Divulgação: As opiniões e pontos de vista aqui expressos pertencem exclusivamente ao autor e não representam os pontos de vista e opiniões do editorial do crypto.news.
Um projeto pode gastar US$ 500 mil em pareceres jurídicos, ter uma equipe totalmente doxxada e passar em todas as verificações de AML em Cingapura. Ele ainda pode chegar a zero em doze segundos devido a um erro matemático na linha 40 de seu contrato inteligente. Esta é a realidade da regulamentação e conformidade de criptografia moderna.
Resumo
- A conformidade regulatória mantém os malfeitores afastados, mas não protege contra as verdadeiras causas de perda de criptografia – falhas operacionais, ataques à cadeia de suprimentos e incompetência técnica que podem esgotar um projeto em segundos.
- A indústria trata a conformidade como um selo de segurança, embora ignore as maiores superfícies de risco (gestão de chaves, segurança do fornecedor, falhas de execução), que são responsáveis pela maioria das grandes perdas.
- A criptografia precisa de autorregulação construída em torno de métricas de risco mensuráveis e prospectivas — como a probabilidade de perda — para que investidores, instituições e reguladores possam avaliar a probabilidade real de fracasso de um projeto, em vez de depender de licenças, auditorias ou sinais de marketing.
Várias jurisdições construíram diferentes tipos de Linhas Maginot. Eles protegem contra riscos imediatos: lavagem de dinheiro, manipulação de mercado e uso indevido de fundos de clientes. Contudo, o factor mais importante é que a postura regulamentar está bastante fragmentada entre jurisdições e nem todos os reguladores oferecem normas que sejam cumpridas na prática.
Embora as suas intenções sejam boas – priorizando a proteção legal do utilizador final – o seu foco não está atualmente em promover melhorias mensuráveis na forma como os participantes no mercado operam. Por exemplo, a Lei de Resiliência Operacional Digital da UE, ou DORA, obriga as entidades financeiras a examinar fornecedores terceiros e a monitorizar rigorosamente a sua postura de segurança; estes são controles de governança, não blocos de execução. Um ataque à cadeia de fornecimento – como uma API comprometida ou uma injeção de código malicioso na atualização de software de um fornecedor – pode executar uma drenagem programada de fundos ou dados em segundos (muitas vezes automatizada na velocidade da máquina), muito mais rápido do que qualquer auditoria de conformidade ou revisão trimestral pode detectar.
Neste cenário, estar em conformidade com a DORA significa simplesmente que a entidade tem um plano de resposta a incidentes pré-aprovado para congelar as operações, notificar os reguladores e ativar o seguro após a fuga de 15 segundos já ter ocorrido. Entretanto, as ameaças reais – fracasso operacional, incompetência técnica e falhas económicas fundamentais – permanecem desprotegidas.
A conformidade traz as regras tradicionais do mercado para a criptografia, mas não torna o projeto compatível invulnerável.
O marketing de conformidade
No momento, estamos presos ao compliance usado como instrumento de marketing. A indústria trata um crachá KYC como uma certificação de segurança. Não é. Saber o nome do CEO não importa se o seu protocolo não tiver freios.
Os reguladores estão marcando as caixas:
- Plano de mitigação de risco? Verificar.
- Riscos de dependência descritos? Verificar.
- Exposição de chave privada devido a um ataque de engenharia social? A caminho.
A abordagem de marcar as caixas está errada. A conformidade é projetada para capturar criminosos e trazer projetos para o perímetro regulatório, e não para prevenir falhas. E na criptografia, a incompetência destrói mais capital do que a maldade jamais poderia.
Onde o dinheiro realmente desaparece
Veja onde acontecem as perdas reais. Em 2024, negócios estabelecidos e em conformidade, exchanges centralizadas e projetos de infraestrutura com pessoas jurídicas e equipes doxxed sofreram o dobro das perdas de protocolos descentralizados.
Trocas totalmente compatíveis: DMM Bitcoin japonês e CoinDCX e WazirX indianos não eram puxadores de tapete. Eram empresas regulamentadas que perderam meio bilhão de dólares por negligência operacional. O motivo do fracasso foi o mesmo para todos: um ataque à cadeia de suprimentos com malware. E hoje, os reguladores não exigem uma auditoria estrita.
Isto descreve toda a questão: estamos auditando a matemática enquanto ignoramos o gestor e a maior superfície de risco. As auditorias de código podem capturar 14% do risco. Eles ignoram completamente as falhas operacionais, como o mau gerenciamento de chaves, que causam 75% das grandes perdas.
Conformidade E risco mensurável
Estamos confundindo “permissão para operar legalmente” com “segurança”. Uma licença regulatória mantém os lavadores de dinheiro afastados. Mas não verifica se o projeto encerrará suas operações amanhã.
A conformidade é boa para evitar a entrada de dinheiro sujo. Ela tranca a porta para criminosos e entidades sancionadas. Mas deixa a janela aberta para o fracasso real. Um projeto pode seguir todas as regras AML e ainda assim falir ou ser hackeado porque manipulou incorretamente suas chaves.
Essencialmente, estamos apenas no início do processo regulatório. Esperar um sistema abrangente que garanta simultaneamente uma cobrança fiscal eficiente, protecção jurídica e um mercado resiliente não é realista nesta fase. É por isso que a regulamentação por si só não consegue resolver actualmente os problemas estruturais que o mercado enfrenta.
Para corrigir isso, a indústria blockchain precisa se auto-regular. Uma maneira de pensar sobre isso é uma estrutura compartilhada de “Probabilidade de Perda”. Dá a todos uma linguagem comum para avaliar o risco:
- Investidores: em vez de perguntar “Isso é uma farsa?”, eles podem perguntar “Esta equipe realmente sabe o que está fazendo?”
- Instituições: Eles obtêm números reais de risco, não apenas uma verificação básica dos livros.
- Reguladores: Eles recebem um monitor de saúde ao vivo, e não apenas um selo de aprovação único.
Esta métrica cobre o que a conformidade ignora: a realidade. Analisa a diversificação da tesouraria, os controles de acesso e a qualidade do código. Mede o real estado estrutural de um projeto que pode projetar sua probabilidade de sobrevivência.
Hacken está atualmente desenvolvendo uma plataforma de autorregulação, que visa colmatar a lacuna de confiança na economia web3. Esta solução, atualmente em teste beta, introduz a métrica de Probabilidade de Perda (PoL). A métrica PoL funciona como uma “pontuação de crédito” para web3, fornecendo uma referência única e prospectiva. Consegue isso sintetizando diversos indicadores de risco, agregando dados relacionados à segurança de um projeto, à estabilidade financeira e à conduta histórica de sua equipe.
A nova due diligence
Atualmente, o modelo de confiança da indústria está quebrado. Negociamos com base em sinais sociais: endossos de KOLs, apoiadores de grandes nomes e o falso conforto de uma licença regulatória. Estes são apenas invólucros. Eles não dizem nada sobre a integridade estrutural do produto interno.
A questão não é mais “Eles estão licenciados?” ou “Quem os está apoiando?” A questão é “Qual é a probabilidade de eles falharem?” O mercado precisa começar a precificar o risco com base na dura realidade e não no cenário regulatório.
Fontecrypto.news
