Em 2022, o OFAC, o gabinete do Tesouro dos EUA que aplica sanções económicas, sancionou o Tornado Cash, mas não da forma que a maioria das pessoas pensa. O Tesouro visou o próprio código de smart contracts implementado, não uma pessoa, uma empresa ou um site. Isso fez do Tornado Cash a primeira vez que qualquer governo colocou um programa autónomo de blockchain numa lista de sanções, e é agora o precedente que molda a forma como USDC, USDT e DAI são hoje analisados e congelados.
Pontos-chave
- O OFAC sancionou o código de smart contracts do Tornado Cash em 8 de agosto de 2022, depois restringiu essa medida em 2024 na sequência de uma contestação judicial e atualizou as suas orientações sobre blockchain em 2025.
- Emissores de stablecoins como a Circle e a Tether podem congelar fundos ao nível dos smart contracts, razão pela qual front-ends conformes bloqueiam endereços sancionados antes de uma transação chegar a ser liquidada.
- A divisão entre "front-end" e protocolo é importante: alojar um site do Tornado Cash pode ser sancionável, mas escrever ou usar o código open-source não o é, depois de o Fifth Circuit ter restringido a ordem original.
- Para um protocolo que use USDC em 2026, a conformidade com o OFAC passa sobretudo por filtragem nas extremidades, com análise de blockchain e listas de endereços bloqueados.
O que o OFAC fez realmente ao Tornado Cash em 2022
O OFAC é o Office of Foreign Assets Control, uma divisão do Tesouro dos EUA que administra programas de sanções económicas. Quando o OFAC acrescenta uma entidade à sua lista Specially Designated Nationals (SDN), as pessoas dos EUA ficam proibidas de transacionar com essa entidade, e qualquer propriedade sob jurisdição dos EUA deve ser bloqueada.
Em 8 de agosto de 2022, o OFAC acrescentou o Tornado Cash à lista SDN. O comunicado oficial citou o papel do protocolo no branqueamento de mais de 455 milhões de dólares roubados pelo Lazarus Group, uma unidade de hackers estatais da Coreia do Norte, incluindo os proventos do ataque à Ronin Bridge em março de 2022. O Tornado Cash também tinha sido usado para branquear fundos provenientes de exploits anteriores e para ocultar a origem de ether roubado em assaltos a non-fungible token (NFT).
O passo invulgar foi a escolha do alvo. O OFAC não acrescentou os programadores pelo nome. Sancionou os próprios endereços de smart contracts on-chain: o contrato de depósito em Ethereum, o contrato verificador, o contrato de governação, o contrato proxy e alguns pools auxiliares. No direito das sanções, isto era novo, porque a lista SDN tinha sido usada anteriormente para designar pessoas, empresas, embarcações e aeronaves, não código autoexecutável numa cadeia pública.
Duas coisas aconteceram de imediato. A Circle, emissora de USDC, uma stablecoin indexada ao dólar, acrescentou os endereços dos pools do Tornado Cash à sua lista negra interna e congelou cerca de 75 000 dólares em USDC que estavam nesses contratos. O domínio tornado.cash foi retirado do ar pelo fornecedor de alojamento ao abrigo de orientações para pessoas dos EUA, e a organização GitHub pertencente a um dos programadores foi suspensa. Um programador neerlandês, Alexey Pertsev, foi detido nos Países Baixos na semana seguinte. O seu caso continua a avançar nos tribunais europeus por acusações de branqueamento de capitais separadas da designação dos EUA.
Porque é que isto se tornou uma disputa jurídica, não apenas técnica
Sancionar código levantou uma questão óbvia: e os milhares de utilizadores que tinham depositado fundos no Tornado Cash antes da designação, apenas para descobrirem que os seus levantamentos estavam bloqueados ou que os seus fundos tinham ficado presos? A Coinbase, a Kraken e outros arriscavam absorver risco de conformidade se processassem esses levantamentos. Um grupo de utilizadores processou o governo, com apoio do braço de financiamento da Coinbase e do grupo de defesa cripto Coin Center.
Os autores da ação argumentaram, em essência, que um smart contract é uma ferramenta, não uma parte sancionada. Permitir que o Tesouro colocasse código autónomo numa lista negra, alertaram, deixaria o OFAC sancionar, na prática, qualquer software open-source que tocasse em fundos ilícitos. O caso, Van Loon v. Department of the Treasury, passou por um tribunal federal de primeira instância no Texas e chegou ao Fifth Circuit Court of Appeals.
Em novembro de 2023, o tribunal de primeira instância decidiu que o OFAC tinha excedido os seus poderes, sustentando que um smart contract imutável não é propriedade de um cidadão estrangeiro no sentido comum. O OFAC recorreu e, em novembro de 2024, o Fifth Circuit confirmou que os contratos imutáveis do Tornado Cash não podiam ser bloqueados como "propriedade" ao abrigo do International Emergency Economic Powers Act (IEEPA), a lei usada pelo OFAC. O tribunal teve o cuidado, porém, de dizer que esta decisão não legitimava o protocolo nem os seus utilizadores. Apenas restringia uma teoria jurídica.
O que a decisão de 2024 e as orientações de 2025 mudaram realmente
Em resposta à decisão do Fifth Circuit, o OFAC removeu os endereços originais dos smart contracts do Tornado Cash da lista SDN em março de 2025. Mas “não estar na lista SDN” não é o mesmo que “estar limpo”. O OFAC continua a fazer atualizações contínuas da lista e continua a sinalizar endereços associados ao Lazarus Group, aos serviços russos de evasão a sanções e a uma longa série de entidades de cibercrime. O próprio Tornado Cash continua sob escrutínio noutras jurisdições, em particular na União Europeia através do seu próprio quadro de sanções.
Em paralelo, o OFAC atualizou as suas orientações de conformidade para o setor dos ativos digitais. A atualização de 2025, uma extensão das orientações de 2021 sobre conformidade de moedas virtuais, apoiou-se fortemente em análises de blockchain. O Treasury espera agora que as entidades abrangidas usem ferramentas de análise “comercialmente razoáveis” para rastrear e identificar contrapartes, documentar a origem dos fundos em fluxos de alto risco e rejeitar transações quando uma pontuação de confiança analítica exceder os limiares internos. Os limiares exatos não são publicados, o que, do ponto de vista do OFAC, é uma característica deliberada; espera-se que as empresas calibrem os seus próprios modelos de risco e depois defendam esses modelos durante inspeções.
As orientações de 2025 são a ponte prática entre o precedente Tornado Cash e o trabalho diário de um protocolo que usa stablecoins. Antes de 2022, muitas equipas de conformidade tratavam os endereços de blockchain como cadeias opacas. Depois de 2022, esses endereços tornaram-se vetores de risco de primeira ordem: cada um exige um juízo sobre quem o detém, de onde vieram os fundos e se uma relação é sequer permitida.
A divisão entre front-end e protocolo, em linguagem simples
O Tornado Cash tem dois componentes distintos, e a lei de sanções dos EUA trata-os de forma diferente. O protocolo é o conjunto de smart contracts implementado na mainnet Ethereum. Qualquer pessoa pode implementar uma cópia do código noutra cadeia, ou fazer fork do repositório GitHub, ou chamar os contratos originais diretamente através de um nó. O front-end era o site, tornado.cash, que simplificava o fluxo de depósito e levantamento numa interface de um só clique.
Depois da designação de 2022, o OFAC deixou claro que operar um front-end que ajudasse pessoas dos EUA a interagir com os contratos sancionados era, por si só, um serviço sancionável. É por isso que o domínio .cash original foi apreendido, que os mirrors geridos pela comunidade foram removidos e que um programador domiciliado nos EUA que oferecesse uma UI alojada enfrentaria risco de aplicação da lei. Em contrapartida, o Fifth Circuit decidiu que escrever e publicar o código subjacente, incluindo no GitHub, é discurso protegido pela First Amendment nessa decisão específica. Note-se que este é um argumento constitucional específico dos EUA e não se traduz automaticamente para outros sistemas jurídicos.
A implicação prática, dois anos e meio depois, é a distinção operacional que as equipas de conformidade usam todos os dias. O código raramente é o risco jurídico em 2026. A distribuição é. Operar, alojar ou comercializar um serviço que ajuda utilizadores a encaminhar fundos através de endereços sancionados, mesmo um front-end “educativo”, é o ponto em que o OFAC tem mostrado disposição para agir.
Como Circle, Tether e DAI congelam fundos na prática
As stablecoins existem em duas variantes de conformidade. A primeira é centralizada, e é a dominante: USDC da Circle, USDT da Tether e a maioria dos tokens emitidos por exchanges. Estes tokens têm uma função de administrador dentro do contrato que pode reter ou transferir endereços individuais para uma lista negra. Quando a Circle coloca um endereço na lista negra, nenhum USDC nesse endereço se pode mover, e o contrato rejeitará qualquer transferência recebida. O USDC congelado fica ali indefinidamente; em teoria, só uma ordem judicial ou um processo interno da Circle o pode descongelar.
Os mecanismos importam. As listas de congelamento de stablecoins são eventos públicos on-chain. Qualquer pessoa que execute um nó Ethereum pode ler o slot de armazenamento da lista negra do contrato, e as equipas de conformidade fazem-no. Como os congelamentos acontecem ao nível do smart contract, são resistentes a adulteração: mesmo que uma exchange centralizada quisesse continuar a servir um utilizador na lista negra, não poderia, porque o próprio USDC recusaria sair da carteira do utilizador.
USDT, emitido pela Tether, usa o mesmo modelo. A Tether congelou centenas de milhões de dólares em USDT ligados a hacks e sanções, por vezes sem anúncio público. Os críticos argumentam que a Tether é menos transparente do que a Circle sobre que endereços são bloqueados e porquê, o que torna o USDT mais difícil de usar em contextos sensíveis à conformidade.
DAI, gerido pelo protocolo MakerDAO, segue um caminho diferente. DAI é uma stablecoin cripto-colateralizada sobrecolateralizada emitida através de cofres Maker, e o seu mecanismo de congelamento é governado pela comunidade através de votação com tokens MKR, em vez de uma chave de administrador centralizada. Na prática, a Maker cooperou com as autoridades norte-americanas através de encerramentos por “emergency oracle” de cofres específicos, e detentores individuais de DAI podem acabar sancionados se as suas contrapartes o forem. A postura de conformidade do DAI depende da governação, o que é uma vantagem para defensores da descentralização e um risco para instituições reguladas.
Como exchanges e protocolos analisam fluxos de stablecoins
O trabalho de conformidade acontece na periferia de uma rede de stablecoin, não dentro dela. Quando um utilizador deposita USDC numa exchange centralizada, o endereço de depósito passa por um pipeline de triagem que corre em milissegundos. Passos típicos:
- Triagem de endereços. O endereço de depósito é verificado contra listas comerciais de bloqueio (Chainalysis, TRM Labs, Elliptic, Merkle Science) e pontuações de risco proprietárias. Um endereço limpo passa; um endereço de alto risco aciona uma revisão manual.
- Rastreio da origem dos fundos. Para depósitos de valor mais elevado ou de maior risco, a exchange reconstrói o percurso dos fundos dois a dez saltos para trás, sinalizando qualquer exposição indireta a mixers, clusters sancionados ou receitas conhecidas de exploits.
- Triagem do destino. No levantamento, o endereço do destinatário é verificado da mesma forma. Algumas exchanges recusam levantamentos para endereços que receberam fundos de uma fonte sancionada dentro de uma janela recente, mesmo após vários saltos.
- Dados da travel rule. Transferências acima de cerca de 3 000 a 1 000 dólares, dependendo da jurisdição, têm de transportar informações sobre o ordenante e o beneficiário. Em cripto, isto é implementado através de protocolos de terceiros, porque a própria transferência on-chain de USDC não transporta identidade.
- Reavaliação periódica. Um endereço que estava limpo no momento do depósito pode tornar-se arriscado mais tarde, quando o proprietário subjacente é sancionado. As exchanges repetem a triagem continuamente e congelam contas a posteriori.
Para protocolos descentralizados, o quadro é mais nebuloso. Um mercado de empréstimos como Aave ou Compound, ambos protocolos DeFi amplamente usados para pedir e conceder empréstimos, não consegue bloquear facilmente endereços sancionados sem uma votação de governação, e mesmo assim apenas funções específicas (alojamento de front-end, feeds de oracle, listagens na interface) são endereçáveis. Os próprios smart contracts não sabem quem o utilizador é. É por isso que o foco regulatório se tem mantido na camada de front-end: é a que tem operadores identificáveis.
Como é a exposição a sanções dos EUA para um protocolo que usa USDC em 2026
Suponha que uma equipa domiciliada nos EUA gere um protocolo que aceita depósitos em USDC, mantém reservas numa carteira multisignature e paga rendimento a utilizadores fora dos EUA. Cada componente da pilha tem o seu próprio perfil de risco perante o OFAC.
A camada da carteira: uma multisig detida por pessoas dos EUA é o alvo mais fácil para aplicação da lei. O Tesouro pode exigir que esses signatários não aprovem transações para endereços sancionados, e as ferramentas de análise para detetar essas tentativas estão maduras. A expectativa de facto é que qualquer multisig com signatários dos EUA execute uma etapa de screening antes de assinar.
A camada da aplicação: o front-end deve recusar gerar endereços de depósito ou iniciar fluxos de levantamento que toquem em clusters sinalizados. A maioria das equipas reguladas exige agora que os utilizadores passem por screening de sanções no registo e sejam reavaliados periodicamente.
A camada de tesouraria: as reservas próprias de stablecoin do protocolo são um risco subestimado. Se o protocolo alguma vez receber USDC de uma fonte sancionada, a Circle congelará esses fundos à chegada. Ou seja, o protocolo perde o capital sem que ninguém no protocolo tenha feito algo de errado. A solução habitual é monitorizar transferências recebidas em tempo real, devolver manualmente quaisquer fundos contaminados e manter uma reserva legal para absorver o raro abate contabilístico.
A camada da equipa: em 2026, as expectativas do OFAC estendem-se ao lado humano. Fundadores, colaboradores e detentores significativos de tokens podem eles próprios tornar-se partes sancionadas, pelo que a diligência básica inclui verificações de antecedentes, screening de sanções de contribuidores e monitorização contínua das carteiras dos investidores.
Leia criticamente a aplicação do OFAC às stablecoins
A aplicação de sanções a stablecoins avança rapidamente, tal como as notícias à sua volta. Acompanhar que endereços estão sancionados, que protocolos estão sob investigação e que ações de aplicação foram resolvidas é um trabalho a tempo inteiro. O Zippfeed destaca manchetes de regulação, incluindo atualizações do OFAC, desenvolvimentos sobre Tornado Cash, congelamentos de stablecoins e chamadas de governação de DAO, com pontuação de sentimento (bullish, neutral ou bearish) e uma classificação de importância, para que possa separar o sinal do ruído e agir antes de o seu protocolo ou a sua carteira ser a próxima manchete.
FAQ
O Tornado Cash continua proibido?
Os endereços dos smart contracts do Tornado Cash foram removidos da lista SDN do OFAC em março de 2025 depois de o Quinto Circuito decidir que não podiam ser sancionados como propriedade ao abrigo da IEEPA. O protocolo em si não está atualmente sancionado ao nível dos contratos, embora o OFAC continue a sinalizar endereços associados, vários reguladores europeus o tratem como uma entidade sancionada e o developer Alexey Pertsev continue a ser alvo de acusação nos Países Baixos.
A Circle pode congelar o meu USDC por qualquer motivo?
A Circle pode congelar USDC em qualquer endereço que acabe na sua lista negra, normalmente quando esse endereço está ligado a uma designação de sanções, a um exploit conhecido ou a uma ordem judicial. O USDC congelado permanece no endereço; não é destruído nem queimado, e um descongelamento é teoricamente possível, mas raro. Na prática, o motivo mais comum para um utilizador de retalho ser congelado é a exposição indireta: o utilizador recebeu USDC de uma carteira que, por sua vez, recebeu fundos de uma fonte sancionada.
Preciso de fazer screening de endereços de stablecoin na minha dApp?
Se a sua dApp tiver quaisquer pontos de contacto com pessoas dos EUA, incluindo membros da equipa baseados nos EUA, front-ends alojados nos EUA ou utilizadores sob jurisdição dos EUA, a resposta conservadora é sim. O screening no front-end é a fronteira prática de aplicação que o OFAC tem usado, e é muito mais barato implementá-lo do que litigar mais tarde. Projetos apenas de protocolo descentralizado sem nexo com os EUA têm mais margem para experimentar, mas a questão de quem gere a UI acaba por surgir.
Porque é que o OFAC sancionou um smart contract em vez dos developers?
A designação do OFAC em 2022 enquadrou o Tornado Cash como uma 'atividade cibernética' que branqueava moeda virtual, por isso sancionou diretamente os contratos implementados para maximizar a perturbação. A escolha gerou desafios legais imediatos com o argumento de que código imutável não é 'propriedade' de um cidadão estrangeiro. O Quinto Circuito concordou em 2024, razão pela qual o OFAC retirou os contratos da lista em 2025, mas deslocou o peso prático da aplicação para endereços, operadores e front-ends.