As novas medidas do Departamento do Tesouro dos Estados Unidos ampliaram a pressão sobre o setor de DeFi. Afinal, o governo quer endurecer o cerco a fraudes, lavagem de dinheiro e falhas de segurança no mercado de criptomoedas. Nesse contexto, a indústria tenta provar que consegue elevar seus próprios padrões antes que Washington imponha regras mais rígidas.

Em 23 de junho, o Tesouro dos EUA sancionou nove pessoas e 26 entidades ligadas à organização criminosa transnacional Prince Group. Ao mesmo tempo, propôs ampliar a regra aplicada ao Huione Group para incluir a H-Pay Service PLC e qualquer sucessora. Segundo o governo americano, essas redes de golpes no Sudeste Asiático causaram perdas de ao menos US$ 10 bilhões a americanos em 2024.

No mesmo dia, a OPSeC se apresentou publicamente como uma resposta coordenada da indústria. A iniciativa foi anunciada pela DeFi Education Fund em parceria com a Security Alliance, conhecida como SEAL, e a Asymmetric Research. De acordo com o grupo, a meta é fortalecer protocolos, práticas de assinatura e infraestrutura do setor.

Em Washington, fraudes com ativos digitais, explorações em DeFi, trilhos de stablecoin e estruturas de lavagem de dinheiro costumam entrar na mesma categoria de risco. Além disso, o Tesouro descreveu a fraude em investimentos com ativos digitais como um dos golpes mais comuns e lucrativos dessas operações. Sua Avaliação Nacional de Risco de Lavagem de Dinheiro de 2026 também cita o setor de forma explícita.

Indústria tenta definir padrão de segurança

OPSeC busca tornar riscos legíveis para reguladores

A Financial Crimes Enforcement Network, a FinCEN, também classificou o Huione Group como um nó central para lavar recursos vindos de roubos cibernéticos e fraudes de investimento com moedas virtuais. Dessa forma, formuladores de políticas públicas vêm tratando protocolos mal protegidos e operadores de golpes como partes de um mesmo problema de finanças ilícitas.

A promessa da OPSeC coloca a segurança operacional como disciplina de engenharia e, ao mesmo tempo, como padrão compreensível para reguladores. Entre as frentes anunciadas estão um centro compartilhado de recursos de segurança, encontros regulares entre equipes de protocolo e empresas de segurança, além de uma ponte direta com o debate político por meio de eventos educativos voltados a parlamentares.

Na prática, a iniciativa quer tornar a postura de segurança de DeFi legível aos formuladores de políticas antes que eles próprios definam sozinhos o que será aceitável. Assim, a disputa deixou de ser apenas técnica e passou a ser também institucional.

Explorações ampliam a urgência no DeFi

Falhas operacionais superam o escopo das auditorias

A urgência por uma coalizão como a OPSeC ficou ainda mais clara em abril de 2026. Naquele mês, quase US$ 630 milhões foram drenados em pelo menos 27 explorações reportadas em DeFi. Os casos envolveram principalmente falhas em signatários, pontes e infraestrutura, com destaque para Drift Protocol e KelpDAO.

O ataque de US$ 285 milhões ao Drift Protocol, o maior caso de exploração em DeFi em 2026, nasceu de uma operação de engenharia social que durou seis meses. Depois disso, a execução levou apenas 12 minutos. Os invasores, atribuídos com confiança média a alta ao grupo UNC4736, patrocinado pela Coreia do Norte, participaram presencialmente de conferências do setor. Além disso, criaram relações profissionais reais com contribuidores do Drift Protocol e manipularam membros reais do conselho de segurança para pré-assinar autorizações ocultas.

Três dias antes da drenagem, uma migração de governança sem timelock eliminou a última janela de intervenção do protocolo. A análise forense também apontou três vetores de invasão: um repositório de código malicioso clonado por um colaborador, um aplicativo falso no TestFlight e uma vulnerabilidade em VSCode/Cursor que executava código arbitrário silenciosamente ao abrir o repositório.

O caso da KelpDAO, que resultou em perdas de US$ 292 milhões, seguiu rota técnica diferente. Ainda assim, tocou na mesma fragilidade operacional. O ataque explorou um desenho com verificador único em uma ponte LayerZero, comprometeu a infraestrutura RPC e manipulou a lógica de validação entre cadeias. Mais uma vez, o problema ficou acima da camada de código auditado.

A TRM Labs estimou que hackers da Coreia do Norte roubaram cerca de US$ 577 milhões em criptomoedas até abril de 2026. Em outras palavras, isso equivaleu a 76% de todas as perdas globais com hacks de criptomoedas no período, concentradas em apenas dois ataques.

IA e enforcement elevam a pressão regulatória

Certificação pode ajudar, mas não elimina o risco

A OpenZeppelin sustenta leitura semelhante. Em sua análise sobre quatro camadas de risco em DeFi, a empresa argumenta que as perdas recentes surgem cada vez mais nas camadas operacionais ao redor dos protocolos. Isso inclui infraestrutura de assinatura, governança, dependências entre cadeias e controles humanos, e não apenas o código dos contratos. Esse diagnóstico também dialoga com a estrutura de certificação da SEAL, lançada em 2026 com auditores credenciados, que avalia defesa, detecção e resposta a incidentes.

Desde o fim de maio, a comunidade de segurança convive com duas leituras opostas sobre a capacidade de defesa do setor. Em 26 de maio, Manuel Aráoz, cofundador e ex-CTO da OpenZeppelin, afirmou em publicação no X que considera todo o DeFi inseguro. Segundo ele, agentes de IA seriam “super-humanos em encontrar vulnerabilidades”. Por isso, Aráoz disse que aconselha amigos e familiares a sair de posições em Aave, MakerDAO e Compound.

“Considero todo o DeFi inseguro. Agentes de IA são super-humanos em encontrar vulnerabilidades.”

@maraoz no X

Demian Brener, atual CEO da OpenZeppelin, respondeu publicamente e distanciou a empresa dessa tese de saída generalizada. Ainda assim, afirmou que a IA também pode atuar como ferramenta defensiva e reafirmou o compromisso da companhia com segurança contínua apoiada por IA.

“A IA também pode ser uma ferramenta defensiva, além de ofensiva.”

OpenZeppelin no X

As certificações da SEAL estabeleceram seis domínios de avaliação: governança multisig, arquitetura de tesouraria, planos de resposta a incidentes, controles de registro DNS, infraestrutura DevOps e gestão de identidade. Como resultado, a maioria dos protocolos tende a encontrar lacunas antes da aprovação.

No cenário mais otimista, a OPSeC se conecta às certificações da SEAL e ajuda a formar um mercado que premie segurança operacional. Por outro lado, um novo ataque de nove dígitos envolvendo signatários, pontes ou engenharia social pode chegar antes de métricas verificáveis. Se isso ocorrer, Washington pode fundir segurança em DeFi, combate à lavagem de dinheiro e sanções em uma única categoria de enforcement.

Ao fim, a disputa gira em torno de quem definirá o que significa proteger o DeFi. De um lado, a indústria tenta responder com padrões operacionais verificáveis. Do outro, o governo dos Estados Unidos já sinalizou que continuará tomando medidas agressivas contra abusos ilícitos no setor de ativos digitais.