OCCIP do Tesouro Traz Cripto para o Perímetro Federal de Defesa Cibernética

Pela primeira vez na história dos EUA, o Departamento do Tesouro está tratando as empresas de cripto da mesma forma que trata os bancos — pelo menos quando se trata de quem tem acesso às ameaças recebidas. Em 10 de abril de 2026, o Escritório de Cibersegurança e Proteção de Infraestrutura Crítica (OCCIP) anunciou que empresas de ativos digitais qualificadas receberão, sem custo, a mesma inteligência de cibersegurança acionável que o governo federal historicamente reservou para bancos segurados pelo FDIC e outras instituições financeiras tradicionais.

É uma pequena frase em um comunicado de imprensa. No entanto, ela marca uma mudança silenciosa, mas profunda: Washington parou de tratar as criptomoedas como um setor tecnológico periférico e começou a tratá-las como parte da infraestrutura crítica do sistema financeiro.

Uma política construída sobre um prejuízo de US$ 578 milhões

O momento não é acidental. Abril de 2026 foi, sob certos aspectos, o pior mês para a segurança DeFi desde o incidente da Bybit — aproximadamente US$606 milhões drenados em doze explorações separadas em apenas dezoito dias. Somente o Lazarus Group movimentou US$ 578 milhões durante esse período.

Dois ataques foram responsáveis pela maior parte dos danos:

• Drift Protocol — US$ 285 milhões, 1 de abril de 2026. Atacantes atribuídos ao grupo vinculado à RPDC UNC4736 (também monitorado como AppleJeus, Citrine Sleet e Gleaming Pisces) concluíram uma operação de engenharia social de seis meses. Eles se passaram por uma empresa de trading quantitativo, ganharam a confiança dos contribuidores do Drift e abusaram do recurso "durable nonces" da Solana para enganar os membros do Conselho de Segurança e fazê-los pré-assinar transações inativas que transferiram silenciosamente o controle administrativo. Do momento em que o golpe (rug pull) ocorreu, o cofre foi drenado em cerca de doze minutos.
• KelpDAO — US$ 292 milhões, 18 de abril de 2026. Uma única mensagem forjada da LayerZero drenou 116.500 rsETH da ponte cross-chain da KelpDAO, tornando-se a maior exploração individual de DeFi do ano.

De acordo com a TRM Labs, a Coreia do Norte agora responde por cerca de 76% de todas as perdas por hacks de cripto em 2026, com roubos cumulativos desde 2017 ultrapassando US$ 6 bilhões. Isso não é mais uma preocupação setorial. É uma questão de segurança nacional.

O programa do OCCIP é, na verdade, o primeiro reconhecimento federal de que o direcionamento estilo RPDC contra plataformas de ativos digitais se assemelha a ataques patrocinados pelo Estado a transferências bancárias, redes ACH e SWIFT — e que os operadores de cripto merecem os mesmos canais de alerta antecipado.

O que as empresas de cripto realmente recebem

A manchete é "inteligência de cibersegurança gratuita". A substância é mais interessante. Empresas de ativos digitais qualificadas dos EUA podem agora solicitar acesso aos mesmos fluxos de inteligência de ameaças que o Tesouro usa para manter o setor bancário à frente dos atacantes. Na prática, isso inclui um conjunto de feeds em níveis:

• Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) da CISA. As agências civis federais já são obrigadas pela Diretriz Operacional Vinculante 22-01 a corrigir as CVEs listadas no KEV dentro de prazos fixos. A lista é pública, mas o valor de estar dentro do canal federal é o tempo — os operadores aprendem o que está sendo usado como arma antes de se tornar um boletim público.
• Notificações Flash do FBI e da Indústria Privada. Estas cobrem campanhas ativas, frequentemente com indicadores técnicos de comprometimento (IOCs) e táticas de adversários que nunca aparecem na imprensa pública.
• IOCs do setor financeiro específicos do Tesouro. Agrupamentos de carteiras, padrões de preparação de pontes (bridges), comportamentos de mixers e impressões digitais de transações que os analistas do OCCIP reúnem a partir de relatórios interbancários — e que, até agora, os bancos podiam ver, mas uma exchange centralizada ou protocolo DeFi não.
• Comunicados específicos do setor sobre atores da RPDC, vinculados ao Irã e de ransomware. Esta é a camada que a linha do tempo forense do Drift mais claramente enfatiza. Os padrões de carteira do Lazarus e a atividade de preparação de pontes eram identificáveis em retrospecto; o compartilhamento de nível OCCIP é projetado para trazer à tona esses padrões antes da drenagem.

As empresas qualificadas podem se candidatar entrando em contato com OCCIP-Coord@treasury.gov. Os critérios de "qualificação" estão deliberadamente indefinidos no anúncio — o Tesouro mantém a discrição para moldar o grupo de participantes, o que é tanto uma funcionalidade quanto um ponto de atrito.

Por que isso é maior do que uma nova lista de distribuição de e-mail

Se você ler o anúncio do OCCIP de forma restrita, parece que o Tesouro adicionou uma nova lista de e-mails. A leitura estrutural é mais consequente.

Por uma década, a política dos EUA tratou as empresas de cripto como empresas de tecnologia que, por acaso, lidam com dinheiro. O aparato padrão de compartilhamento de informações — FS-ISAC, o Centro de Compartilhamento e Análise de Informações de Serviços Financeiros — restringe a participação a registros de estilo bancário ou níveis pagos da indústria. O FS-ISAC tem mais de 5.000 empresas membros em 75 países, mas sua base de membros tem sido historicamente dominada por bancos, seguradoras, processadores de pagamentos e corretoras de valores. Exchanges nativas de cripto e protocolos DeFi raramente foram participantes de primeira classe.

O novo canal do OCCIP não substitui o FS-ISAC. Ele funciona em paralelo. E ao funcionar em paralelo, diz efetivamente: mesmo que uma empresa não possa ou não queira pagar para se juntar ao ISAC liderado por bancos, o governo federal ainda a tratará como parte da infraestrutura financeira crítica que os Estados Unidos precisam defender.

Essa é a mudança de paradigma na política. Na mesma semana, o Coindesk e o The Record observaram que essa iniciativa torna as empresas de cripto parceiras "integradas" para avisos de hackers compartilhados com empresas tradicionais — uma linguagem que teria sido impensável em qualquer comunicado do Tesouro dos EUA há cinco anos.

O que muda para os operadores

Para exchanges, custodiantes, bridges e protocolos DeFi dispostos a se candidatar, três coisas se tornam possíveis que não eram antes :

Ciclos de correção mais rápidos em CVEs exploradas. Uma equipe de protocolo que executa ferramentas padrão de nuvem e DevOps não precisa mais esperar por um comunicado de fornecedor ou um relatório público de CVE para saber que uma exploração está ativa. O pipeline do Tesouro tende a sinalizar uma exploração mais cedo do que a entrada pública no NVD.

Alertas de padrões de carteira da Coreia do Norte ( DPRK ). Esta é a mudança mais concreta. A história forense da Drift mostrou que o comportamento de preparação do Lazarus era visível nos dados da rede dias antes do dreno — mas nenhuma equipe sozinha tinha contexto para agir sobre isso. Um canal federal que agrega avistamentos de várias empresas e os envia para centros de operações dá ao DeFi o mesmo sinal de " seu par acabou de ver este endereço sondar o fluxo de custódia deles " que os bancos têm há muito tempo sobre originação de ACH suspeita.

Indicadores de risco interno e pipeline de contratação. O caso Drift tornou-se um exemplo prático de que a DPRK agora investe meses em engenharia social — empresas quantitativas falsas, contratações falsas, contrapartes falsas. O Tesouro dispõe de relatórios agregados de casos de fraude em contratações no setor financeiro que os operadores de cripto estão apenas começando a ver em escala.

O outro lado é que as relações de compartilhamento de inteligência funcionam nos dois sentidos. Para permanecer no canal, espera-se que as empresas reportem incidentes e IOCs de volta. Essa mudança cultural — de " nossa postura de segurança é proprietária " para " o que vemos, o governo federal e nossos pares também veem " — é a parte mais difícil.

A política : Infraestrutura crítica, não um cassino

Há um subtexto regulatório que vale a pena nomear diretamente. Na maior parte dos últimos cinco anos, a política de cripto dos EUA tem sido adversarial, com a SEC, CFTC e FinCEN, cada uma defendendo diferentes teorias sobre o que é cripto e como deve ser supervisionado. O movimento do OCCIP vem de um " músculo " diferente do governo federal — o músculo da cibernética e da infraestrutura crítica — e parte de uma premissa diferente.

Os bancos recebem suporte do OCCIP não porque o Tesouro aprova cada linha de seus balanços, mas porque, se suas defesas cibernéticas falharem, o sistema de pagamentos do país falha. O argumento implícito no anúncio de 10 de abril é que o mesmo agora é verdade para o cripto. Se os trilhos que transportam US$300 bilhões em fluxos de stablecoins, mais de US$ 19 bilhões em RWAs tokenizados e uma fatia crescente de liquidações transfronteiriças quebrarem sob um ataque cibernético, o sistema financeiro mais amplo sentirá o choque.

É também por isso que o anúncio importa mesmo para empresas que nunca se candidatam. Uma agência federal tratando formalmente as empresas de ativos digitais como infraestrutura crítica " coberta " muda a base política para cada luta futura. Futuros debates no Congresso sobre regulamentação de DeFi, licenciamento de stablecoins e pagamentos de agentes de IA agora acontecerão em um cenário onde o próprio braço de segurança cibernética do Tesouro já reconheceu que o cripto é parte do sistema que vale a pena defender.

Onde as lacunas permanecem

A iniciativa não é uma solução milagrosa. Três lacunas reais permanecem.

A elegibilidade é opaca. O Tesouro não publicou os critérios. Até que a lista de participantes seja pública — ou pelo menos os critérios sejam — protocolos DeFi menores e plataformas sediadas no exterior não têm um caminho claro de entrada.

É apenas para os EUA. O cripto é global ; as maiores CEXes que atendem usuários dos EUA nem sempre estão sediadas nos EUA. A coordenação internacional — com o NCSC do Reino Unido, os canais MAS-CSA de Singapura e a ENISA na Europa — não faz parte do escopo anunciado.

Não corrige a fragilidade no nível do protocolo. A inteligência de ameaças ajuda um SOC a capturar um invasor mais cedo ; ela não corrige uma bridge que confia em um formato de mensagem não verificado. Os incidentes da Drift e KelpDAO basearam-se em fraquezas ( assinatura de nonce durável, verificação de mensagens cross-chain ) que nenhum feed de e-mail corrigirá. O OCCIP eleva o patamar da defesa operacional ; ele não muda a matemática do design do protocolo.

Implicações para provedores de infraestrutura

Para a camada de empresas que estão entre os protocolos e os usuários finais — provedores de RPC, plataformas de carteira, custodiantes, indexadores, redes de oráculos — o programa do OCCIP reformula a conversa de compra. Clientes institucionais, especialmente a nova geração de emissores de stablecoins regulamentadas e gestores de RWAs tokenizados, estão prestes a começar a perguntar aos fornecedores de infraestrutura se eles participam do compartilhamento de informações de nível OCCIP. Essa pergunta se tornará um critério de aquisição.

O sinal mais amplo : a segurança cibernética está deixando de ser uma preocupação por protocolo para se tornar uma preocupação de infraestrutura em todo o setor. Os fornecedores que sobreviverem à onda de hacks de 2026 são aqueles que tratam a ingestão de inteligência de ameaças, o compartilhamento de IOCs e a resposta a incidentes alinhada ao governo federal como serviços essenciais, em vez de um teatro de segurança opcional.

BlockEden.xyz opera infraestrutura de RPC e indexador de nível de produção para desenvolvedores em Sui, Aptos, Ethereum e outras redes. Equipes que operam no cenário de ameaças alinhado ao OCCIP podem explorar nosso marketplace de APIs para infraestrutura construída para a era institucional.

A Perspectiva para 2026

As violações da Drift e da KelpDAO serão lembradas como o catalisador — mas a resposta do OCCIP é o que pode silenciosamente remodelar a próxima década. Ao estender o guarda-chuva cibernético federal às empresas de ativos digitais, o Tesouro fez duas coisas ao mesmo tempo: reconheceu que os ataques patrocinados por estados ao estilo da RPDC contra o DeFi são uma questão de segurança nacional e admitiu que as empresas de cripto não podem mais ser tratadas como se estivessem fora do perímetro defendido do sistema financeiro.

Esse é o tipo de mudança regulatória que não gera manchetes proporcionais à sua importância. No entanto, ela mudará a forma como cada alocador institucional, regulador e contraparte pensa sobre o risco operacional cripto. No momento em que a Lei CLARITY, as regulamentações de stablecoins da Lei GENIUS e as orientações de custódia banco-cripto do OCC se estabelecerem em uma arquitetura regulatória coerente em 2027, a expansão silenciosa do OCCIP em abril de 2026 pode vir a ser a base sob todas elas.

A torre de vigia acabou de ganhar um campo de visão mais amplo.

Fontes

• Treasury Launches Cybersecurity Information Sharing Initiative for the Digital Asset Industry — U.S. Department of the Treasury
• Treasury debuts effort to share cyber threat intel with crypto firms — Nextgov/FCW
• Treasury Department announces crypto industry cyber threat sharing initiative — The Record
• U.S. Treasury to loop in crypto sector on hacker warnings shared with traditional firms — CoinDesk
• Treasury to Give Crypto Firms Same Cybersecurity Intel as Banks — PYMNTS
• North Korea accounts for 76% of 2026 crypto hack losses — The Block
• The long con: How North Korean spies spent months in-person to drain $285 million from Drift — CoinDesk
• $285 Million Drift Hack Traced to Six-Month DPRK Social Engineering Operation — The Hacker News
• Drift Protocol Hack: How Privileged Access Led to a $285M Loss — Chainalysis
• North Korea Stole $292M from KelpDAO — DeFi Mounts Its Biggest Rescue — Spoted Crypto
• Known Exploited Vulnerabilities Catalog — CISA
• FS-ISAC official site