A THORChain processou US$ 1,2 bilhão roubados da Bybit pelo Grupo Lazarus e cobrou US$ 5 milhões em taxas. Recusou-se a devolvê-las. Três validadores votaram para parar a negociação de ETH — quatro reverteram em 30 minutos. O desenvolvedor principal renunciou. O hacker da KelpDAO converteu outros US$ 175 milhões em Bitcoin através do mesmo protocolo. A THORChain não foi hackeada — ela funciona exatamente como foi projetada. E essa é a pergunta mais incômoda do DeFi: um protocolo descentralizado pode ser cúmplice se recusar a censurar fundos roubados por um estado-nação?
Este artigo analisa como a THORChain se tornou o principal trilho de lavagem do Lazarus, por que seus validadores se recusaram a agir, o que significou a renúncia de Pluto e por que este caso define o futuro da resistência à censura no DeFi.
Aviso editorial: este artigo é informativo e não constitui aconselhamento financeiro ou legal. A THORChain é um protocolo descentralizado — não tem empresa por trás nem CEO para responder. A resistência à censura é uma propriedade de design, não uma decisão humana pontual. As implicações legais para validadores e usuários estão sem solução. Dados de abril de 2026.
O que é THORChain e por que Lazarus a escolheu?
A THORChain não é uma bridge nem um mixer. É um protocolo de liquidez descentralizado que permite swaps cross-chain nativos — ETH real por BTC real, sem tokens empacotados, sem custodiante intermediário, sem KYC. A diferença técnica importa: uma bridge como a Wormhole emite um token sintético (wETH na Solana) apoiado por fundos custodiados. Se o custodiante congelar a reserva, o token sintético perde seu valor. A THORChain não funciona assim.
O protocolo usa pools de liquidez bilaterais: cada pool contém o ativo nativo (BTC, ETH, AVAX) emparelhado com RUNE, o token nativo da rede. Os provedores de liquidez (LPs) depositam ativos reais em ambos os lados do pool. Quando um usuário faz um swap de ETH para BTC, o protocolo executa duas operações internas: ETH → RUNE em um pool, RUNE → BTC em outro. O resultado é BTC nativo na cadeia Bitcoin — não um token que alguém possa congelar.
Para Lazarus, essa arquitetura é perfeita: uma vez que o ETH roubado é convertido em BTC nativo, nenhuma entidade — nem Tether, nem Circle, nem nenhuma exchange — pode congelar esses fundos. Um UTXO de Bitcoin não tem emissor centralizado. É como converter notas marcadas em barras de ouro fundidas: o rastro se dilui no momento do swap.
A THORChain tem ~120 nós validadores que processam transações de acordo com as regras do protocolo. Eles não revisam a origem dos fundos. Não têm função de compliance. O sistema foi projetado explicitamente para não discriminar — e isso é exatamente o que Lazarus precisava.
Como Lazarus usou a THORChain para lavar US$ 1,2 bilhão da Bybit?
Em 21 de fevereiro de 2025, o Grupo Lazarus roubou US$ 1,46 bilhão da Bybit — o maior hack cripto da história. 85% dos fundos foram lavados através da THORChain.
A operação foi sistemática: Lazarus fracionou os fundos em múltiplas carteiras, executou swaps de ETH para BTC em lotes para não esgotar a liquidez do pool, e distribuiu o BTC resultante em centenas de endereços. Em uma semana, US$ 605 milhões passaram pela THORChain. No total, mais de US$ 1,2 bilhão.
A THORChain cobrou ~US$ 5 milhões em taxas de swap. Essas taxas foram distribuídas automaticamente entre os provedores de liquidez (LPs) e os nós validadores — as pessoas que contribuem com capital e processam transações. Não há tesoureiro, não há conta corporativa: as taxas fluem diretamente para os participantes do protocolo.
Quando a comunidade propôs devolver as taxas geradas por Lazarus, a proposta falhou. O argumento técnico: não é possível separar qual porção das taxas de um LP veio de swaps de Lazarus versus swaps legítimos. O argumento filosófico: devolver taxas cria um precedente de censura retroativa. Se hoje você devolve porque o FBI pede, amanhã você devolve porque a China exige.
Por que os validadores votaram para NÃO censurar?
Em 26 de fevereiro de 2025 — cinco dias após o hack — três validadores da THORChain votaram para pausar a negociação de ETH na rede e bloquear os fluxos de Lazarus. Quatro validadores votaram contra. A pausa foi revertida em 30 minutos.
O argumento dos que votaram NÃO:
- "A THORChain foi construída à imagem do Bitcoin — descentralizada e resistente à censura." Se você censura hoje por Lazarus, amanhã você censura por ordem de um governo. O precedente destrói a tese.
- "Não somos juízes." Os validadores processam transações de acordo com as regras do protocolo. Eles não têm a função de decidir quais transações são legítimas. Se o código permite o swap, o swap é executado.
- "Se censurarmos, os usuários legítimos sofrem." Pausar o trading de ETH afeta a todos — não apenas a Lazarus. Milhares de usuários com swaps legítimos ficam bloqueados.
O argumento dos que votaram SIM:
- "Estamos facilitando que um estado-nação financie armas de destruição em massa." 40% do programa de armas de destruição em massa da Coreia do Norte é financiado com cripto roubado.
- "A resistência à censura não significa cumplicidade ativa." Há diferença entre não poder censurar (Bitcoin) e poder fazê-lo, mas recusar (a THORChain tem mecanismo de pausa — simplesmente escolheu não usá-lo).
Por que os desenvolvedores da THORChain estão abandonando o projeto?
Pluto, o desenvolvedor principal não oficial da THORChain, anunciou sua renúncia imediatamente após a reversão do voto. Sua mensagem foi clara: ele construiu a THORChain para ser resistente à censura, não para ser a infraestrutura de lavagem de um estado-nação. TCB, outro desenvolvedor central, indicou que também sairia se medidas contra fluxos ilícitos não fossem implementadas.
A crise revelou uma fratura que vai além da THORChain. Os desenvolvedores cypherpunk que projetaram esses protocolos tinham uma visão: dinheiro livre de controle estatal, privacidade financeira como direito, resistência à censura como princípio. Mas quando esse princípio se materializa em US$ 1,2 bilhão lavados para o programa nuclear da Coreia do Norte, a abstração se torna consequência concreta.
O êxodo de desenvolvedores tem uma implicação prática: as pessoas que mantêm o código, que corrigem bugs, que projetam as atualizações de segurança — estão abandonando o projeto. A THORChain funciona com ~120 nós, mas o código é mantido por algumas dezenas de desenvolvedores. Se os mais experientes saem, o protocolo perde capacidade técnica enquanto processa volumes recordes. É um paradoxo: o sucesso comercial (US$ 800 milhões em volume do hack da KelpDAO) coincide com o esvaziamento técnico do projeto.
Por que o hacker da KelpDAO escolheu a THORChain para converter US$ 175 milhões em Bitcoin?
Sim. A partir de 21 de abril de 2026, o atacante da KelpDAO converteu ~75.700 ETH (~US$ 175 milhões) em Bitcoin através da THORChain. Essa atividade gerou US$ 800 milhões em volume de negociação para o protocolo.
A sequência foi: Arbitrum congelou 30.766 ETH (~US$ 71 milhões) em uma carteira do atacante. O atacante respondeu movendo o restante — tudo o que a Arbitrum não pôde congelar — para Bitcoin via THORChain. Uma vez em BTC, os fundos são praticamente irrecuperáveis: Bitcoin não tem função de congelamento, não há emissor centralizado, e os swaps para Monero via THORChain adicionariam uma camada adicional de privacidade.
O padrão de Lazarus em 2025-2026:
| Hack | Valor | Data | Lavado via THORChain |
|---|---|---|---|
| Bybit | US$ 1,46 bilhão | Fev 2025 | ~US$ 1,2 bilhão (85%). THORChain cobrou ~US$ 5 milhões em taxas |
| Drift Protocol | US$ 285 milhões | Abr 2026 | Parcial (USDC → ETH → bridges) |
| KelpDAO | US$ 292 milhões | Abr 2026 | ~US$ 175 milhões em ETH → BTC. US$ 800 milhões em volume gerado |
A THORChain se tornou a ferramenta de lavagem preferida de Lazarus — não porque esteja comprometida, mas porque funciona exatamente como promete: swaps sem permissão, sem KYC, sem intermediário que possa dizer "não".
Como outros DEXs lidam com endereços sancionados?
A THORChain não é o único DEX que enfrentou a questão da censura. Mas é o único que votou ativamente NÃO censurar depois de identificar fluxos ilícitos de um estado-nação.
| Protocolo | Mecanismo de filtragem | Nível de censura | Resultado |
|---|---|---|---|
| Uniswap | Frontend bloqueia carteiras OFAC via TRM Labs | Apenas interface web — os contratos continuam abertos | Censura cosmética: qualquer um pode usar os contratos diretamente ou um frontend alternativo |
| 1inch | Geo-blocking + lista OFAC na API | Interface + API restritas | Acesso direto ao contrato ainda disponível |
| dYdX | Geo-blocking por jurisdição (EUA, Reino Unido, Canadá) | Frontend + API | Bloqueio geográfico, não por carteira sancionada |
| THORChain | Nenhum — mecanismo de pausa existe, mas validadores votaram para não usá-lo | Zero censura em nível de protocolo ou interface | US$ 1,4 bilhão de Lazarus processados |
A diferença chave: Uniswap, 1inch e dYdX implementaram censura em nível de frontend — a camada que os usuários veem — enquanto mantêm os contratos inteligentes abertos. É um compromisso pragmático: cumprem formalmente com a OFAC sem alterar o protocolo subjacente. Um usuário técnico pode contornar o bloqueio usando o contrato diretamente, mas a maioria não o faz.
A THORChain rejeitou até mesmo essa censura cosmética. E há um argumento técnico legítimo: na THORChain, os swaps cross-chain não passam por um frontend web controlado por uma empresa. Os usuários interagem com a rede de nós diretamente através de carteiras como THORSwap. O protocolo não tem uma entidade que possa ser obrigada a implementar filtros OFAC — ou pelo menos, é o que seus defensores argumentam.
Que risco legal os validadores da THORChain enfrentam?
O precedente mais relevante é o Tornado Cash. Em agosto de 2022, a OFAC sancionou o Tornado Cash — um mixer de Ethereum — por facilitar a lavagem de US$ 7 bilhões, incluindo fundos de Lazarus. Alexey Pertsev, um dos desenvolvedores, foi condenado em maio de 2024 por um tribunal holandês a 64 meses de prisão por lavagem de dinheiro.
A diferença entre Tornado Cash e THORChain é significativa — mas não necessariamente favorável para a THORChain:
- O Tornado Cash não tinha mecanismo de governança ativo — era um contrato imutável. Os validadores da THORChain têm capacidade de agir e escolheram não fazê-lo.
- Os nós da THORChain recebem compensação direta — cobram taxas por cada swap, incluindo os de Lazarus. Isso estabelece um benefício econômico por facilitar transações ilícitas.
- A OFAC já estabeleceu que os protocolos DeFi podem ser sancionados — o argumento de "é apenas código" perdeu força legal após a sentença de Pertsev.
Se a OFAC decidir sancionar a THORChain, cada operador de nó identificável se torna um alvo legal. A CFTC já quer regular a Hyperliquid — um protocolo que não lavou nada. Quanto tempo levará para olhar para a THORChain, que processou US$ 1,4 bilhão em fundos de um grupo que o FBI identificou publicamente?
A THORChain é cúmplice ou é simplesmente código?
Esta é a pergunta que ninguém quer responder — porque a resposta tem implicações para todo o DeFi.
Se a THORChain é "apenas código", então não pode ser cúmplice. Um roteador de internet não é cúmplice quando um criminoso envia um e-mail. Uma estrada não é cúmplice quando um ladrão escapa de carro. O código não tem intenção. Os validadores executam regras definidas pelo protocolo.
Mas a THORChain NÃO é apenas código. Ela tem um mecanismo de pausa. Os validadores podem votar para parar a negociação de um ativo. Eles o fizeram — e escolheram não fazê-lo. Isso não é automatismo: é uma decisão humana dentro de uma estrutura de governança. Se você pode agir e decide não fazê-lo, a pergunta de cumplicidade é legítima.
A analogia mais precisa não é uma estrada — é uma empresa de transferências que vê a transação marcada como "fundos roubados por estado-nação" em seu sistema e decide processá-la igualmente porque sua política diz "processamos tudo sem perguntar". No TradFi, isso se chama descumprimento de AML. No DeFi, se chama "resistência à censura".
O que o caso THORChain significa para a resistência à censura no DeFi?
A THORChain colocou sobre a mesa o dilema que o DeFi evitou por anos:
| Posição | Argumento | Consequência |
|---|---|---|
| Censura = traição | Se você censura uma vez, o precedente destrói a neutralidade. Qualquer governo pode exigir o mesmo. | DeFi mantém sua tese, mas facilita a lavagem de bilhões para estados hostis |
| Não censurar = cumplicidade | Ter um mecanismo de pausa e não usá-lo é uma decisão, não automatismo. Os validadores ganham taxas por transações ilícitas. | DeFi se posiciona contra a comunidade internacional e atrai regulamentação agressiva |
| Solução técnica | Filtros em nível de aplicação (frontend), não de protocolo. O código continua permissionless, mas as interfaces não mostram transações sancionadas. | Censura cosmética que não detém Lazarus (eles usam CLI, não frontends) |
O artigo de centralização DeFi analisa como a infraestrutura "descentralizada" tem pontos centralizados ocultos. A THORChain demonstra o problema inverso: quando algo É realmente descentralizado, não há ninguém para ligar quando é usado para financiar armas nucleares.
A privacidade financeira é um direito. Mas os direitos têm limites quando colidem com a segurança nacional. A THORChain tomou uma posição — e essa posição tem consequências para todo o ecossistema. Se os reguladores decidirem que os validadores da THORChain são "transmissores de dinheiro" que facilitaram a lavagem para um estado sancionado, o precedente afeta cada nó de cada protocolo permissionless do mundo.
O mais honesto a dizer: a THORChain funciona como foi projetada. Lazarus a usa porque funciona. E o fato de que funciona exatamente como promete — sem exceções, sem julgamento moral, sem discriminação — é simultaneamente sua maior virtude e seu maior problema.
Você sabe por quais protocolos seus fundos passam quando você faz um swap cross-chain?
CleanSky mostra seu portfólio por cadeia e protocolo — para que você veja a rota de seus ativos antes que a rota importe. Sem custodiar seus fundos. Descubra como funciona.