system online · no logs · no tracking · no kyc tor: v3 ready
[never]kyc
login sign up →
root@neverkyc:/blog/como-funciona-escrow-multisig-monero-p2p-sem-kyc-2026$ cat post.md

Como Funciona o Escrow Multisig em P2P sem KYC do Monero

// by ~anon · 2026-05-30 · mock,auto-generated,pt

Como Funciona o Escrow Multisig em P2P sem KYC do Monero

Em abril de 2025, uma corretora centralizada bastante conhecida congelou cerca de R$ 75 milhões em fundos de usuários distribuídos em 9.800 contas durante uma varredura de "verificação reforçada" que durou 72 horas e exigia selfies, comprovantes de residência e questionários sobre origem de recursos. A maior parte dessas contas nunca recuperou o saldo. Histórias como essa explicam por que traders continuam migrando para exchanges peer-to-peer sem KYC — mas negociar diretamente com um estranho parece aterrorizante até você entender a rede de proteção criptográfica por baixo do capô. Essa rede de proteção é o escrow multisig, e é a invenção mais importante para o trading de privacidade desde o atomic swap original. Em plataformas como Haveno, Bisq, RoboSats e a futura Serai DEX, o multisig 2-de-3 é o que permite entregar Monero a uma contraparte que você nunca viu sem que nenhum dos dois precise de um intermediário com custódia.

Este guia percorre o mecanismo inteiro — como as chaves são geradas, por que existem três signatários em vez de dois, como as disputas são arbitradas sem quebrar a privacidade, e o que acontece quando uma das partes simplesmente desaparece. Se você já fez swap no MoneroSwapper e ficou curioso sobre como suas opções de roteamento descentralizado mantêm os fundos seguros de ponta a ponta, o padrão multisig descrito abaixo é a fundação que torna o P2P sem confiança viável em 2026.

Por Que o Escrow Centralizado Falhou e o Multisig Tomou o Lugar

Durante boa parte da década de 2010, exchanges P2P como a LocalBitcoins original dependiam de um modelo de escrow centralizado. Você depositava as moedas numa carteira controlada pela plataforma; a plataforma liberava os fundos quando o comprador confirmava o pagamento. Funcionou bem até reguladores forçarem KYC completo em 2019, até exit scams drenarem carteiras de usuários, e até tribunais começarem a obrigar operadores de exchange a divulgar toda contraparte presente em suas bases. A premissa de confiança — "a plataforma não vai roubar nem dedurar" — acabou se revelando uma promessa impossível de manter.

O escrow multisig vira o modelo do avesso. Em vez de uma parte segurar as moedas, três partes seguram cada uma um fragmento de chave, e quaisquer duas delas conseguem assinar uma liberação. A plataforma passa a ser desempate em disputas, não custodiante. As implicações são estruturais:

  • Sem ponto único de apreensão: uma ordem judicial contra o operador da exchange não consegue movimentar fundos porque o operador detém apenas uma das três chaves.
  • Sem risco de exit scam: se a plataforma sumir, comprador e vendedor ainda conseguem liberar os fundos cooperativamente usando as duas chaves deles, sem o árbitro.
  • Sem alavancagem de KYC: a plataforma nunca toca nas suas moedas, então não tem pretexto regulatório para exigir documentos de identidade de nenhum dos lados.
  • Roteamento resistente à censura: a transação real on-chain parece um gasto comum de Monero, indistinguível de qualquer outra configuração multisig na rede.
  • Provas criptográficas de disputa: árbitros veem apenas as mensagens assinadas relevantes àquele trade, não o histórico inteiro da carteira de cada parte.

A mudança não foi acadêmica. Depois que a Bisq inaugurou o multisig 2-de-2 em 2014 e expandiu para 2-de-3 em 2018, o modelo migrou para plataformas Monero-nativas assim que Haveno e o protocolo Serai provaram que o esquema de assinatura CLSAG do Monero podia ser adaptado para assinatura entre múltiplas partes. No final de 2025, mais de 38% de todo o volume peer-to-peer de Monero passava por alguma variante de escrow multisig 2-de-3, segundo dados agregados pelo Monero Observer.

A Criptografia por Trás do Multisig 2-de-3 no Monero

O multisig do Monero não é um esquema threshold Schnorr simples como você encontraria no Bitcoin Taproot. Trata-se de um protocolo de múltiplas rodadas construído em cima do CLSAG, o algoritmo de ring signature que o Monero adotou em 2020. Entender o formato grosseiro do que ocorre por baixo da interface da carteira explica por que a configuração leva alguns minutos e por que algumas exchanges ainda consideram o recurso experimental.

Geração de chaves e as três rodadas de assinatura

Quando um comprador, um vendedor e um árbitro abrem uma negociação, cada um gera localmente um fragmento de chave privada de gasto e um fragmento de chave privada de visualização. Eles trocam a informação pública correspondente através do relay criptografado da plataforma, mas os fragmentos privados nunca saem do dispositivo do usuário. Um endereço stealth conjunto é derivado do material público combinado; é esse endereço que o vendedor usa para depositar o Monero que está sendo vendido. Como o endereço é construído a partir de três segredos independentes, nenhuma parte — nem mesmo o árbitro — consegue gastar dele de forma unilateral.

Assinar uma transação de liberação exige que duas das três partes se coordenem em três rodadas de troca. A rodada um compartilha nonces de pré-processamento; a rodada dois compartilha assinaturas parciais sobre o corpo da transação; a rodada três combina tudo numa assinatura CLSAG final que a rede aceita como se viesse de um signatário único. A sequência inteira fecha em menos de um minuto numa carteira moderna, mas não pode ser reduzida a uma única troca de mensagem porque o esquema de assinatura do Monero exige binding determinístico de nonce para se manter seguro.

Por que 2-de-3 e não 2-de-2 ou 3-de-3

Uma configuração 2-de-2 é mais simples, porém quebradiça: se alguma das partes perder a chave ou se recusar a assinar, os fundos ficam permanentemente travados. Já uma configuração 3-de-3 é ainda pior — exigiria que toda liberação envolvesse o árbitro, anulando o ponto da minimização de confiança. O ponto ideal do 2-de-3 significa:

  • Caminho feliz: comprador e vendedor assinam juntos, sem árbitro, sem terceiro vendo o trade ser concluído.
  • Caminho de disputa: o árbitro assina com a parte a favor de quem decidiu, após revisar logs de chat e provas de pagamento.
  • Caminho do sumiço: se o árbitro desaparecer (plataforma fora do ar, conta comprometida), as duas partes cooperantes ainda conseguem encerrar.

A chave do árbitro costuma ser, por sua vez, uma chave multisig controlada por uma federação de árbitros em vez de um único humano, o que acrescenta uma camada extra de descentralização. A mainnet da Haveno, por exemplo, usa um pool rotativo de árbitros comunitários caucionados com colateral em XMR, que perderiam caso fossem flagrados em conluio.

Time locks e o caminho do abandono

Todo escrow multisig inclui um time lock — tipicamente de 24 a 72 horas após o vendedor marcar o pagamento como recebido. Se ambas as partes ficarem em silêncio, o time lock permite que o vendedor reaja unilateralmente e recupere os fundos depois que a janela expira. Isso impede que trolls iniciem um trade e abandonem para sabotar o vendedor indefinidamente. A duração exata é negociada na abertura do trade e codificada na lógica de escrow inteligente da plataforma; na Bisq o padrão é 30 dias para trades fiat, na Haveno é bem mais curto porque não há confirmação de pagamento fiat envolvida.

Comparativo de Escrow Multisig nas Principais Plataformas sem KYC

Nem todo escrow multisig é implementado da mesma forma. Algumas plataformas ainda dependem de um único árbitro, outras de uma federação; algumas suportam Monero nativamente, outras exigem representações empacotadas. As diferenças importam porque alteram seu perfil de risco no pior cenário.

PlataformaEsquema MultisigModelo de ÁrbitroMonero NativoLiquidação Típica
Haveno (mainnet) Multisig CLSAG 2-de-3 Pool federado rotativo com XMR caucionado Sim — direto on-chain 15–40 minutos
Bisq 1 (legado) Multisig BTC 2-de-2 + caução Árbitro único por região Não — BTC roteado para XMR via segundo swap 1–2 horas incluindo o swap
Bisq 2 (2025+) Baseado em reputação, multisig opcional Mediador (não custodial) Parcial — usa Atomic Swap XMR-BTC 30–90 minutos
RoboSats (gateway Lightning) 2-de-2 com hold invoice Coordenador RoboSats Não — XMR via agregador de swap 20–60 minutos
Serai DEX (testnet 2026) Assinaturas threshold FROST Conjunto de validadores (baseado em Substrate) Sim — cross-chain via threshold sigs 10–25 minutos
RetoSwap (ex-Haveno Reto) Multisig CLSAG 2-de-3 Gestão do operador com logs públicos de disputa Sim — direto on-chain 15–35 minutos

Vale notar que a Bisq 1 foi descontinuada para novos trades no fim de 2025, com a chegada da Bisq 2, mas uma base considerável de usuários ainda a trata como o design de referência. A Haveno segue sendo o padrão-ouro para multisig Monero-nativo porque herda o modelo de segurança econômica da Bisq — depósitos de segurança das duas partes — e o porta diretamente para um ativo totalmente preservador de privacidade. A Serai DEX, embora ainda em testnet no momento desta publicação, merece atenção porque seu esquema de assinatura threshold baseado em FROST pode viabilizar swaps cross-chain sem confiança entre BTC, XMR e ETH sem precisar de qualquer token empacotado.

"O ponto central do multisig é remover a questão da confiança do trade e substituí-la por uma questão de procedimento criptográfico. Se você precisa confiar na plataforma, não é multisig — é uma carteira custodial com alguns passos extras."

Passo a Passo: Um Trade P2P Multisig do Início ao Fim

O fluxo canônico abaixo é o que você vai encontrar na Haveno ou em qualquer plataforma 2-de-3 similar. O comprador envia fiat ou outra criptomoeda; o vendedor libera Monero do escrow. Os nomes de botões e abas variam, mas as etapas subjacentes são universais.

  1. Ambas as partes depositam caução de segurança. Tipicamente de 10 a 15% do tamanho do trade em XMR, travados na mesma carteira multisig que vai segurar o valor da operação. Essa caução é o que o árbitro pode confiscar em caso de comportamento de má-fé, e é a cola econômica que mantém o sistema honesto.
  2. Vendedor financia o escrow. O valor total do XMR à venda é enviado para o endereço stealth 2-de-3 recém-gerado. A transação precisa confirmar até a profundidade de bloco exigida pela plataforma (em geral 10 blocos na Haveno) antes que o trade avance.
  3. Comprador envia o pagamento. Por fora — TED, DOC, PIX, dinheiro em mãos, cartão presente ou outra criptomoeda — conforme os termos da oferta. O comprador marca "pagamento enviado" na interface da plataforma.
  4. Vendedor confirma o recebimento. Assim que o vendedor verificar que o pagamento foi compensado (pode levar segundos no caso de cripto, dias em transferências bancárias internacionais), ele clica em "pagamento recebido", o que faz a carteira do comprador montar sua metade da assinatura de liberação.
  5. Assinatura entre as duas partes. Comprador e vendedor trocam suas parcelas de assinatura CLSAG em três rodadas. As carteiras combinam as parcelas numa transação de gasto válida, que libera o XMR mais a caução do vendedor para o comprador e devolve a caução do comprador. Sem participação do árbitro.
  6. Liquidação on-chain. A transação combinada é transmitida para a rede Monero e confirma em cerca de dois minutos. Vista de fora, parece qualquer outra transação de Monero — nenhum observador consegue dizer que ela veio de um escrow multisig.

Se o comprador nunca marcar o pagamento como enviado, o vendedor pode recuperar os fundos depois do timeout de abandono. Se o comprador marcar o pagamento mas o vendedor se recusar a confirmar, o comprador pode abrir uma disputa e o árbitro entra em cena.

Resolução de Disputas Sem Quebrar a Privacidade

O fluxo de disputa é onde o escrow multisig prova seu valor, e também onde a maioria dos novatos entende mal as garantias de privacidade. Abrir uma disputa não expõe sua carteira — só expõe as mensagens e provas que você escolhe submeter ao árbitro. Na Haveno, a interface de disputa permite que cada parte suba anexos criptografados (extratos bancários, capturas de tela do chat com a contraparte, recibos do provedor de pagamento) que só o árbitro consegue decifrar.

O trabalho do árbitro é decidir qual das duas chaves não-árbitro será convidada a co-assinar a liberação final. Ele não vê sua identidade do mundo real, a menos que você revele voluntariamente; ele não vê seus outros trades; ele não vê o saldo da sua carteira fora do escrow em disputa. O esquema CLSAG garante que, mesmo depois de uma disputa resolvida, a transação on-chain seja indistinguível de uma liberação por caminho feliz. Não há nenhuma "bandeira de disputa" embutida na blockchain do Monero — essa informação fica dentro do banco de dados da plataforma, que tipicamente roda num servidor exclusivamente Tor com logging mínimo.

Um exemplo prático: imagine um comprador em São Paulo que envia um PIX para um vendedor em Belo Horizonte equivalente a 1,5 XMR em reais. O vendedor alega que o pagamento nunca chegou. O comprador sobe o comprovante PIX em PDF mostrando que a chave de destino bate com a chave informada pelo vendedor no chat. O árbitro inspeciona o PDF, confere o histórico do vendedor (a Haveno mantém uma pontuação de reputação não identificável) e decide a favor do comprador. Árbitro e comprador então assinam juntos a liberação, o XMR vai para a carteira do comprador, e a caução do vendedor é confiscada para o comprador como compensação. A troca inteira não deixa rastro público além de uma única transação Monero de aparência comum.

Onde isso fica realmente interessante é na combinação do escrow multisig com ferramentas de privacidade posteriores. Depois de receber fundos de uma resolução de disputa, muitos traders fazem churn do XMR por uma segunda carteira, às vezes roteando pelos trilhos de swap anônimo do MoneroSwapper para converter em outro ativo antes de reutilizar. Esse padrão "liquide e depois higienize" é exagero para traders honestos, mas é procedimento padrão para quem opera regularmente sob modelos de ameaça que incluem firmas passivas de análise de blockchain.

Modos Comuns de Falha e Como o Multisig os Previne

Mesmo com criptografia forte, é na experiência de uso ao redor do multisig que a maioria dos trades dá errado. Entender os modos de falha é o que separa um primeiro trade tranquilo de um estressante. Os tropeços mais comuns entre 2025 e 2026 foram:

  • Problemas de sincronização da carteira durante as rodadas de assinatura: se a carteira de alguma das partes não estiver totalmente sincronizada com a altura atual do bloco, as parcelas de assinatura podem ser rejeitadas. Solução — sincronizar antes de abrir o trade e manter a carteira aberta durante toda a operação.
  • Queda de circuito Tor: a maioria das plataformas roda apenas via Tor, e um colapso de circuito no meio da assinatura pode deixar o trade travado. Solução — reiniciar o cliente da plataforma, o que costuma reconstruir o circuito e retomar do último checkpoint sem perder o estado do trade.
  • Mismatch de aumento de taxa: se o mempool do Monero estiver congestionado e a transação multisig ficar não confirmada, só uma reassinatura com taxa mais alta consegue liberar. Algumas plataformas automatizam isso; outras exigem intervenção manual.
  • Fraude no pagamento fora da cadeia: o lado fiat é o elo fraco. Ataques de chargeback no PIX disputado, estorno em PayPal, dinheiro falsificado por correio — tudo isso continua possível. O multisig só protege o lado on-chain, então a escolha do método de pagamento ainda pesa muito.
  • Perda do arquivo da carteira antes de assinar: se o comprador perder a carteira entre enviar o pagamento e assinar a liberação, só o árbitro e o vendedor conseguem recuperar os fundos, e apenas se o vendedor cooperar. Backup do arquivo da carteira multisig não é negociável.

Repare que nenhum desses modos de falha envolve a criptografia em si sendo quebrada. A matemática se sustentou perfeitamente desde o lançamento do multisig CLSAG. Toda perda de fundos documentada em trading P2P de Monero desde 2022 foi atribuída a erro de usuário, métodos de pagamento maliciosos ou engenharia social — não ao próprio esquema multisig.

Considerações Tributárias para Traders Brasileiros e Portugueses

Vale lembrar que privacidade na camada de rede não substitui obrigação fiscal. No Brasil, a Instrução Normativa 1.888/2019 da Receita Federal exige que qualquer pessoa física que movimente mais de R$ 35.000 em criptoativos no mês declare via plataforma específica, ainda que a operação tenha ocorrido em exchange descentralizada ou P2P estrangeira. Não importa que a Haveno não emita informe — a obrigação acessória recai sobre o contribuinte. Em Portugal, o regime fiscal mudou em 2023: ganhos com criptoativos detidos por menos de 365 dias caem na categoria G e são tributados a 28% pelo IRS, enquanto holds superiores a um ano permanecem isentos, conforme orientação da Autoridade Tributária e Aduaneira. Em ambos os países, manter um registro próprio de cada trade — data, valor em moeda local, contraparte pseudônima e ID da transação on-chain — é a única forma de defesa em caso de fiscalização posterior.

FAQ

O árbitro pode roubar meus fundos no multisig 2-de-3?

Não. O árbitro detém apenas uma das três chaves, e o sistema exige duas assinaturas para qualquer gasto. O árbitro só consegue assinar se o comprador ou o vendedor também assinar. A única forma de um árbitro "roubar" seria conluio com a contraparte contra você, motivo pelo qual plataformas como a Haveno caucionam árbitros com colateral significativo em XMR e os escolhem aleatoriamente a cada trade. Se conluio for seu modelo de ameaça, escolha uma plataforma com federação em vez de árbitro único.

O escrow multisig é realmente sem KYC, ou as plataformas ainda coletam ID?

Plataformas P2P de multisig genuíno não coletam KYC. Haveno, Bisq, RoboSats e Serai nunca veem seus documentos porque nunca tocam nos seus fundos e não atuam como transmissor de dinheiro segundo a maioria das definições jurisdicionais. Você conecta via Tor, negocia pseudonimamente, e sua única "reputação" é uma pontuação numérica atrelada a um par de chaves específico daquela plataforma. O método de pagamento fiat que você escolher pode expor sua identidade ao seu banco, mas isso é uma camada separada da plataforma em si.

O que acontece com meu Monero se a plataforma fechar no meio do trade?

Como a plataforma detém apenas uma chave (a do árbitro), ela não consegue movimentar fundos unilateralmente. Se comprador e vendedor ainda tiverem as próprias chaves, podem assinar juntos para liberar o escrow sem nunca mais envolver a plataforma. A maioria das plataformas publica o procedimento de recuperação abertamente para que os traders saibam como liquidar manualmente. O risco só se torna sério se a plataforma cair durante uma disputa ativa — caso em que os fundos afetados podem ficar travados até que os usuários se coordenem fora da plataforma.

Qual é a diferença em relação a um atomic swap?

Um atomic swap é uma troca cross-chain sem confiança usando contratos com hash time-lock; não existe terceira parte alguma. O escrow multisig é uma transferência de um único ativo protegida por exigência de assinatura entre três partes. Atomic swaps funcionam ótimo para trades cripto-para-cripto, mas não para cripto-para-fiat, que é justamente onde o escrow multisig brilha, porque a perna de pagamento fora da cadeia precisa de um árbitro capaz de analisar provas se houver disputa.

O escrow multisig acrescenta taxas em comparação a uma transação Monero comum?

Sim, de duas naturezas. Primeiro, a transação de liberação on-chain é ligeiramente maior do que um gasto de assinante único porque inclui dados de assinatura entre várias partes, somando cerca de 30% a 40% sobre a taxa de rede — algo ainda trivial em XMR absoluto. Segundo, a plataforma normalmente cobra uma taxa percentual pequena (tipicamente 0,5% a 1% na Haveno) para remunerar árbitros e financiar o desenvolvimento. Comparado ao spread de uma exchange centralizada após o overhead de KYC, quase sempre sai mais barato.

A polícia consegue intimar o árbitro para revelar meu trade?

Os registros do árbitro, caso intimados, revelariam apenas o ID pseudônimo do trade, as mensagens criptografadas da disputa (que ele não consegue decifrar sem sua chave) e o endereço público multisig. Eles não revelariam sua identidade real a menos que você a tivesse revelado durante a mediação. Em plataformas operadas por agentes federados e geograficamente distribuídos (Haveno, Serai), não existe jurisdição única para intimar. Isso é estruturalmente diferente de uma exchange centralizada, onde uma única ordem judicial pode obrigar a divulgação de toda conta.

Conclusão

O escrow multisig é a tecnologia que torna possível um trading P2P verdadeiramente sem confiança de Monero sem entregar identidade, sem confiar num custodiante e sem inventar criptografia exótica. O modelo 2-de-3 é uma primitiva enganosamente simples que resolve os três grandes problemas do P2P — fraude da contraparte, apreensão da plataforma e neutralidade na arbitragem — usando nada mais que assinaturas CLSAG padronizadas e um pouquinho de coordenação de nonce. Para quem leva a sério a preservação da fungibilidade do próprio XMR, aprender como esse mecanismo funciona deixou de ser opcional em 2026; passou a ser o letramento básico esperado de qualquer trader consciente sobre privacidade.

Quando você precisa converter para dentro ou para fora do Monero rapidamente e quer minimizar exposição à contraparte sem montar um trade Haveno completo, o MoneroSwapper oferece uma camada de swap sem KYC enxuta que complementa o P2P multisig em vez de competir com ele. A combinação — multisig para trades de valor alto ou com perna fiat, agregação de swap para movimentos rápidos cripto-para-cripto — é como usuários experientes em 2026 mantêm privacidade e liquidez ao mesmo tempo.

← back to blog