1100 milhões de moedas encriptadas foram sequestradas, ataques físicos tornam-se uma ameaça cada vez mais comum

Escrito por: Liam Akiba Wright

Compilado por: Saoirse, Foresight News

De acordo com o San Francisco Chronicle, na manhã de 22 de novembro, por volta das 6h45, um suspeito disfarçado de entregador entrou em uma residência localizada nas proximidades da “Missão Dolores” na 18ª rua com a Dolores Street, controlou os moradores e roubou um celular, um laptop e cerca de 11 milhões de dólares em criptomoedas.

Até domingo, a polícia de São Francisco ainda não anunciou a prisão de ninguém e não forneceu detalhes específicos sobre os ativos roubados, e ainda não revelou a rede blockchain ou o tipo de token relacionado à criptomoeda envolvida.

Ataques físicos direcionados a detentores de criptomoedas não são um caso isolado, uma tendência preocupante está gradualmente se manifestando.

Os casos semelhantes que reportamos anteriormente incluem: um roubo com um valor em questão de 4,3 milhões de dólares no Reino Unido; um caso de sequestro e tortura em SoHo, Nova Iorque, para forçar a vítima a entregar o acesso à sua carteira de bitcoins; um aumento no número de casos de sequestro relacionados com criptomoedas na França e as medidas de resposta do governo; medidas extremas de proteção adotadas por conhecidos detentores de criptomoedas (como a “família Bitcoin”) que armazenam suas frases de recuperação de carteira em vários continentes para aumentar a segurança das operações; uma tendência entre investidores de criptomoedas de alto patrimônio líquido de contratar segurança; e uma análise sobre a tendência de “ataques com chave inglesa” (que se referem a ataques que utilizam coerção violenta para obter criptomoedas) e os prós e contras do auto-armazenamento de criptomoedas.

Após o roubo, o rastreamento na blockchain foi imediatamente iniciado.

Mesmo que o roubo comece por uma porta de casa, o dinheiro roubado frequentemente ainda flui em um livro-razão de blockchain público, o que torna o rastreamento possível - formando assim uma “competição”: de um lado a transferência de canais de lavagem de dinheiro, do outro ferramentas de congelamento e rastreamento que se tornaram cada vez mais maduras e perfeitas até 2025. E o USDT na TRON continua a ser um fator central nesta “competição”.

Este ano, através da colaboração entre emissores de tokens, redes de blockchain e empresas de análise de dados, a capacidade da indústria de congelar ativos ilegais foi aprimorada. De acordo com o relatório do “Departamento de Crimes Financeiros T3”, desde o final de 2024, centenas de milhões de dólares em tokens de transações ilegais foram congelados.

Se os fundos sequestrados incluírem stablecoins, a probabilidade de impedir a circulação dos fundos a curto prazo aumentará significativamente - porque os emissores de grandes stablecoins colaborarão com as autoridades de aplicação da lei e parceiros de análise de dados, colocando os endereços das carteiras envolvidos na lista negra após serem notificados.

Dados mais amplos também confirmam a visão de que “as stablecoins são a ferramenta preferida para o fluxo de fundos ilegais”. O relatório de crimes da Chainalysis de 2025 mostra que, em 2024, as stablecoins representaram cerca de 63% do total de transações ilegais, o que representa uma mudança significativa em comparação com os anos anteriores, quando BTC e ETH dominavam os canais de lavagem de dinheiro.

Esta mudança é crucial para a recuperação de fundos: porque os emissores de stablecoins centralizados podem bloquear transações a nível de token, e quando os fundos intermediários entram na fase em que é necessário executar o processo de KYC, as plataformas centralizadas (como as exchanges) tornam-se um “nó de intercepção” adicional.

Entretanto, a Europol alertou que grupos de crime organizado estão a usar inteligência artificial para atualizar os seus métodos de operação - isto não só pode reduzir o ciclo de branqueamento de capitais, como também automatizar a divisão de fundos através de redes de blockchain e plataformas de serviço. Se for possível identificar o endereço-alvo dos fundos ilícitos, a chave da operação é notificar o mais cedo possível as entidades emissoras de tokens e as exchanges.

Do ponto de vista macroeconômico, a situação das perdas das vítimas continua a piorar.

Os registros do “Centro de Queixas de Crimes na Internet” da FBI mostram que, em 2024, as perdas causadas por crimes e fraudes online atingiram 16,6 bilhões de dólares, com casos de fraudes em investimentos em criptomoedas aumentando 66% em relação ao ano anterior. Entre 2024 e 2025, os incidentes de coerção física direcionados a detentores de criptomoedas (às vezes chamados de “ataques com chave inglesa”) chamaram mais atenção - esses casos frequentemente combinam invasões domiciliares, sequestro de cartões SIM (obtendo controle sobre o cartão SIM de outra pessoa por meio de fraude) e engenharia social. A TRM Labs (empresa de segurança blockchain) registrou tendências relacionadas a esses roubos coercitivos.

Embora o caso em São Francisco envolva apenas uma única residência, o padrão de crime é representativo: invasão de dispositivos → forçar a vítima a transferir ou exportar a chave privada → dispersar rapidamente os fundos na blockchain → testar se os canais de retirada são viáveis.

As novas políticas regulatórias do estado da Califórnia, nos Estados Unidos, adicionaram uma nova variável a este caso. A “Lei de Ativos Financeiros Digitais” do estado entrará em vigor em julho de 2025 e confere ao “Departamento de Proteção Financeira e Inovação” o poder de emitir licenças e de aplicar a lei a determinadas atividades de exchanges de criptomoedas e instituições de custódia.

Se qualquer “canal de saída” (referindo-se a canais que convertem criptomoedas em moeda fiduciária) relacionado a negócios na Califórnia, corretores de negociação de balcão (OTC) ou prestadores de serviços de armazenamento tiverem acesso a esses fundos roubados, a estrutura regulatória da “Lei dos Ativos Financeiros Digitais” pode apoiar sua colaboração com as autoridades de aplicação da lei. Embora isso não seja um meio direto de recuperar ativos autogeridos, terá um impacto sobre as contrapartes que os ladrões normalmente dependem para converter criptomoedas em moeda fiduciária.

Mudanças nas políticas de outras regiões também afetarão o desfecho do caso.

De acordo com a análise jurídica do escritório de advocacia Wienerbull, o Departamento do Tesouro dos EUA removeu o misturador Tornado Cash da “lista de nacionais especialmente designados” (refere-se à lista de indivíduos ou entidades sancionados pelos EUA) em 21 de março de 2025, esta alteração modifica os requisitos de conformidade ao interagir com o código-fonte desse misturador.

Mas essa mudança não legalizou a lavagem de dinheiro, nem reduziu a analisabilidade das transações na blockchain.

No entanto, isso realmente enfraqueceu a “dissuasão” que anteriormente levou alguns participantes a optar por outros misturadores de moedas ou pontes entre cadeias. Se os fundos roubados forem usados em um misturador de moedas tradicional antes do saque, ou transferidos para uma stablecoin através de uma ponte entre cadeias, então o trabalho de rastreamento de fundos e a primeira ativação do processo KYC ainda serão pontos-chave do caso.

Devido ao fato de o endereço da carteira envolvida ainda não ter sido divulgado, a plataforma de negociação pode planejar um plano de resposta para os próximos 14 a 90 dias em torno de três caminhos principais. A tabela abaixo, com base na estrutura de mercado e na situação regulatória de 2025, lista o “modelo de transferência de fundos de nível 1”, os indicadores a serem monitorados e a faixa de probabilidade de congelamento e recuperação de fundos:

A linha do tempo do caso pode ser inferida com base no modelo acima.

Nas primeiras 24-72 horas, é necessário dar especial atenção à integração e transferência precoce dos fundos. Se o endereço em questão for exposto e os fundos incluírem stablecoins, o emissor deve ser imediatamente notificado para iniciar uma revisão da lista negra; se os fundos existirem na forma de Bitcoin ou Ethereum, deve-se monitorar os movimentos dos misturadores, pontes cross-chain e se antes da retirada para moeda fiduciária há uma conversão para USDT.

De acordo com o fluxo de colaboração do “Centro de Queixas de Crimes Cibernéticos”, se houver necessidade de executar KYC em locais com influxo de fundos, normalmente será emitida uma “Carta de Preservação de Ativos” e as contas relacionadas à bolsa serão congeladas dentro de 7 a 14 dias.

Nos próximos 30 a 90 dias, caso surjam caminhos de negociação de criptomoedas privadas, a investigação se concentrará em pistas off-chain, incluindo a coleta de evidências de dispositivos, registros de comunicação e vestígios relacionados a golpes de “entrega falsa” - O trabalho de rastreamento de fundos de TRM Labs e instituições semelhantes também avançará gradualmente nesta fase.

O design da carteira está a ser continuamente atualizado para enfrentar o risco de coerção física.

Em 2025, a aplicação de “carteira de computação multipartidária” e “carteira de abstração de contas” será ainda mais ampliada, acrescentando funcionalidades como controle de estratégia, recuperação sem semente, limite diário de transferências e processos de aprovação multifatores — esses designs podem reduzir o risco de “exposição única” da chave privada em eventos de coerção física (ou seja, a chave privada não será exposta através de um único dispositivo ou etapa).

A funcionalidade de “bloqueio de tempo” a nível de contrato (refere-se ao mecanismo de definir um atraso na execução de uma transação) e o “limite de gastos” podem retardar a velocidade de transferência de fundos de alto valor. Se a conta for roubada, ainda pode criar uma janela de tempo para emitir um alerta ao emissor ou à troca.

Essas medidas de proteção não podem substituir as normas básicas de segurança em relação ao uso de dispositivos e à segurança doméstica, mas podem reduzir a probabilidade de os ladrões conseguirem roubar fundos quando tiverem acesso a um telefone celular ou a um computador portátil.

A reportagem do “San Francisco Chronicle” já forneceu os fatos centrais do caso, mas o site do Departamento de Polícia de São Francisco ainda não publicou um comunicado específico sobre o caso.

O progresso subsequente do caso dependerá de dois fatores principais: primeiro, se o endereço-alvo envolvido será tornado público, e segundo, se o emissor da stablecoin ou a exchange já recebeu pedidos de revisão e intervenção.