Quanto custa uma auditoria de smart contract?
Resposta direta
Uma auditoria de smart contract custa, no mercado global (preços cotados em USD, padrão do setor Web3), de US$ 5.000 a US$ 250.000 por engajamento — a maioria dos protocolos DeFi fica entre US$ 25.000 e US$ 100.000. O preço é dirigido principalmente pelo tamanho do código (nSLOC, linhas de código sem comentários), pela complexidade da lógica e pela profundidade dos métodos usados (análise manual + verificação formal + fuzzing + reteste pós-correção). Um ERC-20 simples sai por US$ 5.000–20.000; um DeFi de média complexidade, US$ 40.000–100.000; multi-chain enterprise, US$ 150.000+. Não existe número único: o valor final só sai depois que o fornecedor lê o repositório no commit que vai para produção. Regra prática: oriente o orçamento pelo valor que o contrato vai custodiar (TVL), não pelo menor preço — uma auditoria barata e rasa pode custar o protocolo inteiro, já que um único exploit drena todo o saldo on-chain de uma vez, sem estorno.
Em resumo
- ›Não há preço de tabela: o custo é dirigido por tamanho do código (nSLOC), complexidade da lógica, linguagem/cadeia, profundidade da análise (manual + formal + fuzzing), reteste pós-correção, urgência e reputação do auditor — peça orçamento sobre o commit exato que vai para produção.
- ›Faixas de mercado (USD, padrão Web3): ERC-20/NFT simples US$ 5–20 mil; DeFi médio US$ 40–100 mil; protocolo complexo/multi-chain US$ 150 mil+. Reteste pós-correção: US$ 5–20 mil por rodada; urgência adiciona 20–40%.
- ›Linguagem importa no preço por escassez de auditores: Rust/Solana cobram tipicamente 25–40% a mais que Solidity; Cairo e Move, 30–45%; circuitos ZK, 80–120% acima do baseline EVM.
- ›Auditoria barata é a mais cara que existe: na edição 2025 do OWASP Smart Contract Top 10, o controle de acesso (SC01) respondeu sozinho por ~US$ 953 milhões em perdas (dados de incidentes de 2024); um exploit drena o TVL inteiro em uma transação, sem chance de estorno.
- ›Um bom relatório entrega: escopo com commit hash, severidade por impacto/probabilidade (espírito do CVSS), prova de conceito (PoC) de cada falha, mapeamento ao OWASP Smart Contract Top 10, recomendação de correção e — fundamental — a carta de reteste confirmando o que foi remediado.
- ›Não confunda auditoria com pentest de exchange/custódia: a auditoria revisa o código on-chain; o pentest ofensivo testa a infraestrutura, chaves e operação off-chain — e em 2025 boa parte das maiores perdas veio justamente do off-chain (o hack da Bybit, US$ 1,5 bi, foi comprometimento operacional, não bug de contrato).
O que você está comprando (e por que isso define o preço)
Antes de discutir números, vale alinhar o que é uma auditoria de smart contract. Não é uma varredura automática de cinco minutos, nem um selo. É uma revisão de segurança conduzida por especialistas humanos sobre o código que vai rodar de forma imutável na blockchain, controlando dinheiro real. O entregável é um relatório que lista cada vulnerabilidade encontrada, sua severidade, como explorá-la (prova de conceito) e como corrigi-la — seguido de um reteste que confirma se as correções funcionaram. O preço varia tanto porque o que se compra varia tanto: revisar um token ERC-20 de 200 linhas é fundamentalmente diferente de auditar um protocolo de empréstimos com oráculos, governança e pontes cross-chain.
A razão pela qual smart contracts justificam auditoria cara e dedicada é a sua característica mais perigosa: imutabilidade e custódia direta de fundos. Um aplicativo web comum com um bug pode ser corrigido com um deploy às pressas; um smart contract, uma vez publicado, frequentemente não pode ser alterado — e ele segura o dinheiro dos usuários diretamente, sem banco intermediário, sem chargeback, sem suporte para reverter. Quando alguém explora a falha, o saldo sai da carteira do contrato em uma única transação e cai em um endereço do atacante, normalmente para nunca mais voltar. Não existe 'ligar para o banco e cancelar'.
Isso muda a economia da decisão de compra. Em segurança de aplicação tradicional, você pondera o custo do teste contra a probabilidade e o impacto de um incidente. Em Web3, o impacto de um único bug crítico é, com frequência, 100% do TVL (Total Value Locked, o valor total bloqueado no contrato). Se o seu protocolo vai custodiar US$ 10 milhões, economizar US$ 30 mil em uma auditoria rasa para depois perder os US$ 10 milhões não é economia — é a pior alocação de capital possível. O preço da auditoria deve ser lido como uma fração do que ela protege, não como uma despesa isolada de TI.
Os fatores que determinam o preço, um a um
O primeiro e mais importante fator é o tamanho do código, medido em nSLOC (non-comment source lines of code — linhas de código-fonte sem comentários). Quase todo auditor e plataforma precifica por nSLOC, porque ele aproxima o tempo de leitura humana. As referências de mercado mapeiam tamanho para prazo de forma quase linear: cerca de 500 nSLOC consomem ~3 dias de auditoria; 3.000 nSLOC, ~18 dias; 6.000 nSLOC, ~38 dias. Como o custo é majoritariamente horas-especialista, o preço escala junto. Por isso a primeira pergunta honesta de qualquer fornecedor sério é 'quantas nSLOC tem no escopo?' — e por que você deve enviar o repositório (ou o commit hash exato) para receber um orçamento real, não um chute.
O segundo fator é a complexidade da lógica, que não é capturada só pelo número de linhas. Mil linhas de um token padrão são triviais; mil linhas de um AMM com matemática de curvas, rebase e hooks são um pesadelo. Lógica de negócio sofisticada — empréstimos colateralizados, oráculos de preço, governança, staking, pontes cross-chain, contratos atualizáveis via proxy — multiplica o número de estados possíveis e de interações entre contratos, que é exatamente onde moram as falhas mais caras. Na edição 2025 do OWASP Smart Contract Top 10, a manipulação de oráculo de preço (SC02) e os erros de lógica de negócio (SC03) aparecem no topo justamente porque essas falhas passam por checagens de baixo nível corretas e ainda assim permitem extração de valor.
O terceiro fator é a linguagem e a cadeia. Solidity (EVM) é o baseline porque tem o maior pool de auditores. Tudo que foge dele cobra prêmio por escassez de especialistas: Rust/Solana custa tipicamente 25–40% a mais; Cairo (StarkNet) e Move (Sui/Aptos), 30–45% a mais; e circuitos de conhecimento-zero (ZK) chegam a 80–120% acima do baseline EVM, porque exigem auditores que entendem criptografia avançada além de programação. Trate esses prêmios como ordens de grandeza, não como tabela: o multiplicador real depende da firma e da oferta de especialistas naquele momento. O quarto fator é a profundidade dos métodos: uma revisão só manual é mais barata e mais rasa; somar verificação formal (provar matematicamente propriedades do contrato), fuzzing (bombardear o código com entradas aleatórias para achar estados quebrados) e teste de invariantes encarece, mas é o que separa uma auditoria de prateleira de uma à altura de um protocolo que segura milhões.
O quinto fator é o reteste pós-correção (re-audit), que muita gente esquece de orçar e que custa tipicamente US$ 5.000–20.000 por rodada. Não é opcional: corrigir um bug pode introduzir outro, e sem o reteste você está fazendo deploy de código que ninguém validou depois da última mudança. O sexto é a urgência — pedir resultado em uma semana em vez de quatro adiciona tipicamente 20–40% ao valor, porque obriga o fornecedor a remanejar equipe. E o sétimo é a reputação e o histórico do auditor: firmas e pesquisadores com track record comprovado, com vulnerabilidades reais documentadas e nome em jogo, cobram mais — e entregam um nível de rigor (e de credibilidade perante investidores e usuários) que justifica a diferença.
Vai lançar ou já opera um protocolo, exchange ou tesouro on-chain? A Decripte cobre o ciclo inteiro de segurança Web3: auditoria de smart contract do código on-chain em /plano/web3-security, teste ofensivo de infraestrutura, chaves e custódia off-chain em /plano/seguranca-ofensiva, e monitoramento contínuo de ameaças e exposição de credenciais no /intelligence-center. Envie o commit hash do que vai para produção e receba um orçamento real — dimensionado ao seu nSLOC e ao seu TVL, não um número cego.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
Faixas reais de preço por complexidade e escopo
A tabela de referência traz faixas honestas do mercado, em dólares — moeda padrão de cotação no setor Web3, mesmo para projetos brasileiros, porque o pool de auditores é global e os times de elite cobram em USD. Trate esses valores como pontos de partida para dimensionar seu orçamento, não como tabela fixa: o preço final sempre depende do escopo exato (nSLOC, linguagem, profundidade, prazo). Um número fechado só sai depois que o fornecedor lê o repositório no commit que vai para produção. Desconfie de qualquer cotação 'cega' que chegue antes disso — um preço dado sem ver o código é marketing, não orçamento.
Note que a maioria dos protocolos DeFi de média complexidade — o caso mais comum de quem está lendo isto — aterrissa entre US$ 25.000 e US$ 100.000 para a auditoria inicial, e uma reserva prudente para 2026 é separar US$ 60.000–120.000 já incluindo pelo menos uma rodada de reteste. Quando o orçamento aperta, o erro clássico é cortar a profundidade (tirar fuzzing e verificação formal) ou pular o reteste. Os dois cortes atacam exatamente as etapas que pegam os bugs mais caros. Se o orçamento não comporta a auditoria que o seu TVL exige, a resposta certa raramente é uma auditoria pior — é reduzir a superfície (lançar com TVL limitado, com timelock e com circuit breakers) até poder pagar a revisão à altura.
Vale também separar 'auditoria' de 'pré-auditoria' ou 'revisão rápida'. Uma pré-auditoria de um contrato de 500 linhas pode sair por US$ 1.500–3.000 e serve para pegar o óbvio antes da auditoria de verdade — mas não substitui a auditoria completa, e apresentá-la como tal a investidores ou usuários é, na melhor das hipóteses, enganoso. Programas de bug bounty (recompensa por falhas encontradas pela comunidade) e auditorias em formato de concurso são complementos válidos depois do lançamento, não substitutos da auditoria inicial dirigida ao seu código antes do deploy.
Por que a auditoria barata é a mais cara que existe
A tentação de pegar o orçamento mais baixo é compreensível, e quase sempre é um erro de cálculo. Os dados do setor deixam isso brutalmente claro. Segundo a Chainalysis, o roubo de criptoativos somou cerca de US$ 2,2 bilhões em 2024 e ultrapassou US$ 3,4 bilhões em 2025 — um recorde histórico. No nível da falha de código, a edição 2025 do OWASP Smart Contract Top 10 (compilada a partir de incidentes documentados em 2024) mostra que a categoria de controle de acesso (SC01) sozinha respondeu por aproximadamente US$ 953 milhões em perdas; erros de lógica de negócio, ~US$ 63,8 milhões; reentrância, ~US$ 35,7 milhões; ataques via flash loan, ~US$ 33,8 milhões. São exatamente as classes de bug que uma auditoria profunda encontra e uma rasa deixa passar.
A assimetria é o ponto central. Uma falha de controle de acesso — uma função privilegiada que qualquer um pode chamar, um proxy mal configurado, um inicializador que pode ser reexecutado — não dá um prejuízo proporcional ao bug. Ela dá 100% do contrato. O atacante não 'arranha' o protocolo; ele o esvazia. E como a transação é on-chain, final e irreversível, não há SLA de incidente, não há restauração de backup, não há negociação com a operadora de cartão. O dinheiro vira embora e, segundo a Chainalysis, flui imediatamente para lavagem via outros protocolos DeFi — que foram a rota de entrada de lavagem com maior crescimento (+370%) nos primeiros dias após os grandes roubos do período.
Há ainda o custo que não aparece no balanço: a confiança. Um protocolo que sofre exploit perde não só o TVL daquele momento, mas a credibilidade que sustentava o TVL futuro. Usuários saem, parceiros recuam, listagens travam, e o time gasta meses em pós-morte, comunicação de crise e, muitas vezes, tentativa de reembolso do próprio bolso. Some tudo e a 'economia' de US$ 50 mil em uma auditoria adequada vira um prejuízo de sete ou oito dígitos. A leitura honesta é simples: o preço da auditoria certa é sempre uma fração do preço de não ter feito a auditoria certa.
Sem cartão, sem compromisso — entenda o seu risco real antes de investir.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
O que um bom relatório de auditoria entrega
Saber o que um bom relatório contém é a sua melhor defesa contra pagar caro por pouco. Primeiro, um escopo explícito e verificável: quais arquivos e qual commit hash foram auditados. Isso parece óbvio, mas é onde fornecedores fracos escorregam — auditam um commit e o time faz deploy de outro. O relatório precisa fixar exatamente o que foi olhado, para que ninguém possa alegar cobertura que não existiu.
Segundo, cada achado deve trazer severidade classificada (crítica/alta/média/baixa/informativa, idealmente ancorada em impacto e probabilidade, no espírito do CVSS), uma descrição técnica precisa, uma prova de conceito (PoC) demonstrando a exploração — não apenas 'isto parece arriscado', mas o passo a passo que drena os fundos — e uma recomendação de correção acionável. O bom relatório também mapeia os achados a um referencial reconhecido, como o OWASP Smart Contract Top 10. Na edição 2025, a ordem é SC01 controle de acesso, SC02 manipulação de oráculo de preço, SC03 erros de lógica, SC04 falta de validação de entrada, SC05 reentrância, SC06 chamadas externas não verificadas, SC07 flash loans, SC08 overflow/underflow de inteiros, SC09 aleatoriedade insegura e SC10 negação de serviço — esse mapeamento permite a qualquer terceiro auditar a auditoria.
Terceiro, e mais importante para a decisão de compra: a carta de reteste (re-audit). Um relatório que lista 12 problemas e termina ali está pela metade. O entregável completo inclui uma segunda rodada, depois que o seu time corrigiu, confirmando achado por achado o que foi remediado, o que foi mitigado parcialmente e o que o time decidiu aceitar como risco residual (com justificativa). É essa carta final, e não o relatório inicial, que você mostra a investidores, parceiros e usuários. Sem ela, você tem um diagnóstico — não uma garantia de que o paciente foi tratado.
Por fim, transparência e reputação verificável. Bons auditores publicam relatórios anteriores, têm vulnerabilidades reais documentadas em seu nome e topam que o relatório final seja público. Desconfie de fornecedores que oferecem 'selo' sem relatório, que se recusam a divulgar o escopo, ou que prometem 'aprovação garantida' — auditoria séria não promete aprovação, promete rigor; e um relatório que não encontra nada em um protocolo complexo é, por si só, motivo de suspeita, não de comemoração.
Como contratar bem: dimensionando e comparando fornecedores
Comece dimensionando o seu próprio escopo antes de pedir cotação, para conversar de igual para igual. Conte as nSLOC do que realmente vai para produção (ferramentas como o solidity-metrics ou o cloc resolvem), liste a linguagem/cadeia, identifique se há lógica de alto risco (oráculos, governança, pontes, proxies atualizáveis) e estime o TVL-alvo. Esses quatro números — tamanho, linguagem, complexidade e valor protegido — definem a maior parte do preço e permitem que você compare propostas sobre a mesma base, em vez de comparar maçãs com laranjas.
Ao comparar fornecedores, peça sempre: dois ou três relatórios anteriores de complexidade parecida com a sua; a metodologia explícita (só manual? manual + fuzzing + verificação formal?); quem exatamente vai auditar (o sênior que vendeu ou um júnior que ninguém viu?); o prazo realista; e se o reteste está incluído ou é cobrado à parte. Um diferencial honesto: pergunte por achados críticos reais que eles encontraram em auditorias passadas. Quem tem track record responde com exemplos concretos; quem vende selo desconversa. Cotações muito abaixo da faixa de mercado para o seu nSLOC não são pechincha — são sinal de profundidade insuficiente ou de subcontratação opaca.
Por fim, encaixe a auditoria no ciclo de segurança certo, porque ela sozinha não cobre tudo. A auditoria de smart contract olha o código on-chain — mas, como os próprios dados da Chainalysis mostram, boa parte das maiores perdas de 2025 veio de fora do contrato: comprometimento de chaves privadas, sequestro de multisig, ataques de cadeia de suprimentos, phishing de operadores e malware drenador. O maior roubo da história até aqui, o da Bybit (US$ 1,5 bilhão, em fevereiro de 2025), não foi um bug de smart contract — foi comprometimento do processo operacional de assinatura. Por isso a Decripte trata a segurança Web3 como um conjunto. Para o código on-chain, a frente é a auditoria de smart contract em /plano/web3-security. Para a infraestrutura, custódia, gestão de chaves e a operação da exchange ou do tesouro, entra o teste ofensivo em /plano/seguranca-ofensiva, que ataca justamente os vetores off-chain que a auditoria de código não enxerga. E para monitoramento contínuo de ameaças, exposição de credenciais e atividade suspeita ligada ao seu protocolo, equipe e endereços on-chain, o /intelligence-center fecha o ciclo entre o deploy auditado e a operação do dia a dia.
Faixas de preço de auditoria de smart contract por porte e escopo (USD, 2025–2026)
| Tipo de projeto | Faixa de preço (auditoria inicial) | O que costuma incluir | Principal driver de custo |
|---|---|---|---|
| Pré-auditoria / revisão rápida (~500 linhas) | US$ 1.500–3.000 | Varredura do óbvio; NÃO substitui auditoria completa | Tempo curto; superficial por definição |
| ERC-20 / NFT simples | US$ 5.000–20.000 | Revisão manual de código padrão, baixo nº de estados | nSLOC pequeno; lógica trivial |
| DeFi de média complexidade | US$ 40.000–100.000 | Manual + fuzzing; oráculos, staking, governança | Complexidade da lógica e interações entre contratos |
| Protocolo complexo / multi-chain / enterprise | US$ 150.000+ | Manual + fuzzing + verificação formal; pontes, proxies | Tamanho + complexidade + profundidade exigida |
| Linguagem não-EVM (Rust/Solana, Cairo, Move, ZK) | +25% a +120% sobre o baseline EVM | Mesmo escopo, especialistas escassos | Escassez de auditores na linguagem/cadeia |
| Reteste pós-correção (re-audit) | US$ 5.000–20.000 por rodada | Confirmação achado a achado das correções | Obrigatório; muitas vezes cobrado à parte |
| Urgência (prazo apertado) | +20% a +40% sobre a base | Remanejamento de equipe para entrega rápida | Prioridade sobre outros engajamentos |
Termos-chave
- nSLOC (non-comment source lines of code)
- Linhas de código-fonte sem comentários nem linhas em branco. É a unidade-padrão de precificação de auditorias, porque aproxima o tempo de leitura humana do código. Referência de mercado: ~500 nSLOC ≈ 3 dias de auditoria; ~3.000 nSLOC ≈ 18 dias; ~6.000 nSLOC ≈ 38 dias.
- TVL (Total Value Locked)
- Valor total bloqueado/custodiado por um smart contract ou protocolo. É a métrica que deve ancorar o orçamento de auditoria: o impacto de um único bug crítico costuma ser 100% do TVL, então o preço da revisão deve ser lido como fração do que ela protege.
- Reteste pós-correção (re-audit)
- Segunda rodada de revisão feita depois que o time corrigiu os achados, confirmando, item por item, o que foi remediado, mitigado parcialmente ou aceito como risco residual. Custa tipicamente US$ 5.000–20.000 por rodada. É a carta final que se mostra a investidores e usuários — sem ela você tem diagnóstico, não garantia de tratamento.
- Prova de conceito (PoC)
- Demonstração executável de como uma vulnerabilidade é explorada — o passo a passo que efetivamente drena ou manipula os fundos, não apenas a observação de que 'parece arriscado'. Um achado sem PoC é uma suspeita; com PoC, é uma falha comprovada.
- OWASP Smart Contract Top 10
- Referencial público das dez classes de falha mais críticas em contratos inteligentes. Na edição 2025: SC01 controle de acesso, SC02 manipulação de oráculo de preço, SC03 erros de lógica, SC04 falta de validação de entrada, SC05 reentrância, SC06 chamadas externas não verificadas, SC07 flash loans, SC08 overflow/underflow, SC09 aleatoriedade insegura e SC10 negação de serviço. Um bom relatório mapeia cada achado a essas categorias.
- Verificação formal
- Método que prova matematicamente que o contrato satisfaz propriedades definidas (ex.: 'o saldo total nunca pode diminuir sem uma retirada autorizada'). Encarece a auditoria, mas é o que pega classes de bug que testes e revisão manual deixam passar.
- Fuzzing / teste de invariantes
- Técnica que bombardeia o contrato com milhares de entradas e sequências aleatórias para encontrar estados que violam invariantes (regras que deveriam valer sempre). Complementa a revisão manual e é decisivo em lógica financeira complexa, como AMMs e protocolos de empréstimo.
Como decidir e contratar bem
- Dimensione o escopo antes de cotar: conte as nSLOC do que vai para produção (solidity-metrics ou cloc), anote a linguagem/cadeia, marque a lógica de alto risco (oráculos, governança, pontes, proxies) e estime o TVL-alvo.
- Use as faixas de mercado para calibrar a expectativa, não para fechar preço: ERC-20 simples US$ 5–20 mil, DeFi médio US$ 40–100 mil, complexo/multi-chain US$ 150 mil+ — e reserve US$ 5–20 mil por rodada de reteste.
- Envie sempre o repositório no commit hash exato que irá para produção e recuse cotações 'cegas' dadas sem ver o código.
- Peça a cada fornecedor: 2–3 relatórios anteriores de complexidade parecida, a metodologia explícita (manual + fuzzing + verificação formal?), quem exatamente vai auditar e achados críticos reais que já encontraram.
- Confirme por escrito se o reteste pós-correção está incluído ou é cobrado à parte — e jamais faça deploy sem a carta de reteste validando as correções.
- Compare propostas sobre a mesma base (nSLOC, linguagem, profundidade, prazo) e desconfie de cotações muito abaixo da faixa para o seu tamanho: costumam significar profundidade insuficiente ou subcontratação opaca.
- Se o orçamento não cobre a auditoria que o TVL exige, reduza a superfície (TVL limitado, timelock, circuit breakers) em vez de comprar uma auditoria mais rasa.
- Trate a auditoria on-chain (/plano/web3-security) como uma frente de um conjunto: contrate também o teste ofensivo (/plano/seguranca-ofensiva) para chaves, custódia e operação off-chain, e monitoramento contínuo (/intelligence-center) para ameaças e exposição de credenciais.
Perguntas frequentes
Quanto custa, na média, auditar um smart contract?
Não há média única útil — depende do tamanho do código (nSLOC), da linguagem, da complexidade e da profundidade. As faixas de mercado (em USD, padrão Web3): ERC-20/NFT simples US$ 5.000–20.000; DeFi de média complexidade US$ 40.000–100.000; protocolo complexo ou multi-chain US$ 150.000+. A maioria dos projetos DeFi fica entre US$ 25.000 e US$ 100.000 na auditoria inicial. O número fechado só sai depois que o fornecedor lê o repositório no commit que vai para produção.
Por que cobram em dólar, mesmo para projetos brasileiros?
Porque o mercado de auditoria Web3 é global e os times de elite — pesquisadores, firmas e plataformas de auditoria — cotam e cobram em USD. O custo é majoritariamente horas de especialistas escassos, e esses especialistas não estão presos a um país. Para um projeto brasileiro, isso significa orçar em dólar e considerar o câmbio no planejamento, não esperar uma 'tabela em reais' mais barata.
O que faz o preço subir tanto entre um token simples e um protocolo DeFi?
Três coisas, principalmente: o tamanho (nSLOC), a complexidade da lógica e a profundidade exigida. Um ERC-20 padrão tem poucos estados possíveis; um protocolo com oráculos, governança, staking e pontes cross-chain multiplica os estados e as interações entre contratos — que é onde moram as falhas mais caras (manipulação de oráculo e erros de lógica de negócio). Lógica complexa também exige fuzzing, teste de invariantes e, às vezes, verificação formal, que encarecem mas pegam os bugs que a revisão manual deixa passar.
O reteste pós-correção está sempre incluído no preço?
Não — e essa é uma das armadilhas mais comuns. Muitos fornecedores cotam só a auditoria inicial e cobram o reteste à parte, tipicamente US$ 5.000–20.000 por rodada. O reteste não é opcional: corrigir um bug pode introduzir outro, e sem a segunda rodada você faz deploy de código que ninguém validou depois da última mudança. Confirme por escrito antes de assinar se o re-audit está incluído.
Auditoria de smart contract é a mesma coisa que pentest de exchange ou custódia?
Não, e confundir os dois é perigoso. A auditoria revisa o código on-chain que roda na blockchain. O pentest ofensivo testa a infraestrutura off-chain: servidores, APIs, gestão de chaves privadas, multisig, processos operacionais e pessoas. Em 2025, boa parte das maiores perdas veio do off-chain — o roubo da Bybit (US$ 1,5 bilhão) foi comprometimento do processo de assinatura, não bug de contrato. Um protocolo sério faz as duas frentes: auditoria em /plano/web3-security e teste ofensivo em /plano/seguranca-ofensiva.
Uma auditoria barata não resolve? Por que pagar mais?
Porque em Web3 a economia é assimétrica: um único bug crítico costuma custar 100% do TVL, e a transação on-chain é final e irreversível — não há estorno, backup ou negociação com banco. Na edição 2025 do OWASP Smart Contract Top 10 (dados de incidentes de 2024), só a categoria de controle de acesso respondeu por ~US$ 953 milhões em perdas. Economizar US$ 30–50 mil cortando profundidade ou reteste para depois perder milhões é a pior alocação de capital possível. O preço da auditoria certa é sempre uma fração do prejuízo de não tê-la feito.
E a LGPD? Uma auditoria de smart contract cobre minha exposição regulatória no Brasil?
Não diretamente. A auditoria de smart contract é sobre o código on-chain e seu risco financeiro/de exploit, não sobre proteção de dados pessoais. A LGPD trata de dados pessoais e suas sanções são aplicadas pela ANPD: pelo art. 52, a multa simples é de até 2% do faturamento da empresa no Brasil (excluídos tributos), limitada a R$ 50 milhões por infração. Se o seu projeto coleta dados de usuários (KYC, e-mails, carteiras associadas a identidade), essa exposição é tratada em frentes de governança e privacidade, separadas da auditoria de contrato.
Como sei se um fornecedor é bom antes de contratar?
Peça relatórios anteriores de complexidade parecida com a sua, a metodologia explícita (manual + fuzzing + verificação formal), quem exatamente vai auditar (sênior ou júnior), o prazo realista e se o reteste está incluído. Pergunte por achados críticos reais que já encontraram — quem tem track record dá exemplos concretos; quem vende selo desconversa. E desconfie de duas coisas: cotações muito abaixo da faixa de mercado para o seu nSLOC, e qualquer promessa de 'aprovação garantida'. Auditoria séria promete rigor, não aprovação.
Referências
- ›Chainalysis — 2025 Crypto Theft Reaches $3.4 Billion (e $2,2 bi em 2024; rota de lavagem via DeFi +370%; Bybit US$ 1,5 bi) — https://www.chainalysis.com/blog/crypto-hacking-stolen-funds-2026/
- ›OWASP Smart Contract Top 10 (edição 2025) — ordem das categorias SC01–SC10 — https://scs.owasp.org/sctop10/archive/2025/Top10:2025/
- ›OWASP / SolidityScan Web3HackHub — perdas por categoria em 2024 (SC01 US$ 953,2M; lógica US$ 63,8M; reentrância US$ 35,7M; flash loan US$ 33,8M) — https://owasp.org/www-project-smart-contract-top-10/2025/en/src/SC01-access-control.html
- ›Sherlock — Smart Contract Audit Pricing: A Market Reference for 2026 (faixas, nSLOC→prazo, reteste, urgência) — https://sherlock.xyz/post/smart-contract-audit-pricing-a-market-reference-for-2026
- ›LGPD — Lei nº 13.709/2018, art. 52 (multa simples até 2% do faturamento no Brasil, excluídos tributos, limitada a R$ 50 milhões por infração) — https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
Como a Decripte resolve isso
Do diagnóstico gratuito ao serviço gerenciado — escolha o ponto de entrada certo.
Vai lançar ou já opera um protocolo, exchange ou tesouro on-chain? A Decripte cobre o ciclo inteiro de segurança Web3: auditoria de smart contract do código on-chain em /plano/web3-security, teste ofensivo de infraestrutura, chaves e custódia off-chain em /plano/seguranca-ofensiva, e monitoramento contínuo de ameaças e exposição de credenciais no /intelligence-center. Envie o commit hash do que vai para produção e receba um orçamento real — dimensionado ao seu nSLOC e ao seu TVL, não um número cego.
Comece de graça com a Gestão de Ameaças e veja o que já está exposto. Evolua para os planos gerenciados quando fizer sentido — sem montar um time interno.
