Como funciona
O RoboSats é uma exchange peer-to-peer sobre Lightning Network, acessível via Tor (e I2P) em um endereço .onion estável desde 2022. Não há cadastro. A primeira coisa que o cliente faz é gerar um avatar-robô de uso único — uma identidade determinística construída a partir de um token aleatório — que se torna o pseudônimo do usuário para uma única operação. O casamento de ordens, o chat e a resolução de disputas rodam em coordenadores federados. Cada coordenador publica seu próprio livro de ofertas; o app cliente unificado costura tudo num só. Os coordenadores nunca custodiam bitcoin numa carteira própria. Eles seguram hold invoices da Lightning: o maker trava uma caução, o taker trava uma caução e o valor da operação, a perna fiat é liquidada direto entre os pares (PIX, SEPA, Revolut, dinheiro em mão, gift cards, dezenas de métodos), e o coordenador libera ou estorna as hold invoices quando ambos confirmam. Se um par tenta trapacear, perde a caução.
KYC e privacidade
Não há KYC em ponto algum do funil. Sem e-mail, sem telefone, sem nome de usuário. Os termos dizem que KYC nunca será solicitado. O cliente padrão é o build .onion, então o coordenador nunca vê o IP. O avatar-robô é gerado de novo a cada operação; trades anteriores não ficam vinculáveis aos próximos sem que o usuário reutilize o token de propósito. A história da privacidade tem dois ressalvas reais. Primeiro, a perna fiat vaza: uma transferência Revolut, SEPA ou bancária identifica aqui tanto quanto no Bisq ou no Hodl Hodl, e relatos de contas Revolut congeladas após uma sequência de vendas no RoboSats em 24 horas não são raros. Segundo, um coordenador malicioso poderia logar metadados do chat — e por isso a federação importa: o cliente permite escolher outro.
Pontos fortes e limites
O projeto é incomum de tão limpo para uma exchange open source de quatro anos. O código está sob AGPL-3.0, o desenvolvimento é tocado pelo pseudônimo Reckless_Satoshi, e o modelo federado tirou o projeto de um único backend para vários operadores independentes, com um sistema de reputação amadurecendo e tetos progressivos de tamanho de ordem para coordenadores novos. As hold invoices da Lightning são uma primitiva de custódia útil: eliminam a carteira custodiada que historicamente foi o ponto de falha em qualquer outra exchange sem KYC. Os limites são honestos e estão documentados. O RoboSats nunca foi auditado por terceiros. A Lightning Network e o backend não são, nas palavras do próprio projeto, à prova de hack. Os fluxos de hold invoice podem travar se um par sair offline no meio da operação, e por isso a plataforma se posiciona para volumes pequenos — posições grandes seguem sendo território de Bisq ou Haveno, ambos com multisig on-chain. A disponibilidade dos coordenadores é desigual; alguns vieram e foram desde a federação começar. Não há build oficial na App Store do iOS; o cliente Android é só por sideload.
Veredito
O RoboSats tem a postura de privacidade mais limpa de qualquer exchange Lightning em produção em 2026, e o modelo federado distribui agora o risco que antes ficava num único backend. O projeto ainda não está no patamar auditado e de uma década do Bisq, e a última versão continua marcada como alpha. O ajuste é claro: swaps Lightning de tamanho pequeno a médio em que a prioridade é privacidade, não volume. Nota: A- (8,8/10). Confiança: TRUSTED.
O RoboSats tem a postura de privacidade mais limpa de qualquer exchange Lightning em produção em 2026, e o modelo federado distribui agora o risco que antes ficava num único backend. O projeto ainda não está no patamar auditado e de uma década do Bisq, e a última versão continua marcada como alpha. Nota: A- (8,8/10). Confiança: TRUSTED.
