coinbase.

Protocolo x402: Pagamentos de Máquina Totalmente Autônomos​

No extremo oposto, o protocolo x402 da Coinbase permite pagamentos máquina-a-máquina totalmente autônomos, sem nenhum humano no circuito. Construído diretamente na camada HTTP, o x402 permite que agentes de IA paguem por chamadas de API, créditos de computação e acesso a dados automaticamente usando USDC na Base.

A Alchemy integrou o x402 em fevereiro de 2026, criando um fluxo onde um agente de IA compra independentemente créditos de computação e acessa dados de blockchain sem qualquer intervenção humana. O protocolo processou mais de 50 milhões de transações em testes, embora o volume diário no mundo real permaneça modesto em cerca de US$ 28.000 — um sinal de que a infraestrutura está à frente da adoção.

Compensação: Velocidade e automação máximas, mas zero supervisão humana por transação. Adequado para micropagamentos e acesso a APIs, mas arriscado para grandes negociações ou gestão de portfólio.

MetaMask: Session Keys e Acesso Escopado​

A abordagem da MetaMask utiliza session keys — permissões temporárias e escopadas que permitem que agentes de IA realizem ações específicas enquanto os usuários mantêm a custódia total. Pense nisso como entregar a chave do seu carro a um manobrista, mas programando-a para que ele só possa dirigir abaixo de 25 mph e não consiga abrir o porta-malas.

Tradeoff: Mais granular do que a aprovação Ledger de tudo-ou-nada da MoonPay, mas as session keys são baseadas em software, o que as torna vulneráveis à mesma classe de ataques que as carteiras de hardware foram projetadas para prevenir.

Onde a MoonPay se Encaixa​

A integração Ledger da MoonPay ocupa o extremo de segurança máxima do espectro. Nenhuma transação é executada sem o pressionamento de um botão físico. Isso a torna a opção mais lenta para negociações de alta frequência, mas a mais resistente a ataques baseados em software, comprometimento de agentes e transações não autorizadas.

Como observou o diretor de experiência da Ledger: "Há uma nova onda de carteiras CLI e centradas em agentes surgindo, e elas também precisarão da segurança da Ledger como um recurso."

A Pergunta de $ 30 Trilhões​

As apostas são enormes. A economia agêntica está projetada para crescer para $30 trilhões até 2030, de acordo com estimativas do setor. A Microsoft informou em fevereiro de 2026 que mais de 80$ 4,3 bilhões, e os fundos quantitativos de IA relataram retornos médios de 52 % em 2025, enquanto 84 % dos traders de varejo perderam dinheiro.

A questão não é se os agentes de IA gerenciarão portfólios de cripto — eles já o fazem. A questão é qual arquitetura de segurança se tornará o padrão institucional.

Três modelos estão competindo:

1. Hardware-in-the-loop (MoonPay + Ledger): Segurança máxima, aprovação humana necessária, execução mais lenta
2. MPC hospedado com guardrails (Coinbase): Limites programáveis, amigável ao desenvolvedor, confiança custodial necessária
3. Totalmente autônomo (x402, Alchemy): Velocidade máxima, zero fricção, adequado apenas para transações de baixo valor

Para usuários de varejo que gerenciam portfólios pessoais, o hardware-in-the-loop pode ser o ideal — a latência de pressionar um botão em uma Ledger é irrelevante quando você está fazendo algumas negociações por dia. Para estratégias quantitativas institucionais que executam milhares de negociações por segundo, isso é inviável. Para micropagamentos máquina-a-máquina, a autonomia total é o único caminho viável.

O resultado provável não é um vencedor único, mas uma pilha de segurança em camadas. Os agentes de IA usarão pagamentos totalmente autônomos para chamadas de API de valor inferior a um dólar, carteiras protegidas por MPC com limites de gastos para operações de médio alcance e autorização assinada por hardware para transações de alto valor — da mesma forma que os humanos usam o pagamento por aproximação para o café, um PIN para as compras e um tabelião para imóveis.

O que Isso Significa para os Construtores​

A iniciativa da MoonPay sinaliza que a guerra da infraestrutura de agentes de IA está entrando em sua fase de diferenciação por segurança. A primeira onda foi sobre capacidade — os agentes podem negociar, fazer bridge e swap? Isso está resolvido. A segunda onda é sobre confiança — usuários e instituições podem implantar agentes sem o risco de perdas catastróficas?

Para desenvolvedores que constroem agentes de IA on-chain, as lições práticas são:

• A arquitetura de segurança é agora um diferencial de produto. Os usuários escolherão plataformas de agentes com base em como as chaves são gerenciadas, não apenas em quais estratégias os agentes podem executar.

• A segurança em vários níveis é inevitável. Nenhum modelo único atende a todos os casos de uso. Construa com gerenciamento de chaves plugável que possa suportar assinadores de hardware, MPC e session keys dependendo do valor da transação e do perfil de risco.

• O escrutínio regulatório está chegando. À medida que os agentes de IA gerenciam portfólios maiores, os reguladores perguntarão quem é o responsável quando um agente faz negociações não autorizadas. O hardware-in-the-loop cria uma trilha de auditoria clara: cada transação tem uma assinatura verificada por humanos.

O Ponto de Inflexão da Confiança​

A integração Ledger da MoonPay não é um avanço na capacidade da IA — os próprios agentes não ficam mais inteligentes. É um avanço na infraestrutura de confiança que determina se esses agentes serão implantados em escala.

A indústria cripto passou uma década aprendendo que "not your keys, not your coins" é mais do que um slogan — é um requisito de engenharia validado por hacks de exchanges, falhas de custódia e bilhões em perdas. Agora, conforme os agentes de IA solicitam o mesmo acesso a chaves que as exchanges centralizadas exigiam, a indústria enfrenta a mesma pergunta novamente: quem detém as chaves?

A resposta da MoonPay — um dispositivo físico que requer confirmação humana para cada transação — é a resposta mais conservadora possível para a pergunta mais importante nas finanças autônomas. Em um mercado que corre em direção à automação total, esse conservadorismo pode ser exatamente o que as instituições precisam para participar.

A economia agêntica será construída. A única questão é se ela será construída sobre uma base de velocidade ou sobre uma base de confiança. A MoonPay está apostando que a confiança vence.

---

A BlockEden.xyz fornece infraestrutura RPC e API de nível empresarial em Ethereum, Solana, Base e mais de 20 redes blockchain — a camada fundamental da qual os agentes de IA dependem para dados on-chain confiáveis e submissão de transações. À medida que os agentes autônomos exigem infraestrutura segura e de alta disponibilidade, explore nosso marketplace de APIs para construir sobre bases projetadas para a era agêntica.