Em outubro de 2025, o projeto Zcash (ZEC) divulgou publicamente uma falha grave em seu protocolo de provas de conhecimento zero (zero-knowledge proofs), o mecanismo criptográfico que garante transações confidenciais na rede. Segundo o Portal do Bitcoin, o preço do ZEC despencou após a divulgação da vulnerabilidade, com a capitalização de mercado sofrendo perdas de bilhões de dólares em questão de horas.
A notícia gerou reação imediata no mercado, mas o episódio vai além da volatilidade de preço. Ele levanta questões técnicas, jurídicas e de compliance que afetam diretamente exchanges brasileiras, gestores de fundos cripto e qualquer prestador de serviço em ativos virtuais (PSAV) que liste ou recomende moedas com funcionalidades de privacidade aprimorada.
Este artigo analisa o que a falha do Zcash representa do ponto de vista regulatório brasileiro, quais obrigações de Prevenção à Lavagem de Dinheiro e ao Financiamento do Terrorismo (PLD-FT) estão em jogo e o que empresas e profissionais precisam fazer para se manter em conformidade.
Contexto jurídico e regulatório
O marco regulatório brasileiro e as moedas de privacidade
A Lei 14.478, de 21 de dezembro de 2022, conhecida como o Marco Legal dos Criptoativos, estabeleceu a base jurídica para a atuação de prestadores de serviços em ativos virtuais no Brasil. A norma determina que o Banco Central do Brasil (BCB) é o principal regulador do setor e que os PSAVs devem cumprir obrigações de PLD-FT equivalentes às impostas às instituições financeiras tradicionais.
Em complemento, a Resolução BCB 317/2023 detalhou os requisitos para autorização e funcionamento dos PSAVs, incluindo a exigência de políticas internas de gestão de risco, controles de Know Your Customer (KYC) e reporte de operações suspeitas ao Conselho de Controle de Atividades Financeiras (COAF), nos termos da Lei 9.613/1998, com as alterações promovidas pela Lei 12.683/2012.
Nesse contexto, moedas com privacidade aprimorada, como o Zcash, o Monero (XMR) e o Dash em modo PrivateSend, representam um desafio estrutural para o compliance de PLD-FT. O Financial Action Task Force (FATF/GAFI), em sua orientação de 2021 sobre ativos virtuais, classifica as chamadas privacy coins como fator de risco elevado, recomendando que jurisdições considerem a proibição ou a restrição de sua oferta por PSAVs regulados.
Falha técnica e agravamento do risco regulatório
A vulnerabilidade identificada no Zcash em 2025 não é apenas um problema técnico de protocolo. Do ponto de vista regulatório, ela agrava o perfil de risco do ativo em pelo menos dois aspectos relevantes.
Primeiro, uma falha em provas de conhecimento zero pode, dependendo de sua natureza, permitir a geração de unidades não rastreáveis de forma fraudulenta, comprometendo a integridade do registro de transações. Isso é diretamente incompatível com a obrigação de rastreabilidade que os PSAVs devem garantir para cumprir a Regra de Viagem (Travel Rule), prevista na Resolução BCB 340/2023, que exige a transmissão de dados do originador e do beneficiário em transferências de ativos virtuais acima de determinados valores.
Segundo, a divulgação pública de uma vulnerabilidade crítica em um ativo listado por um PSAV brasileiro pode caracterizar falha na avaliação prévia de risco de produto, etapa obrigatória nos termos do artigo 16 da Resolução BCB 317/2023, que exige que o prestador demonstre ter avaliado os riscos operacionais, tecnológicos e de integridade financeira dos ativos que oferece a clientes.
Impacto prático
Para exchanges e PSAVs que listam ou listaram o Zcash, o episódio exige uma revisão imediata de três frentes: a avaliação de risco do produto, a política de suspensão ou delisting de ativos e a comunicação ao regulador caso haja indícios de que a falha foi explorada em operações cursadas pela plataforma.
Do ponto de vista contábil, a queda brusca de valor do ZEC pode impactar carteiras próprias mantidas por PSAVs, fundos de investimento em criptoativos e clientes pessoa jurídica que detêm o ativo em balanço. A NBC TG 38 (instrumentos financeiros) e a orientação do CPC 48 determinam que ativos classificados como valor justo por meio do resultado devem refletir imediatamente as variações de mercado, incluindo aquelas decorrentes de eventos de risco não financeiro, como falhas de protocolo. Gestores e contadores devem avaliar a necessidade de divulgação em notas explicativas e de ajuste de provisões.
Para investidores pessoas físicas, o impacto é tributário e declaratório. Quedas de valor superiores a 50% em um único ativo em carteira, especialmente quando associadas a um evento técnico documentado, precisam ser registradas corretamente na declaração de bens da Receita Federal, pelo custo de aquisição, sem possibilidade de redução ao valor de mercado para fins de apuração de perda fiscal, salvo em operações efetivamente realizadas. Isso significa que a perda patrimonial do Zcash só gera efeito fiscal quando o ativo é efetivamente vendido.
Considerações finais
O caso do Zcash é um exemplo concreto de como vulnerabilidades técnicas em protocolos cripto têm desdobramentos jurídicos, contábeis e regulatórios imediatos. PSAVs que não revisarem suas políticas de avaliação de risco de produto e suas obrigações de PLD-FT em relação a privacy coins estarão expostos a sanções administrativas do Banco Central, que podem incluir advertência, multa de até 2 bilhões de reais ou inabilitação, conforme o artigo 22 da Lei 14.478/2022.
A mensagem prática é direta: compliance em cripto não se limita a KYC na entrada do cliente. Envolve monitoramento contínuo dos ativos listados, revisão de políticas diante de eventos de risco e comunicação proativa com o regulador quando necessário. O episódio do Zcash reforça que a gestão de risco de produto é tão importante quanto a gestão de risco de cliente.