O Federal Bureau of Investigation (FBI) dos Estados Unidos anunciou em 3 de setembro que golpistas e hackers norte-coreanos estão mirando empresas associadas a fundos negociados em bolsa (ETFs) relacionados a criptomoedas.

Apesar dos bilhões de dólares fluindo para esses ETFs de criptomoedas, os investidores podem estar sendo rápidos demais em presumir que seus ativos estão totalmente seguros.

Grupos de hackers norte-coreanos, como o Lazarus Group, são bem conhecidos na indústria de criptomoedas e são suspeitos de realizar diversos ataques a exchanges importantes e protocolos de blockchain.

As autoridades temem que esses grupos possam atacar os ETFs lastreados em criptomoedas, visando seus ativos subjacentes.

Fonte: FBI/Eric Balchunas

ETFs de mercado de ações precisam ter um sistema sólido que rastreie e replique o preço do ativo subjacente de forma adequada.

No entanto, os gestores de fundos de um ETF de cripto spot devem fornecer custódia — seja por eles mesmos ou por meio de terceiros — dos ativos digitais físicos para corresponder ao total de ativos sob gestão (AUM).

Esses alvos atraentes são grandes demais para serem ignorados. De acordo com dados da Farside Investors, os fluxos acumulados totais dos ETFs de Bitcoin (BTC) spot já superaram US$ 15 bilhões desde julho de 2024.

Fluxo acumulado total de ETFs de Bitcoin spot em milhões de dólares americanos. Fonte: Fairside

Além disso, embora os investidores tenham injetado bilhões de dólares em ETFs de criptomoedas, a maior parte de seus fundos não está segurada. Se hackers norte-coreanos conseguissem realizar um ataque bem-sucedido e roubar os ativos de respaldo, as consequências poderiam ser desastrosas.

O que aconteceria se um ETF de Bitcoin ou Ether fosse hackeado?

Jameson Lopp, cofundador e diretor de segurança da carteira de autocustódia cripto Casa, disse ao Cointelegraph que, se um ETF de Bitcoin ou Ether (ETH) fosse hackeado, ele "esperaria que o ETF em si rapidamente negociasse até chegar a zero", se não fosse suspenso. Logo após, ocorreria uma queda significativa no mercado à medida que as moedas hackeadas fossem liquidadas.

Se uma vulnerabilidade fosse descoberta, Lopp acredita que "muitos dos investidores de ETFs não hackeados liquidariam suas posições, pois os usuários finalmente entenderiam o risco de perda catastrófica envolvido". Ele afirmou que seria difícil especular quanto tempo o mercado levaria para se recuperar de tal choque.

Felizmente, é improvável que hackers consigam roubar as criptomoedas diretamente da Coinbase devido à abordagem adotada pela empresa de "sofrer um ataque, mas não ser destruída", disse Taylor Monahan, principal pesquisadora de segurança da fornecedora de carteiras cripto MetaMask.

Fonte: Taylor Monahan

Monahan explicou em uma publicação no X que a Coinbase — praticamente o único custodiante de ETFs de criptomoedas nos EUA — aceita que será hackeada em algum momento.

A chave para o sucesso é uma abordagem proativa para criar uma infraestrutura que previna catástrofes em caso de um ataque.

Luke Youngblood, cofundador do protocolo de empréstimos de finanças descentralizadas Moonwell e ex-engenheiro de software da Coinbase Cloud, explicou que a infraestrutura de segurança da Coinbase possui várias camadas que os hackers precisariam ultrapassar antes de causar danos reais.

Ele afirmou que seria altamente improvável que os hackers conseguissem acessar os fundos, mas, se um ataque hipotético fosse bem-sucedido, os danos seriam compartimentados.

Riscos de seguro para ETFs de Bitcoin e Ether

Lopp disse ao Cointelegraph que "duvida muito que muitos investidores de ETFs entendam todos os riscos envolvidos" e acredita que os investidores podem ignorar o fato de que os ativos são praticamente sem seguro:

“A cobertura de seguro de custodiantes terceirizados é uma piada. Não é economicamente viável segurar o valor total desses ativos, dado os riscos envolvidos e a dificuldade de recuperar fundos perdidos.”

O prospecto do ETF iShares Bitcoin Trust da BlackRock afirma que a Coinbase Global — custodiante do fundo — oferece uma apólice de seguro de até US$ 320 milhões. O valor pode parecer generoso, mas, segundo a Coinbase, a exchange custodia US$ 269 bilhões em ativos digitais. Isso significa que sua apólice de US$ 320 milhões cobriria apenas 0,12% de seus ativos sob gestão (AUM).

Andrew Rossow, advogado de mídia digital da Minc Law e CEO da AR Media Consulting, disse ao Cointelegraph que os ativos que respaldam um ETF de cripto "não necessariamente" estariam cobertos pela apólice de seguro. Ele explicou: "Existem cenários em que a cobertura pode ser inadequada, deixando os clientes (e seus ativos) expostos a riscos financeiros".

Rossow afirmou que a apólice de seguro do custodiante segue uma política compartilhada. Efetivamente, "os US$ 320 milhões são compartilhados coletivamente entre todos os clientes da Coinbase", em vez de uma alocação específica para qualquer cliente ou tipo de ativo, como os ETFs de cripto.

Katherine Dowling, diretora de conformidade da fornecedora de índices de criptomoedas e ETFs Bitwise, disse ao Cointelegraph que é comum entre os custodiantes de cripto ter uma apólice de seguro que não é específica para um cliente, mas cobre todos os clientes.

Rossow enfatizou que, em caso de uma perda significativa, "a cobertura total fornecida pela apólice pode não ser suficiente para cobrir todas as possíveis reivindicações".

Além disso, como os ETFs de cripto são produtos financeiros aprovados, eles se qualificam para o seguro da Securities Investor Protection Corp (SIPC). A SIPC oferece US$ 500.000 de cobertura por cliente, incluindo um limite de US$ 250.000 em dinheiro — mas com uma ressalva.

A SIPC normalmente protege os consumidores se uma corretora registrada declarar falência, garantindo que os valores mobiliários em contas de corretagem, como ETFs, não possam ser roubados pela corretora.

No entanto, a SIPC não assegura os ativos subjacentes desses valores mobiliários, como Bitcoin ou outras commodities. Em vez disso, garante que o valor mobiliário, seja ele um certificado digital ou em papel, permaneça como propriedade do cliente. Essencialmente, a SIPC protege as ações de ETFs de Bitcoin contra perdas cobertas, como roubo por corretoras, mas não o Bitcoin que respalda essas ações.

O setor de custódia de criptomoedas dos EUA é altamente centralizado

A corrida para liderar os ETFs de Bitcoin e Ether criou muitos emissores de ETFs de criptomoedas. No entanto, como mencionado anteriormente, a Coinbase é praticamente o único custodiante de todos os ETFs nos EUA.

Um porta-voz da Coinbase disse ao Cointelegraph que o status da plataforma como a opção preferida se deve ao seu "histórico comprovado, tecnologia de ponta e profunda experiência em custódia de criptomoedas".

Apesar de a Coinbase se "orgulhar de servir como o custodiante confiável da maioria dos ETFs de criptomoedas", o problema da centralização substancial é evidente.

Uma única entidade é responsável pela custódia de quase todas as criptomoedas que respaldam os ETFs, mantendo 808.619 BTC até o início de setembro, de acordo com dados do Timechain Index.

Fonte: Sani/Timechaindex

Steven Walbroehl, cofundador e diretor de tecnologia da empresa de cibersegurança Halbron, disse ao Cointelegraph que a Coinbase Custody dá "a mais alta prioridade e foco na responsabilidade de proteger as chaves de criptomoedas que detêm os fundos dos ETFs".

No entanto, apesar dessa atenção à segurança, ele acredita que a centralização existente no setor é um fator de risco significativo para a indústria:

"Acredito que ter a maioria da custódia nas mãos de uma única entidade pode representar um risco sistêmico para toda a classe de ativos, se houver um comprometimento desse principal detentor."

Walbroehl afirmou que nenhuma regulamentação ou exigência de conformidade definiu claramente os padrões de segurança para a custódia de criptomoedas. Ele indicou que nenhum protocolo de segurança foi divulgado publicamente em detalhes.

Walbroehl também reconheceu que revelar esses protocolos poderia fornecer informações valiosas a hackers e agentes mal-intencionados. No entanto, sua ausência também significa que "não sabemos se revisões precisam ser feitas".

No sistema atual, ele admitiu, a indústria é deixada "a confiar que os custodians implementaram os protocolos de segurança mais necessários".

A diversificação poderia distribuir o risco entre múltiplos provedores de custódia, oferecendo uma possível solução. No entanto, Walbroehl alertou que "a diversificação também pode levar a outros tipos de risco, como complexidade de acesso ou risco de transferência".

Fonte: Jameson Lopp

Entre todos os gestores de ETFs de criptomoedas, a Fidelity é a única empresa que protege os ativos digitais de seus fundos por conta própria. Lopp acredita que “qualquer instituição de tamanho suficiente para lançar um ETF é capaz de construir e manter um sistema de autocustódia de nível empresarial”. Ele argumentou que terceirizar para terceiros não transparentes representa um risco:

“Todo ETF deveria fazer isso para melhorar sua própria postura de segurança e não terceirizar sua segurança para um terceiro confiável que opera como uma caixa preta.”

A BlackRock recusou o pedido de comentário do Cointelegraph para este artigo.