Hack da FixedFloat em 2024: o que aconteceu

No dia 16 de fevereiro de 2024, traders que monitoravam a página de status da FixedFloat viram primeiro um aviso breve, quase casual, sobre "trabalhos técnicos". Em poucas horas, investigadores on-chain já estavam contabilizando as saídas: cerca de 409 BTC e 1.728 ETH haviam sido movidos das hot wallets da exchange para endereços sem histórico anterior. Quando a poeira baixou, o prejuízo somava aproximadamente US$ 26 milhões, transformando o incidente da FixedFloat no maior ataque a um serviço de swap sem KYC do início de 2024 e em uma das brechas mais estudadas do ano. O estrago não foi apenas financeiro — forçou toda uma categoria de exchanges instantâneas a repensar a exposição de hot wallets, a confiança em signatários terceirizados e o modo como se comunicam durante incidentes.

Esta análise reconstrói a cronologia, a forense on-chain, as perguntas sem resposta e as consequências práticas para quem usa serviços de swap sem KYC. Se você roteia trades sensíveis à privacidade por agregadores ou diretamente por serviços como o MoneroSwapper, as lições do incidente da FixedFloat em fevereiro de 2024 continuam estruturais em 2026: a superfície de ataque que ele expôs não desapareceu, apenas se diversificou.

O dia em que a FixedFloat ficou no escuro

A FixedFloat havia passado quatro anos construindo a reputação de uma exchange instantânea confiável — sem cadastro, sem e-mail, sem KYC, apenas uma cotação e um endereço de depósito. No início de 2024, processava vários milhares de swaps por dia em mais de 60 criptomoedas, incluindo Monero, Bitcoin, Litecoin e uma longa lista de ativos EVM. Esse volume tornou a plataforma um alvo atraente, e em 16 de fevereiro alguém colocou a mão no bolo.

A resposta pública inicial foi desajeitada. A primeira mensagem da FixedFloat atribuía a indisponibilidade a "pequenas questões técnicas" e pedia paciência aos usuários. Seis horas depois, analistas blockchain já tinham publicado endereços de carteira, hashes de transação e um total parcial das perdas. Só então a exchange confirmou aquilo que, àquela altura, já era óbvio para qualquer um que estivesse acompanhando a cadeia.

• Perda em Bitcoin: aproximadamente 409 BTC, drenados em uma série de consolidações de UTXO da hot wallet da FixedFloat para endereços controlados pelo atacante.
• Perda em Ethereum: aproximadamente 1.728 ETH, varridos em lotes limpos e imediatamente roteados para infraestrutura conhecida de mistura de moedas.
• Valor combinado: cerca de US$ 26 milhões pelos preços à vista no dia do incidente.
• Atraso de detecção: quase três horas se passaram entre a primeira saída suspeita e o primeiro reconhecimento público pela FixedFloat.
• Impacto nos usuários: swaps em andamento foram pausados, reembolsos atrasaram semanas, e vários clientes maiores relataram perdas parciais em transações que haviam sido confirmadas pela exchange mas nunca entregues.

Esse atraso de detecção é a parte que mais incomoda profissionais de resposta a incidentes. Hot wallets sangrando para endereços desconhecidos deveriam disparar alertas automáticos em segundos, não em horas. O fato de o atacante ter tido tempo de consolidar UTXOs e ponte do Ethereum para serviços de mistura antes de qualquer declaração pública sugere que o monitoramento interno falhou, foi contornado ou foi ativamente suprimido durante a janela do ataque.

Como o ataque se desenrolou de fato

A FixedFloat nunca publicou um post-mortem formal, o que por si só faz parte da história. A maior parte do que se sabe publicamente vem de análises on-chain independentes de empresas como SlowMist, MistTrack e PeckShield, somadas a threads da comunidade que reconstruíram o fluxo dos fundos em tempo quase real. Três peças se encaixam para formar o retrato mais aceito.

O modelo de exposição da hot wallet

Exchanges instantâneas vivem e morrem pela liquidez em hot wallet. Diferentemente de exchanges com livro de ordens, que conseguem mover grandes reservas para cold storage entre operações, um serviço de swap sem cadastro precisa liquidar no momento em que o depósito é confirmado. Isso significa que um saldo operacional precisa ficar online, indexado por endereço, pronto para assinar transações de saída sob demanda. As hot wallets da FixedFloat em BTC e ETH foram dimensionadas para suportar o pico de volume de fim de semana, ou seja, dezenas de milhões em fundos líquidos sempre estavam ao alcance da infraestrutura de assinatura que a plataforma utilizava.

O comprometimento do signatário

O padrão on-chain do dreno da FixedFloat — varreduras grandes e limpas, sem comportamento fragmentado, sem tentativas falhas, sem transações de sondagem — é compatível com um atacante que já tinha autoridade válida de assinatura. Não houve exploração de smart contract, bug de ponte ou manipulação de oráculo. As próprias chaves, ou os sistemas que as operavam, foram o vetor. Quer isso signifique uma chave privada vazada, uma sessão de HSM comprometida, um insider mal-intencionado ou um ataque de cadeia de suprimentos em uma dependência de assinatura, o resultado prático é idêntico: o atacante assinou transações que a FixedFloat teria assinado por si.

A rota de lavagem

Em até 24 horas após a brecha, grandes parcelas do ETH roubado tinham sido roteadas pela eXch — outro serviço de swap sem KYC — e convertidas em ativos voltados para privacidade. Parte do BTC tomou um caminho mais longo por infraestrutura de mistura antes de se fragmentar em dezenas de endereços novos. O uso de outra exchange sem KYC para lavar os ganhos virou estopim no setor, e a eXch enfrentou depois pressão regulatória sustentada que contribuiu para seu próprio encerramento em 2025. O hack da FixedFloat, portanto, não é só a história de um dia ruim de uma única exchange — desencadeou uma reação em cadeia em todo o ecossistema sem KYC.

O que a FixedFloat ensina não é que hot wallets podem ser drenadas, é o tempo que demorou para alguém dentro da empresa perceber. Monitoramento que depende de um humano olhar um painel não é monitoramento.

Comparando os principais incidentes em serviços sem KYC

A FixedFloat não é o único serviço sem KYC a ter sofrido uma brecha importante. Colocá-la lado a lado com outros incidentes da mesma época deixa os riscos estruturais da categoria mais visíveis. O padrão é consistente: exposição de hot wallet, comunicação pública lenta e lavagem que escorre em direção a infraestrutura preservadora de privacidade.

Incidente	Perda estimada	Vetor de ataque	Post-mortem público
FixedFloat (fev 2024)	~US$ 26M	Comprometimento de signatário em hot wallet	Não publicado
FixedFloat (réplica de mar 2024)	~US$ 3M	Mesma infraestrutura, reuso parcial	Não publicado
Exposição da eXch por lavagem	Indireta	Entrada de fundos roubados	Apenas notas operacionais
Exploits de pontes 2022-2024 (média)	US$ 100M+ por evento	Bug de smart contract	Geralmente publicado
Brechas em CEXs com cold storage	Raras	Comprometimento multi-assinatura	Às vezes publicado

O que distingue a categoria sem KYC é o silêncio que vem depois. Uma exchange regulada que perde fundos de clientes tem obrigações imediatas de divulgação e em geral publica um post-mortem para reter qualquer fiapo de confiança restante. Uma exchange sem KYC não tem obrigação semelhante e muitas vezes tem motivos comerciais para manter detalhes em sigilo: qualquer divulgação técnica pode ajudar futuros atacantes, e qualquer divulgação operacional pode atrair reguladores. O resultado é uma categoria em que o usuário precisa raciocinar sobre segurança de fora para dentro, com migalhas on-chain como única fonte confiável de verdade.

Como se proteger ao usar swaps sem KYC

O incidente da FixedFloat não significa que serviços de swap sem KYC devam ser evitados — para muitos usuários, especialmente em jurisdições hostis à privacidade financeira, eles continuam sendo a única opção realista. Significa, sim, que o modelo de ameaça é diferente do de uma exchange custodial, e seu comportamento deve refletir isso. Os passos a seguir refletem o que traders experientes adotaram depois de fevereiro de 2024.

1. Trate a janela do swap como trânsito, não como armazenamento. Os fundos que você envia para uma exchange sem KYC devem estar passando, não parados. Pré-defina seu endereço de destino — idealmente uma carteira cujas chaves você controla, como uma carteira Monero gerada a partir de um mnemônico Polyseed — antes de criar o swap. Não pause no meio do caminho.
2. Dimensione cada swap com cuidado. As hot wallets da FixedFloat foram drenadas porque estavam dimensionadas para o pico de volume. Do lado do usuário, a lição é simétrica: nunca roteie uma transação maior do que aquilo que você está disposto a perder se a exchange tiver uma tarde ruim. Vários swaps menores em serviços diferentes vencem um único swap grande.
3. Verifique o endereço de saída da exchange na blockchain antes de enviar. Plataformas sérias exibem um endereço de depósito novo a cada ordem. Confira o endereço em um block explorer para ver se há histórico prévio. Uma carteira sem histórico é um bom sinal para uma ordem nova; uma carteira com milhares de transações de entrada é um sinal vermelho de higiene de segurança.
4. Cruze a taxa cotada. Se a cotação está dramaticamente melhor do que a dos concorrentes, incluindo o MoneroSwapper, isso é um sinal para investigar, não uma pechincha para agarrar. Anomalias de preço costumam estar correlacionadas com liquidez estressada ou, em casos extremos, com plataformas operando sob comprometimento.
5. Confirme a conclusão em uma carteira Monero que você controla. Quando o swap completar para o seu destino, confirme a transação na sua carteira — outputs RingCT visíveis, o endereço furtivo gerando saldo, sua view key batendo com o valor esperado. Até você ter feito isso no seu próprio software, o swap não está finalizado.
6. Mova os fundos rapidamente para armazenamento de longo prazo. Se seu plano é hodlar Monero, transfira os outputs recebidos para uma carteira cuja seed esteja offline o mais rápido possível. Quanto mais tempo ativos preservadores de privacidade ficam parados em um endereço de contraparte conhecido, mais metadados eles acumulam.

Por que essa história importa para quem faz swap de Monero

Usuários de Monero estão super-representados na base de clientes de exchanges sem KYC, por motivos óbvios: as on-ramps para Monero a partir de fiat ou de outras criptomoedas estreitaram bastante entre 2021 e 2026, e serviços de swap instantâneo viraram rota primária. Isso faz com que a segurança desses serviços seja uma preocupação direta para qualquer pessoa que tente usar o Monero conforme sua finalidade original. Quando uma exchange como a FixedFloat é comprometida, a falha não atinge só os usuários cujos depósitos foram roubados no ataque em si — atinge também todo mundo cujo swap estava em andamento, todo mundo cujo reembolso levou semanas e todo mundo cuja carteira de destino agora contém outputs que tocaram um endereço sinalizado.

As garantias de privacidade do Monero, incluindo ring signatures, endereços furtivos e Bulletproofs+, protegem transações dentro da cadeia Monero. Não protegem o momento em que um usuário entrega moedas não-Monero a um serviço de swap, e não desfazem uma falha de contraparte. É justamente nessa lacuna que incidentes como o da FixedFloat operam. O usuário pode ter um setup de opsec Monero impecável e ainda assim perder fundos porque o serviço-ponte que segurava seu BTC por trinta minutos estava sendo drenado por um atacante em outro fuso horário.

A resposta prática é escolher serviços de swap com cuidado. Preste atenção ao histórico operacional, ao histórico de resposta a incidentes e ao grau em que o serviço está disposto a discutir seu modelo de segurança. Serviços que publicam a divisão entre hot/cold wallet, que rotacionam infraestrutura de assinatura e que têm comunicação clara e pública durante quedas têm perfis de risco demonstrativamente melhores do que serviços que tratam cada incidente como mistério. O MoneroSwapper, por exemplo, foi construído justamente em torno do princípio de que usuários de swap não deveriam ser obrigados a escolher entre privacidade e visibilidade operacional — o roteamento é privado, mas o comportamento da plataforma durante um incidente é projetado para ser alto e claro, não silencioso.

O que o setor aprendeu (e o que não aprendeu)

Dois anos depois da brecha, o ecossistema de swap sem KYC está mensuravelmente diferente. Várias plataformas agora publicam snapshots trimestrais de prova de reservas, várias migraram para assinatura multi-party com signatários geograficamente distribuídos, e mais incidentes são seguidos de ao menos uma declaração pública curta. Produtos de seguro para serviços de swap instantâneo existem onde antes não existiam, embora a cobertura seja tímida.

O que não mudou é a pressão estrutural sobre as hot wallets. Enquanto swaps instantâneos forem uma categoria de produto, alguém precisa segurar fundos líquidos online, e alguém precisa autorizar transações sob demanda. A fronteira do ataque se deslocou de bugs on-chain (que dominaram 2021–2022) para comprometimento off-chain da infraestrutura de assinatura, muito mais difícil de defender na camada técnica porque a fraqueza costuma ser organizacional. Phishing de operadores, ataques de cadeia de suprimentos em dependências e ameaças internas continuam todos como vetores ativos em 2026.

Um desenvolvimento genuinamente positivo: os gargalos de lavagem estreitaram. Depois que o incidente da FixedFloat expôs o quanto era fácil torrar fundos roubados por outros serviços sem KYC, as plataformas sobreviventes adotaram blocklists compartilhadas, triagem de depósitos para clusters conhecidos de atacantes e payouts mais lentos em padrões suspeitos. Isso tornou a lavagem subsequente mais difícil, mesmo que a superfície de ataque original não tenha sido eliminada.

FAQ

Quanto a FixedFloat perdeu no hack de fevereiro de 2024?

A FixedFloat perdeu aproximadamente 409 BTC e 1.728 ETH, equivalentes a cerca de US$ 26 milhões na época do ataque. Os fundos foram drenados das hot wallets da plataforma em uma série de transações limpas ao longo de uma tarde. Um incidente menor de réplica em março de 2024 somou cerca de US$ 3 milhões a mais em perdas antes que a exchange rotacionasse sua infraestrutura de assinatura.

A FixedFloat reembolsou os usuários afetados?

A FixedFloat acabou processando reembolsos para a maioria dos usuários com ordens em andamento ou não cumpridas, embora o processo tenha levado semanas para muitos clientes. A exchange cobriu as perdas com reservas próprias em vez de repassá-las aos usuários afetados, o que é uma distinção significativa — muitas exchanges hackeadas socializam as perdas entre a base de usuários. Alguns usuários relataram recuperação parcial ou casos não resolvidos.

O atacante da FixedFloat chegou a ser identificado?

Publicamente, não. A análise on-chain rastreou fundos por vários misturadores e pela plataforma eXch, mas nenhum indivíduo ou grupo foi atribuído formalmente à brecha. Alguns analistas especularam envolvimento de ator estatal com base na sofisticação da lavagem, enquanto outros apontaram para comprometimento interno ou de cadeia de suprimentos com base no padrão limpo de assinatura. A FixedFloat não publicou suas conclusões internas.

É seguro usar a FixedFloat em 2026?

A FixedFloat continuou operando desde o incidente e, segundo se noticia, atualizou sua infraestrutura de assinatura. A decisão de usar qualquer swap sem KYC é uma avaliação pessoal de risco que deve levar em conta o histórico operacional, a transparência e o tamanho da operação. Muitos usuários diversificam entre várias plataformas justamente para evitar concentrar exposição em um único operador, o que é prática sensata independentemente de qual exchange esteja em questão.

Qual é a forma mais segura de fazer swap para Monero hoje?

O fluxo mais seguro é usar um serviço de swap com histórico operacional limpo, enviar o menor valor prático por transação, confirmar o recebimento em uma carteira Monero cuja seed mnemônica você mesmo gerou e transferir os fundos para armazenamento de longo prazo logo em seguida. O MoneroSwapper foi desenhado em torno desse fluxo — coleta mínima de dados, relatório claro de status e entrega direta para um endereço furtivo sob seu controle. Combinar um serviço de swap cuidadoso com higiene disciplinada de carteira entrega o melhor resultado prático.

Como isso se compara aos hacks de exchanges tradicionais?

Hacks de exchanges reguladas tradicionais costumam envolver perdas absolutas maiores, mas com mais opções de recuperação via seguros, pressão regulatória e post-mortens públicos. Hacks de swap sem KYC como o da FixedFloat são menores em dólares, mas mais arriscados por usuário porque não há recurso além da boa vontade da própria exchange. A diferença estrutural é que você troca recurso jurídico por privacidade ao escolher a rota sem KYC, e essa troca deve estar precificada em quanto você passa por uma única plataforma.

Conclusão

O hack da FixedFloat foi um evento esclarecedor para a categoria de swap sem KYC. Não inventou uma nova classe de ataque, nem introduziu um risco que usuários informados já não estivessem pensando. O que fez foi forçar uma suposição oculta à tona: que a disciplina operacional de uma exchange instantânea é parte da garantia de segurança, e que qualquer plataforma que peça aos usuários que confiem nela por trinta minutos é bom que valha trinta minutos de confiança. Algumas plataformas reagiram a essa pressão com melhores práticas, comunicação pública e melhorias demonstráveis. Outras ficaram caladas e torceram para os usuários esquecerem. O mercado ainda está separando uma coisa da outra.

Para quem usa Monero em 2026, a conclusão é prática. Escolha serviços de swap que tratem seu tempo e seus fundos com a seriedade que o momento exige, dimensione seus trades para o modelo de ameaça que você de fato enfrenta e confirme cada perna do trajeto em software sob seu controle. Se você quer iniciar um swap agora mesmo com um serviço construído em torno exatamente desses princípios, pode começar em comprar Monero anonimamente ou comparar as cotações atuais pelo motor de quotes do MoneroSwapper. O incidente de 2024 ficou no retrovisor, mas as lições que ele deixou moldam todo swap que você faz hoje.