O manual era simples o suficiente para funcionar uma vez: vestir-se como motorista de entrega, bater na porta, forçar a entrada sob a mira de uma arma e extrair chaves privadas sob ameaça.
Em junho de 2024, três homens executaram esse script em um endereço residencial no Reino Unido e saíram com mais de US$ 4,3 milhões em criptomoeda.
Cinco meses depois, o Tribunal da Coroa de Sheffield condenou Faris Ali e dois cúmplices depois que a Polícia Metropolitana recuperou quase todo o dinheiro.
O caso, documentado do investigador de blockchain ZachXBT, agora serve como ponto de referência para uma questão que a indústria tem evitado: como é a segurança operacional quando seu patrimônio líquido reside em uma extensão de navegador e seu endereço residencial é de registro público?
O roubo se desenrolou na estreita janela entre a violação de dados e a conscientização da vítima.
Os registros de bate-papo obtidos pelo ZachXBT mostram os perpetradores discutindo sua abordagem horas antes do ataque, compartilhando fotos do prédio da vítima, confirmando que estavam posicionados do lado de fora da porta e coordenando sua história de disfarce.
Uma imagem capturou os três vestidos com uniformes de entrega. Minutos depois, eles bateram. A vítima, esperando um pacote, abriu a porta.
O que se seguiu foi uma transferência forçada para dois endereços Ethereum, executada sob coação e com uma arma de fogo presente. A maior parte da criptografia roubada permaneceu inativa nessas carteiras até que as autoridades policiais interviessem.
ZachXBT montou a operação por meio de análise forense on-chain e conversas vazadas do Telegram.
Os registros de bate-papo revelaram planejamento operacional e antecedentes criminais: semanas antes do roubo, Faris Ali postou uma fotografia de sua documentação de fiança para amigos no Telegram, revelando seu nome completo.
Após o roubo, uma parte desconhecida registrou o domínio ENS farisali.eth e enviou uma mensagem na rede, uma acusação pública incorporada no livro razão Ethereum.
ZachXBT compartilhou suas descobertas com a vítima, que as retransmitiu às autoridades. Em 10 de outubro de 2024, ZachXBT publicou a investigação completae em 18 de novembro, o Sheffield Crown Court proferiu sentenças.
O caso se enquadra em um padrão mais amplo sinalizado pelo ZachXBT: um aumento nas invasões domiciliares visando detentores de criptomoedas na Europa Ocidental nos últimos meses, a taxas mais altas do que em outras regiões.
Os vetores variam: trocas de SIM que vazam frases de recuperação, ataques de phishing que expõem saldos de carteiras e engenharia social que mapeia os acervos para locais físicos, mas o ponto final é consistente.
Depois que um invasor confirma que um alvo tem valor significativo e pode localizar sua residência, o cálculo se inclina para a coerção física.
O que a tática do “motorista de entrega” explora
O disfarce do motorista de entrega funciona porque explora a confiança na infraestrutura logística. Abrir a porta para um mensageiro é um comportamento rotineiro, não uma falha de segurança.
Os perpetradores entenderam que a parte mais desafiadora de uma invasão domiciliar é conseguir entrar sem disparar um alarme ou fugir.
Um uniforme e um pacote fornecem uma razão plausível para se aproximar e esperar no limiar. No momento em que a porta se abre, o elemento surpresa já está em ação.
Essa tática é pouco escalonável porque requer presença física, deixa rastros forenses e entra em colapso se a vítima se recusar a abrir a porta, mas ignora todas as camadas de segurança digital.
Carteiras com múltiplas assinaturas, dispositivos de hardware e armazenamento frio não significam nada quando um invasor pode obrigá-lo a assinar transações em tempo real.
O elo mais fraco não é a criptografia, mas sim o ser humano que detém as chaves e mora em um endereço fixo que pode ser descoberto por meio de violação de dados ou busca em registros públicos.
A investigação da ZachXBT rastreou o ataque até uma “violação de dados criptográficos”, um vazamento que deu aos perpetradores acesso a informações que ligavam as carteiras a um local físico.
A fonte exata permanece não especificada, mas o cronograma forense sugere que os invasores sabiam o endereço do alvo e as propriedades aproximadas antes de chegarem.
O imposto opsec e o que muda
Se este caso se tornar um modelo, os detentores de criptomoedas com alto patrimônio precisarão repensar suas práticas de custódia e divulgação.
A lição imediata é defensiva: compartimentar os haveres, eliminar informações pessoais de bases de dados públicas, evitar discutir saldos de carteiras nas redes sociais e tratar qualquer visita não solicitada como uma ameaça potencial.
Mas essas medidas impõem um imposto sobre a conveniência, a transparência e a capacidade de participar no discurso criptográfico público sem pintar um alvo nas costas.
A questão a longo prazo é se o mercado de seguros irá intervir. Os prestadores de custódia tradicionais oferecem cobertura de responsabilidade e garantias de segurança física, mas a autocustódia não o faz, o que é uma das suas poucas desvantagens.
Se as invasões domiciliares se tornarem um vetor de ataque previsível, espere a demanda por produtos que terceirizem a custódia para terceiros segurados ou forneçam serviços de segurança privada para indivíduos que detêm ativos acima de um determinado limite.
Nenhuma das soluções é barata e ambas abrem mão da soberania que a autocustódia deveria garantir.
As violações de dados são o risco upstream. Exchanges centralizadas, empresas de análise de blockchain, plataformas de relatórios fiscais e serviços Web3 que exigem KYC em todos os registros de lojas que vinculam identidades a acervos.
Quando esses bancos de dados vazam, e isso acontece com regularidade, eles criam uma lista de compras para criminosos que podem cruzar saldos de carteiras com registros de endereços públicos.
A orientação da ZachXBT para “monitorar suas informações pessoais quando elas são expostas online” é um bom conselho, mas pressupõe que as vítimas tenham as ferramentas e a vigilância para rastrear violações em tempo real. A maioria não.
A outra restrição é a capacidade de fiscalização. A investigação de ZachXBT foi fundamental neste caso, mas ele é um ator privado que trabalha pro bono.
As agências de aplicação da lei na maioria das jurisdições não têm capacidade forense em cadeia para rastrear criptografia roubada sem ajuda externa. A Polícia Metropolitana teve sucesso aqui em parte porque o trabalho de investigação foi entregue a eles totalmente formado.
O que está em jogo
A questão mais ampla que este caso levanta é se a autocustódia pode continuar a ser a recomendação padrão para qualquer pessoa que detenha um valor significativo.
A indústria criptográfica passou uma década argumentando que os indivíduos deveriam controlar suas próprias chaves e que a soberania sobre os ativos compensa o fardo operacional.
Esse argumento é válido quando o modelo de ameaça é a insolvência cambial ou a apreensão do governo. Enfraquece quando o modelo de ameaça é um homem uniformizado com uma arma de fogo e uma lista de endereços retirada de um banco de dados vazado.
Se os detentores de elevado património líquido concluírem que a autocustódia os expõe a riscos físicos inaceitáveis, transferirão activos para plataformas institucionais seguradas e a indústria terá trocado a descentralização pela segurança.
Se permanecerem autocuidados, mas investirem pesadamente em infraestrutura de privacidade e segurança, a criptografia se tornará uma subcultura para os paranóicos e com bons recursos.
As sentenças do Sheffield Crown Court encerram um capítulo. Os invasores estão sob custódia, a vítima tem seus fundos de volta e ZachXBT tem outro estudo de caso para seu arquivo de crimes criptográficos.
Mas a vulnerabilidade sistémica permanece: enquanto grandes somas puderem ser extraídas sob a mira de uma arma em menos de uma hora, e enquanto as violações de dados continuarem a mapear os saldos das carteiras para os endereços residenciais, nenhum reforço criptográfico protegerá os humanos que detêm as chaves.
Fonte: www.cryptoslate.com
Link da Fonte
