Hack de $36 milhões da Upbit revive a verdade silenciosa sobre o 'seguro' de hot wallet

Quando a Upbit detetou levantamentos não autorizados de aproximadamente 36 milhões de dólares em tokens Solana de uma hot wallet em 27 de novembro, o CEO Oh Kyung-seok pronunciou-se em poucas horas. Ele declarou:

Seis anos antes, a Upbit disse o mesmo depois de perder 342.000 ETH, no valor de cerca de 50 milhões de dólares na época, para hackers ligados à Coreia do Norte. Em ambas as ocasiões, os clientes não sofreram perdas, e em ambas as vezes, a corretora absorveu o golpe do seu próprio tesouro.

Este é o modelo de seguro de hot wallet, onde as corretoras armazenam o risco de contraparte para que as violações a nível de plataforma não prejudiquem os utilizadores.

O sistema pode ter três formas: autosseguro de reservas corporativas, fundos de emergência dedicados como o SAFU da Binance, e políticas de crime de terceiros com limites nomeados.

O modelo tornou-se prática padrão nas corretoras centralizadas de Nível 1, transformando o que teriam sido insolvências ao estilo Mt. Gox em perdas operacionais que reabrem em poucos dias.

Mas "os utilizadores não perdem" não significa que os mercados não reajam. Mesmo quando os depósitos estão em última análise seguros, a imediatez e a liquidez não estão. Os ataques ainda congelam saques, colapsam a profundidade de mercado, ampliam spreads e desencadeiam recuos reflexivos por parte dos market-makers.

O modelo de seguro muda quem absorve a perda e quão rapidamente as plataformas podem reabrir de forma credível. Não elimina o risco de contraparte.

Upbit: autosseguro contra ataques como balanço corporativo

A abordagem da Upbit é, com efeito, um autosseguro sem limite de política explícito. A promessa depende inteiramente da solvência da corretora e do acesso ao capital.

Tanto no ataque ao Ethereum em 2019 como na violação da Solana em 2025, a Upbit tratou as perdas da hot wallet como despesas operacionais absorvidas pela Dunamu, a sua empresa-mãe.

O incidente de 2025 moveu-se rapidamente. Por volta das 4:42 da manhã, hora local, aproximadamente 54 mil milhões de won em vários tokens do ecossistema Solana foram drenados para um endereço desconhecido.

A Upbit congelou todos os depósitos e saques de Solana, transferiu os ativos restantes para cold storage e congelou uma parte dos tokens LAYER roubados on-chain.

A corretora disse que estava a trabalhar com projetos e autoridades para congelar ainda mais deles, mas o compromisso central foi imediato: sem perdas para os clientes.

Esse compromisso é credível porque a Upbit é grande e líquida. Mas não é uma garantia estatutária. Não há segurador externo a apoiar a promessa, nenhum esquema de seguro de depósito, e nenhum rácio de reserva formal que os reguladores auditem.

O modelo funciona até deixar de funcionar: até que um ataque seja grande o suficiente em relação ao capital próprio que o reembolso total pressione ou quebre o balanço.

Binance e SAFU: um fundo interno formalizado

A Binance criou o Secure Asset Fund for Users em julho de 2018, desviando cerca de 10% das taxas de negociação para endereços de cold wallet publicamente visíveis e dedicados.

A Binance tem repetidamente afirmado que o SAFU se destina a "casos extremos inesperados" como grandes ataques. No momento da publicação, o fundo estava avaliado em cerca de 1 mil milhões de dólares.

Quando a Binance sofreu a violação da sua hot wallet em maio de 2019, resultando na perda de 7.000 BTC, pausou os saques e anunciou que todas as contas afetadas seriam compensadas pelo SAFU, sem perdas para os utilizadores.

Números internos indicam que apenas cerca de 2% do total de fundos da corretora estão na hot wallet comprometida, tornando viável socializar a perda através do fundo SAFU em vez de a empurrar para os clientes.

O SAFU é um fundo de seguro interno: isolado, pré-financiado por taxas, com um compromisso implícito de cobrir grandes ataques a nível de plataforma, mas não é uma garantia estatutária.

Se uma violação excedesse o saldo do fundo e o capital próprio da Binance, os clientes sofreriam perdas. Mas a visibilidade pública do fundo e o mecanismo de financiamento por taxas tornam a promessa mais transparente do que a abordagem de balanço da Upbit.

Crypto.com: misturando autosseguro com cobertura de terceiros

Em 17 de janeiro de 2022, a Crypto.com detetou levantamentos não autorizados num subconjunto de contas de utilizadores e interrompeu todos os saques por cerca de 14 horas.

Divulgações posteriores colocaram a perda em aproximadamente 34 milhões de dólares em BTC, ETH e outros tokens, afetando 483 contas. A corretora enfatizou que "nenhum cliente experimentou perda de fundos" porque bloqueou os levantamentos não autorizados a tempo ou reembolsou totalmente os utilizadores afetados.

Comunicações subsequentes destacaram um novo programa de proteção oferecendo cobertura de até 250.000 dólares por conta no caso de certas violações por terceiros.

Relatórios públicos observam que corretoras como Crypto.com e Coinbase possuem políticas de crime que pagam se a própria plataforma for hackeada, mas não se um indivíduo perder fundos devido ao comprometimento das suas próprias credenciais.

A distinção é importante. As políticas de crime tipicamente cobrem violações a nível de plataforma, roubo interno ou transferências fraudulentas envolvendo os próprios sistemas da corretora. Não cobrem phishing, troca de SIM ou utilizadores que perdem chaves privadas.

A cobertura é finita e condicional, com limites nomeados e exclusões que podem deixar os clientes expostos se uma violação cair fora dos termos da política ou exceder o limite.

Políticas de terceiros e estruturas cativas para ataques

A Coinbase há muito divulga uma política de seguro contra crime com um limite de 255 milhões de dólares nos saldos da sua hot wallet, colocada através da Aon com sindicatos da Lloyd's.

A política é projetada para cobrir violações a nível de plataforma, mas exclui explicitamente perdas de alguém comprometendo o login de um utilizador individual.

A Gemini seguiu a rota cativa, lançando a "Nakamoto Ltd." nas Bermudas para fornecer 200 milhões de dólares em cobertura para a Gemini Custody, complementando o que o mercado comercial ofereceria.

Corretoras reguladas mais recentes agora comercializam "seguro de hot wallet 100%" como um ponto de venda. A HashKey Global diz que os ativos dos utilizadores são protegidos por um seguro abrangente, incluindo seguro de hot wallet a 100%, com 90% mantidos em cold storage.

O espectro vai desde promessas implícitas apoiadas apenas por capital próprio e lucros retidos, a fundos internos isolados, a contratos de seguro formais com limites nomeados e exclusões.

O mercado está a amadurecer: pesquisas recentes estimam o segmento de seguro de hot wallet de corretoras cripto em cerca de 1,4 mil milhões de dólares em 2024, com crescimento projetado para aproximadamente 12 mil milhões de dólares até 2033, à medida que corretoras, custodiantes e reguladores pressionam por uma mitigação de perdas mais formalizada.

Os mercados ainda reagem quando os utilizadores não perdem

Mesmo quando os utilizadores são compensados integralmente, os ataques mudam a forma como os traders precificam o risco de contraparte. O ataque de 1,5 mil milhões de dólares da Bybit em fevereiro de 2025 ilustra isso perfeitamente.

A profundidade de mercado do Bitcoin na Bybit colapsou de níveis normais para cerca de 100.000 dólares imediatamente após o incidente, depois recuperou para aproximadamente 13 milhões de dólares no final do primeiro trimestre, em linha com as condições pré-ataque.

Os spreads ampliaram-se em BTC e nas 30 principais altcoins, apenas para apertar novamente ao longo de várias semanas à medida que os market-makers retornavam.

Dados da Coinlaw de novembro de 2025 observaram que mesmo uma suspensão técnica de transferência de KRW na Upbit coincidiu com uma queda estimada de 70% na liquidez e uma queda acentuada na participação da Upbit nos volumes globais do top 10, destacando quão rapidamente o capital pode recuar de um único local.

O padrão é consistente: saques congelados, spreads mais amplos, profundidade mais fina e um recuo reflexivo do provedor de liquidez. Mesmo quando os depósitos estão em última análise seguros, a imediatez não está.

Traders que precisam mover capital ou proteger posições enfrentam horas ou dias de iliquidez. Market-makers que fornecem profundidade recuam até estarem confiantes de que a plataforma está estável.

O que o modelo resolve e não resolve

O seguro de hot wallet reduz grandemente as probabilidades de que um único ataque a uma corretora elimine as moedas dos clientes. Muda quem absorve a perda e quão rapidamente as plataformas podem reabrir de forma credível.

Upbit, Binance e Crypto.com absorveram violações a nível de plataforma de reservas ou fundos internos e reabriram em poucos dias, evitando os processos de insolvência de anos que se seguiram à Mt. Gox.

Mas a cobertura é finita e condicional. Muitas vezes aplica-se apenas a violações a nível de plataforma, não a phishing ou trocas de SIM.

Uma garantia soberana não a apoia, como são os depósitos bancários. E não faz nada para parar as consequências de curto prazo que realmente movem os mercados: saques congelados, spreads mais amplos, profundidade mais fina e um recuo reflexivo da liquidez.

A lição é que o seguro de hot wallet é real e funcional, mas não é um seguro de depósito. Depende da solvência e liquidez da corretora, da adequação de fundos internos ou políticas externas, e da vontade da plataforma de honrar promessas quando as reservas são testadas.

Para os utilizadores, o modelo significa que o risco de contraparte é menor do que era na era Mt. Gox, mas não é zero. Para os mercados, significa que os ataques ainda dominam as manchetes e a ação de preços, mesmo quando cada cliente acaba por ser compensado integralmente.

O post Ataque de 36 milhões de dólares à Upbit revive a verdade silenciosa sobre o 'seguro' de hot wallet apareceu primeiro no CryptoSlate.