Exchanges não falham de uma única maneira. Falham de sete. A maioria dos usuários só conhece o próximo modo de falha quando ele os atinge: o cliente da FTX que conseguia sacar na segunda-feira mas não na quarta, o credor da Mt. Gox ainda esperando onze anos depois, o usuário em um país sancionado que entrou na conta e encontrou o saldo bloqueado.
Este é o terceiro artigo da série Self-Custody Fundamentals. O primeiro, not your keys, not your coins, apresentou o argumento. O segundo, custodial vs. non-custodial wallets, traçou a linha. Este inventaria os modos de falha reais: como cada um se manifesta, quando aconteceu, e o que você pode fazer antes que aconteça com você.
TL;DR
- Uma exchange é um custodiante. Um custodiante pode falhar em pelo menos sete formas distintas, e as falhas geralmente se acumulam.
- Os sete modos: insolvência, hacks, congelamento regulatório, exit scams, sanções, bloqueio KYC/conta e suspensão de saques.
- Cada modo tem precedente histórico — Mt. Gox, FTX, Celsius, Bitfinex, QuadrigaCX, Bitzlato, BitMart e muitos outros.
- Seguro, regulação e "auditorias" não eliminam nenhum desses modos. Mudam quem decide a ordem de pagamento na falência, não se ela acontece.
- A proteção para cada modo é a mesma: tenha as chaves você mesmo, em dispositivos que não dependam de uma única venue continuar solvente, online e em situação legal regular.
Modo 1 — Insolvência
A exchange fica sem dinheiro devido aos clientes. É a falha canônica, e a que usuários de varejo mais subestimam, porque a UI da exchange continua mostrando os saldos corretos até o momento em que os saques param.
A insolvência acontece pelos motivos chatos pelos quais bancos quebram (empréstimos ruins, descasamento de duração entre hot/cold wallet) e pelos específicos do cripto (um braço de venture que também era market maker, uma tesouraria de tokens usada como colateral, um saldo interno de "liquidez" em token próprio). A cascata de 2022 — Celsius, Voyager, BlockFi, FTX — foi uma cascata de insolvências.
O sinal que você recebe: os saques são pausados "para gerenciar saídas", um executivo tuíta que os fundos estão seguros, e dois a sete dias depois entra o pedido de Chapter 11. Os fundos não estavam seguros. Foram emprestados, hipotecados ou nunca existiram como saldos identificáveis on-chain.
O que sobra: uma reivindicação, denominada no que o tribunal escolher (frequentemente em USD na data do pedido, não no valor atual do ativo). Credores da Mt. Gox receberam distribuições a partir de 2024 — onze anos após a falência. Clientes da FTX tiveram melhores resultados mais rápido, mas ainda assim liquidados a valores em dólar da data de pedido, perdendo o mercado de alta seguinte.
Modo 2 — Hacks
As hot wallets (ou em alguns casos cold wallets) da exchange são drenadas por um atacante. Diferente de insolvência por o negócio subjacente estar solvente na manhã do hack; diferente de exit scam por o operador ser a vítima, não o autor.
Exemplos históricos: Mt. Gox (2014, ~850k BTC), Bitfinex (2016, ~120k BTC, parcialmente recuperados em 2022), Coincheck (2018, $530M em NEM), KuCoin (2020, $280M), Bitmart (2021, $200M), Ronin Bridge (2022, $625M), DMM Bitcoin (2024, $305M), WazirX (2024, $230M).
O que acontece depois depende de quem carrega o prejuízo. Algumas exchanges (Binance via SAFU, Bitfinex via tokens pós-hack) socializaram a perda e compensaram os clientes ao longo do tempo. Outras (Mt. Gox) não conseguiram. O padrão: se a exchange sobrevive, você eventualmente recupera algo, potencialmente abaixo de 100%. Se não sobrevive, ver Modo 1.
Superfícies de ataque comuns: comprometimento da chave da hot wallet (o mais comum), engenharia social contra um admin interno, ataque de supply chain à infraestrutura de trading ou assinatura, bug de smart contract em um bridge conectado. A proporção cold/hot que a exchange publica (quando publica) é um indicador parcial, não garantia — ver o caso WazirX 2024, onde o alvo foi a infraestrutura de assinatura multisig, não a fronteira da wallet.
Modo 3 — Congelamento regulatório
Um tribunal, regulador ou agência governamental ordena que a exchange suspenda saques ou congele contas específicas. A exchange está operando normalmente — solvente, sem hack — mas legalmente não pode devolver fundos até a ordem se resolver.
Aparece em dois sabores. Direcionado: uma conta específica é congelada por ordem judicial, alerta AML ou investigação (comum, geralmente resolvido em semanas a meses). Generalizado: a exchange inteira ou contas de um país são congeladas pendente uma ação regulatória.
Exemplos do sabor generalizado: BitMEX (2020, ação da CFTC restringiu usuários dos EUA), Bittrex (2023, enforcement da SEC, usuários dos EUA tinham prazo de saque), Binance.US (2023-2024, pressão regulatória restringiu funcionalidades e saques), congelamentos diversos para usuários russos em exchanges europeias após sanções de 2022. O sabor direcionado é ruído de fundo constante; usuários descobrem ao tentar sacar e uma re-verificação KYC desconhecida é acionada.
O que você pode fazer durante um congelamento: geralmente esperar. Às vezes dá para transferir para outra plataforma, às vezes não. O congelamento não anula sua reivindicação, mas significa que o ativo é ilíquido por período indefinido — longo o suficiente para que o preço que você eventualmente receber seja irreconhecível.
Modo 4 — Exit scams
O operador foge. Diferente de hack em que a própria exchange é o atacante; diferente de insolvência em que os fundos existiam mas foram desviados intencionalmente, não perdidos em apostas ruins.
Dois padrões históricos. O rug direto: uma exchange pequena ou média sai do ar da noite para o dia com os fundos dos clientes desaparecidos — exemplos: WEX (Rússia, 2018, ~$450M após o relançamento da BTC-e), Africrypt (África do Sul, 2021, ~$3.6B reivindicados) e uma longa cauda de venues menores. A saída lenta: o operador morre, desaparece ou se torna incontactável enquanto detém o único conjunto de chaves de cold wallet — o caso QuadrigaCX (Canadá, 2019, ~$190M CAD travados quando o CEO Gerald Cotten morreu com custódia única) é o arquétipo, e a investigação posterior concluiu que a "morte" foi secundária; a operação era fraude há tempos.
O sinal: propriedade opaca, relações bancárias não documentadas, sem auditoria, sem prova de reservas publicada, limites de saque incomuns para o tamanho declarado da venue. Nenhum desses é individualmente desqualificante, mas a combinação é. Tenha cuidado especial com exchanges em que uma pessoa é publicamente a empresa inteira.
Modo 5 — Sanções
Sua conta está bem. Sua jurisdição não. Um regime de sanções — OFAC nos EUA, equivalentes na UE, Reino Unido, ONU — adiciona seu país ou uma pessoa ligada a você a uma lista designada. A exchange agora é legalmente obrigada a bloquear seu acesso, frequentemente sem aviso prévio.
Isso se repetiu desde 2022. Usuários iranianos, russos, bielorrussos e venezuelanos enfrentaram bloqueios súbitos em grandes exchanges quando novos pacotes de sanções chegaram. A apreensão da Bitzlato (janeiro de 2023, designação do FinCEN, contas congeladas, infraestrutura apreendida em coordenação com autoridades francesas) é um exemplo particularmente nítido: a própria exchange era a entidade designada e cada conta ficou instantaneamente inacessível.
Note que sanções não miram só Estados-nação. Endereços do Tornado Cash foram designados pela OFAC em 2022; exchanges que tocaram endereços marcados passaram as consequências aos usuários. Se você vive em uma jurisdição sancionada, ou transaciona com endereços sancionados (mesmo sem saber, ao receber um UTXO contaminado), o custodiante carrega esse risco e o resolverá fechando seu acesso.
Modo 6 — Bloqueio KYC / conta
Você está individualmente sujeito a uma retenção KYC ou AML. Não está sancionado, a exchange não está congelada, mas uma transação ou perfil de conta específico disparou uma revisão. Sua conta está bloqueada pendente envio de documentos, o que leva de 48 horas a nunca.
Gatilhos comuns: depósito de um endereço "de alto risco" (uma exchange que a equipe de compliance não gosta, um mixer, uma privacy pool), padrão de saques compatível com um modelo de structuring, mudança de país no IP, login de novo dispositivo, mudança de nome no documento. O fornecedor de compliance te sinaliza, a fila de revisão está atrasada, e você espera.
O sinal: um banner no app, às vezes um email pedindo nova foto do documento e selfie. A fricção é o ponto — muitos usuários abandonam um KYC parcial e perdem acesso por completo. Para contas de maior valor, a revisão pode exigir documentação de origem de fundos, extratos bancários e explicações sobre transações específicas de anos atrás.
O risco não é o inconveniente temporário. É que o bloqueio pode ser indefinido, e durante ele seus ativos são ilíquidos. A exchange não está fazendo nada errado regulatoriamente — está fazendo o que é exigido. A assimetria é que você arca com o custo.
Modo 7 — Suspensão de saques
A exchange pausa os saques "temporariamente, para manutenção". Às vezes é literalmente verdade — rotação de chave de hot wallet, upgrade de chain, mitigação de congestão — e os saques retornam em horas. Às vezes é o primeiro sintoma visível do Modo 1.
Você não pode saber de antemão qual é qual. O mesmo banner aparece em ambos os casos. A Mt. Gox suspendeu saques alegando problemas de "transaction malleability" em fevereiro de 2014 e quebrou três semanas depois. A FTX suspendeu saques em novembro de 2022 citando "volume extremamente alto" e entrou com Chapter 11 em poucos dias. A Celsius suspendeu saques em junho de 2022 citando "condições extremas de mercado" e entrou com Chapter 11 um mês depois.
Este é o modo que transforma os outros de risco de fundo em perda imediata. Você pode ter uma reivindicação contra uma exchange insolvente e recuperar parcialmente. Pode perder acesso durante um bloqueio por sanções e recuperá-lo eventualmente. Mas durante a suspensão — os dias ou semanas antes de você saber em qual modo está realmente — seus ativos estão inalcançáveis. O padrão Mt. Gox/FTX/Celsius mostra que o tempo entre uma suspensão de saques e a compreensão plena da situação pode variar de 12 horas a 11 anos.
O que isso significa para você
Esses sete modos não são casos extremos. São os modos normais de operação do negócio de exchange custodial. Todo usuário cripto veterano já esteve do lado errado de pelo menos um; muitos já encararam vários.
A proteção para os sete é a mesma: tenha chaves que você controla, em dispositivos que você controla, com uma recuperação que você entende. Não existe um jeito esperto de usar uma exchange que evite esses modos — os modos são inerentes ao modelo. O enquadramento certo é operacional: use exchanges para o que elas fazem bem (rampas fiat, trading regulado, profundidade), e não mantenha saldos significativos lá por mais tempo do que o necessário.
O multisig 2-de-2 da SSP endereça os modos de falha equivalentes no lado da auto-custódia — perder um dispositivo, comprometimento de chave, perder acesso em viagem — dividindo o requisito de assinatura entre dois dispositivos em vez de concentrá-lo em um. Boas práticas de seed phrase cobre a camada de recuperação abaixo.
O próximo artigo da série, what self-custody actually requires of you, é a contraparte honesta deste: uma exchange pode falhar de sete formas, e a auto-custódia pode falhar de algumas próprias. A questão não é que uma seja livre de risco. É que você escolhe qual conjunto de riscos carrega.
