Voltar as noticias
Agradecimento a @rushabdev - A revisão mais útil que o MarketNow recebeu
Casos de UsoMediaEN

Agradecimento a @rushabdev - A revisão mais útil que o MarketNow recebeu

Dev.to - MCP·14 de julho de 2026

Na semana passada, @rushabdev se ofereceu para revisar duas das partes mais sensíveis do MarketNow: o sistema de pagamento (USDC na Base + mandatos ACP/AP2) e o pipeline de auditoria Sentinel (L1.5 → L2.5).

Ele retornou com 11 descobertas. Todas reproduzidas. Todas reais. Sem enrolação.

Severidade Contagem Exemplo
ALTA 1 README afirmava "10/10" enquanto apenas os resultados L1.5 foram realmente comprometidos
MÉDIA 4 txHash bloqueia, mas o gasto falha → o usuário pode perder USDC; chamadas de mandatos internos pela internet pública; CORS * no endpoint de auditoria; process.env sinalizado como malicioso (falsos positivos)
BAIXA 6 asset_type: 'native_token' deveria ser 'erc20'; assinaturas EIP-191 armazenadas publicamente; limite de leitura de arquivo de 50KB; conflito de pontuação de habilidades duplicadas; writeDB() não importado; regex secreto corresponde aos exemplos do README

O que estou fazendo com as descobertas

A ALTA foi corrigida em 24 horas. O README agora reflete o que realmente foi comprometido — sem mais a afirmação de 10/10 sem evidências de L2/L2.5 para respaldá-la. As 5 descobertas de pagamento estão na fila de correção ativa. As 6 descobertas do Sentinel informam a próxima iteração do analisador estático (especialmente o padrão de falso positivo de process.env, que é um problema real para qualquer scanner de código JS).

Sobre a linha de "relação paga"

Genuinamente apreciado. Quero ser direto com você e com qualquer um que esteja lendo isso:

MarketNow está pré-receita. Cada implantação no Vercel, cada publicação no npm, cada execução de teste gVisor é por conta própria. Não há dinheiro de VC, não há runway, não há clientes pagando ainda. As 46 mil solicitações no Vercel no mês passado foram crawlers, agentes sondando /api/manifest, e um punhado de humanos curiosos — não clientes pagantes.

Então, quando houver atividade real no mercado — agentes realmente comprando habilidades, mandatos realmente sendo gastos, USDC realmente fluindo — você será a primeira pessoa que eu contatarei sobre um engajamento formal. Até lá, a porta está aberta de ambas as maneiras:

  • Se você quiser continuar explorando o sandbox, a camada de criptomoeda ATC, ou o proxy de saída, eu lerei cada palavra que você escrever.
  • Se você preferir esperar até que haja um orçamento, isso também é completamente compreendido.

Sem recompensas prometidas. Sem retentores pendurados. Apenas: obrigado pelo trabalho que você já fez, e você está no radar.

Por que estou postando isso publicamente em vez de enviar uma DM

Duas razões:

  1. Crédito onde é devido. Uma revisão pro bono que encontra uma ALTA não deve desaparecer em um thread de mensagem privada. O nome de rushabdev agora está em /trust como revisor par da comunidade, e as 11 descobertas são um registro público.
  2. O padrão importa. Se o MarketNow vai reivindicar "camada de confiança para comércio de agentes", então como tratamos as pessoas que auditam nosso código É o produto. Ignorar, esconder ou subpagar revisores seria exatamente o oposto da confiança.

O que vem a seguir

  • Todas as 11 descobertas estão rastreadas na fila interna de correção.
  • A página /trust agora lista @rushabdev como revisor par da comunidade (Julho de 2026).
  • O pipeline Sentinel recebe uma iteração v2.1 para abordar os padrões de falso positivo que ele sinalizou.
  • O sistema de pagamento recebe uma passagem de endurecimento antes que qualquer USDC real toque o caminho de mandato spend.

Se você está construindo em MCP / comércio de agentes / pesquisa de segurança e quer explorar o código, tudo é público: github.com/edgarfloresguerra2011-a11y/marketnow. Descobertas são bem-vindas. Sem promessa de pagamento, mas cada descoberta será lida, reproduzida e creditada.

Edison Flores, AliceLabs LLC — MarketNow.site

Contexto Triplo Up

O artigo ilustra a importância da revisão de código em sistemas de pagamento, essencial para a segurança em transações digitais. Empresas brasileiras devem considerar auditorias rigorosas para garantir a confiança em suas plataformas, especialmente em um cenário de crescente uso de agentes de IA.

Noticias relacionadas

Gostou do conteudo?

Receba toda semana as principais novidades sobre WebMCP.