Uma stack bitcoind + LND em um Garrison a $11,90/mês, roteada por Tor por padrão, pronta para BTCPay. Hospedagem KYC-free para o roteamento de pagamentos KYC-free — a simetria importa.
Garrison a $11,90/mês roda bitcoind pruned + LND confortavelmente; Ravelin a $23,90/mês comporta a mainnet completa de ~700 GB em NVMe com folga para BTCPay.
Roteamento apenas-Tor por padrão — seu nó é um .onion, sem vazamento de IP para o grafo público da LN, sem pegada de port-scan. Clearnet+Tor permanece disponível para nós de roteamento.
Cadastro KYC-free + cobrança apenas em cripto + jurisdição nórdica sem obrigação de tratado KYC-AML para registrar ganhos de taxa de roteamento. Simétrico até o fim.
A propriedade-manchete do Bitcoin — "não confie, verifique" — se degrada a "não confie, pergunte ao provedor da carteira" no momento em que você usa uma carteira custodial ou light-client. Rodar seu próprio bitcoind significa que cada transação que você assina ou recebe é validada pela sua própria cópia das regras de consenso; cada UTXO que você gasta é um que seu nó conhece em primeira mão. Verificação é o que o protocolo foi projetado para tornar possível; autohospedagem é o que a torna real.
A Lightning reforça o argumento. A economia de um nó de roteamento, a disciplina de equilíbrio de canais, a estratégia de taxa on-chain no momento do force-close — nenhuma dessas é uma decisão que você quer delegar a um terceiro que guarda suas chaves. A especificação da Lightning foi escrita assumindo que o operador controla a máquina; rodar sob custódia de outro é um produto diferente (e pior).
Um VPS pequeno torna isso tratável. Um Garrison roda bitcoind pruned + LND com folga; um Ravelin comporta o histórico completo da mainnet em NVMe se seu caso de uso quiser. O BTCPay Server entra por cima para fluxos de comerciantes. Todo o pipeline — de receber sats a rotear HTLCs e emitir invoices — roda em uma (ou duas) máquinas que você administra.
A pergunta certa não é "autohospedar ou custodial" no abstrato — é "trato minhas chaves como minhas, ou como produto de outra pessoa?". Se a resposta é a primeira, o resto desta página é a receita.
Para um bitcoind pruned + LND sobre Tor — o setup canônico de nível de entrada, que dá conta de pagamentos pessoais, um pequeno conjunto de canais e uma postura privada de roteamento de pagamentos — o tier certo é o Garrison ($11,90/mês, 4 vCPU, 8 GB, 240 GB NVMe). bitcoind pruned ocupa cerca de 5 GB, LND adiciona 1–3 GB, e os 200+ GB restantes são seus para logs, backups de channel-state e o eventual re-IBD.
Para um bitcoind de arquivamento completo (~700 GB e crescendo) mais LND ou CLN mais BTCPay Server na mesma máquina, a escolha certa é o Ravelin ($23,90/mês, 8 vCPU, 16 GB, 480 GB NVMe). O NVMe é a parte que importa — as escritas de UTXO do Bitcoin Core são extremamente pesadas em IO aleatório durante a validação, e a diferença NVMe-vs-SATA aparece como horas vs dias no IBD e segundos vs minutos no catch-up de tip de bloco.
Para um nó de roteamento sério — abrindo dezenas de canais, otimizando receita de taxas, rodando uma estratégia de liquidez ativamente gerenciada — a folga de um tier Bulwark ou uma divisão em duas máquinas (bitcoind em um tier, LND + BTCPay em outro, ligados por WireGuard) é o próximo passo natural. Temos prazer em conduzir esse layout com você; abra um ticket quando chegar lá.
O que nenhum desses é: um serviço Lightning custodial para usuários finais. A NordBastion hospeda a máquina — as chaves, o channel state, a política de roteamento e a custódia dos fundos são inteiramente do domínio do operador.
Um esboço esquelético — a documentação do Bitcoin Core e o tutorial do LND continuam sendo as referências canônicas para ajuste fino. O fluxo abaixo é o caminho de menor fricção.
Pelo PPA bitcoin.org para Ubuntu ou pelo tarball upstream com assinatura GPG verificada. Não confie em pacotes aleatórios de distribuição nesse caso.
add-apt-repository \
ppa:bitcoin/bitcoin
apt update && apt install \
bitcoindModo pruned, ZMQ habilitado (o LND precisa dos feeds de bloco e tx), RPC restrito a localhost. Comece minimalista.
prune=550
zmqpubrawblock=tcp://127.0.0.1:28332
zmqpubrawtx=tcp://127.0.0.1:28333
rpcbind=127.0.0.1~24 horas em pruned em um Garrison, ~48 horas em arquivamento completo em um Ravelin. Acompanhe debug.log e bitcoin-cli getblockchaininfo para o progresso.
systemctl enable \
--now bitcoind
bitcoin-cli \
getblockchaininfoPelos binários de release da lightninglabs, com assinatura verificada. tor.active=true e escute exclusivamente no serviço .onion.
# /etc/lnd/lnd.conf
[tor]
tor.active=true
tor.v3=true
tor.streamisolation=truelncli create escreve a seed uma única vez — anote as 24 palavras em papel, sem exceções. Depois habilite imediatamente o envio do channel.backup para fora da máquina.
lncli create
# registre a seed de 24 palavras offline# envie channel.backup para fora da máquina via rclone a cada alteraçãoEscolha um hub bem conectado (marketplace LN+, Amboss, BoltzExchange) e abra com uma fee-rate apropriada às condições atuais da mempool. Acompanhe a confirmação.
lncli openchannel \
<NODE_PUBKEY> 1000000 \
--sat_per_vbyte 8Rotear pagamentos KYC-free a partir de uma host que fez KYC completo em você reintroduz o chokepoint que o Bitcoin foi projetado para remover — apenas uma camada abaixo. Cadastro KYC-free, cobrança apenas em cripto e sem cartão no cadastro significam que a cadeia de custódia de "quem opera este nó de roteamento" não pode ser intimada pelo departamento de cobrança da host. O protocolo é sem permissão; a host é ao menos amigável a sem permissão.
Suécia, Finlândia, Noruega e Islândia não impõem reporting KYC-AML a operadores de infraestrutura que por acaso hospedam nós Bitcoin — rodar um nó não é uma atividade financeira regulamentada em nenhum dos quatro. Não há equivalente a um filing MSB norte-americano para "eu encaminho HTLCs", nenhuma obrigação nossa como host de saber qual carteira ganhou qual taxa de roteamento. Os registros simplesmente não existem do nosso lado.
NVMe em todo tier — não como upsell — transforma o caminho de validação do Bitcoin Core, pesado em escritas de UTXO, em um não-evento, e mantém a ingestão de gossip do grafo de canais do LND rápida. O uplink ilimitado de 1 Gbps absorve o download do IBD e o gossip em regime estacionário sem cobrar extra. Duas specs que hosts costumam vender separadamente; aqui são padrão.
Autohospedar um nó Bitcoin + Lightning é a expressão operacional da propriedade "não confie, verifique" para a qual o protocolo foi projetado. Aproximadamente pelo preço de um único tier "premium" de carteira custodial você obtém infraestrutura de nó-validador + canal-de-roteamento cujas chaves vivem na sua máquina, cujas taxas de roteamento nunca tocam terceiros e cuja host não sabe a quem pertencem as carteiras.
A NordBastion tem opinião nas partes que importam para esse trabalho específico — cadastro KYC-free para que a cadeia de custódia pare no seu saldo pré-pago, jurisdição nórdica sem obrigação de reporting estilo MSB, NVMe em todo tier para que o IBD não leve uma semana — e deliberadamente comum no resto. bitcoind é bitcoind. LND é LND. Tor é o daemon upstream. A máquina é a máquina.
O caminho "pruned, depois cresce" é a postura inicial certa: deixe o nó rodando, abra o primeiro canal, faça o job rclone de envio do channel.backup para fora da máquina funcionar. As decisões de nó de roteamento sério podem vir depois, em um Bulwark ou em uma divisão em duas máquinas. O primeiro nó é um Garrison e uma noite.
As oito perguntas que operadores de nó realmente fazem antes do lncli openchannel. Disciplina de backup de canal é a pergunta quatro por uma razão.
Para um nó de roteamento de pagamentos e um frontend BTCPay, pruned=550 (~5 GB em disco) é perfeitamente suficiente — LND, CLN e BTCPay só precisam do conjunto UTXO e do histórico recente de blocos para validar e rotear. O modo pruned reduz o requisito de armazenamento de ~700 GB para um único dígito de GB, e a carga de IBD-e-acompanhar de "semanas" para "dias". Rode arquivamento completo apenas se você tem um caso de uso de pesquisa ou block explorer que precise de acesso histórico aos dados de bloco por altura; caso contrário, pruned vence em todos os eixos operacionais.
LND é o mais implantado (~70% do grafo público da Lightning), tem o maior ecossistema de ferramentas (Thunderhub, ride-the-lightning, Balance of Satoshis) e o polimento de integração BTCPay mais maduro. Core Lightning (CLN) é a base de código mais conservadora, tem a arquitetura de plugins mais limpa e é o que muitos operadores-de-operadores rodam por razões de negócio de roteamento. Eclair é a implementação em Scala, vista majoritariamente por trás da carteira da ACINQ. Para um primeiro nó, LND em um Garrison é o caminho de menor fricção; CLN é a escolha certa se você quer espremer desempenho de roteamento e se importa com extensibilidade por plugins.
Apenas Tor (tor.active=true, sem listener em clearnet) é o padrão privacy-maximalista — seu nó é alcançável só como .onion, sem vazamento de IP, sem pegada de port-scan. Clearnet + Tor (listener duplo) entrega melhor descoberta de canais e menor latência de roteamento ao custo de expor o IP do seu nó ao grafo público. A maioria dos operadores começa apenas com Tor porque o custo operacional de abrir uma porta em clearnet não é trivial (firewall, porta 9735, identificação cuidadosa de logs relacionados à LN) e migra para duplo quando passa a se importar de fato com otimização de taxa de roteamento.
Use Static Channel Backups (SCB) — o LND grava channel.backup sempre que um canal abre ou fecha, e esse arquivo é suficiente para recuperar fundos on-chain (force-close do lado da contraparte) mas não para retomar os canais. Envie channel.backup para fora da máquina a cada alteração (rclone para um Backblaze cifrado, ou um script minúsculo que faz upload para um VPS separado). A única regra que custa satoshis às pessoas: nunca restaure um channel.db antigo. Restaurar um estado defasado dispara a transação de justiça da contraparte e você perde os fundos do canal. SCB é o caminho seguro.
A carteira de um nó de roteamento Lightning é necessariamente hot por definição — as chaves precisam assinar commitments de HTLC em tempo real. A disciplina é dimensionamento: mantenha apenas o necessário para os balances dos canais que você opera, trate a carteira do nó de roteamento como caixa (não poupança) e mova o excedente on-chain para cold storage com cadência regular. Para um operador de pequena escala, $500–$2.000 na hot wallet é típico; para um nó de roteamento sério, o saldo hot reflete a capacidade de canal que você comprometeu.
Um nó pruned em um Garrison com 4 vCPU / 8 GB / 240 GB NVMe conclui o IBD em ~24 horas sobre uplink de 1 Gbps — a maior parte desse tempo é validação de assinatura, limitada pela CPU. Um nó de arquivamento completo em um Ravelin (8 vCPU / 16 GB / 480 GB NVMe) conclui em ~48 horas. O NVMe importa: discos rotativos transformam o IBD em uma operação de vários dias porque as escritas de UTXO do Bitcoin Core são extremamente pesadas em IO aleatório. A NordBastion é NVMe em todo tier.
A stack docker-compose do BTCPay Server espera bitcoind + uma implementação LN + nbxplorer + a camada web do BTCPay. Em um Ravelin você consegue hospedar a stack inteira em uma máquina para um pequeno comerciante (alguns milhares de transações por ano); em um Garrison o aperto é real assim que os índices do nbxplorer começam a girar, então recomendamos dividir o BTCPay em um segundo tier — Garrison para o nó, Sentinel para o BTCPay fazendo reverse-proxy sobre WireGuard de volta ao nó. Ambos os fluxos são KYC-free de ponta a ponta.
A proposta de valor do Bitcoin é liquidação sem permissão. No momento em que sua infraestrutura de roteamento roda em uma host que conhece-o-cliente, fez-AML, guarda-cartão-em-arquivo, você reintroduziu um chokepoint — não na camada do protocolo, na camada de infraestrutura. Hospedagem KYC-free para infraestrutura de pagamento KYC-free não é absolutismo; é remover o lugar onde a cadeia de custódia para "quem opera este nó de roteamento" pode ser intimada. O protocolo é sem permissão; a host deveria ser ao menos amigável a sem permissão.
Doe banda nórdica à rede Tor — o vizinho natural de um nó Lightning roteado por Tor na conta do mesmo operador.
Saída VPN com velocidade de kernel em um Sentinel — para fazer ssh no seu nó e no seu frontend BTCPay pelo seu próprio túnel.
Synapse com criptografia de ponta a ponta — para o operador que roda sua própria stack de soberania, mensagens e dinheiro lado a lado.