{"id":169,"date":"2026-07-14T04:40:59","date_gmt":"2026-07-14T04:40:59","guid":{"rendered":"https:\/\/hoge.gg\/pt\/conta-post-mortem-quem-paga-hack-cripto\/"},"modified":"2026-07-14T04:40:59","modified_gmt":"2026-07-14T04:40:59","slug":"conta-post-mortem-quem-paga-hack-cripto","status":"publish","type":"post","link":"https:\/\/hoge.gg\/pt\/conta-post-mortem-quem-paga-hack-cripto\/","title":{"rendered":"A conta do post-mortem: quem paga quando a cripto \u00e9 hackeada"},"content":{"rendered":"<p class=\"wp-block-paragraph\">No dia 9 de junho de 2026, a Humanity Protocol publicou aquilo que j\u00e1 se tornou quase um ritual depois de um hack cripto: um relat\u00f3rio t\u00e9cnico detalhado a explicar como um atacante lhe roubou mais de 36 milh\u00f5es de d\u00f3lares (cerca de 32 milh\u00f5es de euros) depois de comprometer o port\u00e1til de um \u00fanico funcion\u00e1rio, onde estavam guardadas v\u00e1rias chaves administrativas das pontes entre blockchains do projeto. Nas horas seguintes, o token H afundou entre 80% a 90%, a equipa anunciou uma troca 1 para 1 por um contrato ERC-20 rec\u00e9m-auditado em seis exchanges, e a comunidade t\u00e9cnica dissecou, ao pormenor, como tr\u00eas das seis chaves na Ethereum e tr\u00eas das cinco na BNB Chain acabaram todas no mesmo dispositivo.<\/p><p class=\"wp-block-paragraph\">O relat\u00f3rio respondeu bem \u00e0 pergunta t\u00e9cnica: como \u00e9 que isto aconteceu? \u00c0 pergunta financeira, a que realmente interessa a quem tinha tokens H na carteira nessa manh\u00e3, respondeu muito pior: quem paga a conta? \u00c9 essa a pergunta que a maioria dos post-mortems cripto evita, adia ou responde apenas parcialmente.<\/p><p class=\"wp-block-paragraph\">Nos \u00faltimos dez anos, a cripto construiu uma resposta sofisticada para a primeira metade dessa equa\u00e7\u00e3o. Sabemos hoje, com bastante detalhe, como reconstituir o momento exato em que uma chave privada foi comprometida, como seguir fundos roubados atrav\u00e9s de dezenas de saltos entre blockchains, e como publicar essa reconstru\u00e7\u00e3o num relat\u00f3rio leg\u00edvel horas ou dias depois do ataque. O que continua a variar enormemente, de caso para caso, \u00e9 o que acontece \u00e0 fatura financeira depois de o relat\u00f3rio ser publicado.<\/p><p class=\"wp-block-paragraph\">J\u00e1 aqui analis\u00e1mos o <a href='https:\/\/hoge.gg\/pt\/autopsias-protocolos-post-mortem-cultura-cripto\/'>post-mortem como g\u00e9nero liter\u00e1rio nativo da cripto<\/a>, uma esp\u00e9cie de aut\u00f3psia p\u00fablica que substitui a imprensa tradicional e, em muitos casos, o pr\u00f3prio regulador. Este artigo olha para o outro lado desse relat\u00f3rio: a engenharia financeira que decide, depois de cada aut\u00f3psia publicada, se a perda cai sobre o atacante, sobre a tesouraria do protocolo, sobre uma ap\u00f3lice de seguro on-chain ainda incipiente, ou, no pior dos casos, sobre quem simplesmente tinha saldo na altura errada.<\/p><h2 class='wp-block-heading'>O relat\u00f3rio \u00e9 f\u00e1cil, a fatura \u00e9 dif\u00edcil<\/h2><p class=\"wp-block-paragraph\">A forma do post-mortem cripto estandardizou-se ao longo da \u00faltima d\u00e9cada: uma linha do tempo ao minuto, uma causa-raiz identificada on-chain, uma estimativa de perdas e, cada vez mais, um plano de corre\u00e7\u00e3o t\u00e9cnica auditado por terceiros. J\u00e1 detalh\u00e1mos aqui <a href='https:\/\/hoge.gg\/pt\/post-mortems-protocolos-autopsia-cultura-cripto\/'>essa anatomia<\/a>, desde o \u00abblameless post-mortem\u00bb de inspira\u00e7\u00e3o em engenharia de software at\u00e9 \u00e0 negocia\u00e7\u00e3o p\u00fablica com atacantes. O que n\u00e3o estandardizou, e \u00e9 o que este artigo tenta mapear, \u00e9 o desfecho financeiro.<\/p><p class=\"wp-block-paragraph\">Olhando para os casos mais discutidos entre 2016 e 2026, h\u00e1 basicamente tr\u00eas formas de a conta ser paga depois de um hack:<\/p><ul class='wp-block-list'><li>O atacante devolve os fundos, normalmente sob press\u00e3o de uma negocia\u00e7\u00e3o p\u00fablica, de uma recompensa (bounty) ou do risco de identifica\u00e7\u00e3o forense;<\/li><li>Uma entidade central absorve o preju\u00edzo, seja a tesouraria de uma empresa, o balan\u00e7o de uma exchange ou uma linha de cr\u00e9dito de investidores;<\/li><li>A perda \u00e9 socializada de forma difusa, normalmente atrav\u00e9s da queda do pre\u00e7o do token, da dilui\u00e7\u00e3o de detentores ou, simplesmente, de ningu\u00e9m ser reembolsado.<\/li><\/ul><p class=\"wp-block-paragraph\">Esta falta de padroniza\u00e7\u00e3o n\u00e3o \u00e9 acidental. Um post-mortem t\u00e9cnico depende sobretudo de boa vontade e de capacidade de investiga\u00e7\u00e3o forense, algo que qualquer equipa s\u00e9ria consegue contratar. J\u00e1 o desfecho financeiro depende de fatores muito mais dif\u00edceis de controlar: quanto capital pr\u00f3prio existe para absorver a perda, se o atacante \u00e9 um oportunista ou um grupo estatal sem qualquer inten\u00e7\u00e3o de negociar, e se a arquitetura do protocolo tem sequer uma entidade central capaz de tomar essa decis\u00e3o.<\/p><p class=\"wp-block-paragraph\">A escala do problema justifica a pergunta. Segundo o relat\u00f3rio do primeiro semestre de 2026 da <a href='https:\/\/www.trmlabs.com\/resources\/blog\/h1-2026-crypto-hacks-reach-record-high-as-losses-fall-below-usd-1-billion' target='_blank' rel='noopener'>TRM Labs<\/a>, a cripto registou 207 incidentes de hacking entre janeiro e junho, um n\u00famero recorde, mas com perdas totais de cerca de 972 milh\u00f5es de d\u00f3lares (aproximadamente 855 milh\u00f5es de euros), uma quebra superior a 50% face aos cerca de 2,3 mil milh\u00f5es de d\u00f3lares do primeiro semestre de 2025. Mais hacks, mas contas individuais mais pequenas: nenhum post-mortem, por mais detalhado que seja, explica sozinho quem acaba por cobrir esse quase mil milh\u00f5es de d\u00f3lares em falta.<\/p><h2 class='wp-block-heading'>Quando \u00e9 o atacante a pagar: a negocia\u00e7\u00e3o da Euler Finance<\/h2><p class=\"wp-block-paragraph\">O caso mais citado como exemplo de negocia\u00e7\u00e3o bem-sucedida continua a ser a Euler Finance, em mar\u00e7o de 2023. Um atacante explorou uma falha de valida\u00e7\u00e3o em empr\u00e9stimos-rel\u00e2mpago (flash loans) e retirou cerca de 197 milh\u00f5es de d\u00f3lares (perto de 174 milh\u00f5es de euros) do protocolo de empr\u00e9stimos. Em vez de desaparecer, o atacante devolveu a totalidade dos fundos recuper\u00e1veis ao longo de v\u00e1rias semanas, depois de uma negocia\u00e7\u00e3o p\u00fablica feita atrav\u00e9s de mensagens gravadas na pr\u00f3pria blockchain.<\/p><p class=\"wp-block-paragraph\">Uma dessas mensagens, enviada pelo atacante \u00e0 equipa da Euler, tornou-se uma esp\u00e9cie de cita\u00e7\u00e3o fundadora do g\u00e9nero: \u00abNo intention of keeping what is not ours\u00bb (sem inten\u00e7\u00e3o de ficar com o que n\u00e3o \u00e9 nosso). A Euler Finance acabou por pagar uma recompensa de 10% sobre os fundos devolvidos, cerca de 19,7 milh\u00f5es de d\u00f3lares (17 milh\u00f5es de euros), e <a href='https:\/\/www.theblock.co\/post\/224705\/euler-hacker-returns-funds' target='_blank' rel='noopener'>confirmou publicamente a devolu\u00e7\u00e3o quase total do valor roubado<\/a>.<\/p><p class=\"wp-block-paragraph\">Este \u00e9 o desfecho mais limpo da nossa lista, porque o pagamento n\u00e3o depende de reservas pr\u00f3prias nem de terceiros: \u00e9 o pr\u00f3prio autor do hack quem cobre o preju\u00edzo, geralmente por perceber que devolver o dinheiro (com uma recompensa) \u00e9 menos arriscado do que tentar branquear centenas de milh\u00f5es de d\u00f3lares sob vigil\u00e2ncia forense permanente. Mas \u00e9 tamb\u00e9m o desfecho mais raro. Grupos oportunistas isolados negoceiam; opera\u00e7\u00f5es patrocinadas por Estados, como se ver\u00e1 adiante, normalmente n\u00e3o.<\/p><h2 class='wp-block-heading'>Quando \u00e9 a casa a pagar: Bybit e o balan\u00e7o de mil milh\u00f5es<\/h2><p class=\"wp-block-paragraph\">Se a Euler mostra o atacante a pagar, a Bybit mostra o oposto: uma empresa suficientemente capitalizada para absorver o maior roubo de sempre em cripto sem que um \u00fanico cliente perdesse um c\u00eantimo. A 21 de fevereiro de 2025, a exchange foi v\u00edtima do que continua a ser o maior hack da hist\u00f3ria do setor, cerca de 1,5 mil milh\u00f5es de d\u00f3lares (perto de 1,3 mil milh\u00f5es de euros) em ether e tokens relacionados. O vetor de ataque n\u00e3o foi uma falha de contrato inteligente, mas um ataque \u00e0 cadeia de fornecimento: c\u00f3digo malicioso injetado na interface do Safe{Wallet} (app.safe.global), alterado dois dias antes do assalto. O FBI atribuiu o ataque ao grupo norte-coreano Lazarus, atrav\u00e9s da sua unidade TraderTraitor.<\/p><p class=\"wp-block-paragraph\">O CEO da Bybit, Ben Zhou, optou por uma estrat\u00e9gia de transpar\u00eancia quase em tempo real: atualiza\u00e7\u00f5es p\u00fablicas hora a hora, publica\u00e7\u00e3o dos relat\u00f3rios forenses preliminares da Sygnia e da Verichains dias depois do ataque, e uma recompensa de at\u00e9 140 milh\u00f5es de d\u00f3lares (cerca de 123 milh\u00f5es de euros) para quem ajudasse a rastrear ou congelar os fundos roubados (5% por congelamento, 5% por rastreio bem-sucedido). Em entrevistas na altura, Zhou resumiu a l\u00f3gica: \u00aba nossa resposta passa, sobretudo, por manter a transpar\u00eancia\u00bb, e a equipa comprometeu-se a \u00abusar transpar\u00eancia e comunica\u00e7\u00e3o para remover d\u00favidas dos nossos clientes\u00bb, segundo <a href='https:\/\/cryptonews.com\/exclusives\/the-bybit-hack-explained-what-happened-who-did-it-what-happens-next\/' target='_blank' rel='noopener'>relatos da imprensa especializada<\/a>.<\/p><p class=\"wp-block-paragraph\">O ponto central para este artigo n\u00e3o \u00e9 a transpar\u00eancia em si, j\u00e1 bem documentada noutros textos sobre o g\u00e9nero, mas o facto de a Bybit ter coberto a totalidade do buraco a partir do seu pr\u00f3prio balan\u00e7o e de linhas de cr\u00e9dito de emerg\u00eancia, sem recorrer a uma queda de token nativo nem a um resgate externo. \u00c9 o padr\u00e3o t\u00edpico de exchanges centralizadas com capital ou cr\u00e9dito suficiente: a casa absorve a perda porque tem escala para isso, e porque a alternativa, clientes por reembolsar, mataria a confian\u00e7a na marca de forma imediata.<\/p><h2 class='wp-block-heading'>Quando \u00e9 a empresa a pagar: Gnosis Pay e o precedente dos 100%<\/h2><p class=\"wp-block-paragraph\">Nem todas as empresas que absorvem uma perda t\u00eam a escala de uma exchange como a Bybit. A Gnosis Pay, emissora do cart\u00e3o de d\u00e9bito cripto associado \u00e0 rede Gnosis, mostrou que o mesmo princ\u00edpio se aplica a uma escala muito mais pequena. A 1 de junho de 2026, um atacante explorou uma falha na verifica\u00e7\u00e3o de assinaturas ERC-1271 dos m\u00f3dulos Delay e Roles da framework Zodiac, usados na infraestrutura de cofre por tr\u00e1s dos cart\u00f5es. A falha estava dormente desde a vers\u00e3o 3.4.0 da Zodiac, lan\u00e7ada a 30 de outubro de 2023, e n\u00e3o tinha nada a ver com chaves roubadas: o c\u00f3digo simplesmente nunca verificava se uma chamada de contrato tinha, de facto, sido bem-sucedida.<\/p><p class=\"wp-block-paragraph\">O sistema de monitoriza\u00e7\u00e3o da Gnosis Pay detetou a primeira transfer\u00eancia n\u00e3o autorizada \u00e0s 06:17 UTC, identificou a causa-raiz em cerca de duas horas e come\u00e7ou a reativar as primeiras contas afetadas j\u00e1 a 3 de junho. Ao todo, 5.281 carteiras foram atingidas, com cerca de 1,5 milh\u00f5es de d\u00f3lares (1,3 milh\u00f5es de euros) efetivamente drenados, entre eles perto de 641 mil d\u00f3lares em GNO, 453 mil d\u00f3lares em EURe e 339 mil d\u00f3lares em USDC.e, al\u00e9m de outros 300 mil d\u00f3lares que ficaram temporariamente inacess\u00edveis, elevando a exposi\u00e7\u00e3o bruta para perto de 1,8 milh\u00f5es de d\u00f3lares (1,6 milh\u00f5es de euros). Por volta de 6 de junho, 99% dos servi\u00e7os j\u00e1 tinham sido restaurados na totalidade.<\/p><p class=\"wp-block-paragraph\">A parte que interessa aqui: a Gnosis Pay <a href='https:\/\/crypto.news\/gnosis-pay-reveals-hidden-flaw-behind-1-5-million-hack\/' target='_blank' rel='noopener'>assumiu a totalidade do preju\u00edzo<\/a> a partir da sua pr\u00f3pria tesouraria e <a href='https:\/\/www.cryptotimes.io\/2026\/07\/03\/gnosis-pay-restores-100-user-funds-after-1-8m-crypto-exploit\/' target='_blank' rel='noopener'>confirmou publicamente o reembolso de 100% dos fundos afetados<\/a>, sem esperar por uma recupera\u00e7\u00e3o forense externa nem por um processo de negocia\u00e7\u00e3o com o atacante. Ao contr\u00e1rio da Bybit, a Gnosis Pay n\u00e3o \u00e9 uma exchange com bili\u00f5es em reservas; \u00e9 uma fintech cripto de dimens\u00e3o m\u00e9dia. O precedente que fica \u00e9 que a empresa pagar n\u00e3o exige escala de exchange, exige apenas a decis\u00e3o de priorizar o utilizador final acima do pr\u00f3prio runway.<\/p><h2 class='wp-block-heading'>Quando ningu\u00e9m paga por inteiro: Humanity Protocol e o pre\u00e7o como amortecedor<\/h2><p class=\"wp-block-paragraph\">Voltando ao caso que abriu este artigo: a Humanity Protocol n\u00e3o teve um atacante disposto a negociar, nem um balan\u00e7o com liquidez suficiente para tapar o buraco, nem uma tesouraria capaz de reembolsar detentores individuais de um token com mercado pr\u00f3prio. Depois de o port\u00e1til de um funcion\u00e1rio ser comprometido, provavelmente atrav\u00e9s de uma campanha de phishing a fazer-se passar por uma exchange sul-coreana, o atacante usou tr\u00eas de seis chaves administrativas na Ethereum e tr\u00eas de cinco na BNB Chain para assumir o controlo das pontes entre cadeias do projeto, drenando 141,2 milh\u00f5es de tokens H da ponte Ethereum e cunhando tokens adicionais diretamente na BNB Chain. Investigadores da Quantstamp apontam para liga\u00e7\u00f5es \u00e0 Coreia do Norte.<\/p><p class=\"wp-block-paragraph\">O pre\u00e7o do H caiu entre 80% e 90%, de cerca de 0,68 d\u00f3lares para menos de 0,08 d\u00f3lares, segundo o <a href='https:\/\/www.halborn.com\/blog\/post\/explained-the-humanity-protocol-hack-june-2026' target='_blank' rel='noopener'>relat\u00f3rio t\u00e9cnico da Halborn<\/a> e a <a href='https:\/\/www.coindesk.com\/tech\/2026\/06\/09\/humanity-s-usd36-million-exploit-happened-because-a-multisig-wallet-lived-on-one-laptop' target='_blank' rel='noopener'>cobertura da imprensa especializada<\/a>. A resposta da equipa foi anunciar uma troca 1 para 1 para um novo contrato ERC-20 auditado, distribu\u00edda por seis das maiores exchanges, e um piv\u00f4 estrat\u00e9gico do projeto para infraestrutura de identidade para empresas de intelig\u00eancia artificial.<\/p><p class=\"wp-block-paragraph\">Mas nenhuma dessas medidas paga a conta no sentido em que a Bybit ou a Gnosis Pay pagaram. A troca de token resolve o problema de seguran\u00e7a daqui para a frente; n\u00e3o devolve o valor que j\u00e1 se perdeu na queda de pre\u00e7o para quem vendeu em p\u00e2nico, ou para quem simplesmente via o saldo evaporar-se sem ter feito nada. \u00c9 a esta forma de pagamento, difusa e sem respons\u00e1vel identific\u00e1vel, que chamamos perda socializada: em vez de uma entidade espec\u00edfica assumir o preju\u00edzo, o mercado absorve-o atrav\u00e9s do pr\u00f3prio pre\u00e7o. \u00c9 tamb\u00e9m o motivo pelo qual <a href='https:\/\/hoge.gg\/pt\/funding-perpetuos-guia-2026\/'>os mercados de perp\u00e9tuos costumam reagir com viol\u00eancia a este tipo de not\u00edcia<\/a>, com taxas de funding a oscilar de forma abrupta \u00e0 medida que posi\u00e7\u00f5es alavancadas s\u00e3o liquidadas em cascata horas depois de um hack deste tipo.<\/p><h2 class='wp-block-heading'>Quando dois protocolos discutem a fatura: KelpDAO contra LayerZero<\/h2><p class=\"wp-block-paragraph\">Se os casos anteriores t\u00eam, pelo menos, um respons\u00e1vel claro (o atacante, a exchange, a empresa emissora), o hack da KelpDAO em abril de 2026 mostra o que acontece quando a infraestrutura \u00e9 partilhada entre v\u00e1rias empresas e ningu\u00e9m quer assumir a fatura sozinho.<\/p><p class=\"wp-block-paragraph\">A 18 de abril, atacantes ligados ao grupo norte-coreano Lazarus retiraram cerca de 292 milh\u00f5es de d\u00f3lares (257 milh\u00f5es de euros), o equivalente a 116.500 rsETH, explorando a ponte entre cadeias da KelpDAO constru\u00edda sobre o protocolo LayerZero. Segundo a <a href='https:\/\/www.chainalysis.com\/blog\/kelpdao-bridge-exploit-april-2026\/' target='_blank' rel='noopener'>reconstru\u00e7\u00e3o t\u00e9cnica da Chainalysis<\/a>, o ataque come\u00e7ou muito antes do dia do roubo: a 6 de mar\u00e7o, um atacante usou engenharia social para obter chaves de sess\u00e3o de um programador da LayerZero Labs, infiltrou-se no ambiente de nuvem de RPC da empresa e alterou a mem\u00f3ria de n\u00f3s RPC para devolverem respostas falsificadas \u00e0s ferramentas de monitoriza\u00e7\u00e3o. A configura\u00e7\u00e3o da rsETH, que dependia de um \u00fanico verificador (uma DVN da LayerZero Labs, num modelo de um s\u00f3 validador), permitiu que o contrato na Ethereum libertasse fundos com base numa queima de tokens forjada na cadeia de origem.<\/p><p class=\"wp-block-paragraph\">O sistema de pausa de emerg\u00eancia da KelpDAO travou os contratos 46 minutos depois do primeiro levantamento, \u00e0s 18:21 UTC, e bloqueou duas tentativas seguintes de continuar a drenar fundos, cada uma equivalente a cerca de 100 milh\u00f5es de d\u00f3lares. Ainda assim, o valor j\u00e1 retirado ficou disperso por mais de 20 blockchains diferentes, dificultando a recupera\u00e7\u00e3o.<\/p><p class=\"wp-block-paragraph\">O que torna este caso relevante para a pergunta quem paga n\u00e3o \u00e9 apenas a t\u00e9cnica, mas o que aconteceu a seguir: em vez de uma reconcilia\u00e7\u00e3o r\u00e1pida, a LayerZero e a KelpDAO <a href='https:\/\/www.coindesk.com\/tech\/2026\/04\/20\/layerzero-blames-kelp-s-setup-for-usd290-million-exploit-attributes-it-to-north-korea-s-lazarus' target='_blank' rel='noopener'>protagonizaram uma troca p\u00fablica de acusa\u00e7\u00f5es<\/a>, com a LayerZero a sugerir que a configura\u00e7\u00e3o escolhida pela pr\u00f3pria Kelp (a tal DVN \u00fanica) foi a causa principal, e a Kelp a responder que foram precisamente as defini\u00e7\u00f5es predefinidas da LayerZero que tornaram o ataque poss\u00edvel. No mesmo m\u00eas, a Drift Protocol perdeu cerca de 285 milh\u00f5es de d\u00f3lares (251 milh\u00f5es de euros) num ataque relacionado, tamb\u00e9m atribu\u00eddo a Lazarus, elevando o total de abril, s\u00f3 nestes dois casos, para perto de 577 milh\u00f5es de d\u00f3lares (508 milh\u00f5es de euros). \u00c9 este o padr\u00e3o que se torna mais comum \u00e0 medida que <a href='https:\/\/hoge.gg\/pt\/restaking-2026-colapso-tvl-kelp-aave\/'>o setor de restaking cresce e se entrela\u00e7a entre v\u00e1rias camadas de infraestrutura<\/a>: quando uma ponte, um or\u00e1culo ou uma camada de restaking \u00e9 partilhada por v\u00e1rios protocolos, um hack pode gerar uma disputa genu\u00edna sobre responsabilidade financeira, deixando o utilizador final apanhado no meio de duas empresas a discutir publicamente quem devia ter configurado o qu\u00ea.<\/p><h2 class='wp-block-heading'>Seis contas, seis desfechos: tabela comparativa<\/h2><p class=\"wp-block-paragraph\">Antes de olhar para os n\u00fameros agregados do setor, vale a pena comparar lado a lado os casos j\u00e1 descritos, mais o incidente fundador do g\u00e9nero, A DAO, cujo hack de 2016 (cerca de 3,6 milh\u00f5es de ETH, ent\u00e3o perto de 50 milh\u00f5es de d\u00f3lares, ou 44 milh\u00f5es de euros) foi pago atrav\u00e9s de um hard fork controverso que dividiu a rede em Ethereum e Ethereum Classic, uma solu\u00e7\u00e3o s\u00f3 poss\u00edvel porque a rede ainda tinha pouco mais de um ano de exist\u00eancia e uma comunidade pequena o suficiente para chegar a um consenso assim t\u00e3o disruptivo.<\/p><figure class='wp-block-table'><table><thead><tr><th>Caso<\/th><th>Data<\/th><th>Valor aproximado<\/th><th>Quem pagou<\/th><th>Utilizadores cobertos<\/th><\/tr><\/thead><tbody><tr><td>A DAO<\/td><td>Junho de 2016<\/td><td>~3,6 milh\u00f5es ETH (~50M$ \/ 44M\u20ac \u00e0 data)<\/td><td>Hard fork da comunidade Ethereum<\/td><td>Parcialmente, via nova cadeia<\/td><\/tr><tr><td>Euler Finance<\/td><td>Mar\u00e7o de 2023<\/td><td>~197M$ (~174M\u20ac)<\/td><td>O pr\u00f3prio atacante, via negocia\u00e7\u00e3o<\/td><td>Sim, quase na totalidade<\/td><\/tr><tr><td>Bybit<\/td><td>Fevereiro de 2025<\/td><td>~1,5 mil milh\u00f5es$ (~1,3 mil milh\u00f5es\u20ac)<\/td><td>Balan\u00e7o da exchange + bounty<\/td><td>Sim, sem perdas para clientes<\/td><\/tr><tr><td>Gnosis Pay<\/td><td>Junho de 2026<\/td><td>~1,5 a 1,8M$ (~1,3 a 1,6M\u20ac)<\/td><td>Tesouraria da empresa<\/td><td>Sim, 100% restaurado<\/td><\/tr><tr><td>KelpDAO<\/td><td>Abril de 2026<\/td><td>~292M$ (~257M\u20ac)<\/td><td>Em disputa entre Kelp e LayerZero<\/td><td>Parcial, recupera\u00e7\u00e3o em curso<\/td><\/tr><tr><td>Humanity Protocol<\/td><td>Junho de 2026<\/td><td>~36M$ (~32M\u20ac)<\/td><td>Ningu\u00e9m; perda socializada no pre\u00e7o<\/td><td>N\u00e3o, token caiu 80 a 90%<\/td><\/tr><\/tbody><\/table><\/figure><p class=\"wp-block-paragraph\">O padr\u00e3o que emerge n\u00e3o \u00e9 subtil: quanto mais centralizada e capitalizada for a entidade por tr\u00e1s do protocolo, mais prov\u00e1vel \u00e9 que os utilizadores fiquem cobertos por inteiro. Quanto mais a responsabilidade estiver dispersa, seja entre um token de mercado livre, v\u00e1rias empresas de infraestrutura partilhada ou uma rede totalmente descentralizada, mais prov\u00e1vel \u00e9 que a perda acabe, de alguma forma, socializada.<\/p><h2 class='wp-block-heading'>Os n\u00fameros do primeiro semestre de 2026: onde est\u00e1 mesmo o dinheiro<\/h2><p class=\"wp-block-paragraph\">Os seis casos anteriores s\u00e3o exce\u00e7\u00f5es medi\u00e1ticas. Para perceber o padr\u00e3o geral, vale a pena olhar para os n\u00fameros agregados do primeiro semestre de 2026 compilados pela TRM Labs. Foram 207 incidentes de hacking entre janeiro e junho, mais do que o dobro dos 83 registados no mesmo per\u00edodo de 2025, mas com perdas totais de cerca de 972 milh\u00f5es de d\u00f3lares (855 milh\u00f5es de euros), uma quebra de cerca de 57% face ao primeiro semestre de 2025.<\/p><p class=\"wp-block-paragraph\">A distribui\u00e7\u00e3o entre n\u00famero de casos e valor perdido \u00e9 onde a hist\u00f3ria fica interessante.<\/p><figure class='wp-block-table'><table><thead><tr><th>Categoria de ataque<\/th><th>Incidentes (n\u00ba)<\/th><th>% dos incidentes<\/th><th>% das perdas totais<\/th><\/tr><\/thead><tbody><tr><td>Exploits de contratos inteligentes<\/td><td>125<\/td><td>~60%<\/td><td>Minorit\u00e1rio face ao valor total<\/td><\/tr><tr><td>Infraestrutura, chaves e falhas operacionais<\/td><td>~31<\/td><td>~15%<\/td><td>~76%<\/td><\/tr><tr><td>Total do semestre<\/td><td>207<\/td><td>100%<\/td><td>972M$ (855M\u20ac)<\/td><\/tr><\/tbody><\/table><\/figure><p class=\"wp-block-paragraph\">Ataques a contratos inteligentes continuam a ser o tipo de incidente mais comum, mas j\u00e1 n\u00e3o s\u00e3o o mais caro: representam a maioria em n\u00famero, mas uma fra\u00e7\u00e3o minorit\u00e1ria do valor total roubado. Os compromissos de infraestrutura, chaves privadas e processos operacionais, exatamente o padr\u00e3o dos casos da Humanity Protocol e da KelpDAO, representaram apenas cerca de 15% dos incidentes, mas responderam por cerca de 76% de tudo o que foi roubado. A m\u00e9dia de perdas por incidente (4,7 milh\u00f5es de d\u00f3lares, perto de 4,1 milh\u00f5es de euros) \u00e9 mais de vinte vezes superior \u00e0 mediana (219 mil d\u00f3lares, 193 mil euros), o que confirma que um pequeno n\u00famero de assaltos de grande escala, normalmente ligados a infraestrutura partilhada, distorce todo o total.<\/p><p class=\"wp-block-paragraph\">A Coreia do Norte continua a dominar essa cauda pesada: cerca de 643 milh\u00f5es de d\u00f3lares (566 milh\u00f5es de euros), ou 66% de tudo o que foi roubado no semestre, s\u00e3o atribu\u00eddos a atores ligados ao regime, e apenas dois ataques, Drift e KelpDAO, ambos em abril, somam 577 milh\u00f5es de d\u00f3lares desse total. Este \u00e9 o motivo pr\u00e1tico pelo qual a pergunta quem paga se tornou mais dif\u00edcil ao longo dos \u00faltimos anos: um bug num contrato pode corrigir-se e auditar-se; uma falha organizacional, como um port\u00e1til pessoal com chaves administrativas ou um programador enganado por engenharia social, \u00e9 muito mais dif\u00edcil de corrigir com uma auditoria de c\u00f3digo.<\/p><p class=\"wp-block-paragraph\">Esta assimetria devia mudar a forma como investidores avaliam risco: perguntar apenas se o c\u00f3digo j\u00e1 foi auditado deixou de ser suficiente. As perguntas que realmente preveem se uma fatura ser\u00e1 paga s\u00e3o outras: quem det\u00e9m as chaves administrativas, quantas pessoas ou dispositivos seriam necess\u00e1rios comprometer para mover fundos, e se existe sequer uma tesouraria capaz de cobrir uma perda inesperada.<\/p><h2 class='wp-block-heading'>A bounty como pre\u00e7o fixo: o SEAL Safe Harbor<\/h2><p class=\"wp-block-paragraph\">A negocia\u00e7\u00e3o ad hoc que funcionou para a Euler Finance em 2023 inspirou, entretanto, uma tentativa de estandardiza\u00e7\u00e3o. O <a href='https:\/\/frameworks.securityalliance.org\/safe-harbor\/overview\/' target='_blank' rel='noopener'>SEAL Whitehat Safe Harbor<\/a>, mantido pela Security Alliance, \u00e9 uma oferta p\u00fablica, unilateral e juridicamente vinculativa: qualquer white hat, ou mesmo um atacante disposto a recuar, que devolva fundos roubados dentro de 72 horas recebe automaticamente uma recompensa de 10% do valor recuperado, com um teto de 1 milh\u00e3o de d\u00f3lares (cerca de 880 mil euros), sujeita a verifica\u00e7\u00e3o de identidade e a triagem contra listas de san\u00e7\u00f5es.<\/p><p class=\"wp-block-paragraph\">Mais de 20 protocolos j\u00e1 aderiram ao mecanismo, incluindo nomes como Uniswap, Aave, Pendle, PancakeSwap e Balancer, cobrindo coletivamente mais de 68 mil milh\u00f5es de d\u00f3lares (perto de 60 mil milh\u00f5es de euros) em ativos. A diferen\u00e7a para o caso Euler \u00e9 subtil, mas importante: em vez de cada protocolo ter de negociar o pre\u00e7o da devolu\u00e7\u00e3o caso a caso, correndo o risco de o atacante simplesmente desaparecer durante as negocia\u00e7\u00f5es, o Safe Harbor fixa o tarif\u00e1rio antecipadamente. Um atacante, ou um intermedi\u00e1rio, sabe exatamente quanto vai receber antes de decidir se devolve os fundos, o que reduz a fric\u00e7\u00e3o e a tenta\u00e7\u00e3o de esconder ou queimar o dinheiro por p\u00e2nico.<\/p><p class=\"wp-block-paragraph\">\u00c9, na pr\u00e1tica, uma tentativa de tornar o atacante paga, o desfecho mais limpo da nossa lista, menos dependente da sorte de cada negocia\u00e7\u00e3o individual, e mais parecido com uma pol\u00edtica pr\u00e9-aprovada.<\/p><h2 class='wp-block-heading'>O seguro que ainda engatinha: ap\u00f3lices on-chain<\/h2><p class=\"wp-block-paragraph\">Existe uma quarta forma de pagar a conta, ainda residual face \u00e0s tr\u00eas anteriores, mas em crescimento: um terceiro pr\u00e9-financia um fundo e paga indemniza\u00e7\u00f5es quando um protocolo segurado \u00e9 atacado. A Nexus Mutual, a maior destas plataformas, afirma ter protegido mais de 6 mil milh\u00f5es de d\u00f3lares (cerca de 5,3 mil milh\u00f5es de euros) em ativos digitais desde 2019. A Chainproof, incubada pela empresa de auditorias Quantstamp, oferece cobertura mais institucional contra risco de protocolo, de slashing e de falhas de auditoria, com prazos de pagamento de reclama\u00e7\u00f5es entre 14 a 30 dias \u00fateis, validados com base em dados on-chain.<\/p><p class=\"wp-block-paragraph\">Os n\u00fameros recentes mostram tanto o potencial como os limites do modelo. Depois do exploit da Arcadia Finance, a Nexus Mutual, em parceria com a plataforma agregadora OpenCover, <a href='https:\/\/www.reinsurancene.ws\/nexus-mutual-responds-to-arcadia-finance-exploit-reinforcing-commitment-to-onchain-protection\/' target='_blank' rel='noopener'>validou e pagou cerca de 250 mil d\u00f3lares<\/a> (220 mil euros) em reclama\u00e7\u00f5es; a mesma OpenCover processou perto de 100 mil d\u00f3lares (88 mil euros) em pagamentos relacionados com o colapso da Stream Finance. S\u00e3o valores que, comparados com os quase 855 milh\u00f5es de euros perdidos s\u00f3 no primeiro semestre de 2026, mostram que o seguro on-chain continua a cobrir uma fra\u00e7\u00e3o muito pequena do problema: a maioria dos protocolos, incluindo praticamente todos os casos descritos neste artigo, simplesmente n\u00e3o tinha ap\u00f3lice nenhuma.<\/p><p class=\"wp-block-paragraph\">Ainda assim, a tend\u00eancia importa, sobretudo \u00e0 medida que mais capital institucional <a href='https:\/\/hoge.gg\/pt\/fluxos-etf-bitcoin-ethereum-2026\/'>entra no setor atrav\u00e9s de produtos regulados como os ETF de Bitcoin e Ethereum<\/a>, cujos gestores tendem a exigir garantias de cust\u00f3dia e mitiga\u00e7\u00e3o de risco de contraparte antes de alocar capital a infraestrutura cripto subjacente. Um mercado de seguro on-chain mais maduro \u00e9, mais cedo ou mais tarde, um pr\u00e9-requisito para esse tipo de capital se sentir confort\u00e1vel fora dos produtos totalmente regulados.<\/p><h2 class='wp-block-heading'>O fundo nascido da maior fatura de sempre: a DAO Security Fund aos dez anos<\/h2><p class=\"wp-block-paragraph\">Se h\u00e1 um exemplo que resume a tese deste artigo, o g\u00e9nero do post-mortem a tentar, finalmente, resolver o problema do quem paga antes mesmo de o hack acontecer, \u00e9 a pr\u00f3pria DAO. A 29 de janeiro de 2026, quase exatamente dez anos depois do hack fundador de 2016, um grupo de veteranos do ecossistema Ethereum <a href='https:\/\/www.theblock.co\/post\/405248\/ethereum-130-million-security-fund-the-dao-hack-10-years' target='_blank' rel='noopener'>anunciou o relan\u00e7amento d&#8217;A DAO<\/a> como um fundo permanente de financiamento \u00e0 seguran\u00e7a da rede, ativando mais de 75.000 ETH em ativos nunca reclamados do processo de recupera\u00e7\u00e3o de 2016, avaliados, consoante o pre\u00e7o do ETH ao longo do ano, entre 130 e 220 milh\u00f5es de d\u00f3lares.<\/p><p class=\"wp-block-paragraph\">Cerca de 69.420 desses ETH, provenientes do contrato ExtraBalance original, ficam em staking permanente, gerando um rendimento anual estimado em 8 milh\u00f5es de d\u00f3lares (cerca de 7 milh\u00f5es de euros), distribu\u00eddo atrav\u00e9s de financiamento quadr\u00e1tico, subs\u00eddios retroativos a bens p\u00fablicos e vota\u00e7\u00e3o por ordem de prefer\u00eancia. O fundo \u00e9 gerido por um conselho de sete curadores que inclui Vitalik Buterin (Ethereum Foundation), Taylor Monahan (MetaMask), Jordi Baylina (ZisK), pcaversaccio (SEAL 911), Alex Van de Sande (ENS), Griff Green (Giveth) e Pol Lanski (DappNode). A primeira ronda, a Ethereum Security QF Round, decorreu entre 23 de abril e 14 de maio de 2026, distribuindo um fundo de contrapartida de 500 ETH (mais de 1 milh\u00e3o de d\u00f3lares, cerca de 880 mil euros) por 134 projetos, entre mais de 250 candidaturas.<\/p><p class=\"wp-block-paragraph\">Griff Green, uma das figuras que geriu a recupera\u00e7\u00e3o original de 2016 e agora um dos curadores do novo fundo, descreveu \u00e0 imprensa o motivo do relan\u00e7amento em termos pouco otimistas: \u00abestamos presos numa rotina h\u00e1 seis anos\u00bb, disse, apontando para o facto de ataques de phishing e roubos de carteira continuarem a fazer v\u00edtimas mesmo com um protocolo cada vez mais maduro do ponto de vista t\u00e9cnico. Marcin Kazmierczak, cofundador da RedStone, ofereceu uma leitura mais c\u00e9tica sobre o pr\u00f3prio mecanismo: financiar seguran\u00e7a a partir de uma dota\u00e7\u00e3o permanente em staking \u00e9 um avan\u00e7o real, disse, mas \u00abn\u00e3o elimina a confian\u00e7a, apenas desloca-a\u00bb, j\u00e1 que os participantes passam a confiar em sete curadores e num processo de aloca\u00e7\u00e3o em vez de confiarem que o c\u00f3digo subjacente \u00e9 infal\u00edvel.<\/p><p class=\"wp-block-paragraph\">\u00c9, em qualquer caso, o exemplo mais pr\u00f3ximo que a cripto j\u00e1 construiu de um mecanismo permanente e criado antecipadamente para financiar a seguran\u00e7a do pr\u00f3prio ecossistema, pago pelo remanescente do maior desastre da sua hist\u00f3ria. N\u00e3o compensa diretamente as v\u00edtimas de hacks futuros, mas financia as auditorias, ferramentas e infraestrutura de resposta a incidentes que, com sorte, evitam que a pr\u00f3xima fatura seja t\u00e3o alta.<\/p><h2 class='wp-block-heading'>MiCA, a CMVM, e a aus\u00eancia de um fundo de garantia para a DeFi<\/h2><p class=\"wp-block-paragraph\">Para um investidor portugu\u00eas, a pergunta quem paga a conta tem uma resposta muito diferente consoante o tipo de plataforma envolvida. Se a perda ocorrer numa plataforma centralizada registada como prestador de servi\u00e7os de criptoativos (CASP) ao abrigo do Regulamento MiCA, existe pelo menos um caminho de reclama\u00e7\u00e3o: a CMVM supervisiona a conduta de mercado e a prote\u00e7\u00e3o do investidor, o Banco de Portugal trata o registo dos CASP e a supervis\u00e3o de stablecoins, e a Lei n.\u00ba 69\/2025, em vigor desde 27 de dezembro de 2025, \u00e9 a legisla\u00e7\u00e3o nacional que transp\u00f5e essas obriga\u00e7\u00f5es. O per\u00edodo transit\u00f3rio para prestadores que operavam ao abrigo do regime anterior de VASP terminou a 1 de julho de 2026, pelo que, a partir de agora, qualquer plataforma que sirva clientes portugueses precisa de autoriza\u00e7\u00e3o formal.<\/p><p class=\"wp-block-paragraph\">Mas nenhum dos seis casos analisados neste artigo passaria, na \u00edntegra, por esse crivo. A DAO, a Euler, a KelpDAO e a Humanity Protocol s\u00e3o protocolos descentralizados sem uma entidade central claramente identific\u00e1vel, exatamente o tipo de estrutura que o MiCA exclui explicitamente do seu \u00e2mbito. Mesmo a Bybit e a Gnosis Pay, que s\u00e3o empresas identific\u00e1veis, resolveram os seus casos atrav\u00e9s de decis\u00f5es comerciais volunt\u00e1rias, n\u00e3o porque uma autoridade as obrigasse a compensar clientes: o MiCA n\u00e3o imp\u00f5e um fundo de garantia de dep\u00f3sitos equivalente ao que existe na banca tradicional europeia.<\/p><p class=\"wp-block-paragraph\">Para um utilizador com fundos presos numa ponte descentralizada ou num protocolo de restaking sediado em nenhum pa\u00eds em particular, a CMVM n\u00e3o tem, hoje, forma de mediar uma reclama\u00e7\u00e3o, e n\u00e3o existe qualquer esquema de compensa\u00e7\u00e3o equivalente ao que protege depositantes banc\u00e1rios. Regras europeias especificamente desenhadas para DeFi n\u00e3o s\u00e3o esperadas antes de 2027 ou 2028. At\u00e9 l\u00e1, e para esse tipo espec\u00edfico de perda, o post-mortem p\u00fablico, com toda a sua variabilidade de desfechos financeiros descrita neste artigo, continua a ser, na pr\u00e1tica, o \u00fanico mecanismo de recurso dispon\u00edvel.<\/p><h2 class='wp-block-heading'>O que vem a seguir: normalizar a fatura, n\u00e3o s\u00f3 o relat\u00f3rio<\/h2><p class=\"wp-block-paragraph\">Tr\u00eas tend\u00eancias parecem estar a convergir para tornar o desfecho financeiro de um hack menos aleat\u00f3rio do que foi at\u00e9 agora. A primeira \u00e9 a generaliza\u00e7\u00e3o de frameworks de recompensa pr\u00e9-acordados, como o Safe Harbor, que tendem a tornar-se a norma em vez da exce\u00e7\u00e3o \u00e0 medida que mais protocolos adotam pol\u00edticas de divulga\u00e7\u00e3o respons\u00e1vel desenhadas em conjunto com as suas pr\u00f3prias equipas jur\u00eddicas. A segunda \u00e9 o crescimento lento, mas real, da capacidade de seguro on-chain, ainda longe de cobrir uma fatia relevante das perdas totais do setor, mas suficientemente estabelecida para processar reclama\u00e7\u00f5es reais em semanas, n\u00e3o em anos de lit\u00edgio.<\/p><p class=\"wp-block-paragraph\">A terceira, e talvez a mais estrutural, \u00e9 a tend\u00eancia que o caso KelpDAO contra LayerZero deixa antever: \u00e0 medida que pontes, or\u00e1culos e camadas de restaking passam a ser partilhados por dezenas de protocolos diferentes, torna-se cada vez mais prov\u00e1vel que a pr\u00f3xima disputa financeira grande n\u00e3o seja entre um protocolo e os seus utilizadores, mas entre duas ou mais empresas de infraestrutura a discutir contratualmente quem devia ter configurado o qu\u00ea. \u00c9 plaus\u00edvel que isso empurre o setor para acordos de n\u00edvel de servi\u00e7o e cl\u00e1usulas de indemniza\u00e7\u00e3o entre protocolos, \u00e0 semelhan\u00e7a do que j\u00e1 existe h\u00e1 d\u00e9cadas entre fornecedores de infraestrutura na tecnologia tradicional, precisamente para evitar que o utilizador final fique no meio de uma disputa p\u00fablica sem resolu\u00e7\u00e3o clara.<\/p><p class=\"wp-block-paragraph\">Fica, por fim, a pergunta em aberto que a DAO Security Fund come\u00e7ou a responder, mas que ainda n\u00e3o generalizou: quantas outras tesourarias ricas em ativos parados, sejam de DAOs maduras, funda\u00e7\u00f5es ou protocolos com reservas por gastar, est\u00e3o dispostas a transformar parte do seu capital ocioso num fundo permanente de seguran\u00e7a, em vez de esperar pelo pr\u00f3ximo post-mortem para decidir, outra vez, quem paga a conta? Nenhuma destas tend\u00eancias resolve o problema por completo, nem substitui a necessidade de c\u00f3digo auditado e de pr\u00e1ticas operacionais s\u00f3lidas. Mas, lidas em conjunto, sugerem que o setor est\u00e1 lentamente a mover-se de uma cultura que apenas explica hacks para uma que tamb\u00e9m os pr\u00e9-financia.<\/p><h2 class='wp-block-heading'>Perguntas frequentes<\/h2><h3 class='wp-block-heading'>O que \u00e9 um post-mortem num hack cripto?<\/h3><p class=\"wp-block-paragraph\">\u00c9 um relat\u00f3rio t\u00e9cnico publicado por um protocolo, exchange ou empresa depois de um incidente de seguran\u00e7a, normalmente com uma linha do tempo detalhada, a identifica\u00e7\u00e3o da causa-raiz on-chain, uma estimativa das perdas e um plano de corre\u00e7\u00e3o. Ao contr\u00e1rio de um comunicado de imprensa tradicional, costuma incluir provas verific\u00e1veis publicamente, como transa\u00e7\u00f5es espec\u00edficas ou relat\u00f3rios forenses de terceiros.<\/p><h3 class='wp-block-heading'>Quem paga quando um protocolo DeFi \u00e9 hackeado?<\/h3><p class=\"wp-block-paragraph\">Depende do caso. Pode ser o pr\u00f3prio atacante, atrav\u00e9s de uma negocia\u00e7\u00e3o ou de uma recompensa como a do SEAL Safe Harbor; pode ser a empresa ou exchange por tr\u00e1s do protocolo, se tiver reservas suficientes; pode ser uma ap\u00f3lice de seguro on-chain, ainda residual; ou, no caso mais comum entre protocolos totalmente descentralizados, a perda pode acabar socializada atrav\u00e9s da queda do pre\u00e7o do token, sem nenhum reembolso direto aos afetados.<\/p><h3 class='wp-block-heading'>Os utilizadores costumam ser reembolsados depois de um hack cripto?<\/h3><p class=\"wp-block-paragraph\">Nem sempre. Casos como a Bybit ou a Gnosis Pay mostram empresas a cobrir 100% das perdas dos clientes a partir do seu pr\u00f3prio balan\u00e7o. Noutros casos, como o da Humanity Protocol, n\u00e3o existe reembolso direto: o preju\u00edzo reflete-se na queda do pre\u00e7o do token, e mesmo uma troca para um novo contrato mais seguro n\u00e3o recupera o valor j\u00e1 perdido para quem vendeu ou detinha o ativo durante o colapso.<\/p><h3 class='wp-block-heading'>O que \u00e9 o SEAL Safe Harbor?<\/h3><p class=\"wp-block-paragraph\">\u00c9 um enquadramento jur\u00eddico p\u00fablico mantido pela Security Alliance que oferece prote\u00e7\u00e3o legal e uma recompensa fixa (10% dos fundos recuperados, com um teto de 1 milh\u00e3o de d\u00f3lares) a quem devolva fundos roubados de um protocolo aderente dentro de 72 horas. Mais de 20 protocolos, incluindo Uniswap, Aave e Pendle, j\u00e1 aderiram ao mecanismo.<\/p><h3 class='wp-block-heading'>A CMVM protege os utilizadores portugueses de perdas em hacks de DeFi?<\/h3><p class=\"wp-block-paragraph\">Apenas de forma indireta e limitada. A CMVM e o Banco de Portugal supervisionam prestadores de servi\u00e7os de criptoativos registados ao abrigo do MiCA e da Lei n.\u00ba 69\/2025, mas o MiCA exclui explicitamente protocolos totalmente descentralizados sem uma entidade central identific\u00e1vel. Para perdas em DeFi pura, n\u00e3o existe hoje qualquer fundo de garantia equivalente ao que protege dep\u00f3sitos banc\u00e1rios, e regras europeias espec\u00edficas para DeFi n\u00e3o s\u00e3o esperadas antes de 2027 ou 2028.<\/p><script type='application\/ld+json'>{\"@context\":\"https:\/\/schema.org\",\"@type\":\"FAQPage\",\"mainEntity\":[{\"@type\":\"Question\",\"name\":\"O que \u00e9 um post-mortem num hack cripto?\",\"acceptedAnswer\":{\"@type\":\"Answer\",\"text\":\"\u00c9 um relat\u00f3rio t\u00e9cnico publicado por um protocolo, exchange ou empresa depois de um incidente de seguran\u00e7a, normalmente com uma linha do tempo detalhada, a identifica\u00e7\u00e3o da causa-raiz on-chain, uma estimativa das perdas e um plano de corre\u00e7\u00e3o. Ao contr\u00e1rio de um comunicado de imprensa tradicional, costuma incluir provas verific\u00e1veis publicamente, como transa\u00e7\u00f5es espec\u00edficas ou relat\u00f3rios forenses de terceiros.\"}},{\"@type\":\"Question\",\"name\":\"Quem paga quando um protocolo DeFi \u00e9 hackeado?\",\"acceptedAnswer\":{\"@type\":\"Answer\",\"text\":\"Depende do caso. Pode ser o pr\u00f3prio atacante, atrav\u00e9s de uma negocia\u00e7\u00e3o ou de uma recompensa como a do SEAL Safe Harbor; pode ser a empresa ou exchange por tr\u00e1s do protocolo, se tiver reservas suficientes; pode ser uma ap\u00f3lice de seguro on-chain, ainda residual; ou, no caso mais comum entre protocolos totalmente descentralizados, a perda pode acabar socializada atrav\u00e9s da queda do pre\u00e7o do token, sem nenhum reembolso direto aos afetados.\"}},{\"@type\":\"Question\",\"name\":\"Os utilizadores costumam ser reembolsados depois de um hack cripto?\",\"acceptedAnswer\":{\"@type\":\"Answer\",\"text\":\"Nem sempre. Casos como a Bybit ou a Gnosis Pay mostram empresas a cobrir 100% das perdas dos clientes a partir do seu pr\u00f3prio balan\u00e7o. Noutros casos, como o da Humanity Protocol, n\u00e3o existe reembolso direto: o preju\u00edzo reflete-se na queda do pre\u00e7o do token, e mesmo uma troca para um novo contrato mais seguro n\u00e3o recupera o valor j\u00e1 perdido para quem vendeu ou detinha o ativo durante o colapso.\"}},{\"@type\":\"Question\",\"name\":\"O que \u00e9 o SEAL Safe Harbor?\",\"acceptedAnswer\":{\"@type\":\"Answer\",\"text\":\"\u00c9 um enquadramento jur\u00eddico p\u00fablico mantido pela Security Alliance que oferece prote\u00e7\u00e3o legal e uma recompensa fixa (10% dos fundos recuperados, com um teto de 1 milh\u00e3o de d\u00f3lares) a quem devolva fundos roubados de um protocolo aderente dentro de 72 horas. Mais de 20 protocolos, incluindo Uniswap, Aave e Pendle, j\u00e1 aderiram ao mecanismo.\"}},{\"@type\":\"Question\",\"name\":\"A CMVM protege os utilizadores portugueses de perdas em hacks de DeFi?\",\"acceptedAnswer\":{\"@type\":\"Answer\",\"text\":\"Apenas de forma indireta e limitada. A CMVM e o Banco de Portugal supervisionam prestadores de servi\u00e7os de criptoativos registados ao abrigo do MiCA e da Lei n.\u00ba 69\/2025, mas o MiCA exclui explicitamente protocolos totalmente descentralizados sem uma entidade central identific\u00e1vel. Para perdas em DeFi pura, n\u00e3o existe hoje qualquer fundo de garantia equivalente ao que protege dep\u00f3sitos banc\u00e1rios, e regras europeias espec\u00edficas para DeFi n\u00e3o s\u00e3o esperadas antes de 2027 ou 2028.\"}}]}<\/script><p class=\"wp-block-paragraph\">Artigo da reda\u00e7\u00e3o da HOGE Wire, focada em mercados cripto e regula\u00e7\u00e3o europeia.<\/p>","protected":false},"excerpt":{"rendered":"<p>Um post-mortem explica o hack; raramente explica quem paga a conta. Comparamos Bybit, Gnosis Pay, Euler e outros casos para perceber quem cobre o preju\u00edzo.<\/p>\n","protected":false},"author":5,"featured_media":170,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7],"tags":[],"class_list":["post-169","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-culture"],"_links":{"self":[{"href":"https:\/\/hoge.gg\/pt\/wp-json\/wp\/v2\/posts\/169","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/hoge.gg\/pt\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/hoge.gg\/pt\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/hoge.gg\/pt\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/hoge.gg\/pt\/wp-json\/wp\/v2\/comments?post=169"}],"version-history":[{"count":0,"href":"https:\/\/hoge.gg\/pt\/wp-json\/wp\/v2\/posts\/169\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/hoge.gg\/pt\/wp-json\/wp\/v2\/media\/170"}],"wp:attachment":[{"href":"https:\/\/hoge.gg\/pt\/wp-json\/wp\/v2\/media?parent=169"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/hoge.gg\/pt\/wp-json\/wp\/v2\/categories?post=169"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/hoge.gg\/pt\/wp-json\/wp\/v2\/tags?post=169"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}