Sumiço de 22 BTC sob custódia estatal expõe falhas de governança e reacende o debate sobre autogestão de chaves no ecossistema cripto

Polícia da Coreia do Sul perde Bitcoin apreendido mantido em cold wallet desde 2021

Autoridades sul-coreanas abriram uma investigação após constatarem o desaparecimento de 22 Bitcoins (BTC), avaliados em cerca de US$ 1,5 milhão, que estavam sob custódia policial desde 2021 em uma carteira fria. O episódio, envolvendo ativos apreendidos durante uma apuração de crimes financeiros, lança luz sobre fragilidades de procedimentos que deveriam ser, por definição, mais rígidos do que os do mercado. Quando o Estado falha em custodiar, a mensagem que fica é inequívoca: segurança não é apenas tecnologia, é governança.

Para o investidor, o caso funciona como um lembrete incômodo de que o risco de custódia centralizada não se limita a exchanges privadas. A máxima “não são suas chaves, não são suas moedas” permanece válida mesmo quando a tutela é pública. E, como sempre, a parte mais vulnerável da cadeia costuma ser a operacional.

O que se sabe até aqui

Os 22 BTC foram apreendidos pela Delegacia de Gangnam em novembro de 2021 e armazenados em uma carteira de hardware, solução usual para manter chaves privadas offline. A opção por um dispositivo físico, em tese, reduziria o risco de ataques remotos, desde que acompanhada por processos adequados de manuseio e acesso.

Uma checagem recente, contudo, identificou que os fundos haviam sido transferidos para um endereço externo não identificado. O dispositivo permaneceu intacto, sugerindo comprometimento de credenciais ou da chave privada associada. A ausência de atualização de protocolos por mais de dois anos e o uso de senhas estáticas aparecem como hipóteses plausíveis para a brecha.

Não se trata de um ponto fora da curva. Em paralelo, promotores do distrito de Gwangju reconheceram a perda de aproximadamente 320 BTC que haviam sido transferidos da polícia para a promotoria. Entre as linhas de investigação, ganham força a possibilidade de erro humano, corrupção interna (insider) e processos de custódia insuficientes. Em comum, o diagnóstico de governança: rotinas frágeis geram janelas de oportunidade.

As falhas de custódia institucional

Enquanto a Coreia do Sul impõe regras estritas de KYC e AML às exchanges, o episódio revela um descompasso: os próprios órgãos públicos carecem de padrões equivalentes para ativos digitais apreendidos. Segurança efetiva envolve segregação de funções, controle de acesso, registro de auditoria e, sobretudo, desenho técnico que dificulte ações unilaterais.

Nesse sentido, soluções como carteiras multiassinatura (multi-sig) ou esquemas de computação multipartidária (MPC) reduzem a dependência de um único ponto de falha. Guardar um USB em um cofre não basta se a seed foi exposta, se não há rotação periódica de chaves e se a autenticação depende de credenciais estáticas facilmente replicáveis. A tecnologia é necessária, mas não substitui processo.

O vetor humano continua sendo recorrente, e o paralelo com exploits em protocolos descentralizados é válido: vulnerabilidades técnicas se agravam quando combinadas com falhas de operação. O resultado é o mesmo — ativos que “desaparecem” e rastreabilidade que se torna cara e demorada, mesmo em redes públicas.

Lições práticas para o Brasil

Para o investidor brasileiro, a lição é pragmática: diversificar a custódia, revisar rotinas de backup e evitar concentração de patrimônio em terceiros. Para as autoridades, o caso sul-coreano deve acelerar discussões sobre padrões mínimos para guarda de criptoativos apreendidos, incluindo procedimentos de alienação antecipada quando fizer sentido e, sobretudo, arquitetura de chaves mais robusta.

Do ponto de vista de mercado, mesmo somando 342 BTC entre os dois episódios, o volume é insuficiente para alterar a liquidez do Bitcoin. O ruído, no entanto, pode afetar a percepção de risco institucional no curto prazo. Monitorar se os fundos migram para mixers ou endereços ligados a exchanges ajuda a dimensionar eventual pressão vendedora.

Chaves públicas e privadas: o ponto cego

No fim, tudo converge para um conceito básico: carteiras digitais não “guardam moedas”, e sim chaves criptográficas. A chave pública permite receber, a privada autoriza gastar; se a privada (ou a seed) vaza, o dispositivo perde relevância. Boas práticas incluem rotação de chaves, autenticação multifator fora de banda, separação entre ambientes de prova e produção, e limitações de gasto por política, não por convenção.

Para quem deseja compreender melhor modelos de custódia (custodial versus não custodial), diferenças entre carteiras quentes e frias, e como estruturar multiassinaturas para reduzir riscos operacionais, o BlockTrends oferece o curso Como Custodiar Suas Criptos com Seguranca, que explora desde os fundamentos de chaves públicas e privadas até rotinas de segurança aplicáveis no dia a dia. Em um mercado que premia a disciplina, entender a infraestrutura é parte do investimento.