Post-mortems de protocolos: a autópsia pública da cripto
De Terra a Euler, a cripto transformou o relato de falhas num género próprio. Lemos a cultura do post-mortem e o que ela revela sobre confiança, código e responsabilidade.
Há um padrão que se repete sempre que um protocolo de criptomoedas se desfaz. Primeiro chega o silêncio, depois o pânico nos preços e, poucas horas mais tarde, um documento. Tem quase sempre o mesmo formato: uma cronologia ao minuto, os hashes das transações na blockchain, a causa raiz, o valor perdido em euros e uma lista de medidas para que aquilo nunca mais aconteça. Chama-se post-mortem, e tornou-se um dos textos mais lidos de toda a cultura cripto.
Este artigo não é mais uma lista de roubos. É uma leitura cultural de um género de escrita que nasceu na engenharia de software e que a blockchain transformou num ritual público de prestação de contas. Quem o escreve, com que rapidez e com que grau de honestidade revela tanto sobre um projeto como o seu código. Numa indústria que prometeu dispensar a confiança, o relatório de falhas tornou-se, ironicamente, um dos seus principais instrumentos de confiança.
A herança da engenharia: do “blameless post-mortem” à blockchain
O post-mortem não é uma invenção da cripto. Vem da cultura de fiabilidade das grandes empresas de software, onde as equipas de engenharia escrevem, depois de cada falha grave, um relatório sem culpados (o chamado blameless post-mortem). A ideia é simples: separar o erro humano da falha de sistema e tratar cada incidente como material de aprendizagem, não como caça às bruxas.
A blockchain herdou o formato e mudou-lhe as apostas. Num sistema tradicional, a falha fica atrás de portas fechadas e o relatório é interno. Aqui, o registo é público, o dinheiro desaparece em segundos e o atacante costuma ser anónimo. O post-mortem deixou de ser um exercício de melhoria interna para passar a ser uma peça de comunicação dirigida a milhares de utilizadores que acabaram de perder dinheiro real.
Anatomia de um post-mortem cripto
Quem lê estes documentos com regularidade reconhece-lhes a gramática. Há quase sempre uma cronologia em hora UTC, a identificação da função de código ou do parâmetro económico que falhou, os endereços e hashes envolvidos, uma estimativa do valor afetado e um capítulo final de remediação. Os melhores documentos incluem ainda os hashes das transações maliciosas, para que qualquer pessoa possa reconstruir o ataque passo a passo no explorador de blocos. O tom oscila entre o relatório técnico e a confissão, e essa tensão é parte do que torna o género tão peculiar.
A velocidade faz parte da norma. A comunidade espera respostas em horas, não em semanas, e o atraso é lido como sinal de que a equipa está a esconder algo ou, pior, a fugir. O caso fundador é o do The DAO, em 2016, quando uma falha de reentrância no contrato permitiu drenar cerca de 3,6 milhões de ETH. A resposta da Ethereum Foundation, publicada quase em tempo real no blogue oficial, abriu caminho ao hard fork que dividiu a rede em Ethereum e Ethereum Classic. Foi o momento em que a indústria percebeu que um post-mortem podia, por si só, alterar a história de uma cadeia.
O mapa dos grandes colapsos
Antes de olharmos caso a caso, vale a pena ter presente a escala do que falhou. A tabela seguinte reúne alguns dos incidentes que mais marcaram o género, com valores convertidos para euros à taxa aproximada da época.
| Protocolo | Ano | Valor aproximado | Tipo de falha | Desfecho |
|---|---|---|---|---|
| The DAO | 2016 | 3,6 milhões de ETH | Reentrância no contrato | Hard fork (Ethereum e Ethereum Classic) |
| Terra e Luna | 2022 | cerca de 37 mil milhões EUR | Design da stablecoin algorítmica | Colapso total e processos judiciais |
| Ronin Bridge | 2022 | cerca de 570 milhões EUR | Chaves de validador comprometidas | Atribuído ao Lazarus Group |
| Wormhole | 2022 | cerca de 295 milhões EUR | Verificação de assinaturas | Recapitalizado pela Jump Crypto |
| Nomad | 2022 | cerca de 175 milhões EUR | Erro de inicialização | Saque coletivo, parte devolvida |
| Euler Finance | 2023 | cerca de 180 milhões EUR | Função de doação e liquidação | Quase tudo devolvido |
Terra e a falha de design: quando não há bug para corrigir
Nem todos os colapsos têm uma linha de código para apontar. Em maio de 2022, a stablecoin algorítmica UST perdeu a paridade com o dólar e arrastou consigo o token LUNA, cuja oferta foi desenhada para crescer sempre que era preciso defender essa paridade. O resultado foi uma espiral em que o LUNA passou de valor de dois dígitos a praticamente zero em poucos dias, como qualquer histórico de preços na CoinGecko ainda mostra.
O valor destruído no ecossistema ultrapassou as dezenas de milhares de milhões de euros e a onda de choque chegou a fundos e credores em todo o mundo, segundo a cobertura da Reuters. O post-mortem da Terra foi atípico justamente porque não havia exploit: o ponto fraco estava no próprio modelo económico, na suposição de que os incentivos de arbitragem aguentariam qualquer pressão de venda. O contágio foi a verdadeira lição: fundos como o Three Arrows Capital e plataformas de crédito como a Celsius tinham exposição direta ao ecossistema e ruíram nas semanas seguintes, num efeito dominó que levou meses a assentar. Foi um lembrete de que a maior vulnerabilidade de um protocolo pode ser uma folha de cálculo, não um contrato.
As bridges e a anatomia do roubo recorde
Se há categoria que domina os post-mortems do período, é a das bridges, as pontes que ligam diferentes blockchains. Em 2022, a Ronin, ligada ao jogo Axie Infinity, perdeu cerca de 570 milhões de euros depois de um atacante obter o controlo da maioria dos nós validadores, num esquema que começou com uma falsa oferta de emprego. Meses antes, a Wormhole vira desaparecer perto de 295 milhões de euros por uma falha na verificação de assinaturas, buraco tapado pela Jump Crypto para evitar o contágio.
O padrão não é coincidência. A Chainalysis estimou que perto de 1,8 mil milhões de euros foram roubados a bridges nesse ano, qualquer coisa como dois terços de todos os fundos furtados em cripto. A lista é longa: a Nomad viu cerca de 175 milhões de euros saírem num saque coletivo, depois de uma atualização de rotina ter tornado qualquer mensagem válida, e a Poly Network sofrera já, em 2021, um dos maiores roubos de sempre, com a particularidade rara de o atacante ter devolvido tudo. No caso da Ronin, a dimensão geopolítica tornou-se evidente quando o Tesouro dos Estados Unidos ligou o endereço do atacante ao Lazarus Group, associado à Coreia do Norte, e o adicionou à lista de sanções. O post-mortem deixou de ser só técnico para passar a ter implicações de segurança nacional.
Negociar com o atacante: o post-mortem que vira drama público
Uma das particularidades culturais deste género é o que acontece depois do roubo. Como tudo fica registado na blockchain, vítimas e atacantes passaram a comunicar através de mensagens embutidas em transações. O exemplo mais notável foi o da Euler Finance, em março de 2023: depois de perder cerca de 180 milhões de euros numa falha que combinava a função de doação com a lógica de liquidação, a equipa abriu uma negociação pública e o atacante acabou por devolver quase a totalidade dos fundos.
Esta dança entre ameaça legal, apelo moral e proposta de recompensa criou uma figura recorrente, a do atacante que se redime e é rebatizado como white-hat. Noutros casos a fronteira é mais turva. Quando alguém manipula um oráculo de preços para drenar um mercado, como aconteceu na Mango Markets, fica a dúvida desconfortável: foi um ataque ou apenas uma estratégia de negociação muito agressiva, prima distante do MEV que move tanto valor no Ethereum? As mensagens trocadas na blockchain durante estas negociações, gravadas para sempre e legíveis por qualquer pessoa, criaram talvez a forma mais estranha de correspondência que a internet produziu, com apelos à consciência do atacante, ofertas de recompensa e ameaças veladas de processos. O post-mortem moderno tem de responder também a essa pergunta de legitimidade.
Rekt, Immunefi e a economia da transparência
Com tantos incidentes, surgiram instituições informais para os catalogar. O quadro de honra da Rekt News tornou-se o cânone não oficial dos maiores desastres, escrito num tom cáustico que mistura jornalismo e folclore. Ser destaque nessa lista é a pior publicidade possível para um protocolo, e isso, por si só, disciplina o setor.
Do outro lado da mesma moeda estão os programas de recompensas por bugs. Plataformas como a Immunefi oferecem prémios que chegam a milhões de euros a quem encontrar falhas antes dos criminosos, transformando a divulgação responsável num negócio viável. A lógica é clara: numa indústria onde o código é público e o dinheiro está sempre à vista, a transparência deixou de ser virtude e passou a ser estratégia de sobrevivência. Um bom post-mortem e um programa de recompensas generoso valem hoje tanto quanto uma campanha de marketing.
O dever de reportar: MiCA, CMVM e o fim do post-mortem voluntário
Durante anos, escrever um post-mortem foi um gesto voluntário, ditado pela pressão da comunidade e não pela lei. Na Europa, isso está a mudar. Com a entrada em vigor do regulamento MiCA, supervisionado a nível europeu pela ESMA, os prestadores de serviços de criptoativos passaram a ter deveres formais de gestão de risco e de comunicação de incidentes às autoridades.
Em Portugal, o supervisor competente é a CMVM, que acompanha o licenciamento e a conduta destas empresas no mercado nacional. A consequência cultural é interessante: o relato de falhas, que durante uma década foi um ritual feito por convicção e por necessidade de reputação, começa a coexistir com obrigações regulatórias. O risco é que o post-mortem público e honesto seja substituído por comunicações jurídicas, vagas e defensivas, escritas mais para o regulador do que para o utilizador.
O que distingue um bom post-mortem
Depois de tantos casos, a comunidade construiu um consenso tácito sobre o que separa um relatório credível de um exercício de relações públicas. Os elementos costumam ser estes:
- Uma cronologia honesta, com horas e transações verificáveis na blockchain.
- Uma causa raiz explicada sem rodeios, mesmo quando é embaraçosa para a equipa.
- O valor exato afetado, em euros, e a identificação de quem foi prejudicado.
- Um plano de remediação concreto, com prazos e responsáveis.
- Acompanhamento posterior, que mostre se as promessas foram cumpridas.
O detalhe que falta nesta lista é a tentação a que muitos não resistem: empurrar a culpa para um auditor, para um fornecedor externo ou para a vítima que teria sido descuidada. O leitor experiente desconfia sempre desses relatórios. A franqueza, por mais dolorosa que seja, é o que constrói reputação a longo prazo.
A cultura de autopsiar o próprio fracasso
Há algo de profundamente revelador no facto de uma indústria inteira ter normalizado a publicação detalhada dos seus piores momentos. A promessa original da blockchain era a de minimizar a confiança, substituir intermediários por código verificável. Quando esse código falha, o post-mortem é o mecanismo que tenta reconstruir, à mão e em público, a confiança que a tecnologia prometia tornar desnecessária.
Para o investidor português que olha para este universo, a lição é prática. Antes de confiar fundos a um protocolo, vale a pena ler como ele se comportou nos seus piores dias, ou nos dos seus pares. A forma como uma equipa autopsia o próprio fracasso diz mais sobre a sua integridade do que qualquer auditoria ou campanha de marketing. Na cripto, a maturidade não se mede pela ausência de desastres, mas pela qualidade com que se conta a história deles.
Por João Mendes, editor sénior da HOGE Wire.