Um investidor de criptomoedas perdeu supostamente 783 Bitcoin, avaliados em mais de $91 milhões, em um dos maiores golpes de engenharia social da história recente. O incidente de 19 de agosto, descoberto pelo investigador on-chain ZachXBT, destaca as persistentes vulnerabilidades humanas na segurança das criptomoedas - mesmo entre usuários experientes.
Enquanto a maioria dos destaques das criptomoedas foca em explorações de contratos inteligentes e violações de troca, este último ataque é um exemplo clássico de como golpistas contornam sistemas complexos manipulando a confiança.
Neste caso, o atacante supostamente se fez passar por suporte ao cliente de uma exchange de criptomoedas e de um provedor de carteira de hardware, convencendo a vítima a entregar informações sensíveis sob o pretexto de assistência técnica.
A magnitude do ataque - um dos maiores ataques de roubo de criptomoedas conhecido até agora - serve como um lembrete de que o elo mais fraco na cadeia de segurança frequentemente não é o código, mas o comportamento humano.
Roubo de $91 Milhões: O Que Sabemos Até Agora
O incidente veio à tona quando o detetive blockchain pseudônimo ZachXBT relatou a movimentação repentina de uma grande quantidade de BTC. De acordo com dados on-chain e um tweet de ZachXBT em 21 de agosto, os 783 BTC roubados foram transferidos logo após a violação, com muitos dos fundos canalizados para o Wasabi Wallet, um serviço de mixagem de Bitcoin conhecido por seus recursos de privacidade.
“Uma vítima recentemente perdeu 783 BTC (~$91M) em um golpe de engenharia social. Os fundos foram movimentados esta semana via Wasabi,” escreveu ZachXBT no X (anteriormente Twitter).
Embora a identidade da vítima não tenha sido divulgada, o tamanho do roubo sugere que o alvo era provavelmente um indivíduo de alto patrimônio líquido ou investidor institucional. A abordagem do atacante - se passando por um representante de câmbio e um técnico de carteira de hardware - parece cuidadosamente elaborada para explorar a confiança e a confusão.
O golpe supostamente envolvia táticas de personificação e phishing em várias camadas, onde o atacante iniciava o contato e gradualmente convencia a vítima a divulgar credenciais críticas, possivelmente incluindo chaves privadas ou frases seed.
O Que é Engenharia Social - E Por Que é tão Perigosa?
Ataques de engenharia social não dependem de invadir sistemas, mas de manipular as pessoas para que entreguem o acesso por conta própria. No mundo das criptomoedas, isso frequentemente assume a forma de:
- Suporte técnico falso contatando usuários para ajudar com “problemas de conta”
- Impostores no Discord, Telegram ou email se passando por membros de equipe ou provedores de carteira
- Links ou downloads maliciosos enviados por entidades aparentemente confiáveis
- Deepfake ou phishing de voz (vishing) para imitar funcionários reais
Diferente de hacks por força bruta ou explorações de contratos inteligentes, a engenharia social não requer violação técnica, tornando-se extremamente difícil de detectar até que seja tarde demais.
E com as transações irreversíveis de criptomoedas, uma vez que os fundos são transferidos, são quase impossíveis de recuperar - especialmente quando lavados por ferramentas de privacidade como o Wasabi ou mixers como ChipMixer e Tornado Cash.
A História se Repete: Ecos do Hack da Genesis em 2024
O roubo de $91 milhões desta semana também ocorre quase exatamente um ano após um golpe igualmente massivo, no qual um atacante roubou $243 milhões de credores da Genesis usando métodos de engenharia social. Naquele caso, os atacantes se fizeram passar por administradores de confiança e convenceram os usuários a assinar transações maliciosas ou a ceder frases seed.
O timing levantou suspeitas entre alguns analistas de segurança, que sugerem que golpes em larga escala podem ser estrategicamente planejados para coincidir com datas chave - aniversários de ataques passados, eventos importantes do mercado ou atualizações de protocolo - quando distrações e sobrecarga cognitiva podem reduzir a vigilância.
Embora a indústria de criptografia tenha feito avanços significativos em armazenamento a frio, carteiras multi-sig, dispositivos de hardware, e acesso biométrico, nenhuma dessas ferramentas pode proteger totalmente contra a camada humana. De acordo com dados da Chainalysis e CertiK, a engenharia social foi responsável por mais de 25% das grandes perdas de criptomoedas em 2024, ficando apenas atrás dos bugs de contratos inteligentes.
E as vítimas não são apenas novatas. “Estamos vendo investidores sofisticados caírem nesses golpes,” disse o especialista em cibersegurança Chris Blec. “Os impostores são frequentemente pacientes, informados, e habilidosos na manipulação psicológica. Não estão adivinhando senhas - estão conquistando confiança.”
Sinais de Alerta e Lições para Investidores
Este último incidente é um caso de estudo preocupante na necessidade de vigilância, ceticismo e protocolos de verificação. Especialistas recomendam as seguintes melhores práticas:
- Nunca compartilhe frases seed ou chaves privadas - nenhum serviço legítimo pedirá por elas.
- Verifique contatos de suporte independentemente - use sites oficiais, não links enviados via DM ou email.
- Ative listas brancas de transações e solicitações de carteira de hardware para todas as transações de saída.
- Use configurações multi-sig onde uma parte sozinha não pode mover fundos.
- Eduque membros de equipe e família - especialmente aqueles envolvidos na gestão de carteiras compartilhadas ou institucionais.
Fornecedores de carteiras, exchanges, e plataformas DeFi também têm responsabilidade. Muitos agora implementaram avisos de personificação de suporte, alertas de golpe em tempo real, e campanhas de educação para usuários para prevenir esses incidentes. No entanto, como este caso mostra, mais trabalho é necessário.
Por Que Ferramentas de Privacidade Complicam Esforços de Recuperação
Um dos maiores desafios na recuperação de criptomoedas roubadas é a obstrução via carteiras de privacidade e mixers. Neste caso, muito do BTC roubado foi enviado para o Wasabi Wallet, uma plataforma que usa o CoinJoin - um protocolo de mixagem que combina transações de múltiplos usuários para quebrar a rastreabilidade.
Enquanto ferramentas de privacidade servem a propósitos legítimos, como proteger fundos de ativistas e proteger a identidade do usuário contra vigilância, elas também podem ser usadas para lavar fundos ilícitos e complicar a forense de blockchains.
Como resultado, a aplicação da lei enfrenta severas limitações em rastrear ou congelar criptomoedas roubadas, a menos que o atacante cometa um erro ou tente sacar através de uma exchange regulada.
O monitoramento em andamento de ZachXBT pode ajudar a rastrear movimentos a jusante, mas sem identidades do mundo real ou o envolvimento de KYC de exchanges, as chances de recuperação permanecem pequenas.
Resposta da Indústria: Educação, UX e Detecção de Golpes Baseada em AI
Na esteira do ataque, especialistas em segurança estão novamente pedindo uma melhor introdução de usuários, incluindo simulações de phishing, tutoriais interativos, e sistemas de detecção de fraudes orientados por AI que sinalizam comportamentos suspeitos antes que os fundos sejam comprometidos.
Empresas como Ledger, Trezor, Coinbase, e MetaMask começaram a incorporar alertas de golpe em tempo real, integrações de listas negras de phishing, e verificação de suporte no próprio aplicativo. No entanto, a maioria desses sistemas permanece opcional - e ainda não à prova de falhas.
Alguns propõem construir camadas de identidade descentralizadas e reputações de carteira em futuros protocolos, permitindo que os usuários verifiquem agentes de suporte oficiais ou estabeleçam pontuações de confiabilidade para endereços de carteira. Mas esses permanecem em estágios iniciais de desenvolvimento.
Considerações Finais
A perda de 783 BTC em um ataque de engenharia social é uma das maiores e mais sóbrias lembranças de que a segurança em criptomoedas não é apenas técnica - é profundamente humana. À medida que a adoção da Web3 cresce, a sofisticação dos golpes evolui em paralelo.
Embora auditorias de código, configurações multi-sig, e camadas de privacidade importem, a defesa mais crítica continua sendo educação e ceticismo. Em um sistema financeiro sem permissões e irreversível, um lapso de julgamento pode extinguir uma vida inteira de economias.
Até que a indústria encontre maneiras melhores de proteger os usuários de si mesmos, a engenharia social permanecerá a ameaça mais persistente da criptografia.