A última semana de setembro começou com a notícia de que o domínio oficial do Bitcoin (bitcoin[.]org) foi invadido por cibercriminosos que aplicaram o famigerado golpe do "estamos devolvendo para a comunidade. Mande uma quantia que vamos devolver em dobro". Já no final da mesma semana, na sexta-feira (01/10), mais de 6 mil investidores cadastrados na plataforma de câmbio de criptomoedas Coinbase tiveram seus ativos furtados por cibercriminosos que exploraram uma vulnerabilidade no sistema de autenticação por SMS na plataforma da corretora.
- Cibercriminosos furtam criptomoedas de mais de 6 mil investidores da Coinbase
- Cibercriminosos invadem domínio oficial do Bitcoin e furtam mais de R$ 91 mil em golpe
- O Grande Assalto (de criptomoedas): a história do roubo de U$ 611 milhões da Poly Network
O golpe do "estamos devolvendo para a comunidade" não é novidade pra ninguém. Nesse caso, também, porque conseguiram furtar somente U$ 19 mil (R$ 101 mil), o que não é nem uma quantia relevante — como foi o caso da Poly Network, o maior furto de criptomoedas da história da tecnologia, por exemplo. Também não é tão relevante quanto a história da Coinbase, que deixou uma questão muito importante sem resposta: se os cibercriminosos encontraram uma vulnerabilidade no sistema de autenticação por SMS, mas ainda era necessário ter as informações de login e senha para acessar as contas dos usuários, como eles comprometeram mais de 6 mil clientes? De onde vieram essas credenciais?
Empresas financeiras descentralizadas (DeFis), corretoras de criptoativos e criptomoedas, embora tenham essa aura disruptiva, inovadora e tecnológica, são exatamente como as empresas tradicionais, por isso, estão sujeitas ao crime cibernético. No entanto, há um fato sobre as criptomoedas que não podemos ignorar, a maioria é completamente anônima, o que as torna ainda mais interessantes para os cibercriminosos, tanto os com objetivo de furtar criptomoedas, como os interessados em lavar dinheiro ilegal, conseguido através de extorsão digital.
Em certos casos de furto de criptomoedas, as empresas responsáveis por elas conseguem recuperar o dinheiro e trazer de volta o saldo de seus investidores. Mas, se as criptomoedas são anônimas, como as carteiras, corretoras de DeFis conseguem recuperá-las?
É importante lembrar que criptomoedas, embora sejam anônimas, elas são completamente rastreáveis. A ideia de que criptomoedas são utilizadas por criminosos é porque são anônimas e irrastreáveis é equivocada. Com exceção de algumas que foram desenvolvidas para também serem irrastreáveis (como Monero, por exemplo), a maioria delas é completamente rastreável.
Para entender melhor esse conceito de rastreabilidade das criptomoedas, podemos analisar o caso da invasão ao site oficial do Bitcoin. Neste caso, os cibercriminosos assumiram o controle do site e adicionaram um alerta com o seguinte texto: "A Fundação Bitcoin está retribuindo à comunidade! Queremos apoiar nossos usuários que nos ajudaram ao longo dos anos. Envie bitcoin para este endereço [1NgoFwgsfZ19RrCUhTmmuLpmdek45nRd5N], e nós enviaremos o dobro da quantia em troca [...] Qualquer quantia enviada para este endereço será dobrada e devolvida ao remetente".
No site Blockchain[.]com podemos ver os ativos armazenados em cada carteira de criptomoedas, basta ter o endereço delas, que nesse caso é "1NgoFwgsfZ19RrCUhTmmuLpmdek45nRd5N". Sendo assim, basta pesquisar esse código na barra de pesquisa no cabeçalho da página do Blockchain e descobrir as quais foram as movimentações que envolveram determinada carteira.
Ao acessar a carteira de Bitcoins (BTC) desse endereço, a primeira coisa que vemos é um "resumo" das operações: "Este endereço já transacionou 10 vezes no blockchain Bitcoin. Recebeu um total de 0.40571238 BTC (US$ 19.624,05) e enviou um total de 0.40571238 BTC (US$ 19.624,05). O valor atual deste endereço é de 0.00000000 BTC (US$ 0,00).". Com isso, podemos concluir que essa carteira, indicada no alerta malicioso, inserido no site do Bitcoin pelos cibercriminosos recebeu U$ 19 mil e por estar com saldo atual zerado, o que significa que ele já se livrou de todo esse dinheiro.
Mais abaixo na página, observamos a seção "Transações" onde na coluna da esquerda estão as entradas e na coluna da esquerda estão as saídas. No último item dessa lista vemos uma entrada de 0.29891466 Bitcoin (algo em torno de U$ 19 mil), que foi dissolvido em 45 saídas para carteiras diferentes. Ou seja, os cibercriminosos transferem dinheiro para diversas carteiras diferentes para dificultarem o processo de investigação. Mas só dificultar mesmo, pois não há como fazer uma transação de Bitcoin que não gere um rastro publico.
Como explicou Daniel Conquieri, COO da BitcoinTrade, em uma entrevista à The Hack em novembro do ano passado, especificamente os Bitcoins são extremamente rastreáveis. Além disso, as corretoras de criptomoedas relacionam as carteiras, identificando quais são do mesmo dono e bloqueiam transações vindas de carteiras que foram descobertas com dinheiro ilegal.
"Existem plataformas que fazem o que chamamos de blacklist ou whitelist, que são carteiras que já estão de alguma maneira identificadas como carteiras que transacionaram bitcoins roubados ou que foram alvo de golpes. Estas carteiras ficam bloqueadas e as principais agências de troca de bitcoin do mundo não permitem receber dinheiro de carteiras roubadas [...] Um usuário pode abrir uma carteira privada e começar a movimentar de forma sigilosa. Porém, quando ele for operar em uma grande corretora internacional essas carteiras vão se relacionar e a corretora vai identificar que aquele depósito veio de uma outra carteira, do mesmo dono…. De fato, o mercado vem evoluindo nesta questão de rastreabilidade", disse Conquieri.
Desanonimizando as criptomoedas
Desde janeiro de 2009, quando foi lançado o Bitcoin (junto com todo o movimento das criptomoedas), a polícia, junto com as entidades gestoras desse sistema, estão mapeando e analisando as carteiras de criptomoedas que se envolvem em frutos e crimes cibernéticos. Por conta disso, os investigadores forenses estão ficando cada vez mais experientes em mapear a atividade criminosa no blockchain para descobrir os rastros que levam aos autores de um crime.
Com base nessa estratégia, o FBI (claro, junto com outras tecnologias de investigação forense exclusivas) conseguiu identificar onde foi parar parte dos U$ 5 milhões (R$ 25 milhões) pagos pela Colonial Pipeline aos operadores do ransomware DarkSide e com isso recuperou U$ 2,3 milhões (R$ 12 milhões).
No entanto, apesar de ser bastante transparente, como observamos no exemplo do site do Bitcoin, em alguns casos, rastrear um número alto de transações pode exigir profissionais e softwares especializados, além de poder de processamento computacional.
Uma empresa que realiza investigação forense em furtos de criptomoedas é a Bitquery, que tem sede em Nova York, EUA, mas o trabalho bruto de computação acontece na Finlândia, onde, segundo o The Washington Post, os servidores processam simultaneamente cerca de 300 terabytes de dados extraídos da Blockchain em tempo real.
O jornal explica que há ainda ferramentas forenses mais avançadas, que podem revelar o endereço de IP do dono e até mesmo se o endereço da carteira foi encontrado publicado na dark web, o que ajuda na identificação dos cibercriminosos.
Essas ferramentas, que exigem um poder de processamento simultâneo de 300 Terabytes podem ser bastante custosas. Mas, para uma empresa que paga U$ 40 milhões como resgate para cibercriminosos (como foi o caso da CNA Financial) quem sabe não seja tão caro assim.
Fontes: The Whashington Post; Business Insider.