Risco de custódia: por que a comprovação de reservas deve ser combinada com auditorias.

by | Nov 29, 2025 | Ataques Cibernéticos e Aplicação da Lei, Segurança

Risco de custódia: por que a prova de reservas deve ser combinada com auditorias

Explore como o risco de custódia persiste apesar da prova de reservas e por que auditorias independentes são essenciais para proteger os investidores em criptomoedas em 2025.

  • A prova de reservas por si só pode induzir a erros; as auditorias adicionam garantia verificável.
  • Os custodiantes podem manter ativos fora da blockchain, criando opacidade que a prova de reservas não consegue resolver completamente.
  • Auditorias independentes de terceiros revelam discrepâncias e validam as práticas de custódia.

Risco de custódia: por que a prova de reservas deve ser combinada com auditorias é uma questão central no ecossistema de criptoativos atual. Em 2025, à medida que o dinheiro institucional flui para ativos do mundo real tokenizados (RWAs), os investidores de varejo enfrentam uma nova forma de exposição: a segurança dos contratos de custódia que detêm os fundos ou títulos subjacentes. A prova de reservas (PoR) é amplamente promovida como um mecanismo de transparência, mas apresenta limitações que podem deixar os investidores vulneráveis. Neste artigo, analisaremos a relação entre PoR e auditorias, examinaremos exemplos do mundo real — incluindo os imóveis de luxo tokenizados da Eden RWA — e descreveremos o que você deve procurar ao avaliar plataformas de custódia. O objetivo é fornecer aos investidores de varejo intermediários uma estrutura clara para avaliar o risco de custódia em 2025 e nos anos seguintes.

Abordaremos:

  • A evolução da custódia e da Prova de Responsabilidade (PoR) no espaço de criptoativos
  • Como a PoR funciona e por que pode ser enganosa
  • O papel das auditorias independentes na validação das reivindicações de custódia
  • Conclusões práticas para investidores e casos de uso reais, como o Eden RWA

Contexto e Histórico

A custódia tornou-se um pilar do movimento de tokenização de ativos. As finanças tradicionais dependem de custodiantes — bancos, empresas fiduciárias ou depositários de valores mobiliários — para proteger ativos físicos ou eletrônicos.

No mundo das criptomoedas, a custódia é mais fragmentada: corretoras, carteiras com múltiplas assinaturas, módulos de segurança de hardware (HSMs) e empresas de custódia especializadas oferecem diferentes graus de controle.

A Prova de Reservas (PoR) surgiu em 2019 como uma técnica criptográfica que permite aos custodiantes publicar um instantâneo de suas participações sem revelar os saldos individuais. Uma PoR normalmente envolve a assinatura da raiz de uma árvore Merkle com a chave privada do custodiante, que pode então ser verificada por qualquer pessoa em relação ao livro-razão público. O resultado é uma afirmação de que “o custodiante detém pelo menos X quantidade do token Y”.

Os reguladores começaram a prestar atenção. Em 2024, a MiCA (Regulamentação dos Mercados de Criptoativos) introduziu diretrizes provisórias para serviços de custódia, enquanto a SEC emitiu declarações esclarecedoras sobre os requisitos de custódia para tokens semelhantes a valores mobiliários.

Esses desenvolvimentos reforçam a crescente expectativa de que os custodiantes demonstrem transparência e confiabilidade.

Apesar desses sinais regulatórios, o PoR por si só é insuficiente para garantir a segurança dos ativos. A técnica não audita os processos subjacentes que geram a raiz Merkle, nem verifica se os registros do custodiante correspondem às declarações on-chain ou às auditorias externas. Consequentemente, o PoR pode ser manipulado ou deturpado.

Como funciona a Prova de Reservas

O fluxo de trabalho padrão do PoR envolve várias etapas:

  • Coleta de dados: O custodiante agrega os saldos de todas as carteiras e contas relevantes.
  • Construção da árvore Merkle: Cada saldo de ativo se torna um nó folha; a árvore é transformada em um hash para produzir um hash raiz.
  • Assinatura: O custodiante assina a raiz com sua chave privada, criando uma prova assinada.
  • Publicação: A raiz assinada e a assinatura são publicadas publicamente (por exemplo, em um blockchain ou site).
  • Verificação: Qualquer pessoa pode verificar se a assinatura corresponde à chave pública do custodiante e se o hash raiz corresponde aos saldos declarados.

Embora tecnicamente sólido, esse processo tem pontos cegos:

  • O custodiante pode assinar uma raiz fabricada que não reflita as participações reais.
  • Erros ou omissões na agregação de dados podem levar a uma árvore Merkle imprecisa.
  • A Prova de Responsabilidade (PoR) não fornece garantia temporal; O instantâneo pode ficar desatualizado em minutos se os saldos mudarem.

Por que as auditorias são importantes

Uma auditoria independente adiciona uma camada de verificação que o PoR não possui. Os auditores revisam:

  • Controles internos: Como os saldos são rastreados, conciliados e relatados.
  • Segregação de funções: Se a mesma entidade realiza a custódia, a conciliação e a geração de relatórios.
  • Postura de segurança: Módulos de segurança de hardware, práticas de armazenamento a frio e planos de resposta a incidentes.
  • Precisão da conciliação: Verificação cruzada dos saldos on-chain com os registros de custódia.

Os auditores também emitem um relatório assinado que pode ser compartilhado publicamente.

Ao contrário do PoR, a credibilidade de uma auditoria depende da reputação do auditor, da metodologia e da adesão a padrões internacionais como ISO 27001 ou NIST CSF.

Impacto no Mercado e Casos de Uso

A combinação de PoR e auditorias já está moldando diversos setores:

  • Imóveis tokenizados: Plataformas emitem tokens de propriedade lastreados em ativos físicos. Os investidores contam com custodiantes para manter os títulos subjacentes ou os títulos de propriedade imobiliária.
  • Ofertas de tokens semelhantes a títulos (STOs): Os marcos regulatórios exigem verificação custodial das participações antes da listagem.
  • Muitos cofres de agregação de rendimento publicam PoR, mas estão buscando cada vez mais auditorias de terceiros para satisfazer os parceiros institucionais.

Abaixo está uma tabela de comparação simplificada ilustrando as diferenças entre confiar apenas no PoR e combiná-lo com uma auditoria:

Recurso Somente Prova de Reservas Prova de Reservas + Auditoria
Nível de transparência Alto (raiz pública)

Verificação de processos Não Sim
Risco de deturpação Médio-alto Baixo
Aceitação regulatória Limitada Apoio crescente
Confiança do investidor Moderada Alta

Riscos, Regulamentação e Desafios

Mesmo com PoR e auditorias, o risco de custódia persiste:

  • Risco de contrato inteligente: Os custodiantes podem usar carteiras on-chain vulneráveis ​​a bugs ou
  • Lacunas de conformidade KYC/AML: Os custodiantes podem não verificar completamente todos os participantes, expondo a plataforma a sanções.
  • Ambiguidade da propriedade legal: Os detentores de tokens podem não ter direitos legais sobre os ativos subjacentes se os contratos não forem claros.
  • Restrições de liquidez: Mesmo um custodiante bem auditado pode enfrentar escassez de liquidez durante períodos de estresse de mercado.

Os reguladores estão endurecendo as regras. A proposta da SEC de “Regra de Custódia” para tokens de segurança exigiria auditorias como parte dos requisitos de listagem, enquanto a MiCA provavelmente estenderá padrões semelhantes aos residentes da UE. O não cumprimento pode resultar em multas ou exclusão da bolsa.

Perspectivas e Cenários para 2025+

Cenário otimista: As empresas custodiantes adotam trilhas de auditoria baseadas em blockchain e integram o PoR em tempo real com monitoramento contínuo. A confiança dos investidores aumenta, levando a maiores fluxos de capital para ativos tokenizados.

Cenário pessimista: Uma violação de custódia de alto perfil desencadeia uma onda de processos judiciais e repressões regulatórias. O mercado reage apertando a due diligence, aumentando os custos para os emissores.

Cenário base: Os custodiantes continuam a publicar o PoR enquanto adicionam gradualmente camadas de auditoria. A demanda institucional permanece forte, mas os investidores estão se tornando mais exigentes quanto às divulgações de custódia.

Eden RWA – Um Exemplo Concreto

A Eden RWA é uma plataforma de investimento que democratiza o acesso a imóveis de luxo no Caribe francês por meio de propriedades tokenizadas geradoras de renda. O modelo funciona da seguinte forma:

  • Cada villa em Saint-Barthélemy, Saint-Martin, Guadalupe ou Martinica é de propriedade de uma Sociedade de Propósito Específico (SPE) – normalmente uma SCI ou SAS.
  • A Eden emite tokens de propriedade ERC-20 que representam ações indiretas da SPE. Por exemplo, os detentores do token STB-VILLA-01 possuem uma participação fracionária em uma villa em Saint-Barthélemy.
  • A plataforma coleta a renda do aluguel e a distribui aos investidores em USDC diretamente em suas carteiras Ethereum por meio de contratos inteligentes automatizados.
  • Um sorteio trimestral seleciona um detentor de token para uma estadia gratuita de uma semana, adicionando utilidade além da renda passiva.
  • A governança segue um modelo “DAO simplificado”: ​​os detentores de tokens votam em decisões importantes, como reformas ou o momento da venda.

A custódia desempenha um papel fundamental. Os ativos da SPV – as escrituras dos imóveis e os contratos de aluguel – são mantidos em um sistema de custódia seguro que deve comprovar a propriedade e o fluxo de renda para os detentores de tokens. A Eden publica a Prova de Direitos (PoR) de seus saldos de tesouraria, mas também encomenda auditorias anuais de suas práticas de custódia, código de contratos inteligentes e relatórios financeiros. Essa abordagem dupla está alinhada com a estrutura de melhores práticas discutida anteriormente.

Para investidores curiosos sobre exposição fracionada a imóveis, a Eden RWA oferece um caminho estruturado que combina a transparência do blockchain com as salvaguardas legais tradicionais. A pré-venda da plataforma está atualmente disponível para participantes interessados.

Principais Conclusões Práticas

  • Sempre verifique se um custodiante publica tanto a Prova de Registro (PoR) quanto um relatório de auditoria independente.
  • Verifique as credenciais do auditor: procure por ISO 27001, NIST CSF ou certificações específicas do setor.
  • Entenda como os saldos on-chain são reconciliados com as participações off-chain;
  • Inconsistências podem sinalizar risco.
  • Monitore as políticas de custódia relacionadas a KYC/AML para garantir a conformidade regulatória.
  • Avalie as provisões de liquidez: o custodiante consegue liberar ativos rapidamente se as condições de mercado mudarem?
  • Avalie os mecanismos de governança que permitem que os detentores de tokens influenciem as decisões de custódia.
  • Acompanhe a frequência e o escopo das auditorias; auditorias anuais são padrão, mas revisões trimestrais adicionam segurança.

Mini FAQ

O que é exatamente Prova de Reservas (PoR)?

PoR é um método criptográfico no qual um custodiante assina a raiz de uma árvore Merkle que representa os saldos totais dos ativos que detém. Qualquer pessoa pode verificar a assinatura em relação à chave pública do custodiante para confirmar as participações declaradas.

PoR pode substituir as auditorias tradicionais?

Não. Embora o PoR forneça transparência sobre os saldos on-chain, ele não audita os controles internos, os processos de reconciliação ou a propriedade legal. Auditorias independentes são necessárias para uma garantia abrangente.

Com que frequência um custodiante deve realizar uma auditoria?

A melhor prática do setor é pelo menos uma vez por ano, com revisões intermediárias (trimestrais ou semestrais) para custodiantes de alto volume. Algumas plataformas optam pelo monitoramento contínuo usando ferramentas automatizadas.

O que acontece se um custodiante não passar na auditoria?

Uma auditoria reprovada normalmente desencadeia planos de remediação, possíveis penalidades dos reguladores e perda da confiança do investidor. Os investidores podem sacar fundos ou exigir compensação, dependendo dos termos contratuais.

O PoR é suficiente para a conformidade regulatória?

Os reguladores exigem cada vez mais tanto o PoR quanto as demonstrações auditadas para atender aos padrões de custódia, especialmente sob as diretrizes da MiCA e da SEC.

A dependência exclusiva do PoR provavelmente não atenderá a todas as obrigações legais.

Conclusão

O risco de custódia continua sendo um desafio central à medida que os criptoativos convergem com os investimentos do mundo real. O Proof-of-Reserves (PoR) oferece transparência valiosa, mas deve ser complementado por auditorias rigorosas e independentes para validar as alegações e os processos de custódia. Plataformas como a Eden RWA ilustram como a combinação de PoR, automação de contratos inteligentes e custódia auditada pode criar classes de ativos tokenizados robustas e amigáveis ​​ao investidor.

Para investidores de varejo intermediários, a principal lição é a vigilância: olhe além das declarações chamativas de PoR e exija divulgações de auditoria abrangentes antes de alocar capital a plataformas de custódia. À medida que 2025 se desenrola, aqueles que adotarem uma abordagem disciplinada para a garantia de custódia estarão em melhor posição para navegar tanto pelas oportunidades de crescimento quanto pelas incertezas regulatórias.

Aviso Legal

Este artigo tem caráter meramente informativo e não constitui aconselhamento de investimento, jurídico ou tributário.

Sempre faça sua própria pesquisa antes de tomar decisões financeiras.