Os ataques hackers de criptomoedas estão a aumentar. Entenda como o governo tenta rastrear, congelar e apreender o dinheiro roubado antes que desapareça.
Houve tantos roubos recentes de criptomoedas multimilionárias que é fácil perder a noção do que já aconteceu. Crime organizado, segurança cibernética ruim, espiões financeiramente motivados e criminosos chamativos de todos os tipos já tomaram conta de tantas manchetes que até grandes roubos podem passar despercebidos pelo público.
Mas às vezes o governo é capaz de recuperar o dinheiro. Em julho, os Estados Unidos apreenderam US$ 500.000 em criptomoedas de supostos hackers norte-coreanos que conseguiram esse dinheiro extorquindo organizações médicas americanas. Mas isso não é nada considerando o total geral: apenas o Internal Revenue Service (IRS) apreendeu US$ 3,5 mil milhões em criptomoedas em 2021.
Mas como funciona exatamente a apreensão de criptomoedas? O que acontece primeiro quando as criptomoedas são roubadas?
Criminosos habilidosos sabem que precisam limpar o dinheiro sujo. A lavagem de dinheiro é o ato antigo de fazer com que o capital ganho com atividades ilegais pareça não ter conexão com o crime em si, para que o dinheiro possa ser usado livremente.
“Eu diria que a lavagem é mais sofisticada do que os próprios ataques”, afirma Christopher Janczewski, que era um dos principais agentes do IRS especializado em casos de criptomoedas, como deu conta a MIT Technology Review anteriormente. Mais de US$ 8,6 mil milhões foram lavados com sucesso por meio de criptomoedas em 2021.
Única entre as nações, a Coreia do Norte usou o roubo de criptomoedas como meio de custear o seu regime financeiramente isolado. Pyongyang usa criptomoedsa para contornar as restrições impostas e pagar por qualquer coisa, desde armas a luxos.
As táticas estão sempre a evoluir. Uma peel chain move as criptomoedas por milhares de transações para ofuscar a origem e o destino do dinheiro. Já a chain hopping cruza blockchains e moedas. E os mixers pegam transações de qualquer pessoa e depois depositam-nas em diferentes carteiras ou até moedas diferentes num esforço para ofuscar a origem dos depósitos e saques.
Tudo isso é para afastar os investigadores.
Como é que as autoridades policiais seguem o dinheiro?
O governo dos EUA investiu significativamente em ferramentas de vigilância e análise de blockchain.
Empresas como Chainalysis, TRM Labs e Elliptic vendem software para rastrear e analisar o ecossistema de criptomoedas. Os governos investiram pesadamente nessa indústria nascente como uma maneira de desmascarar hackers que roubam, lavam e roubam criptomoedas ilícitas.
Por exemplo, o TRM Forensics é um produto projetado para rastrear transações de criptomoedas em 26 blockchains diferentes, representar graficamente o fluxo de fundos e identificar as carteiras onde as moedas foram parar. Da mesma forma, o Chainalysis Reactor fornece vigilância contínua de diferentes ativos de criptomoeda para que um cliente, como uma agência do governo dos EUA, possa saber se uma carteira específica pertence a um mercado darknet, uma exchange de criptomoedas de alto risco ou um cassino online.
O resultado inclui conjuntos de visualizações de dados prontos para investigações governamentais e, eventualmente, processos judiciais. Mas nenhuma quantidade de rastreamento por software realmente obterá o dinheiro de volta.
Como é que o governo realmente apreende o dinheiro?
“O rastreamento é apenas uma ferramenta na caixa de ferramentas”, diz Ari Redbord, ex-promotor federal e atualmente diretor de assuntos governamentais da TRM Labs. “Então eles ainda precisam usar o trabalho policial no final. Parte disso é apenas um ótimo trabalho investigativo”.
Existem três maneiras básicas pelas quais o governo dos EUA pode acessar legalmente os fundos e apreendê-los.
A maior apreensão individual da história dos EUA ocorreu este ano, quando o Departamento de Justiça se apossou de US$ 3,6 mil milhões em criptomoedas supostamente roubadas durante o ataque hacker de 2016 da Bitfinex, uma casa de câmbio virtual. Este caso foi, em alguns aspectos, muito mais simples para a polícia americana porque as duas prisões feitas eram de residentes americanos e aconteceram em Manhattan, nos Estados Unidos.
As análises do Blockchain descobriram que a moeda roubada foi movida, após uma longa, mas malsucedida tentativa de lavar o dinheiro, para contas controladas por um suspeito. A polícia conseguiu um mandado de busca para a conta de armazenamento em nuvem do suspeito, que continha um arquivo criptografado. O arquivo foi descriptografado e encontraram 2.000 endereços de criptomoeda e chaves privadas. Quase todas as carteiras estavam vinculadas diretamente ao hack da Bitfinex. A polícia, então, recebeu um mandado de apreensão e levou o dinheiro para a posse do governo, além de prender os dois suspeitos.
Na imaginação popular, o ecossistema de criptomoedas tem a fama de um Velho Oeste.
Mas a verdade é que, numa tentativa de fazer negócios e ganhar dinheiro em nações ricas, as plataformas exchanges e outros negócios de criptomoedas tornaram-se muito mais compatíveis com a justiça ocidental ao longo dos anos.
Depois de atender aos requisitos de causa provável e apresentação das provas, a justiça pode obter mandados de apreensão para quaisquer fundos ilícitos que eventualmente cheguem a exchanges compatíveis. E muitos fundos acabam por conseguir. As forças de segurança e a justiça trabalharão em conjunto com as empresas de criptomoedas para transferir os fundos para uma carteira controlada pelo governo ou congelá-los.
“Outro método é que o adversário ou um membro do grupo dos hackers coopere e forneça chaves privadas ao governo como parte de uma negociação ou cooperação para beneficiá-los de alguma forma”, diz Gurvais Grigg, que foi diretor assistente do FBI antes de se tornar um executivo da Chainalysis.
A terceira possibilidade é chegar a um meio-termo em relação a segurança do alvo, o que pode acontecer de várias maneiras.
“Quando está a falar sobre um país como a Coreia do Norte ou organizações cibercriminosas russas, pode levar anos para construir redes de informantes confidenciais e trabalhar com outros governos, especialmente aqueles que nem sempre são amigáveis conosco”, diz Redbord. “Um indivíduo está potencialmente a invadir um servidor ou máquina ou, sinceramente mais provavelmente, está apenas a fazer um ótimo trabalho policial”.
Para hackers fora dos Estados Unidos, a tarefa é mais complicada. Uma prisão pode ser impossível se o suspeito estiver em um país que não coopera com Washington, pois os promotores concentram-se em outro lugar.
“Os bons promotores entendem que um processo criminal é apenas uma parte de uma investigação maior e resulta nesses tipos de casos”, diz Redbord, que foi promotor por 11 anos. Em vez disso, o foco é o dinheiro.
Os outros aspectos são regulamentação, política e diplomacia. Existem várias “áreas desonestas” notórias em todo o mundo que não cumprem as regras internacionais de combate à lavagem de dinheiro, diz Grigg, incluindo a Coreia do Norte e o Irão, “mas essas partes do mundo estão se tornando ilhas cada vez menores”. Há duas razões para isso. Se você é uma empresa, estar em conformidade com a leia significa que tem a chance de aceder aos mercados mais ricos do mundo; se você é uma nação, isso significa que as suas próprias ordens legais podem ser respeitadas em retribuição
O que vem depois?
À medida que os governos se tornam melhores na vigilância e na apreensão de criptomoedas, hackers e táticas criminosas continuam a evoluir.
Os mixers são uma tática popular nos dias de hoje. Recebem fundos de várias origens, agrupam-nos e, em seguida, enviam fundos de volta aleatoriamente como uma forma de ofuscar a sua origem e destino final. Embora existam inúmeras razões para se usar mixers, os seus principais clientes sempre foram criminosos e hackers.
Num relatório recente da Chainalysis, os mixers movimentaram mais de US$ 50 milhões mensais em média este ano, duas vezes mais do que no ano passado. As empresas de análise de blockchain estão a esforçar-se para resolver o problema e “desembaraçar” os fundos de maneira confiável, mas, por enquanto, os mixers continuam sendo uma ferramenta essencial para os criminosos.
O Departamento do Tesouro dos EUA optou por outra tática mais imediata: em maio de 2022, os EUA emitiram as primeiras sanções contra um mixer de criptomoedas. Este foi supostamente usado para lavar criptomoedas após um roubo de US$ 600 milhões por hackers norte-coreanos.
“Estamos a ver um aumento na multiplicidade de ataques”, diz Griggs. “Pense em milhares de gnus a cruzarem um rio de uma só vez para que os crocodilos possam pegar apenas alguns. Os hackers inundaram o meio online com um número crescente de ataques, potencialmente na esperança de dificultar a captura de um ator individual pelas autoridades.
“O problema é que os investigadores podem vincular o que parecem ser ataques díspares a um comando central e, em alguns casos, isso pode tornar mais fácil para o governo provar uma grande conspiração”.
Os esforços para rastrear, congelar e confiscar os fundos só se tornarão mais importantes. E é igualmente certo que bilhões continuarão a escapar pelas rachaduras. Pouco antes das notícias da apreensão dos EUA contra hackers norte-coreanos chegarem às manchetes, outro grupo da Coreia do Norte iniciou uma campanha internacional de hackers de ransomware.
MIT Technology Review