A ideia do cheque digital
Uma promessa offline do OffAir se parece mais com um cheque digital assinado do que com dinheiro final instantâneo. A promessa nasce localmente, depois é sincronizada, reivindicada e liquidada quando a conexão volta.
Voltar ao OffAir
Sistema de risco e policies
A camada de confiança do OffAir para promessas offline.
O OffAir permite criar promessas de pagamento offline com limites, mas não presume que todo dispositivo, carteira ou pessoa é confiável. Score, trust, blocklist, quarentena e policies funcionam juntos como um sistema imunológico da liquidação local.
risk decision
allow / warn / block
Confiança é construída, risco é limitado e a liquidação é verificada quando a conexão volta.
trust local
lineage de wallet
score de risco
blocklist on-chain
Analogia simples
Pense no fiado do bairro, não em um banco offline mágico.
No Brasil, imagine a mercearia do bairro, a barraca da feira ou a cantina que conhece os clientes. Quem paga certinho ganha mais flexibilidade. Quem é novo, some por muito tempo ou tem histórico estranho recebe limite menor, aviso ou bloqueio.
O que é score?
Uma nota prática de confiança de 0 a 100.
O score não é julgamento moral. É um sinal operacional de risco usado pelo app e pela policy do protocolo antes de aceitar uma promessa offline.
Alta confiança
80-100
Histórico limpo, promessas liquidadas, baixa exposição pendente e reconexão previsível.
Novo ou desconhecido
~50
Pode operar com limites menores porque o dispositivo ainda não acumulou evidência local suficiente.
Alto risco
0-30
Comportamento suspeito, inconsistente, bloqueado ou em quarentena pode impedir promessas offline.
O que o OffAir observa
O app olha comportamentos que importam quando não existe aprovação online em tempo real. Evidência boa aumenta confiança. Evidência pendente ou inconsistente reduz.
1Muito tempo offline
Aumenta incerteza porque o estado recente não foi verificado.
2Muitas promessas pendentes
Aumenta exposição antes da liquidação.
3Histórico local inconsistente
Pode indicar replay, adulteração ou journal quebrado.
4Pagamentos liquidados
A confiança melhora quando promessas reconciliam corretamente.
5Sessões limpas
Sincronização saudável e comportamento estável reduzem atrito.
6Claims rejeitadas
O risco sobe quando a liquidação falha ou a evidência é contestada.
allow / warn / block
Antes de um pagamento offline, o app faz uma pergunta.
Esse dispositivo e essa contraparte parecem seguros o suficiente para o valor offline solicitado?
Segue normal
Score, policy, valor, reserva e evidência local estão dentro do risco esperado.
Mostra alerta visível
O usuário só continua depois de entender por que a promessa está mais arriscada do que o normal.
Impede a operação
A promessa passou do limite, a wallet está bloqueada ou a evidência de risco está fraca demais.
Casos práticos no Brasil
A linguagem muda por cultura, mas a lógica de segurança é a mesma: manter o comércio local utilizável sem liberar abuso.
Cliente conhecido na feira
Uma pessoa compra há meses, sincroniza o app com frequência e nunca teve claim rejeitada. O OffAir pode permitir fluxo rápido e limite local maior.
Celular que sumiu por semanas
Um aparelho volta depois de muitos dias offline com várias promessas pendentes. O app reduz limite, mostra aviso ou recusa o modo offline.
Carteira roubada ou comportamento de golpe
Se a evidência aponta fraude, roubo de wallet ou dispositivo comprometido, o bloqueio local protege uma pessoa e o bloqueio on-chain protege o protocolo.
Trust local, blocklist e quarentena
O OffAir separa dúvida leve de risco sério de protocolo. Nem todo sinal suspeito precisa virar banimento global.
Trust local
Seu celular pode lembrar que você já negociou com alguém várias vezes sem problema. Essa reputação local ajuda mesmo antes de um servidor central estar disponível.
Dois níveis de blocklist
A blocklist local diz que o seu app não confia mais naquela wallet. A camada global do protocolo agora usa Merkle Root mais eventos históricos compactos em vez de guardar toda wallet em um array on-chain.
Quarentena
Quarentena é um estado de pausa. Se o backend perceber app alterado, exposição alta ou comportamento estranho, ele pode travar orçamento offline e limitar sincronização até o risco ser revisto.
Continuidade de identidade sem rastrear dados brutos do aparelho
O OffAir deixou de tratar wallet nova como reputação totalmente nova. O app deriva um Device Reputation Anchor privado a partir de sinais locais com salt, depois usa lineage de wallets, cooldowns e teto de confiança para dificultar abuso com carteiras descartáveis.
Device Reputation Anchor
O app mistura salt local da instalação, sinais de capacidade do dispositivo, epoch da policy e hashing forte. MAC, serial, Android ID e dados de identidade humana não são armazenados em formato bruto.
Lineage de wallets
Uma wallet nova no mesmo anchor herda piso de risco, teto de confiança, cooldown e exposição pendente. Criar uma nova carteira deixa de ser reset instantâneo de reputação.
Exposição adaptativa
Uma lineage boa pode recuperar confiança com o tempo e liquidações limpas. Lineage degradada, rooted, adulterada ou com muitos resets recebe limite fast offline menor ou cai para verified-only.
Blocklist Root + Historical Ledger
O modelo escalável de blocklist separa estado atual de memória histórica. A Solana guarda um compromisso compacto do estado ativo e páginas de eventos append-only; apps, backends e indexadores podem reconstruir o conjunto ativo a partir do histórico.
Estado por Merkle Root
A blocklist ativa canônica é representada por uma Merkle Root de 32 bytes, epoch, timestamp de atualização, contador de eventos, contador ativo, autoridade e contabilidade de taxa acumulada.
Ledger append-only
Eventos LISTED e DELISTED são escritos em páginas históricas compactas com wallet, ação, epoch, timestamp, hash do motivo, custo administrativo e obrigação pendente.
Prova e recuperação
O programa valida prova de membership Merkle e registra custos administrativos para que o delisting recupere obrigação, custo de entrada, custo de saída e a taxa de 10% do risk pool.
Tiers de confiança moldam o limite fast offline.
O OffAir mantém limites em SOL, não em dólar. Referências em reais ou dólares servem só como modelo mental para humanos. O protocolo armazena e aplica capacidade denominada em SOL.
new
~0,054 SOL
Promessas pequenas do dia a dia para um dispositivo com pouco histórico.
trusted
~0,215 SOL
Capacidade fast offline maior após sessões limpas e evidência de liquidação.
high_trust
~1,073 SOL
Capacidade ampliada para reputação local e de protocolo mais forte.
Exemplo de policy atual do MVP. Os valores podem mudar conforme o protocolo for calibrado.
Três camadas de proteção
O sistema de risco não é uma chave única. Ele combina contexto local, policy de backend e enforcement em blockchain.
App local
Reputação contextual, telas de alerta, blocklist local e checagem de valor offline.
Backend de policy
Análise de risco, orçamento offline, quarentena, revisão de sync e distribuição de regras.
Blockchain
Blocklist forte, replay protection, claim, settlement, burn e registros auditáveis.
O que o OffAir não promete
Limites claros deixam o produto mais seguro e mais fácil de entender.
Não diz que toda promessa offline é dinheiro final garantido.
Não elimina risco entre pessoas.
Não precisa de conta bancária para criar uma promessa local.
Não transforma um desconhecido arriscado em pagador confiável só porque a interface é bonita.
Contexto de mercado, sem copiar bancos
Sistemas de pagamento já educam usuários sobre fraude, contestação e cuidado com destinatário. O OffAir aplica essa lição às promessas cripto offline, deixando claro que não é Pix, banco, conta digital nem produto de valor armazenado.
Guia MED do Banco CentralO Pix mostra como redes maduras tratam fraude, contestação e devolução com procedimentos formais. Aqui isso entra apenas como analogia de comunicação de risco.Orientação da FTC sobre apps de pagamentoNos EUA, a comunicação pública reforça a importância de verificar quem recebe dinheiro e tratar transferências com cautela.
UX com risco visível é parte do produto.
O OffAir foi desenhado para manter pagamentos offline úteis para comunidades sem esconder que liquidação posterior envolve risco.