Auditoria CertiK: Por dentro da maior empresa de auditoria de segurança da Web3
A frase "Auditado pela CertiK" aparece nas páginas de destino de tokens da mesma forma que um adesivo de segurança aparece na cadeirinha de um carro infantil. A ideia é transmitir: alguém verificou isso, você pode ficar tranquilo. A CertiK é o nome mais importante em segurança Web3, e para muitos investidores, o selo se tornou sinônimo de "provavelmente seguro". O problema é que diversos projetos que ostentam esse selo ainda assim perderam milhões em investimentos. Então, o que uma auditoria da CertiK realmente oferece? Este artigo aborda o que é a CertiK, como suas auditorias e sua pontuação Skynet funcionam, onde elas são úteis e onde o selo, discretamente, deixa de ter muita relevância.
Quem é a CertiK e por que ela domina a segurança da Web3.
A CertiK não inventou a auditoria de contratos inteligentes. Ela a industrializou. A empresa transformou um processo lento e artesanal, realizado por um pequeno grupo de criptógrafos, em uma marca que um projeto pode comprar, exibir e apresentar quando investidores perguntam se o código é seguro.
De um laboratório de Yale a uma empresa de 2 bilhões de dólares
Dois professores de ciência da computação fundaram a CertiK em 2018: Ronghui Gu, da Universidade Columbia, e Zhong Shao, de Yale. A proposta era acadêmica, quase obstinadamente acadêmica. Usar verificação formal, um método matemático para provar que um software faz o que promete, para tornar o código blockchain comprovadamente correto em vez de meramente "testado". Uma ideia de nicho. Mesmo assim, atraiu um investimento considerável. Em abril de 2022, a CertiK havia captado cerca de US$ 88 milhões, com uma avaliação de US$ 2 bilhões, segundo o TechCrunch , com investimentos de empresas como Goldman Sachs, Tiger Global, Sequoia e Vision Fund do SoftBank. Nove rodadas de investimento, totalizando aproximadamente US$ 296 milhões. Nada mal para uma dupla de acadêmicos que começou provando teoremas sobre compiladores.
O que realmente mede o "maior auditor"
Os números principais da CertiK são sobre volume. Mais de 6.100 projetos auditados. Mais de 91.000 vulnerabilidades identificadas nessas auditorias de segurança. Ativos avaliados em mais de US$ 360 bilhões revisados, com clientes como Aave, Polygon e BNB Chain em sua lista. A escala é real. Mas esse é o problema, porque "maior" contabiliza quantas auditorias uma empresa realiza, não a profundidade de cada uma delas. Uma empresa que produz mais relatórios do que qualquer outra é impressionante, sem dúvida, mas volume e rigor não são a mesma coisa, e a lacuna entre eles é onde reside a maior parte das críticas. Aqui está a versão concreta dessa reclamação. A CertiK revisa tantos projetos que seu nome acaba estampado tanto em tokens de memes descartáveis quanto em protocolos sérios, e um passe de dois dias concede o mesmo selo que uma revisão de meses. Os compradores raramente conseguem distinguir um do outro. Essa homogeneização é o verdadeiro problema do selo.
Como funciona, na prática, uma auditoria CertiK: passo a passo
Uma auditoria CertiK não é uma coisa só. São duas camadas sobrepostas, e entender a diferença entre elas revela muito sobre o que o relatório final pode e não pode prometer.
Verificação formal versus revisão manual
A primeira camada é a verificação formal. Em vez de executar um contrato inteligente e observar o que acontece, a CertiK constrói um modelo matemático do código e prova se determinadas propriedades são sempre válidas, independentemente da entrada. Seu compilador DeepSEA existe para dar suporte a isso. A verificação formal é poderosa para questões específicas, como "este saldo pode alguma vez ficar negativo?", mas ela verifica apenas as propriedades que alguém se deu ao trabalho de especificar.
A segunda etapa é a revisão manual: engenheiros humanos leem o código linha por linha, procurando erros de lógica, suposições incorretas e o tipo de erro sutil que um modelo não detectaria porque ninguém o instruiu a procurar. É aqui que a maioria das descobertas importantes são feitas. Dependendo da quantidade de código e de sua complexidade, todo o processo leva de cerca de 48 horas para algo pequeno a várias semanas para um protocolo grande.
Lendo o relatório: "resolvido" vs "reconhecido"
O produto final é um relatório. Ele classifica cada vulnerabilidade por gravidade — crítica, grave, leve e informativa — e indica o que o projeto fez a respeito. Essa última coluna é mais importante do que as pessoas imaginam. Uma descoberta marcada como "resolvida" significa que a equipe corrigiu o problema e a CertiK verificou novamente. Uma descoberta marcada como "reconhecida" significa que a equipe leu o relatório, deu de ombros e o lançou mesmo assim. Dois projetos podem exibir o mesmo selo de "resolvido", enquanto um corrigiu tudo e o outro ignorou os alertas críticos. O selo não os diferencia. O relatório, sim. É por isso que a data em um relatório é importante. O código é lançado e depois muda; uma auditoria de um ano e dez atualizações atrás descreve um projeto que pode não existir mais na blockchain na forma em que foi revisado.
| Estágio | O que a CertiK faz | Capturas | pontos cegos |
|---|---|---|---|
| Verificação formal | Demonstra matematicamente propriedades específicas do código. | Falhas matemáticas e lógicas em regras definidas | Qualquer coisa fora das propriedades especificadas. |
| Revisão manual | Os engenheiros leram o código manualmente. | Erros de lógica, suposições incorretas, padrões de ataque conhecidos | Sistemas fora da cadeia, alterações de código pós-auditoria |
| Relatório e reauditoria | Lista as descobertas por gravidade e verifica novamente as correções. | Se os problemas foram abordados | Se a equipe de fato implementou a versão corrigida. |
Skynet e a pontuação de segurança Web3 CertiK
Auditorias são instantâneos pontuais. O Skynet é a tentativa da CertiK de vender algo contínuo: um painel de controle em tempo real que monitora projetos após o lançamento e atribui a cada um uma Pontuação de Segurança. A empresa afirma monitorar mais de 20.000 projetos na blockchain.
A pontuação combina alguns fatores. Ela analisa se um projeto foi auditado, se sua equipe passou pela verificação KYC da CertiK (que possui níveis ouro, prata e bronze) e como os contratos se comportam — o Skynet analisa o comportamento dos contratos na blockchain por meio de monitoramento em tempo real e sinaliza anomalias assim que ocorrem. O Skynet também executa alertas de monitoramento na blockchain para golpes de saída e exploits, além de rankings que classificam os projetos uns contra os outros. Como um sinal à primeira vista, a pontuação do Skynet é realmente útil. É mais rápida do que ler um relatório completo e sinaliza problemas óbvios. Mas também é um produto que a CertiK vende, construído em parte com base em dados fornecidos pela CertiK, e uma pontuação alta nunca foi uma garantia de que um projeto é seguro. Considere-a como um dado, não como um veredicto. O histórico comprova isso. Projetos mantiveram pontuações respeitáveis no Skynet até o momento em que foram explorados ou abandonados silenciosamente, porque uma pontuação baseada principalmente em comportamentos passados não consegue prever uma mudança maliciosa. Ela indica que um projeto ainda não entrou em colapso. Não pode garantir que nunca irá garantir.
Além das auditorias: o restante do ecossistema da CertiK
A auditoria é o destaque, mas a CertiK oferece um conjunto mais amplo de serviços. Testes de penetração simulam ataques a carteiras, exchanges e aplicativos. Um programa de recompensas por bugs, sem custo para a plataforma, paga hackers externos para encontrarem vulnerabilidades antes que os criminosos o façam. Há também o KYC (Conheça Seu Cliente) para identificar fundadores anônimos, o SkyInsights para o trabalho de conformidade e combate à lavagem de dinheiro que empresas regulamentadas precisam cumprir sob as regulamentações MiCA e DORA, e o SkyTrace para rastrear fundos roubados em diferentes blockchains depois que algo já deu errado. Nada disso substitui a auditoria. Tudo isso complementa a auditoria, e é assim que um serviço pontual se transforma discretamente em uma assinatura que cobre toda a vida útil de um projeto descentralizado.
Auditado e depois hackeado: quando vetores de ataque escapam
Eis a parte que os tutoriais brilhantes omitem. Uma auditoria é um retrato instantâneo de um código específico em um momento específico. Não é uma garantia, e tratá-la como tal é como as pessoas perdem dinheiro em projetos que, no papel, pareciam perfeitos.
O que uma auditoria não abrange
Uma auditoria de contrato inteligente verifica o contrato em si. Ela não verifica se os fundadores possuem uma chave de administrador que lhes permita drenar o fundo. Não verifica o site, os servidores ou as chaves privadas por trás deles. Não verifica a versão do código que a equipe implanta após o término da auditoria, que pode ser diferente da versão revisada. E não pode impedir uma equipe que simplesmente decide fugir com o dinheiro. A maioria dos vetores de ataque que esvaziam um projeto não são bugs no contrato auditado. Eles residem nas brechas ao redor dele.
O caso Merlin DEX: sinalizado, mas explorado.
O Merlin DEX é o exemplo mais claro. A CertiK o auditou, e a auditoria de fato apontou o problema: os contratos do projeto eram perigosamente centralizados, com acesso privilegiado que um funcionário malicioso poderia explorar. Em abril de 2023, esse mesmo vetor foi usado para drenar aproximadamente US$ 1,82 milhão. A auditoria não estava errada; ela identificou o risco. Mas o alerta ficou na coluna de "reconhecidos" em vez da de "resolvidos", e a exploração passou direto pela brecha que o relatório já havia apontado. Detectar a falha foi a parte fácil. Agir em relação a ela era responsabilidade do cliente, e a equipe do Merlin nunca o fez.
Em uma perspectiva mais ampla, a tendência é preocupante para todo o setor. Os próprios relatórios Hack3d da CertiK mostram que as perdas estão aumentando, não diminuindo. A empresa contabilizou cerca de US$ 2,36 bilhões roubados em 760 incidentes em 2024 e cerca de US$ 3,35 bilhões em 630 incidentes em 2025 , um ano inflado pela violação de US$ 1,45 bilhão da Bybit. Dados independentes da Chainalysis apontam para roubos próximos a US$ 3,4 bilhões em 2025, dos quais aproximadamente US$ 2,02 bilhões estavam ligados a grupos associados à Coreia do Norte. Esses operadores estão cada vez mais visando as pessoas e a infraestrutura relacionadas a um contrato, em vez do próprio contrato, que é justamente o que uma auditoria não abrange. Mais auditorias não significaram menos crimes.
| Ano | Perdas relatadas | Incidentes | Maior sucesso individual |
|---|---|---|---|
| 2024 | US$ 2,36 bilhões | 760 | — |
| 2025 | US$ 3,35 bilhões | 630 | Bybit, US$ 1,45 bilhão |
O incidente do Kraken e o problema de confiança da CertiK
Para uma empresa que vende confiança, sua própria conduta faz parte do produto. Dois episódios tornaram isso constrangedor.
Em junho de 2024, pesquisadores da CertiK descobriram uma vulnerabilidade zero-day na corretora Kraken e, em vez de apenas relatá-la, a utilizaram para extrair cerca de US$ 3 milhões dos sistemas da Kraken . A CertiK apresentou o ocorrido como prova da gravidade da falha. A Kraken classificou a ação como extorsão e afirmou que a empresa inicialmente se recusou a devolver os fundos até ser pressionada. O dinheiro acabou sendo devolvido, mas o episódio ficou marcado negativamente: uma empresa de segurança explorando um cliente em larga escala para provar um ponto. Em seguida, no início de 2025, a CertiK pediu desculpas por um trabalho relacionado à Huione, uma operação cambojana posteriormente ligada a esquemas de trabalho forçado em complexos residenciais. Nada disso significa que as auditorias da CertiK sejam inúteis. Significa, sim, que uma empresa que pede ao mercado que acredite em sua palavra agora precisa reconstruir parte dessa credibilidade, e está fazendo isso enquanto, segundo relatos, se prepara para um possível IPO com uma avaliação de mercado em torno de US$ 2 bilhões.
CertiK versus outras empresas de segurança Web3
A CertiK é o nome mais conhecido em segurança blockchain, embora não seja o único, e para muitos projetos não é a escolha óbvia. O mercado de auditoria se divide basicamente entre grandes empresas e boutiques. As empresas boutique atendem menos clientes e tendem a se aprofundar mais, e muitas estabelecem seus próprios padrões de segurança que excedem a capacidade de implementação de uma empresa de grande volume. Protocolos que lidam com quantias significativas de dinheiro frequentemente pagam por uma segunda opinião de uma dessas empresas justamente por esse motivo. Escala e profundidade não são a mesma coisa, e a escolha certa depende da sua fase de desenvolvimento e do seu orçamento. Os preços refletem essa variação: uma auditoria de um token pequeno pode custar alguns milhares de dólares, enquanto uma revisão completa de um protocolo complexo pode chegar a valores de seis dígitos.
| Empresa | Foco | Conhecido por | Modelo |
|---|---|---|---|
| CertiK | Ampla segurança da Web3 | Volume, Skynet, reconhecimento de marca | Escala |
| Trilha de Bits | Segurança de alta confiabilidade | Revisão detalhada do manual, pesquisa | Boutique |
| OpenZeppelin | Segurança de contratos inteligentes | Bibliotecas de contratos amplamente utilizadas | Boutique |
| Halborn | Blockchain e segurança de infraestrutura | Testes de penetração, explorações avançadas | Tamanho médio |
| Hacken | Auditorias e monitoramento da Web3 | Auditorias com boa relação custo-benefício | Tamanho médio |
Como ler o selo "Auditado pela CertiK"
Então você vê "Auditado pela CertiK" em um projeto. Antes de confiar nisso, abra o relatório e verifique cinco coisas. Primeiro, o escopo: quais contratos foram revisados e a parte que detém seu dinheiro está incluída? Segundo, a data e o hash do commit; compare-os com o código que está em produção, pois frequentemente divergem. Terceiro, as constatações: quantas foram críticas e foram resolvidas ou apenas reconhecidas? Quarto, verifique se a versão auditada é a versão implantada. Quinto, não confie apenas na pontuação do Skynet; ela é um resumo, não o documento completo.
Um breve esclarecimento sobre os tickers, pois as pessoas os confundem. A CertiK, como empresa, é privada e não possui ações. CTK é o token da Shentu Chain, uma rede de prova de participação (proof-of-stake) independente, ligada aos primeiros trabalhos da CertiK. Comprar CTK não significa comprar uma participação no negócio de auditoria. Se você veio procurando por "ações da CertiK", elas ainda não existem.
Qual o verdadeiro valor de uma auditoria CertiK?
Então, uma auditoria da CertiK tem algum valor? Sim, dentro de certos limites. Ela eleva o padrão mínimo. Elimina códigos mal elaborados, documenta riscos reais e entrega a uma equipe séria uma lista de pendências para resolver. O que ela não pode fazer é garantir a competência das pessoas. Não promete que o código implantado corresponde ao que foi revisado, ou que um único risco sinalizado foi de fato corrigido. Considere o selo como o início da sua diligência, não a linha de chegada. Portanto, da próxima vez que você vir "Auditado pela CertiK", faça o que quase ninguém faz: abra o relatório e leia a coluna que indica o que foi corrigido. E se o projeto se recusar a mostrar o relatório? Essa relutância é a resposta. Um selo que você não pode verificar é apenas um logotipo.
