As auditorias não são suficientes? Perdem-se $3,3 mil milhões em projetos DeFi auditados, revelam dados

Auditorias importam, mas não são um escudo mágico. Essa é a conclusão direta de um fio recente da plataforma de análise de dados blockchain Sentora, acompanhado de um gráfico de barras que detalha bilhões perdidos em hacks e exploits de DeFi. Os dados abrangem de 2020 a 2025 (excluindo o colapso da Terra) e apresentam um ponto claro e desconfortável: mesmo projetos que pagaram por revisões de segurança perderam dinheiro sério.

“Auditorias são essenciais para o DeFi, mas não uma garantia,” escreveu a Sentora. “Projetos auditados sofreram mais de $3,3 bilhões em perdas entre ’20–’25, impulsionadas por rug pulls, compromissos de chaves privadas e mudanças pós-auditoria. Auditorias de DeFi são a linha de base, mas uma gestão de risco eficaz ainda requer monitoramento ativo do risco.”

O gráfico acompanhante, que classifica as perdas por auditor, mostra que projetos não auditados sofreram o maior impacto, aproximadamente na faixa de $5 bilhões, mas também revela que projetos auditados e empresas bem conhecidas como Certik, NCC Group e Trail of Bits estão longe de serem imunes.

Um Problema em Camadas

Juntos, os visuais e o resumo da Sentora delineiam um problema em camadas. Uma parte é óbvia: projetos que pularam auditorias ou cortaram cantos pagaram por isso. Outra parte, igualmente importante, é que as auditorias em si são instantâneos, muitas vezes realizadas antes de edições de código de última hora, mudanças de governança ou a introdução de novas chaves de administrador.

Essas modificações pós-auditoria, juntamente com ataques de engenharia social que capturam chaves privadas e rug pulls maliciosos por insiders, representam uma grande parte dos $3,3 bilhões em perdas que a Sentora destacou para projetos auditados. O gráfico também destaca uma categoria intermediária, uma longa cauda de auditores menores agrupados como “Outros (68),” que juntos representam uma parcela substancial das perdas.

Isso sugere que a questão não é apenas se um projeto foi auditado, mas a qualidade e abrangência da auditoria, o escopo do auditor e o que acontece após a emissão do relatório. Uma auditoria que ignora suposições críticas de design, ou uma equipe que desconsidera as mitigação recomendadas, deixa a porta aberta.

Profissionais de segurança têm dito há anos que uma única auditoria deve ser vista como o início de um programa de segurança, não como a linha de chegada. Monitoramento contínuo, implantações escalonadas, controles de múltiplas assinaturas, timelocks em funções privilegiadas, programas proativos de bug bounty e produtos de seguro fazem parte de uma abordagem mais resiliente.

A mensagem da Sentora reforça que as auditorias estabelecem um padrão mínimo, mas equipes e investidores devem implementar camadas de proteção e manter a vigilância. Para um ecossistema DeFi que valoriza a composabilidade e a rápida iteração, a tensão é real. Desenvolvedores querem lançar recursos e pivotar rapidamente; auditores precisam de escopo e tempo para serem minuciosos; atacantes procuram pelas janelas breves entre eles.

A conclusão simples e desconfortável dos dados é que gastar com auditorias continuará sendo necessário, mas a comunidade também precisa de uma disciplina pós-auditoria melhor e salvaguardas operacionais se quiser reduzir perdas de forma significativa.

O fio da Sentora e o gráfico são um lembrete de que a segurança no DeFi é um processo, não um certificado. Auditorias ajudam a identificar problemas, mas não impedem que eles aconteçam. Até que as equipes tratem a segurança como um trabalho contínuo, e não apenas uma caixa de verificação, os números principais provavelmente continuarão crescendo.