Fundos institucionais de Tesouros tokenizados, como o BUIDL da BlackRock, OUSG, USDY e USYC, não são "apenas um ERC-20 que se pode guardar na MetaMask". Estão protegidos por um conjunto de custodiantes qualificados, registos de agente de transferência, listas de branqueamento de KYC, listas de autorizados assinadas pelo agente de transferência e assinatura de duplo controlo, que decide quem pode alguma vez receber um token. O endereço on-chain é a ponta visível; a superfície de controlo vive na política off-chain que regula o contrato.
Pontos-chave
- Os Tesouros institucionais tokenizados estão envolvidos em custódia qualificada, registos de agente de transferência e listas autorizadas por contrato inteligente, e não são detidos como um ERC-20 livremente transferível.
- Os procedimentos de KYC e AML são aplicados ao nível do contrato inteligente, através de listas brancas e listas de bloqueio, e não no site através do qual foi feita a emissão.
- A assinatura de duplo controlo, as cerimónias de chaves e as carteiras on-chain segregadas distribuem a capacidade de movimentar fundos, para que nenhum interveniente isolado os possa drenar.
- As estruturas de reserva operacional e a divulgação diária do NAV são o que permitem a um token reivindicar o acompanhamento da rentabilidade de letras do Tesouro, sem falhar durante feriados bancários ou resgates.
O que a "custódia institucional" significa realmente para um token RWA
Quando um comunicado de imprensa diz que uma gestora de ativos está a "tokenizar Tesouros", o token é a parte mais pequena do sistema. O ativo é um fundo de letras do Tesouro dos EUA, tipicamente um fundo estatutário do Delaware ou uma sociedade isenta das Ilhas Caimão, gerido por um consultor de investimento registado na SEC e detido por um custodiante qualificado como BNY Mellon, State Street, Anchorage Digital Bank ou Coinbase Institutional. O token é um direito sobre participações desse fundo, e não sobre as próprias letras. Esta distinção é a razão pela qual o contrato pode ser pausado, restringido ou reescrito sem que o rendimento subjacente se altere.
O lado do token vive normalmente numa cadeia EVM permissionada ou semi-permissionada, como a mainnet da Ethereum, Arbitrum, Avalanche ou uma instância privada, e respeita uma norma de token conhecida. O BUIDL da BlackRock utiliza uma estrutura embrulhada que é emitida na Ethereum e replicada noutras cadeias através de mensagens estilo LayerZero. O OUSG da Ondo Finance e o USDY da Ondo usam padrões semelhantes, enquanto o USYC, da subsidiária Hashnote da Circle, liquida num ambiente permissionado com janelas de resgate controladas. Em cada caso, o livro-razão público é o sistema de recibos; o regulamento vive em três documentos off-chain: o memorando de oferta do fundo, a política de administração do contrato inteligente e os procedimentos operacionais do agente de transferência.
Para um leitor sofisticado, a questão prática é quem pode emitir, congelar, queimar ou transferir um token, e em que condições. A resposta é sempre a mesma: um grupo pequeno e identificado de operadores, a trabalhar sob uma política escrita, em que nenhum operador pode agir sozinho.
Riscos próprios da superfície de controlo institucional de RWA
A superfície de controlo é também a superfície de ataque. Qualquer pessoa que avalie um Tesouro institucional tokenizado deve desconfiar de qualquer fundo cujo contrato de token seja totalmente sem permissões, cujas chaves de administração estejam numa única hot wallet, ou cuja lógica de resgate possa ser alterada sem aprovação multipartidária.
Incidentes históricos mostram o padrão. A exploração da Wormhole em 2022 não envolveu diretamente um fundo RWA, mas demonstrou que chaves de administração de bridges podem criar representações embrulhadas do nada. O incidente da Multichain em 2023 congelou ativos de clientes depois de o seu CEO ter desaparecido com as chaves operacionais de uma bridge cross-chain que sustentava vários tokens indexados ao dólar. Em RWA, o pesadelo equivalente é uma chave de administração ser usada para emitir novas participações contra colateral inexistente, ou para drenar a carteira do custodiante subjacente para um endereço não autorizado. Os fundos mitigam isto combinando listas autorizadas on-chain com segregação de funções off-chain.
Outros riscos são menos dramáticos, mas mais frequentes. Uma lista branca mal configurada pode bloquear investidores legítimos durante uma janela de resgate. Uma falha do agente de transferência pode pausar a emissão enquanto as letras subjacentes continuam a acumular juros, criando um desfasamento de NAV. Uma ação regulatória contra o consultor subjacente pode forçar uma liquidação em que os detentores de tokens se tornam credores não garantidos de um fundo em liquidação. Nada disto aparece no contrato do token. Vive na documentação jurídica e operacional a que o token faz referência, mas que não reproduz.
Custodiante qualificado versus carteira on-chain segregada
Existem duas camadas de custódia sobrepostas, e confundi-las é o erro mais comum na cobertura para o público comum. A primeira camada é o custodiante qualificado que detém as obrigações do Tesouro propriamente ditas. Trata-se de um banco regulado ou de uma sociedade fiduciária sujeita ao Bank Secrecy Act, ao Investment Advisers Act de 1940 e, nos Estados Unidos, ao OCC, à FDIC ou a um regime estadual de sociedades fiduciárias. O custodiante qualificado detém as obrigações numa conta segregada em nome do fundo, separada dos seus próprios ativos. Se o custodiante falir, as obrigações não passam a integrar a massa insolvente.
A segunda camada é a carteira on-chain que detém os ativos de reserva do contrato de tokens. Em muitos fundos, a carteira on-chain é, ela própria, operada pelo custodiante qualificado ou por um subcustodiante ao abrigo de contrato. Noutros casos, a carteira on-chain é um contrato multifirma controlado pelo administrador do fundo, com signatários provenientes do gestor, do agente de transferências e de um fornecedor de tecnologia independente. Em ambos os casos, a carteira on-chain está segregada das carteiras operacionais do emitente e é referenciada nas demonstrações financeiras auditadas do fundo.
O risco a ter em conta é que "tokenizado" não significa "autocustodiado". Comprar BUIDL ou OUSG através de um portal de emissão permissionado significa aceitar que o emitente, o custodiante qualificado e o agente de transferências se interpõem todos entre si e a sua rendibilidade. O token na sua carteira é um recibo de participação económica; as obrigações são detidas por terceiros em seu nome, através de uma cadeia de relações contratuais.
O agente de transferências e o que faz na prática
Um agente de transferências neste contexto desempenha o mesmo papel que nos fundos de investimento tradicionais: a entidade que mantém o registo oficial de detentores das participações, processa subscrições e resgates e confirma quem está autorizado a deter participações em cada momento. Num fundo de Tesouro tokenizado, o trabalho do agente de transferências é conciliar a lista de detentores de tokens on-chain com os registos de subscrição off-chain. Quando um novo investidor envia stablecoins para o endereço de emissão, o sistema do agente de transferências associa o endereço da carteira a um investidor aprovado em KYC e dá instruções ao administrador do contrato inteligente para cunhar tokens nesse endereço.
É por isso que os tokens permissionados parecem lentos em comparação com uma troca na Uniswap. Não há um formador de mercado automatizado a cruzar compradores e vendedores; há um agente de transferências a executar um fluxo de trabalho que pode demorar várias horas úteis. Os resgates funcionam no sentido inverso: o investidor assina uma mensagem de resgate a partir de uma carteira autorizada, o agente de transferências confirma a identidade e o saldo de caixa disponível, e o contrato inteligente queima o token enquanto, do outro lado, sai uma transferência bancária ou em stablecoins.
O agente de transferências é também a parte que assina a lista de endereços autorizados on-chain. A maioria dos tokens institucionais de RWA mantém, no armazenamento do contrato, um mapeamento dos endereços autorizados. Só esses endereços podem deter, enviar ou receber o token. O agente de transferências é, normalmente, uma das chaves autorizadas a acrescentar ou remover endereços, frequentemente em conjunto com o responsável de compliance do fundo e um auditor externo como signatário de validação.
Controlo de KYC e AML ao nível do contrato inteligente
Os procedimentos de KYC e AML nas exchanges de cripto para particulares acontecem à entrada: carrega-se um documento de identificação, a exchange aprova-nos e, a partir daí, podemos negociar livremente. Num token RWA permissionado, o KYC e o AML são aplicados dentro do próprio contrato do token, razão pela qual o contrato é por vezes designado "regtoken" ou "ERC-20 em conformidade". Quando uma transferência é iniciada, o contrato verifica tanto o remetente como o destinatário contra a lista de autorizados. Se qualquer um dos endereços não constar da lista, a transferência é revertida.
A lista de autorizados é o coração do sistema. É construída a partir dos registos de KYC submetidos pelo investidor, assinada pelo agente de transferências e registada no contrato por um signatário administrador. A mesma lista integra, tipicamente, o rastreio de sanções, o que significa que endereços ligados a pessoas ou jurisdições sancionadas pela OFAC são rejeitados ao nível do contrato, e não apenas na camada de frontend.
Este controlo tem duas consequências práticas para operadores sofisticados. Primeiro, a negociação secundária é estruturalmente limitada: um token só pode ser transferido para outro endereço verificado, o que exclui a maior parte da liquidez em DEX e a maioria das mesas OTC que dependem de contrapartes anónimas. Segundo, a recuperação a partir de um endereço autorizado perdido é difícil. Se perde ou lhe roubarem as chaves privadas, recuperar as participações subjacentes é um processo jurídico multipartidário, e não uma recuperação por frase-semente numa carteira nova. Vários fundos declaram, de forma explícita, nos seus documentos de oferta, que a perda das chaves implica a perda das participações.
Listas de autorizados, listas de bloqueio e o perímetro de compliance
A lista de autorizados é acompanhada por uma lista de bloqueio. Esta inclui endereços sinalizados após a admissão, normalmente por subsequentes alertas de sanções, relatórios de atividade suspeita, ordens judiciais ou saída voluntária do investidor. Quando um endereço bloqueado tenta transferir, o contrato bloqueia a transação e pode congelar o saldo até que o agente de transferências processe um resgate forçado.
O resgate forçado é o instrumento de compliance mais agressivo. Permite ao agente de transferências, agindo ao abrigo do contrato, queimar os tokens de um detentor e devolver o produto a uma conta bancária verificada, contornando por completo a carteira do detentor. É por isso que deter um Treasury tokenizado numa hot wallet pessoal, mesmo após aprovação em KYC, não lhe confere um controlo incondicional. A política do fundo prevalece sempre.
Para investidores institucionais, a implicação prática é que nunca se deve emitir diretamente para uma carteira que não seja operada sob a política de custódia da própria entidade. A maioria dos grandes compradores emite para carteiras controladas pelo seu próprio custodiante qualificado, de modo a que a empresa mantenha a segregação interna enquanto o fundo mantém o seu perímetro de compliance.
Assinatura de duplo controlo e governança de cerimónias de chaves
As chaves de administração on-chain são regidas por uma assinatura de duplo controlo, um modelo inspirado nas finanças tradicionais. A versão mais simples é um contrato de assinatura múltipla 2-de-3, no qual qualquer signatário pode propor uma ação, mas pelo menos dois têm de assinar antes de a ação ser executada. Os signatários são normalmente distribuídos por entidades legais independentes, frequentemente em jurisdições diferentes, para que nenhum colaborador isolado, nenhuma empresa isolada e nenhum país isolado detenha chaves suficientes para agir unilateralmente.
As cerimónias de chaves formalizam este processo. Uma cerimónia de chaves é um procedimento documentado e auditado, no qual novas chaves de signatários são geradas, distribuídas aos seus operadores e testadas. O Shamir's Secret Sharing ou esquemas de assinatura por limiar como o GG20 e o Frost são cada vez mais comuns, pois permitem que uma chave seja dividida por módulos de hardware que nunca reconstituem a chave completa num único local. Após uma cerimónia, o conjunto de endereços resultante é publicado, as chaves públicas são rotacionadas no contrato e as chaves anteriores são destruídas ou revogadas.
Para operadores experientes, as perguntas a fazer à equipa de um fundo são diretas: quantos signatários, que limiar, que jurisdições, que hardware e qual é o calendário de rotação. Um fundo que não consiga responder a estas perguntas, ou que trate as respostas como confidenciais, é um fundo cuja superfície de controlo não pode ser avaliada.
Reservas operacionais e a razão pela qual o VLR se mantém próximo de um dólar
Os fundos tokenizados do Tesouro afirmam acompanhar a rendibilidade das obrigações do Tesouro dos EUA de curto prazo, o que significa que o preço de uma participação se deve manter próximo de um dólar enquanto os juros acumulados crescem. Para entregar isto, o fundo mantém uma reserva operacional em numerário e acordos de recompra overnight que é superior ao fluxo de resgates diário esperado. Quando um investidor resgata, a reserva paga antes das obrigações subjacentes vencerem, e a reserva é reabastecida à medida que as obrigações rolam.
Esta é também a razão pela qual os resgates podem ter horas-limite, frequentemente as 16:00, hora da costa leste dos EUA, em T-mais-um, e pela qual um resgate solicitado num feriado bancário nos EUA é liquidado no dia útil seguinte. O fundo não pode pagar em dias em que a conta de caixa do custodiante subjacente não líquida. Detero token não o isenta do ritmo do mercado de renda fixa dos EUA.
A reporting on-chain é a segunda metade da equação. A maioria dos fundos institucionais tokenizados do Tesouro publica um valor líquido patrimonial diário, seja através de uma prova verificável on-chain ou através de um relatório atestado por uma empresa de contabilidade independente. O preço on-chain é aquilo que um contrato inteligente pode ler para liquidar um derivado ou um produto estruturado. O relatório atestado é aquilo que um auditor valida. Os dois devem coincidir, com uma diferença de poucos pontos base, em qualquer dia.
Implicações práticas para operadores e allocators
Para um fundo, uma tesouraria ou uma family office que avalia estes produtos, a lista de verificação operacional é simples. Confirme o custodiante qualificado pelo nome e pelo regulador. Confirme o agente de transferências e confirme como o onboarding do investidor se traduz em entradas na allowlist on-chain. Peça a estrutura dos signatários administrativos, o limiar e a política de rotação. Peça a política de reservas operacionais e a atestação diária do VLR. Tratar qualquer destes elementos como confidencial é, por si só, tudo o que precisa de saber.
Para um programador de protocolos que envolve Tesouros tokenizados num produto estruturado, a pergunta mais profunda é o que acontece quando um fundo suspende os resgates. Vários fundos reservam-se o direito de suspender os resgates durante períodos de stress de mercado, e nesse caso o seu wrapper torna-se ilíquido mesmo que as obrigações subjacentes continuem a acumular juros. Construa o seu produto para lidar com essa contingência, em vez de assumir uma liquidez 24/7 que o fundo subjacente não oferece.
Para um trader, o resumo honesto é que estes tokens são transacionados mais como quotas de fundos do mercado monetário do que como Bitcoin. A rendibilidade é real e a qualidade de crédito é elevada, mas o upside está limitado pela taxa das obrigações subjacentes e a liquidez está limitada pelas janelas de resgate do fundo. São um bloco de construção, não uma aposta.
Como acompanhar a custódia dos Tesouros tokenizados da forma inteligente
A custódia dos Tesouros tokenizados evolui de forma discreta, através de memorandos de oferta atualizados, novas cartas de auditor e conjuntos de signatários rotacionados, e não através de lançamentos mediáticos. Acompanhar quais os fundos que atualizam as suas chaves administrativas, adicionam novas jurisdições ou publicam provas de reservas on-chain é o tipo de sinal que fica enterrado em PDFs. A Zippfeed destaca notícias de RWA tokenizados com classificação de sentimento (bullish, neutral ou bearish) e uma classificação de importância, para que possa identificar mudanças de custódia antes de estas reconfigurarem o panorama do produto.