Em 8 de janeiro de 2026, a Chainalysis publicou a 11ª edição do Crypto Crime Report — o documento anual mais denso da indústria sobre fluxos ilícitos em criptomoedas. O headline number foi recebido pelo mercado com a mistura de gravidade e desconforto que o setor já reconhece: endereços ilícitos receberam pelo menos US$ 154 bilhões em 2025, alta de 162% em relação ao ano anterior. Sancionados sozinhos absorveram US$ 104 bilhões — um aumento de 694% em doze meses. O crime cripto industrializou-se.
Mas o número que importa para o leitor brasileiro não está no resumo executivo. Está enterrado no capítulo de Human Trafficking, na sexta página, em uma lista de cinco países: "significant cryptocurrency flows originating from Brazil, the United States, the United Kingdom, Spain, and Australia". O Brasil aparece no relatório Chainalysis 2026. Aparece no capítulo errado. E ninguém — governo, regulador, indústria, imprensa generalista — está olhando para isso.
O retrato global do crime cripto em 2025
Os agregados do relatório fixam quatro grandes blocos. Scams: US$ 17 bilhões em 2025, contra US$ 12 bilhões em 2024 — alta de 42%, com pagamento médio por vítima saltando 253% para US$ 2.764. Sanções: US$ 104 bilhões para entidades sancionadas, alta de 694%, capturando o ano em que estados-nação efetivamente embedaram cripto na infraestrutura estratégica. Ransomware: US$ 820 milhões pagos, queda de 8% no agregado, mas mediana de pagamento subindo 368% para US$ 59.556 — combinação que o relatório classifica como "fragmentação industrial". Tráfico humano: centenas de milhões em fluxos identificados, alta de 85% ano sobre ano.
A leitura macro é clara: o crime cripto não está crescendo só em volume; está se especializando. Atores menores ganharam ferramentas profissionais (AI multiplica receita em 4,5x, segundo o próprio relatório), atores estatais entraram em escala industrial, e o ransomware deixou de ser dominado por meia dúzia de grupos para se fragmentar entre 85 operações ativas. É a crônica do amadurecimento do crime no rail cripto — um amadurecimento que coincide, ironicamente, com o amadurecimento do mercado legítimo, conforme demonstramos na Era Stablecoin de US$ 321 Bilhões.
A nova fronteira: estados-nação plugaram-se no rail
O salto de 694% em valores recebidos por entidades sancionadas é o dado mais desconfortável do relatório. Três operações de bandeira estatal explicam quase todo o número.
Irã (US$ 7,78 bilhões em 2025). A Guarda Revolucionária Iraniana (IRGC) dominou o ecossistema cripto local, respondendo por mais de 50% do valor recebido até o quarto trimestre. O relatório documenta transferências de "mais de US$ 3 bilhões para apoiar redes de milícias regionais, facilitar vendas de petróleo e adquirir equipamento de uso dual". O dado mais grave: documentos vazados confirmam o envolvimento direto do Banco Central do Irã na compra de stablecoins via brokers. Quando publicamos a leitura sobre o pedágio cripto do Irã no Estreito de Ormuz, a tese era que cripto havia virado infraestrutura geopolítica. O relatório de 2026 confirma a hipótese com números do balanço estatal.
Rússia (token A7A5). O stablecoin lastreado em rublo movimentou US$ 93,3 bilhões em menos de um ano, funcionando como camada de settlement para entidades sancionadas. O padrão de trading é particularmente revelador — concentração em dias úteis, ausência de comportamento de retail — sugerindo uso como instrumento de pagamento corporativo, não como ativo especulativo. O relatório documenta um "Instant Swapper" que converte rublos sancionados em stablecoins mainstream, fechando o ciclo de evasão.
Coreia do Norte (mais de US$ 2 bilhões roubados em 2025). O ano mais lucrativo da história do programa hacker norte-coreano. Apenas o ataque à Bybit, em fevereiro de 2025, somou US$ 1,5 bilhão — o maior roubo digital documentado até o momento. Os dados convergem com tudo o que ON3X vinha cobrindo: o Abril Negro do DeFi com US$ 606 milhões, o malware Mach-O Man do Lazarus em macOS contra executivos, o caso Drift Protocol com US$ 285 milhões. A Coreia do Norte deixou de ser ameaça lateral e virou player consolidado.
Scams, AI e o caso Prince Group
Os US$ 17 bilhões em scams de 2025 vieram de uma combinação de pig butchering, programas de investimento de alto rendimento (HYIP), impersonação (com crescimento de 1.400% ano sobre ano) e fraudes de romance progressivamente automatizadas por inteligência artificial. O dado mais revelador: scams com conexão a fornecedores de AI extraem em média US$ 3,2 milhões por operação contra US$ 719 mil sem AI — diferença de 4,5x. A AI também permite operar 9x mais transações simultâneas. É escala industrial automatizada.
O caso Prince Group concentra a leitura. Operação cambojana que rodava compounds de trabalho forçado no Camboja e Mianmar, foi alvo de forfeiture de US$ 15 bilhões pelos EUA e designação de 146 alvos pela OFAC em outubro de 2025. Em paralelo, o Reino Unido recuperou 61.000 BTC (cerca de £5 bilhões) de Yadi Zhang, em uma das maiores apreensões de bens em criptomoeda da história. O Smishing Triad (rede chinesa de phishing por SMS) atingiu mais de um milhão de vítimas via golpes de E-ZPass. Lighthouse, plataforma de phishing-as-a-service, gerou US$ 1,5 milhão em depósitos cripto.
O salto de 1.400% em impersonação merece nota. Significa que golpistas estão usando ferramentas de clonagem de voz e identidade visual para se passar por agências governamentais e empresas privadas em escala impossível há dois anos. O playbook está disponível em darknet por menos de US$ 200.
Ransomware fragmentou em 85 grupos
O total de pagamentos em 2025 caiu 8% para US$ 820 milhões — primeira queda em três anos. Mas o número agregado mascara a verdadeira mudança. A mediana de pagamento por incidente saltou 368%, para US$ 59.556. Ataques reclamados aumentaram 50%. A taxa de vítimas que efetivamente pagaram caiu para 28%, recorde histórico baixo. O modelo "RaaS centralizado" cedeu lugar à fragmentação: análises convergem em torno de 85 grupos ativos, contra um punhado dominante há dois anos.
É a confirmação do que a ON3X já havia adiantado em fevereiro com base em dados parciais da própria Chainalysis. A descentralização do crime tem efeito colateral: pequenos grupos pedem resgates menores, mas atacam mais alvos. Para empresas com infraestrutura precária, o cálculo de risco mudou — não há mais um único cartel a negociar; há dezenas, e cada um pratica preço próprio.
Onde o Brasil aparece (e por que preocupa)
O capítulo de Human Trafficking é o ponto da matéria. O relatório identifica o Sudeste Asiático — Camboja, Mianmar, Laos — como hub primário das redes que combinam trabalho forçado, exploração sexual e tráfico para alimentar operações de pig butchering em escala. As redes operam via Telegram, integradas a serviços de garantia financeira (Tudou, Xinbi) e organizações criminais como o Fully Light Group. Stablecoins dominam por estabilidade e facilidade de conversão. Aproximadamente metade das transações classificadas como "international escort" excede US$ 10.000.
O dado que importa é o de origem geográfica dos fluxos. O relatório lista, nominalmente, cinco países: Estados Unidos, Reino Unido, Brasil, Espanha e Austrália. Significa que residentes brasileiros — pessoas físicas, em volume estatisticamente significativo — estão enviando cripto para infraestruturas que financiam operações de tráfico humano no Sudeste Asiático. Não é volumetria marginal. É volumetria suficiente para a Chainalysis nomear o país, ao lado de economias três a dez vezes maiores.
O Reino Unido reagiu sancionando o Xinbi em março — uma das plataformas-garantidoras citadas no relatório. Brasil não tem ação correlata. Brasil também não tem mapeamento público nacional do fluxo de saída. A VECERT mapeou 29,8 TB de dados brasileiros vazados em apenas 90 dias e identificou 32 atores de ameaça ativos, mas o foco do mapeamento doméstico é exfiltração — o que sai daqui em forma de dado roubado. O fluxo financeiro de saída para infraestruturas criminosas internacionais não tem mapeamento público equivalente.
Em outras palavras: o Brasil está sendo categorizado como infraestrutura de financiamento por uma empresa americana, em um relatório lido por reguladores globais, e o regulador brasileiro não tem instrumento próprio para confirmar, contestar ou agir sobre o dado. Vivemos a ironia de descobrir nossa exposição ao crime internacional via empresa estrangeira parceira — Chainalysis, parceira editorial da ON3X, é também a fonte que nos coloca na lista. A leitura crítica é necessária e independe da relação comercial.
Stablecoin no centro do mapa de crime
O relatório Chainalysis 2026 insiste em um número que ON3X vem destacando há semanas: stablecoins dominam o volume ilícito. O instrumento que viabilizou casos de uso legítimos — pagamentos transfronteiriços, settlement institucional, hedge contra moedas voláteis — é o mesmo que viabilizou A7A5 da Rússia, IRGC do Irã e infraestrutura de tráfico humano no Sudeste Asiático. A escolha é de design: estabilidade, transferibilidade, baixa fricção. As mesmas três propriedades que servem ao comércio legítimo servem ao ilícito.
O compromisso Tillis-Alsobrooks no CLARITY Act tem efeito colateral positivo aqui. Quando a regulação americana força o modelo "buy and use" — recompensas atreladas a uso real, e não a saldo parado —, cada uso vira ponto de fricção rastreável. A externalidade é desconhecida pelos próprios senadores, mas operacionalmente significativa: regulação de yield em stablecoin reforça superfície de monitoramento de fluxo. Não resolve o problema do crime cripto, mas força que cada movimento deixe rastro mais explícito.
O gap brasileiro de threat intelligence
O relatório expõe um vácuo estrutural: a América Latina depende quase exclusivamente de fontes externas — Chainalysis, TRM Labs, Elliptic — para entender seus próprios fluxos ilícitos cripto. Não há equivalente brasileiro com mandato público, cadência anual e profundidade metodológica. VECERT, fonte primária acompanhada pela ON3X em cibersegurança, opera no setor privado e foca em incidentes domésticos. CVM, COAF e BCB operam dados sensíveis, mas sem publicação aberta com a granularidade do relatório Chainalysis. Polícia Federal investiga casos pontuais, mas sem mapa agregado público.
O resultado é assimetria informacional: reguladores brasileiros lendo sobre o Brasil em PDF americano. Promotores estaduais descobrindo que há fluxo de saída relevante para o Sudeste Asiático em palestra de evento internacional. Imprensa generalista cobrindo o headline e perdendo o capítulo seis. Argentina, México e Colômbia caminham para preencher esse gap em jurisdição própria. O Brasil ainda não.
A perspectiva ON3X
Três leituras para metabolizar o relatório Chainalysis 2026 com lente brasileira:
- O Brasil precisa construir capacidade própria de threat intelligence cripto — esperar que parceiros internacionais façam o mapa nacional é abdicação institucional. Chainalysis é parceira editorial da ON3X e a melhor fonte global do tipo, mas o trabalho de mapear fluxos brasileiros pertence a instituições brasileiras. CVM, COAF, BCB, Polícia Federal e Ministério Público têm os dados. Falta cadência pública anual com profundidade metodológica equivalente. Sem isso, continuamos dependendo de PDFs estrangeiros para nos entender. VECERT vem construindo essa camada no setor privado, mas o setor público brasileiro ainda não tem peça correspondente.
- A tese de "estado-nação plugado em cripto" deixou de ser hipótese — virou eixo geopolítico estabelecido. Irã, Rússia e Coreia do Norte operam em escala industrial. A7A5 movimentou US$ 93,3 bilhões em menos de um ano. IRGC dominou metade do mercado iraniano. DPRK fechou 2025 com US$ 2 bilhões em roubos. Os próximos cinco anos vão exigir compliance de origem tão sofisticada quanto a evasão é hoje — e isso significa que exchanges e instituições reguladas precisam tratar análise on-chain como camada operacional, não como auditoria pontual. Para o setor cripto brasileiro, isso é oportunidade de exportar serviço, se houver investimento agora.
- Stablecoin permanece no centro do mapa de crime cripto até que o "buy and use" se generalize globalmente. O modelo cambial brasileiro — Resolução 521, equiparação a câmbio — tem efeito colateral positivo aqui ao forçar rastreabilidade de cada operação internacional. Se CVM e RFB conseguirem transformar o dado coletado pelo arcabouço cambial em inteligência ativa, o Brasil pode transitar do capítulo Human Trafficking (origem de fluxo) para um capítulo de boas práticas no relatório de 2027. A janela está aberta — depende de execução.
Perguntas frequentes
Quanto crime cripto rolou em 2025 segundo a Chainalysis?
Endereços ilícitos receberam pelo menos US$ 154 bilhões — alta de 162% ano sobre ano. Os blocos principais foram: US$ 104 bilhões para entidades sancionadas (+694%), US$ 17 bilhões em scams, US$ 820 milhões em ransomware e centenas de milhões em fluxos para tráfico humano. O relatório foi publicado em 8 de janeiro de 2026.
O que explica o aumento de 694% em valores recebidos por sancionados?
Três operações estatais. Irã (US$ 7,78 bilhões, IRGC dominou metade do mercado, com Banco Central comprando stablecoins). Rússia (token A7A5 lastreado em rublo movimentou US$ 93,3 bilhões em menos de um ano). Coreia do Norte (mais de US$ 2 bilhões roubados, com o ataque à Bybit somando US$ 1,5 bilhão). Em conjunto, esses três atores representam quase todo o salto agregado.
O Brasil aparece no relatório?
Sim — no capítulo de Human Trafficking. O relatório lista Estados Unidos, Reino Unido, Brasil, Espanha e Austrália como países de origem significativos para fluxos de cripto destinados a redes de tráfico humano operando no Sudeste Asiático. O volume global cresceu 85% ano sobre ano. Não há ação regulatória pública brasileira correlata até o momento.
Quem são os principais atores estatais usando cripto para evasão de sanções?
Irã (via IRGC e Banco Central), Rússia (via stablecoin A7A5) e Coreia do Norte (via Lazarus Group e equivalentes). O relatório documenta US$ 104 bilhões agregados em fluxos para sancionados em 2025, com forte concentração nesses três atores. A enforcement americana tem migrado para abordagem "infrastructure-centric" — atacando hosting providers, exchanges e brokers OTC em vez de wallets individuais.
Como o setor cripto brasileiro pode reagir ao posicionamento do Brasil no relatório?
Construindo capacidade nacional de threat intelligence cripto — pública, com cadência anual e profundidade metodológica equivalente à Chainalysis. Hoje o setor privado (VECERT em cibersegurança) e o setor público (CVM, COAF, BCB, Polícia Federal) operam dados sensíveis sem publicação consolidada. A janela de oportunidade existe: exchanges brasileiras com compliance maduro podem exportar serviço regional, e o arcabouço cambial brasileiro (Resolução 521) já força rastreabilidade que pode virar inteligência ativa.