
Agradecimento a @rushabdev - A revisão mais útil que o MarketNow recebeu
Na semana passada, @rushabdev se ofereceu para revisar duas das partes mais sensíveis do MarketNow: o sistema de pagamento (USDC na Base + mandatos ACP/AP2) e o pipeline de auditoria Sentinel (L1.5 → L2.5).
Ele retornou com 11 descobertas. Todas reproduzidas. Todas reais. Sem enrolação.
| Severidade | Contagem | Exemplo |
|---|---|---|
| ALTA | 1 | README afirmava "10/10" enquanto apenas os resultados L1.5 foram realmente comprometidos |
| MÉDIA | 4 | txHash bloqueia, mas o gasto falha → o usuário pode perder USDC; chamadas de mandatos internos pela internet pública; CORS * no endpoint de auditoria; process.env sinalizado como malicioso (falsos positivos) |
| BAIXA | 6 |
asset_type: 'native_token' deveria ser 'erc20'; assinaturas EIP-191 armazenadas publicamente; limite de leitura de arquivo de 50KB; conflito de pontuação de habilidades duplicadas; writeDB() não importado; regex secreto corresponde aos exemplos do README |
O que estou fazendo com as descobertas
A ALTA foi corrigida em 24 horas. O README agora reflete o que realmente foi comprometido — sem mais a afirmação de 10/10 sem evidências de L2/L2.5 para respaldá-la. As 5 descobertas de pagamento estão na fila de correção ativa. As 6 descobertas do Sentinel informam a próxima iteração do analisador estático (especialmente o padrão de falso positivo de process.env, que é um problema real para qualquer scanner de código JS).
Sobre a linha de "relação paga"
Genuinamente apreciado. Quero ser direto com você e com qualquer um que esteja lendo isso:
MarketNow está pré-receita. Cada implantação no Vercel, cada publicação no npm, cada execução de teste gVisor é por conta própria. Não há dinheiro de VC, não há runway, não há clientes pagando ainda. As 46 mil solicitações no Vercel no mês passado foram crawlers, agentes sondando /api/manifest, e um punhado de humanos curiosos — não clientes pagantes.
Então, quando houver atividade real no mercado — agentes realmente comprando habilidades, mandatos realmente sendo gastos, USDC realmente fluindo — você será a primeira pessoa que eu contatarei sobre um engajamento formal. Até lá, a porta está aberta de ambas as maneiras:
- Se você quiser continuar explorando o sandbox, a camada de criptomoeda ATC, ou o proxy de saída, eu lerei cada palavra que você escrever.
- Se você preferir esperar até que haja um orçamento, isso também é completamente compreendido.
Sem recompensas prometidas. Sem retentores pendurados. Apenas: obrigado pelo trabalho que você já fez, e você está no radar.
Por que estou postando isso publicamente em vez de enviar uma DM
Duas razões:
-
Crédito onde é devido. Uma revisão pro bono que encontra uma ALTA não deve desaparecer em um thread de mensagem privada. O nome de rushabdev agora está em
/trustcomo revisor par da comunidade, e as 11 descobertas são um registro público. - O padrão importa. Se o MarketNow vai reivindicar "camada de confiança para comércio de agentes", então como tratamos as pessoas que auditam nosso código É o produto. Ignorar, esconder ou subpagar revisores seria exatamente o oposto da confiança.
O que vem a seguir
- Todas as 11 descobertas estão rastreadas na fila interna de correção.
-
A página
/trustagora lista@rushabdevcomo revisor par da comunidade (Julho de 2026). - O pipeline Sentinel recebe uma iteração v2.1 para abordar os padrões de falso positivo que ele sinalizou.
- O sistema de pagamento recebe uma passagem de endurecimento antes que qualquer USDC real toque o caminho de mandato
spend.
Se você está construindo em MCP / comércio de agentes / pesquisa de segurança e quer explorar o código, tudo é público: github.com/edgarfloresguerra2011-a11y/marketnow. Descobertas são bem-vindas. Sem promessa de pagamento, mas cada descoberta será lida, reproduzida e creditada.
— Edison Flores, AliceLabs LLC — MarketNow.site
O artigo ilustra a importância da revisão de código em sistemas de pagamento, essencial para a segurança em transações digitais. Empresas brasileiras devem considerar auditorias rigorosas para garantir a confiança em suas plataformas, especialmente em um cenário de crescente uso de agentes de IA.
