2000枚BTC的险情背后:CEX账本的根本问题

Na noite de 6 de fevereiro, a exchange de criptomoedas sul-coreana Bithumb causou um incidente que merece figurar no anuário da indústria de criptomoedas durante uma campanha de marketing comum.

Isso era originalmente apenas uma atividade de “caixa de tesouro aleatória” de escala muito pequena. De acordo com o design oficial, a plataforma planejou distribuir um prêmio em dinheiro total de cerca de 620.000 won sul-coreanos a 695 usuários participantes, dos quais 249 abriram realmente a caixa e receberam a recompensa, o que significa que o valor por pessoa era de cerca de 2.000 won, equivalente a apenas cerca de 1,4 dólares. No entanto, devido a um erro na configuração da unidade de back-end, a unidade de recompensa foi erroneamente definida de KRW (won sul-coreano) para BTC (bitcoin), instantaneamente “distribuindo” 2.000 moedas BTC para cada usuário que realmente abriu a caixa, totalizando 620.000 moedas de bitcoin, com o valor exibido em cada conta ultrapassando 160 milhões de dólares.

Com base no preço de cerca de 98 milhões de won coreano por unidade (aproximadamente 67 mil dólares na época), essa remessa de bitcoins "aparecidos do nada" tem um valor contábil de cerca de 41.5–44 bilhões de dólares. Embora esses ativos não existam na cadeia, eles são "negociáveis" dentro do sistema da exchange. O resultado foi quase instantâneo: o par de negociação BTC/KRW na plataforma Bithumb rapidamente caiu de 81.1 milhões de won coreano (aproximadamente 55 mil dólares) em minutos, com uma queda próxima a 17%; o mercado global de BTC também caiu brevemente cerca de 3%, e o mercado de derivativos sofreu liquidações superiores a 400 milhões de dólares.

A "recuperação rápida" da Bithumb é realmente algo a ser celebrado?

A Bithumb, em seu anúncio subsequente sobre o incidente, afirmou que durante os 35 minutos em que ocorreu o pagamento incorreto, já havia imposto restrições às transações e retiradas de 695 clientes, e mais de 99% do valor do pagamento incorreto havia sido recuperado. Os 0,3% restantes (1.788 BTC) que já haviam sido vendidos foram compensados pelos ativos da empresa, garantindo que os ativos dos usuários não fossem afetados. Além disso, a plataforma lançou uma série de medidas compensatórias. A partir de 8 de fevereiro, foram iniciadas medidas de compensação aos usuários, incluindo a distribuição de 20.000 won coreano como compensação para usuários online durante o incidente, devolução da diferença aos usuários que venderam a preços baixos e um pagamento adicional de 10% como compensação, além da isenção de taxas de negociação por 7 dias a partir de 9 de fevereiro.

A situação até aqui parece ter um desfecho "controlável".

Mas outra pergunta ainda persiste em nossas mentes: por que a Bithumb pode gerar 620.000 BTC que não existem no backend?

Para responder a essa pergunta, é necessário voltar ao nível mais central das exchanges centralizadas, que é também o menos entendido pelos usuários comuns: o método de contabilidade.

Ao contrário das trocas descentralizadas onde cada transação ocorre diretamente na blockchain e o saldo é decidido em tempo real pelo estado na cadeia, as exchanges centralizadas, para buscar a velocidade extrema de negociação, baixa latência e custos extremamente baixos, quase sempre adotam um modelo híbrido de "livros-razão internos + liquidações atrasadas."

Os saldos, registros de transações e curvas de lucro e perda que os usuários veem são, na essência, apenas variações numéricas no banco de dados da exchange. Quando você deposita, transaciona ou retira, apenas a parte que realmente envolve a movimentação de ativos na cadeia (como retirar para uma carteira externa, transferir entre exchanges ou grandes liquidações internas) acionará operações reais de transferência na blockchain. Na grande maioria dos cenários diários, a exchange só precisa modificar uma linha de campo no banco de dados para concluir uma "movimentação de ativos" — essa é a razão fundamental pela qual a Bithumb conseguiu "gerar do nada" 620.000 BTC em saldo em um instante.

Esse modelo trouxe enormes conveniências: execução em milissegundos, zero taxa de Gas, suporte a alavancagem, contratos, empréstimos e outros produtos financeiros complexos. Mas a outra face da conveniência é a mortal assimetria de confiança: os usuários acreditam que "meu saldo é meu ativo", mas na realidade, o que possuem é apenas uma promessa do platforma (IOU). Desde que os direitos de acesso ao backend sejam grandes o suficiente e os mecanismos de verificação sejam frouxos, é possível, através de um simples erro de parâmetro ou operação maliciosa, fazer com que os números no banco de dados se desconectem gravemente das posições reais na cadeia.

Conforme divulgado pela Bithumb no terceiro trimestre de 2025, a plataforma possui aproximadamente 42.600 bitcoins, dos quais apenas 175 são ativos da empresa, e o restante são ativos mantidos por usuários. No entanto, neste incidente, o sistema foi capaz de creditar aos usuários uma quantidade de BTC mais de dez vezes maior do que o tamanho real da posição.

Mais importante ainda, esses "saldos fantasmas" não existem apenas na exibição do backend, mas podem participar de verdadeiras negociações na plataforma, afetar preços e criar uma ilusão de liquidez. Isso não é mais um simples bug técnico, mas um risco sistêmico de desconexão severa entre o livro-razão centralizado e os ativos reais na cadeia que existe a longo prazo na estrutura das exchanges centralizadas.

O incidente da Bithumb é apenas o momento em que esse risco foi amplificado o suficiente para ser visto por todos.

Mt.Gox: Como a ilusão do livro-razão destruiu uma era

A história já comprovou repetidamente isso com lições dolorosas. Por exemplo, o colapso da Mt.Gox em 2014. Embora esse evento tenha ocorrido há mais de dez anos, ainda conseguimos lembrar que cada transferência grande para compensação na exchange provocou um pânico no mercado.

A Mt.Gox, como a maior exchange de bitcoin do mundo na época, representava mais de 70% do volume de transações de bitcoin, mas em fevereiro de 2014, de repente suspendeu os saques e declarou falência, alegando ter "perdido" cerca de 850 mil BTC (com valor de aproximadamente 460 milhões de dólares na época, posteriormente ajustado em alguns relatos para cerca de 744 mil BTC). À primeira vista, isso parecia um hack que explorou a vulnerabilidade de "maleabilidade de transação" no protocolo bitcoin, alterando IDs de transação e fazendo a exchange acreditar que os saques não haviam ocorrido, resultando em reenvios de fundos. Mas investigações mais profundas (incluindo o relatório da WizSec e outras equipes de segurança em 2015) revelaram uma verdade mais cruel: a maior parte dos bitcoins perdidos já havia sido roubada gradualmente entre 2011 e 2013, enquanto a Mt.Gox não percebeu por anos, porque seu sistema contábil interno nunca realmente conciliou periodicamente com o estado da cadeia.

O livro-razão interno da Mt.Gox permitiu "negociações mágicas": funcionários ou invasores podiam adicionar ou remover saldos de usuários à vontade, sem necessidade de transferências correspondentes na cadeia. As carteiras quentes foram repetidamente invadidas, e os fundos foram lentamente transferidos para endereços desconhecidos, mas a plataforma continuou a exibir "saldos normais". Mesmo após um grande roubo em 2011, segundo relatos, a administração optou por ocultar em vez de declarar falência, fazendo com que as operações subsequentes continuassem a funcionar com base em reservas "fictícias". Essa ilusão de livro-razão se manteve por anos, até que em 2014 o buraco se tornou grande demais para ser ocultado, sendo então divulgado sob o pretexto de "bug de maleabilidade nas transações". No final, a falência da Mt.Gox não apenas destruiu a confiança dos usuários, mas também provocou uma queda superior a 20% no preço do bitcoin, tornando-se um dos casos mais famosos de "colapso da confiança" na história das criptomoedas.

FTX: Quando o livro-razão se transforma de uma "ferramenta de registro" em uma "ferramenta de encobrimento"

Recentemente, devido ao calor do Openclaw, surgiu novamente um tópico: a interseção entre criptomoedas e IA, que atingiu o auge na era FTX. Antes de sua falência, a FTX havia investido pesadamente no campo da IA, sendo seu caso mais famoso o de liderar a rodada de financiamento de centenas de milhões de dólares da startup de IA Anthropic. Se a FTX não tivesse falido, a participação que detinha na Anthropic poderia hoje valer centenas de bilhões de dólares, mas a liquidação da falência transformou esse "bilhete de loteria da IA" em uma miragem. A razão do colapso foi a discrepância intencional e prolongada entre os livros-razão internos da FTX e os ativos reais, utilizando a mistura de fundos e operações ocultas para transformar depósitos de clientes em um "jardim secreto" que poderia ser livremente desviado.

A FTX está altamente vinculada à sua empresa irmã de negociação quantitativa, Alameda Research, ambas sob o controle de Sam Bankman-Fried (SBF). O balanço da Alameda está repleto de tokens nativos FTT emitidos pela FTX. Esses ativos praticamente não têm ancoragem no mercado externo, e seu valor depende principalmente da liquidez interna e de preços artificialmente sustentados. E o mais crítico é que a plataforma FTX concedeu à Alameda um limite de crédito quase ilimitado (que chegou a ser divulgado em 65 bilhões de dólares), e o verdadeiro "colateral" desse limite é, na verdade, os depósitos dos usuários da FTX.

Esses fundos dos clientes foram secretamente transferidos para a Alameda, usados para negociações de alta alavancagem, investimentos de risco, e até mesmo para os gastos pessoais luxuosos de SBF, aquisição de imóveis e doações políticas. O livro-razão interno aqui desempenhou o papel de "encobrimento".

De acordo com documentos judiciais, o banco de dados da FTX pode facilmente registrar depósitos de clientes como "saldos normais", enquanto no backend, através de códigos personalizados, mantém as contas da Alameda com saldo negativo sem acionar qualquer liquidação automática ou alerta de risco. O saldo que os usuários veem no aplicativo parece seguro e confiável, mas os ativos na cadeia já foram desviados para cobrir o buraco de perdas da Alameda ou sustentar o preço do FTT.

Os pagamentos aos credores da FTX ainda não foram completamente resolvidos, e o processo de liquidação da falência ainda está em andamento.

Os 35 minutos da Bithumb são apenas uma janela estreita.

Voltando à Bithumb, o fato de que este incidente pôde ser encerrado em 35 minutos não oculta a gravidade desse risco. Pelo contrário, isso exatamente ilustra os limites da resposta de emergência: só foi possível controlar a calamidade dentro de uma faixa "que poderia ser coberta do próprio bolso" porque o número de usuários afetados foi limitado (apenas 695 pessoas), os ativos incorretos ainda não haviam sido amplamente registrados na blockchain, e a plataforma tinha um controle de contas extremamente forte (permissões de congelamento de transações/saques/login em massa com um clique). Se esse erro tivesse ocorrido no nível de todos os usuários da plataforma, ou se alguns usuários já tivessem retirado os "tokens fantasmas" para outras exchanges ou até mesmo na blockchain, a Bithumb poderia ter causado uma onda de choque sistêmica muito maior.

Até mesmo os reguladores notaram isso. Em 9 de fevereiro, a Comissão de Supervisão Financeira da Coreia (FSC) afirmou que o recente incidente de envio incorreto de bitcoins na Bithumb destaca a vulnerabilidade sistêmica presente no campo dos ativos criptográficos, sendo necessário reforçar ainda mais as regras de supervisão. O presidente da FSS, Lee Chan-jin, apontou em uma coletiva de imprensa que o incidente reflete problemas estruturais nos sistemas eletrônicos de ativos virtuais, e os órgãos reguladores estão realizando uma revisão focada sobre isso, além de considerar os riscos relevantes para a legislação futura, a fim de promover a inclusão de ativos digitais em um quadro regulatório mais robusto. Foi iniciada uma inspeção de emergência no local e foi claramente declarado que isso se expandiria para outras exchanges locais, como Upbit e Coinone, o que provavelmente significa que os reguladores já compreenderam esse sinal.

Os 40 bilhões de dólares em airdrop fantasma da Bithumb, à primeira vista absurdos, são na verdade profundos, pois expõem um problema de longa data de maneira mais direta. A conveniência das exchanges centralizadas se baseia essencialmente em uma relação de confiança altamente assimétrica: os usuários acreditam que o "saldo" em suas contas equivale a ativos reais, mas na realidade, isso é apenas uma promessa unilateral da plataforma aos usuários. Uma vez que o controle interno falhe ou seja maliciosamente explorado, "seu saldo" pode instantaneamente se tornar nada.

Portanto, mesmo que o incidente da Bithumb termine "controlável", não deve ser interpretado como uma gestão de crise bem-sucedida, mas mais como um alerta que precisa ser ouvido.

A velocidade, baixo custo e alta liquidez que as exchanges centralizadas buscam sempre vêm à custa da renúncia dos usuários ao controle direto sobre seus ativos. Desde que essa premissa não seja reconhecida, riscos semelhantes não podem realmente desaparecer. Todos nós devemos lembrar as lições profundas da história, após a aula...