Cofres Taproot
Como empréstimos Bitcoin não custodiais funcionam
Scripts Bitcoin programáveis, assinaturas de limiar e a saída que ninguém pode sobrescrever. A arquitetura por trás do empréstimo Bitcoin pós-Celsius.
Resumo
Todo empréstimo lastreado em Bitcoin que te ofereceram na última década funciona igual. Você envia seus Bitcoin para o credor. Ele segura. Você espera que devolva. Celsius não devolveu. BlockFi não devolveu. Voyager não devolveu. O Bitcoin do cliente virou colateral de outro, alavancagem de outro, prejuízo de outro.
Existe outro jeito de construir isso. Tranque seus Bitcoin em um script na blockchain do Bitcoin que define exatamente o que pode acontecer com eles. Reembolso cooperativo, liquidação automatizada ou sua própria saída se o credor desaparecer. Sem discrição. Sem mistura. Sem rehipotecação. Verificável por qualquer um com um nó Bitcoin. A tecnologia que torna isso possível é o Taproot, ativado em novembro de 2021. O jeito como está sendo usado para empréstimos se chama cofre Taproot.
O que continua matando credores Bitcoin
Todo credor Bitcoin que colapsou morreu do mesmo jeito. Mantinham o Bitcoin dos clientes em custódia agrupada, ou seja, pegavam os depósitos de todo mundo e misturavam em um balanço só. Daí faziam o que bancos fazem. Emprestavam. Para hedge funds, mesas de trading internas, empresas-irmãs, para quem pagasse a taxa mais alta.
Essa prática se chama rehipotecação. É legal em quase todo lugar, é como praticamente qualquer banco tradicional opera, e é a fonte do sistema bancário de reservas fracionárias. Num ambiente bancário normal funciona bem porque tem garantia de depósito, bancos centrais atuando como emprestador de última instância e décadas de infraestrutura regulatória impedindo o truque de se desfazer.
Na cripto-lending, nada disso existe. Quando a música para, seu Bitcoin específico some, misturado no destroço. Você vira credor sem garantia no juízo de falência, às vezes recuperando centavos por dólar, às vezes anos depois.
Isso não é só problema da Celsius ou da BlockFi. É propriedade estrutural de qualquer produto de empréstimo onde o credor pega custódia discricionária do seu colateral. O único jeito de consertar de verdade é tirar a discrição da equação por inteiro. Para isso servem os cofres Taproot. Se você ainda não controla suas próprias chaves, nosso guia de armazenamento frio é um pré-requisito útil.
O que o Taproot realmente trouxe ao Bitcoin
Bitcoin sempre teve scripts. Desde o primeiro dia, todo output Bitcoin é travado por um pequeno programa que diz "é isto que você tem que provar para me gastar." Uma carteira simples trava fundos com um script que diz "prove que você sabe a chave privada desta chave pública." Uma carteira multisig trava fundos com script que diz "prove que você tem assinaturas de M de N chaves específicas."
Antes do Taproot, scripts complexos tinham três problemas. Eram públicos. Toda condição sob a qual o output podia ser gasto era visível on-chain desde o momento da criação. Eram caros. Scripts complexos ocupavam mais espaço de bloco, o que significava taxas mais altas. Eram limitados. A linguagem de script do Bitcoin era deliberadamente restrita.
O Taproot, ativado em novembro de 2021, mudou as três coisas. Um output Taproot aparece on-chain como uma única chave pública. O script complexo fica escondido dentro de uma árvore Merkleizada de condições possíveis, e só o galho que você realmente usa é revelado quando gasta. Você paga só pelo galho usado, os outros galhos ficam invisíveis, e a linguagem para escrever esses galhos (Tapscript) é mais expressiva que a antiga.
Na prática, você pode criar um output Bitcoin com cinco, dez, cinquenta condições de gasto diferentes, anexar uma política diferente em cada uma, e o output parece on-chain qualquer outro pagamento ordinário de chave única até você realmente precisar usar um dos galhos. É isso que torna um cofre possível.
Um cofre, no conceito
Esqueça os detalhes de implementação por um momento. O que a palavra "cofre" significa nesse contexto?
Um cofre é um output Bitcoin que pode ser gasto de mais de um jeito, onde cada caminho de gasto dispara sob condições diferentes e onde as partes com capacidade para acionar cada caminho são distintas.
Um exemplo simples: imagine um cofre que guarda economias da família. Pode ser gasto de três jeitos. Sua parceira assina e os fundos vão para um endereço de saque que vocês dois controlam. Você sozinho assina e os fundos vão para um endereço que você controla, mas só após um timelock de 30 dias. Um familiar de confiança assina junto com um tabelião e os fundos vão para onde especificarem, usado só em emergência. Três portas. Cada uma com sua política. Um cofre Bitcoin de empréstimo funciona exatamente com a mesma lógica.
As três portas de um cofre de empréstimo Bitcoin
Um cofre não custodial de empréstimo lastreado em Bitcoin tipicamente tem três caminhos de gasto.
Porta 1: reembolso cooperativo
O tomador paga o empréstimo em dólares (normalmente um stablecoin). A infraestrutura de assinatura do credor verifica o pagamento, coassina uma transação que libera o colateral, e o tomador recupera seu Bitcoin no endereço de saque que especificou na criação do cofre. É como quase todo empréstimo deveria terminar. Equivalente a quitar uma hipoteca e receber a escritura.
Porta 2: liquidação
O valor do colateral do tomador cai abaixo do limiar de liquidação, ou o prazo do empréstimo expira sem pagamento. Essa porta é assinada pela infraestrutura do credor sem a assinatura do tomador. O script obriga que esse caminho só possa ser usado para mandar fundos para um endereço específico de liquidação, não para onde o credor quiser. Quando os fundos chegam lá, entram num leilão holandês (preço começa alto e cai até alguém comprar). O credor não define o preço. O mercado define. Os ganhos pagam o empréstimo, com qualquer excedente voltando ao tomador.
Porta 3: saída unilateral
Essa é a que importa. Se o credor desaparece (quebrou, hackeado, regulado, simplesmente sumiu), o tomador pode gastar a porta de saída sozinho. Sem coordenação com o credor. Sem ações judiciais. Sem juízo de falência. Ele constrói a transação com ferramenta pública, transmite para a rede Bitcoin, e os fundos chegam na carteira.
Tem um detalhe: esse caminho é travado por um timelock relativo, tipicamente cerca de um ano. O output do cofre não pode ser gasto por esse caminho até passar tempo suficiente desde o depósito. O timelock dá ao credor uma janela longa para usar a porta 1 ou porta 2 em operação normal. Na prática a porta 3 quase nunca deveria ser usada. É o alarme de incêndio, não a porta principal. Mas a porta existe, é aplicada pelo script Bitcoin, e nenhum humano pode sobrescrever.
É isso que "não custodial" realmente significa no contexto de empréstimos lastreados em Bitcoin. Não "o credor promete devolver suas moedas." Não "o credor tem seguro." Não "o credor usa um custodiante regulado." Mas "se todo mundo que opera o credor sumisse amanhã, você ainda poderia recuperar seus Bitcoin usando só um nó Bitcoin e um pedaço de software público."
A porta trancada: o truque NUMS
Existe um quarto caminho em todo output Taproot que ainda não falamos. Se chama key-path spend.
Um output Taproot é tecnicamente travado por uma única chave pública, com os caminhos de script pendurados como reserva. A maioria das carteiras Taproot usa o key-path como jeito barato e privado de mover fundos, com todas as partes mantendo participações da chave privada correspondente e assinando colaborativamente.
Em um cofre Bitcoin de empréstimo, o key-path é perigoso. Se o credor e o tomador tivessem uma chave compartilhada com a qual gastassem o output sem passar por nenhuma das três portas, o sentido inteiro do cofre seria minado. A infraestrutura de assinatura do credor poderia conluiar (ou ser comprometida) e mover fundos fora das regras acordadas.
A solução é chamada de chave interna NUMS. NUMS significa "Nothing Up My Sleeve." A ideia é construir uma chave pública de jeito que prove que ninguém sabe a chave privada correspondente. A abordagem padrão é pegar o hash SHA-256 de uma frase conhecida (algo como "SURGE-NUMS" ou "BIP-341-NUMS") e usar esse hash como coordenada x da chave pública. Qualquer um verifica que a chave foi derivada assim. Ninguém pode derivar a chave privada de um hash porque isso exigiria quebrar SHA-256, o que quebraria o Bitcoin inteiro.
Efeito prático: o key-path spend em um cofre de empréstimo bem construído é demonstravelmente inútil. O único jeito de gastar o output é por um dos três caminhos de script. O credor não consegue burlar as regras literalmente, mesmo querendo. É o tipo de detalhe que separa um produto não custodial sério de uma campanha de marketing. Sempre cheque se o key-path está desabilitado em qualquer cofre Taproot ao qual você esteja pensando em confiar seus Bitcoin.
Quem assina as transações do credor: assinaturas de limiar
As portas 1 e 2 exigem ambas que o credor assine. Se o credor é uma única empresa com uma única chave de assinatura, você reinventou o modelo custodial com passos extras. Uma chave comprometida, um funcionário rebelde ou uma apreensão regulatória da infraestrutura viram todos pontos únicos de falha.
A solução são assinaturas de limiar. A chave de assinatura do credor é dividida entre várias partes independentes, com um limiar exigido para produzir uma assinatura válida. Um limiar 3-de-5 significa que quaisquer 3 dos 5 signatários podem coassinar uma transação, mas 2 não. Os signatários não precisam confiar uns nos outros, só precisam seguir o protocolo.
Existem vários esquemas de assinatura de limiar para Bitcoin. Os dois mais usados são FROST (Flexible Round-Optimized Schnorr Threshold) e Lindell 2024. FROST é bem estudado, amplamente implementado e produz uma assinatura Schnorr válida indistinguível de uma assinatura de uma única parte on-chain. Lindell 2024 é mais novo e tem uma propriedade chamada identifiable abort: se um signatário se comporta mal durante a assinatura, o protocolo produz prova criptográfica de quem foi. Isso importa quando você quer punir economicamente signatários que se comportem mal.
A pergunta mais difícil para qualquer credor que afirme ter setup de assinatura de limiar é quem são realmente os signatários. Um limiar 3-de-5 não significa nada se os 5 signatários forem todos funcionários da mesma empresa. Procure signatários operados independentemente, geograficamente distribuídos e reputacionalmente separados. Se um credor não publicou os nomes dos signatários, trate a afirmação de descentralização como provisória até que publique.
O que isso significa para você como tomador
Se você está considerando um empréstimo lastreado em Bitcoin, a arquitetura acima muda algumas coisas em como você deveria avaliar o produto.
Custódia é verificável. Você deveria conseguir consultar seu endereço de cofre em um explorador Bitcoin (mempool.space serve) e ver seu colateral lá como UTXO regular. Deveria conseguir verificar o script, ver os três caminhos de gasto e confirmar que o key-path está desabilitado. Se um credor não consegue te mostrar seu colateral on-chain, você está de volta no modelo custodial.
Rehipotecação é impossível. Seus Bitcoin não ficam em um pool. Não são emprestados para traders. Não se movem em nada entre depósito e saque, a menos que uma das três portas seja acionada. Você pode verificar isso on-chain a qualquer momento.
A saída é real. Se o credor desaparece, você pode recuperar seu colateral sozinho. Teste antecipadamente. Rode a ferramenta de saída unilateral em um cofre testnet. Verifique que funciona. Não confie na palavra do credor.
A suposição de confiança muda. Você não confia mais na solvência, custódia ou arranjos de seguro do credor. Você confia que o script Bitcoin faz o que diz, que o setup de assinatura de limiar tem signatários independentes suficientes para impedir conluio, e que os contratos de crédito EVM (se o credor usa algum) foram auditados.
Risco de smart contract é real. A maioria dos produtos de empréstimo Bitcoin não custodiais usa uma cadeia EVM para a camada de contabilidade do crédito. O lado Bitcoin pode ser hermético enquanto o lado EVM tem um bug. A postura de auditoria nos dois lados importa.
Comportamento de liquidação é diferente. Em um credor custodial, liquidação geralmente significa "o credor vende seu BTC pelo preço que conseguir internamente." Em um cofre não custodial, liquidação geralmente significa "seu BTC entra em um leilão holandês público." O mecanismo do leilão é mais transparente mas também mais lento.
Uma implementação real: Surge Credit
A implementação mais desenvolvida da arquitetura descrita é Surge Credit, uma linha de crédito em dólares lastreada em Bitcoin que lançou beta pública de mainnet em abril de 2026.
A Surge constrói cofres Taproot com o padrão exato de três portas descrito neste post. Reembolso cooperativo, liquidação automatizada via leilão holandês na Base (a L2 Ethereum da Coinbase) e saída unilateral com timelock CSV de cerca de um ano. O key-path é desabilitado usando uma chave interna NUMS derivada do hash SHA-256 da string "SURGE-NUMS." O esquema de assinatura de limiar é Lindell 2024 com limiar de maioria simples sobre uma Distributed Custody Network. A contabilidade do crédito roda na Base. USDC flui cross-chain via CCTP v2 da Circle.
O trabalho a nível de protocolo é auditado por Brandon Black (reardencode), coautor da BIP-349 (OP_INTERNALKEY) e ex-engenheiro de wallet Taproot na BitGo. Os contratos EVM também estão em auditoria no momento. A estrutura de governança é um modelo de duas entidades (Amby Inc. constrói o software, Surge Foundation governa o protocolo) semelhante a Aave e Morpho.
Para os propósitos deste explicador, a Surge é o exemplo atual mais limpo de como o modelo de cofre Taproot é entregue em um produto usável. A construção do cofre é principista, a desabilitação do key-path é correta, o esquema de assinatura de limiar é bem escolhido, e a saída é real e testável. Outras implementações de arquiteturas semelhantes virão e deveriam. Veja nossa análise completa da Surge Credit para taxas, condições, histórico atual e os trade-offs honestos de usar um produto em beta.
O que olhar em qualquer credor Bitcoin
Um checklist rápido se você está avaliando qualquer produto que se diz não custodial.
- Você consegue ver seu colateral on-chain? Consulte seu endereço de cofre em mempool.space ou qualquer explorador Bitcoin. Deve ser um UTXO normal controlado por um script Taproot, não um saldo no livro interno do credor.
- O key-path está desabilitado? Pergunte ao credor. A resposta deve ser sim, e ele deveria conseguir te indicar a construção NUMS. Se a resposta é não ou ele não sabe do que você está falando, o cofre não é realmente não custodial.
- O caminho de saída unilateral existe e você consegue testar? Peça a ferramenta de saída. Rode contra um cofre testnet se disponível. Verifique a duração do timelock. Verifique que o caminho funciona sem dependência da infraestrutura do credor.
- O setup de assinatura de limiar é transparente? Quantos signatários? Estão nomeados? São independentes? Existe caminho para novos signatários entrarem com o tempo?
- Qual a postura de auditoria? Quem auditou o lado do script Bitcoin? Quem auditou o lado EVM? Os relatórios são públicos? As remediações foram concluídas?
- O que acontece na liquidação? É leilão holandês, venda interna, order book centralizado? Para onde vão os ganhos do leilão? O excedente volta ao tomador?
- Onde o credor guarda as chaves? HSM? Infra hot? Multi-cloud? Distribuição geográfica?
- Qual a estrutura de governança? O protocolo é atualizável? Quem controla as chaves de upgrade? Tem fundação? O time presta contas a alguém além dos VCs?
Um credor que falha em qualquer um desses pontos não é necessariamente ruim, mas cada lacuna é algo que você deveria entender antes de decidir quanto capital confiar. Credores que vão bem no checklist inteiro são raros hoje. Vão ficar menos raros nos próximos anos.
A fronteira e o que ainda precisa ser resolvido
O modelo de cofre Taproot não está pronto. Várias coisas precisam amadurecer antes de virar mainstream.
Descentralização da DCN em escala. Hoje distributed custody networks são tipicamente pequenas (3 a 10 signatários) e frequentemente opacas em identidades. Escalar para dezenas ou centenas de signatários independentes com reputação pública e skin in the game econômico é problema aberto.
Dependência cross-chain. A maioria dos credores Bitcoin não custodiais usa uma cadeia EVM para o motor de crédito porque script Bitcoin sozinho não lida facilmente com acumulação de juros, cálculos de taxa variável ou contabilidade multi-ativo. Se a cadeia de crédito cai, o fluxo diário de tomar e devolver quebra. O caminho de saída unilateral continua disponível, mas a experiência ao vivo se degrada. Reduzir essa dependência é área ativa de pesquisa.
Rampas Bitcoin nativas. A maioria dos produtos hoje entrega USDC, um stablecoin em cadeia EVM. Sair de USDC para fiat em conta bancária ainda exige exchange centralizada ou serviço como MoonPay. Rampas Bitcoin-nativas para fiat precisam amadurecer para a experiência parecer tão fluida quanto a de um credor custodial.
Clareza fiscal e legal. Empréstimos não custodiais contra colateral Bitcoin caem em uma categoria legal distinta da de empréstimos garantidos tradicionais. O tratamento sob os códigos fiscais de diferentes países é incerto. No Brasil a Lei 14.478/2022 e a IN 1888 da Receita Federal tratam venda de BTC como ganho de capital, mas pegar empréstimo contra BTC sem vender não é evento tributável. Liquidação automática pode ser interpretada como alienação. Consulte seu contador.
Privacidade entre cofres. Hoje cada cofre parece on-chain um pouco diferente, o que significa que um observador sofisticado poderia potencialmente agrupar todos os cofres de um credor com base em padrões de script ou grafos de transação. Melhorar o conjunto de anonimato on-chain está em andamento.
Encerramento
O mercado de empréstimos lastreados em Bitcoin está no meio de uma transição. O modelo custodial que definiu o ciclo 2020-2022 comeu três dos seus maiores players. O próximo ciclo está sendo construído sobre uma base diferente, uma onde a promessa do credor é substituída por um script que qualquer um verifica e uma saída que ninguém sobrescreve.
Não está pronto. A história de descentralização tem buracos, a experiência de usuário tem fricção, e a infraestrutura de auditoria ainda está amadurecendo. Mas a direção está certa, e é a única que ataca a raiz de por que credores Bitcoin continuam estourando. Se você vai tomar contra Bitcoin, entenda que modelo está usando. Se vai emprestar Bitcoin (ou stablecoins lastreados em Bitcoin), entenda quem realmente tem as chaves. A tecnologia para fazer isso direito existe hoje. Os produtos que a usam corretamente ainda são raros. Mas o gap se fecha, e "confie em nós" é resposta menos aceitável a cada ciclo.
Perguntas frequentes
O que é um cofre Taproot?
Um cofre Taproot é um output Bitcoin travado sob um script Taproot com múltiplos caminhos possíveis de gasto, onde cada caminho dispara sob condições diferentes e é aplicado por script Bitcoin em vez de por um custodiante. No contexto de empréstimos lastreados em Bitcoin, um cofre típico tem três caminhos: reembolso cooperativo, liquidação automatizada e uma saída unilateral para o tomador se o credor desaparecer. O endereço do cofre é um UTXO Bitcoin normal que você consulta em qualquer explorador como mempool.space.
O que é rehipotecação e por que importa em empréstimos Bitcoin?
Rehipotecação é quando um credor pega seu colateral e usa para os próprios fins: emprestando para traders, colocando como colateral em empréstimos próprios ou colocando em risco de outra forma. É legal em quase todo lugar e é como praticamente qualquer banco tradicional opera. Na cripto-lending, foi o mecanismo que quebrou Celsius, BlockFi e Voyager. Quando as apostas do credor falham, seus Bitcoin específicos somem, misturados no destroço do balanço deles. Você vira credor sem garantia no juízo de falência. Designs não custodiais com cofre Taproot tornam rehipotecação estruturalmente impossível porque seus Bitcoin nunca saem do script.
O que é o truque NUMS?
NUMS significa "Nothing Up My Sleeve". Em um cofre Taproot de empréstimo, o gasto via key-path é um quarto jeito potencial de mover fundos que permitiria às partes burlar os caminhos de script. Para desabilitar, construtores derivam a chave pública interna do hash SHA-256 de uma frase conhecida como "SURGE-NUMS" ou "BIP-341-NUMS". Qualquer um pode verificar que a chave foi derivada assim, e ninguém pode derivar a chave privada de um hash porque isso exigiria quebrar o SHA-256. Resultado: o key-path é demonstravelmente inútil e o credor não consegue burlar o script nem por conluio.
Meus Bitcoin podem ser movidos em um cofre Taproot sem minha permissão?
Só por um dos caminhos explícitos do script, nunca por discrição. Reembolso cooperativo exige que você pague a dívida e depois ambas as partes coassinem. Liquidação só pode acontecer se sua razão de colateral romper o limiar de liquidação, e mesmo assim os ganhos têm que fluir por um endereço de liquidação definido e leilão holandês. Fora desses dois casos, o único caminho restante é sua própria saída unilateral, travada por um timelock relativo de cerca de um ano. Não existe caminho que simplesmente deixe o credor pegar seus Bitcoin.
Auditorias realmente ajudam?
Sim, mas só quando são públicas, recentes e feitas por pessoas que entendem a tecnologia específica auditada. Para produtos de empréstimo com cofre Taproot você quer pelo menos duas auditorias: uma no lado do script Bitcoin por um especialista específico de protocolo Bitcoin (não um auditor cripto genérico) e uma no lado do smart contract EVM que cuida da contabilidade do crédito. Ambos os relatórios devem ser públicos e qualquer achado deve ter remediação documentada. Se um credor afirma ter auditorias mas não consegue mostrar os relatórios, trate a afirmação como não verificada.
FROST vs Lindell 2024 (Lin24): qual esquema de assinatura de limiar é melhor?
Os dois produzem assinaturas Schnorr válidas on-chain indistinguíveis de uma assinatura de uma única parte. FROST é mais antigo, mais estudado e o padrão na maioria dos deploys de assinatura de limiar. Lindell 2024 é mais novo e tem uma propriedade chamada identifiable abort: se um signatário se comporta mal durante a assinatura, o protocolo produz prova criptográfica de quem foi. Isso importa quando você quer punir economicamente signatários que se comportem mal. Para um tomador, ambos são escolhas razoáveis e ambos são mais fortes do que uma única chave de assinatura. A pergunta mais difícil para qualquer credor é quem são realmente os signatários, não qual esquema usam.
Por que a maioria dos credores Bitcoin não custodiais usa Base ou outra cadeia EVM?
Porque script Bitcoin sozinho não consegue lidar facilmente com acumulação de juros, cálculos de taxa variável, contabilidade multi-ativo ou leilões holandeses. Cadeias EVM conseguem. A divisão é: Bitcoin segura o colateral no cofre Taproot, e a cadeia EVM (comumente Base, a L2 Ethereum da Coinbase) roda o motor de crédito. USDC se move cross-chain via CCTP da Circle. O trade-off é risco real de smart contract no lado EVM e dependência de essa cadeia funcionar para tomar e pagar no dia a dia. O caminho de saída unilateral continua disponível mesmo se a cadeia EVM cair.
Posso recuperar meus Bitcoin se o credor desaparecer?
Sim, se o cofre estiver bem construído. O caminho de saída unilateral é todo o ponto do design. Após um timelock relativo (tipicamente cerca de um ano), você pode construir uma transação Bitcoin sozinho usando a ferramenta pública de saída, transmitir para a rede Bitcoin, e os fundos chegam na sua carteira. Sem coordenação com o credor. Sem juízo de falência. Você deveria testar a ferramenta de saída antecipadamente em um cofre testnet para verificar que funciona, sem confiar na palavra do credor.
Leituras adicionais
Análise Surge Credit
Análise honesta da primeira linha de crédito mainstream com cofre Taproot.
Melhores empréstimos Bitcoin 2026
Comparação completa de cada grande plataforma de empréstimo Bitcoin.
Análise Hodl Hodl / Debifi
Empréstimos multisig P2P não custodiais. Modelo diferente, também não custodial.
Armazenamento frio Bitcoin
Como guardar seus próprios Bitcoin primeiro.
Segurança Bitcoin
Boas práticas de autocustódia que combinam com empréstimos não custodiais.