FixedFloat Shotgun KYC: Alternativas BTC para XMR

FixedFloat e o Shotgun KYC: Alternativas Reais de BTC para XMR

No fim de 2025, uma thread no Reddit intitulada "A FixedFloat está segurando meu 0,4 BTC como refém" ultrapassou 3.400 upvotes em 48 horas. O usuário tinha iniciado uma troca de Bitcoin para Monero a taxa fixa, viu os fundos confirmarem on-chain e, em seguida, recebeu uma única linha no status do pedido: "Verificação de compliance necessária — por favor envie documento de identidade e selfie." Sem aviso prévio, sem KYC no momento da entrada, sem cláusula clara nos termos de uso que pudesse ser apontada como gatilho. Apenas uma troca congelada e a exigência de documentos que contradizia toda a razão pela qual aquela pessoa usava um serviço sem KYC em primeiro lugar. A comunidade já tinha um nome para isso: shotgun KYC.

A FixedFloat não está sozinha. ChangeNOW, SimpleSwap e um punhado de agregadores menores foram acusados do mesmo padrão nos últimos 18 meses. Mas a FixedFloat — historicamente uma das rotas BTC para XMR mais populares entre brasileiros — virou o caso emblemático, em parte por causa do hack de 2024 que drenou cerca de US$ 26 milhões e em parte porque sua postura de compliance pós-recuperação parece ter endurecido drasticamente. Se você troca Bitcoin por Monero com alguma regularidade, precisa entender o que é o shotgun KYC, por que ele acontece e quais alternativas realmente se comportam como anunciam. Usuários do MoneroSwapper nos perguntam isso quase diariamente, então este guia traz o cenário honesto para 2026.

O Que "Shotgun KYC" Significa de Fato

Shotgun KYC é a prática de anunciar um serviço como sem KYC, aceitar o depósito do usuário e só então — depois que os fundos já entraram e estão efetivamente retidos — exigir verificação de identidade como condição para liberar a troca. O termo surgiu em fóruns focados em Monero por volta de 2023 e ganhou tração geral durante a onda de reclamações de 2024–2025. É funcionalmente distinto do KYC declarado de antemão (onde você conhece as regras antes de depositar) porque transforma o próprio depósito em arma de pressão.

A mecânica costuma seguir um destes três padrões:

• Gatilhos por risk-score: a corretora roda seu endereço de depósito por um provedor de análise de cadeia (Chainalysis, Elliptic, TRM Labs). Se seu BTC encostou em mixer, mercado da darknet ou endereço sancionado dentro de uma distância configurável de hops, a troca é sinalizada e segurada.
• Limiares de valor: alguns serviços impõem limites internos sem alarde — qualquer coisa acima de 0,05 BTC, 0,1 BTC ou outro alvo móvel cai em revisão manual. O limite nunca é publicado.
• Heurística pelo ativo de destino: trocas onde o ativo de saída é uma moeda de privacidade — Monero em particular — recebem escrutínio extra. Exatamente aquilo que o usuário queria preservar como privacidade vira o motivo de a troca ser pausada.

O detalhe cruel é que recusar a verificação nem sempre garante reembolso. Alguns serviços têm cláusulas de reembolso que também exigem KYC. Outros aplicam uma "taxa de reembolso" que pode passar de 20% do depósito. Usuários que se importam com privacidade ficam então diante da escolha entre entregar um scan do RG ou perder parte significativa dos fundos. Nenhum dos desfechos é o que eles contrataram.

Por Que a FixedFloat (e Outras) Foram Por Esse Caminho

A resposta honesta é uma mistura de pressão regulatória com aversão a risco pós-incidente. Três forças convergiram entre 2024 e 2026.

O hack da FixedFloat em 2024

Em fevereiro de 2024, atacantes exfiltraram cerca de 1.728 ETH e 409 BTC das carteiras quentes da FixedFloat — algo em torno de US$ 26 milhões na época. O serviço se recuperou, mas o incidente disparou aquele tipo de revisão interna de compliance que quase sempre termina em filtros de risco mais rígidos. Observadores do setor notaram um salto claro em trocas sinalizadas a partir do terceiro trimestre de 2024, com a tendência acelerando ao longo de 2025.

MiCA da UE e a Travel Rule do FATF

O regulamento Markets in Crypto-Assets entrou em pleno vigor na União Europeia em 30 de dezembro de 2024. Combinado com a expansão da Travel Rule do FATF para prestadores de serviço de ativos virtuais, qualquer corretora com usuários europeus, contas bancárias europeias ou infraestrutura hospedada na Europa enfrenta exposição legal direta por facilitar trocas que não podem ser rastreadas. Muitos serviços sem KYC reagiram adotando silenciosamente um KYC baseado em risco — que é exatamente o que o shotgun KYC é, com nome mais palatável.

Pressão do OFAC nos EUA — e reflexos no Brasil

As sanções do Tornado Cash em 2022, as denúncias de 2024 contra desenvolvedores da Samourai Wallet e a pressão contínua sobre serviços de mixing criaram um efeito de congelamento que se estende a serviços de swap. Mesmo operadores fora dos EUA, sem nexo americano, frequentemente adotam triagem no estilo OFAC porque seus processadores de pagamento, on-ramps fiat e provedores de liquidez em stablecoin exigem isso. No Brasil, o cenário regulatório próprio também adicionou pressão: a Instrução Normativa 1.888 da Receita Federal já obriga corretoras nacionais a reportar operações desde 2019, e a Lei 14.478/2022 (Marco Legal das Criptomoedas), com a regulamentação do Banco Central, ampliou as obrigações de prevenção à lavagem de dinheiro para VASPs que operam em território nacional ou atendem brasileiros.

Nada disso justifica a propaganda enganosa. Um serviço que filtra depósitos deveria informar isso antes de o usuário iniciar a transação, não depois. Mas entender o porquê ajuda a prever quais alternativas devem se comportar do mesmo jeito ao longo do próximo ano.

Alternativas BTC para XMR Que Não Aplicam Shotgun KYC

A boa notícia: existem opções reais. A má notícia: elas variam muito em liquidez, experiência de uso e estrutura de taxas. Aqui vai uma comparação honesta das categorias que vale a pena considerar em 2026.

A categoria de agregadores — incluindo o MoneroSwapper — é a escolha pragmática para quem quer uma experiência via formulário web sem criar conta. As categorias de atomic swap e exchange descentralizada são a escolha mais principista para quem se recusa a passar por qualquer intermediário custodial. Ambas têm seu lugar. O meio-termo perigoso é a categoria do "sem KYC, exceto quando a gente decidir o contrário", e é justamente onde a FixedFloat e seus pares hoje se encontram.

O que verificar antes de confiar em qualquer agregador

Texto de marketing é barato. Antes de rotear uma troca real por qualquer provedor, confira o seguinte:

• Detalhes da política de reembolso: o serviço oferece uma rota de reembolso sem KYC? A qual taxa? Em qual prazo? Linguagem vaga ("reembolsos a nosso critério") é bandeira vermelha.
• Histórico público de incidentes: pesquise no Reddit, no fórum da comunidade Monero e em sites de reputação como Reclame Aqui e Trustpilot pelo nome do serviço junto com "congelou" ou "KYC". Cruze as queixas com o período que te interessa.
• Transparência sobre limites: os limites de depósito são publicados antes da troca, ou só inferidos depois da sinalização? Serviços honestos publicam números.
• Disponibilidade em Tor / I2P: serviços que mantêm um espelho .onion funcional costumam estar mais alinhados com os interesses de quem prioriza privacidade.
• Política de logs: leia a política de privacidade. Busque por "retenção" e "logs". "Não armazenamos endereços IP" só faz sentido se o serviço de fato opera a infraestrutura onde isso é tecnicamente verdade.

Passo a Passo: Uma Troca BTC para XMR Mais Segura em 2026

Use MoneroSwapper, atomic swap ou DEX, a higiene operacional ao redor da troca importa tanto quanto a escolha do local. Aqui vai um fluxo que minimiza risco de shotgun KYC e protege sua privacidade depois.

1. Faça o "pré-voo" do seu BTC. Se seu Bitcoin veio de saque de exchange com KYC nos últimos meses, espere sinalizações de risk-score em todo canto. Considere consolidar em uma carteira de auto-custódia antes e esperar algumas confirmações. Não tente lavar fundos sobre os quais você não tem título legal — este guia é para quem é dono do próprio BTC e quer privacidade, não anonimato contra a autoridade.
2. Gere um endereço Monero novo para receber. Use um subaddress na sua carteira Monero — não o endereço primário. Subaddresses são desvinculáveis on-chain e evitam que reuso de endereço vaze metadados.
3. Prefira taxa flutuante à fixa quando der. Trocas a taxa fixa cotam um valor garantido, mas o provedor cobre esse risco com um spread mais largo e com o direito de reembolsar (em geral com KYC) se a cotação se mover demais. Taxas flutuantes aceitam o preço de mercado na execução, costumam sair mais baratas e tendem menos a disparar revisão.
4. Use um caminho de rede que respeite privacidade. Acesse a interface da troca via Tor ou uma VPN confiável. Alguns provedores servem conteúdo diferente entre clearnet e .onion — geralmente o caminho .onion tem menos trackers e um formulário mais simples.
5. Envie de uma carteira que você controla. Nunca troque diretamente a partir de uma corretora custodial. Saque para sua própria carteira antes, e mande de lá. Isso evita que o provedor da troca ligue o depósito de entrada a um endereço de exchange com KYC.
6. Verifique as confirmações antes de presumir sucesso. A maioria das trocas BTC para XMR exige 1–3 confirmações em BTC antes de iniciar o envio em XMR. Acompanhe o status. Se a troca travar passada a janela documentada, abra pedido de reembolso imediatamente em vez de esperar.
7. Gaste ou varra os fundos com intenção. Quando o Monero chegar, trate-o como Monero — não como BTC etiquetado on-chain disfarçado. As propriedades de privacidade de RingCT, stealth address e Bulletproofs protegem o recebimento, mas só se você não vincular o endereço a algo externo.

Se um provedor pede KYC depois que você já depositou, isso não é uma exigência de compliance — é alavancagem. Os provedores honestos te contam as regras antes de você fundear a ordem, toda vez, sem exceção.

Um Estudo de Caso Concreto: 0,15 BTC, Três Provedores, Três Desfechos

Em março de 2026, uma pesquisadora de privacidade publicou um experimento sob o handle "xmr-tested" no subreddit do Monero. Ela dividiu 0,45 BTC em três tranches iguais de 0,15 BTC e passou cada uma por um provedor diferente anunciado como sem KYC, no mesmo dia, a partir do mesmo circuito Tor, mandando para subaddresses Monero novos. Os resultados ilustram o cenário melhor do que qualquer texto de marketing.

Provedor A (FixedFloat direto): ordem iniciada, BTC depositado, 2 confirmações alcançadas. No minuto 47, o status mudou para "Verificação requerida" com pedido de documento, selfie e comprovante de origem dos fundos. A pesquisadora recusou. A oferta de reembolso vinha com taxa de 12% e também exigia KYC. Ela abandonou os fundos em vez de enviar documentos — uma lição de aproximadamente R$ 47 mil ao câmbio e à cotação do BTC vigentes.

Provedor B (um agregador europeu popular): ordem iniciada, BTC depositado, 1 confirmação alcançada. XMR entregue ao subaddress de destino em 18 minutos. Sem pedido de verificação. A taxa efetiva, incluindo spread, ficou em aproximadamente 1,4%.

Provedor C (MoneroSwapper): ordem iniciada pela interface do agregador, que roteou para um backend sem KYC depois de filtrar pelas preferências de risco da pesquisadora. BTC depositado, 1 confirmação alcançada. XMR entregue em 22 minutos. Sem pedido de verificação. A taxa efetiva ficou em aproximadamente 1,6%, incluindo a margem de roteamento transparente do agregador.

O recado não é que o Provedor A seja singularmente ruim — é que o rótulo de marketing "sem KYC" carrega pesos diferentes em provedores diferentes. O experimento teve amostra de um por provedor, então não trate como comparação estatística. Mas ele bate com o padrão das queixas públicas e bate com o que nossos próprios usuários relatam.

Privacidade Além da Troca: Não Desfaça o Trabalho

Levar seu BTC para Monero sem KYC é só o primeiro passo. Vários erros comuns conseguem desfazer o ganho de privacidade na ponta de trás.

• Trocar de volta para uma cadeia transparente cedo demais. Se você faz BTC → XMR → USDT em menos de uma hora, análise de timing on-chain consegue correlacionar os valores. Espere ao menos 24 horas, idealmente mais, e considere variar o montante.
• Reusar o mesmo endereço Monero. Reuso de endereço não é tão catastrófico em Monero quanto em Bitcoin, mas ainda assim vaza metadados. Use um subaddress novo a cada entrada.
• Conectar sua carteira Monero a um node remoto sem Tor. O operador de um node remoto enxerga o IP de toda conexão de carteira. Rode seu próprio node, ou conecte por Tor/I2P, ou use um node público confiável atrás de uma camada de roteamento em cebola.
• Vazar metadados via comprovantes. Se você troca XMR de volta para BTC em um serviço que te manda recibo por e-mail num endereço com KYC, acabou de fazer a ponte entre as duas identidades.

O protocolo do Monero — mistura por assinaturas em anel, ocultação de valores por RingCT, destinatários por stealth address, propagação de transações por Dandelion++ e os próximos upgrades Seraphis e Jamtis — é um dos stacks de privacidade mais fortes em produção hoje. Use com intenção. O protocolo não te salva de erros operacionais nas bordas.

FAQ

Shotgun KYC é legal?

De modo geral, é legal no sentido de que as exchanges podem alterar termos ou aplicar verificação baseada em risco sob a maior parte dos marcos de prevenção à lavagem de dinheiro. Se isso atende às leis de defesa do consumidor é outra conversa — vários reguladores nacionais europeus sinalizaram em 2025 que anunciar "sem KYC" e depois exigir documento após o depósito pode configurar prática comercial enganosa. No Brasil, o Código de Defesa do Consumidor e a Lei 14.478/2022 dão margem para argumentos semelhantes em situações de propaganda enganosa, mas ainda não se viu uma ação relevante. O Procon e a Senacon estariam entre os caminhos administrativos plausíveis para quem se sentir lesado. Nenhuma ação executiva atingiu um grande provedor ainda, mas o terreno legal está se mexendo.

A FixedFloat realmente consegue ficar com meus fundos se eu recusar a verificação?

Na prática, sim — ao menos temporariamente. Os termos de uso deles concedem o direito de reter fundos durante revisão de compliance e de cobrar taxas de reembolso. Recuperação por via cível é teoricamente possível, mas raramente vale a pena para valores abaixo de US$ 50 mil, especialmente contra entidade sediada em jurisdição que dificulta a citação. As opções realistas são cumprir (perdendo privacidade), pagar a taxa de reembolso (perdendo dinheiro) ou ir embora (perdendo tudo). É exatamente por isso que due diligence antes do depósito importa.

Atomic swaps são mesmo práticos para usuários não técnicos?

São mais práticos do que eram dois anos atrás, mas ainda exigem bem mais setup do que um formulário web. Os clientes COMIT e Farcaster de atomic swap pedem que você rode um processo local, abra portas e espere por um protocolo de 30–90 minutos. Para quem troca semanalmente e valoriza ausência de confiança em terceiros acima da conveniência, a curva de aprendizado compensa. Para quem troca de vez em quando, um agregador como o MoneroSwapper, que filtra seus backends, costuma ser o trade-off correto.

Quais valores de depósito têm mais chance de disparar o shotgun KYC?

Os limiares não divulgados que mais ouvimos se agrupam em 0,05 BTC, 0,1 BTC e 0,5 BTC. Não são números oficiais — os provedores não publicam — e mudam com o tempo. Valores menores não estão imunes, especialmente se o endereço de depósito tem qualquer mancha de análise de cadeia. Valores maiores quase sempre acionam revisão em provedores sensíveis a risco.

Usar Tor reduz a chance de sinalização?

Não afeta diretamente a análise de cadeia, já que a sinalização é baseada no histórico on-chain do seu endereço de depósito e não no seu IP de navegação. Mas evita que o provedor cruze seu IP com visitas passadas, o que protege contra outro vetor de correlação. Tor não é escudo mágico contra o shotgun KYC, mas é uma camada de uma defesa sensata.

O que acontece com minha privacidade se eu enviar os documentos do KYC?

Assim que você envia, o provedor passa a ter um registro permanente ligando seu documento ao endereço Monero específico para o qual você estava trocando. Esse registro fica sujeito a intimação, vazamento por hack ou compartilhamento regulatório futuro. Mesmo que a troca complete com sucesso, você efetivamente desanonimizou aquele destino XMR. Muitos usuários nessa situação varrem imediatamente os fundos para uma carteira nova e tratam o endereço original como queimado.

Conclusão

Shotgun KYC não é um bug do mercado de swaps sem KYC — é uma resposta deliberada à pressão regulatória e pós-incidente que alguns provedores escolheram adotar e outros rejeitaram. A FixedFloat é o exemplo mais visível por causa da escala e do hack de 2024, mas o padrão se espalha pela indústria. A forma de se proteger não é apostar que sua troca específica vai escapar de sinalização. É escolher provedores cujo modelo de negócio e histórico de incidentes se alinham com a privacidade que eles anunciam, e aplicar a higiene operacional que mantém o resto do seu stack de privacidade intacto.

O MoneroSwapper existe porque a distância entre o "sem KYC" anunciado e o "sem KYC" praticado ficou larga o suficiente para valer a pena ser ocupada. Rotear por backends auditados, mostrar taxas de forma transparente antes de você comprometer fundos e dispensar criação de conta. Se você já levou um susto de shotgun KYC e quer trocar Bitcoin por Monero sem propaganda enganosa, nossa página de compra anônima de Monero é o lugar para começar. E se quiser ir além — atomic swaps, Haveno ou rodar seu próprio node — esses caminhos são cobertos no restante da nossa biblioteca de guias.