Em 3 de agosto de 2016, a maior exchange do planeta sofreu um golpe duro.

119.756 bitcóios foram roubados dos sistemas da BitFinex. Quase 2.000 transações não-autorizadas esvaziaram as contas da corretora. O pânico se instaurou rápido.

As perdas foram socializadas, e usuários da bolsa sofreram um corte de 36% nos seus saldos. Muitos acharam que aquele dinheiro jamais voltaria a ver “a luz do dia”.

Eis que, ontem - quase seis anos depois -, tudo mudou.

🐭 Seis Anos de Gato e Rato

Na época, o montante roubado valia menos de 100 milhões de dólares.

A moeda laranja caiu nos dias seguintes ao incidente, mas logo engatou a quinta marcha, e não parou mais de subir. No meio de 2017, a quantia já equivalia a mais de meio bilhão de dólares. No fim daquele ano, alguns bilhões inteiros.

A exchange jamais recuperaria a confiança perdida. Chegou a emitir tokens (RRT e depois LEO) que representavam, direta ou indiretamente, direitos sobre as moedas furtadas - caso um dia elas fossem recuperadas.

As moedas se moveram algumas vezes, mas ninguém conseguiu, em princípio, ligá-las a uma identidade em particular.

Em 2020, a Finex ofereceu um prêmio de U$400 milhões para quem tivesse informações que levassem à devolução dos fundos… sem nenhum sucesso.

Até que, em 31 de janeiro deste ano, observadores da blockchain notaram atividade suspeita nas carteiras que guardavam dinheiro advindo do furto. Moedas sendo consolidadas em um endereço único, sem passagens intermediárias por exchanges.

O analista CryptoHerpesCat apontou que o padrão se assemelhava a vezes anteriores em que a Justiça americana tinha recuperado bitcóios roubados - uma transação teste de ฿1, seguida de uma consolidação num endereço do tipo bech32.

Nos dias seguintes, LEO e RRT (dois dos tokens emitidos anos antes pela Finex) tiveram altas expressivas. Como sempre, o mercado incorporou informação mais rápido que qualquer jornalista seria capaz de reportar.

🎭 Um Casal Inconvencional

Ilya Lichtenstein foi co-fundador de uma startup de analytics que passou pela aceleração da Y Combinator.

Heather Morgan era copywriter, palestrante em eventos de ciber-segurança e rapper nas horas vagas.

Definitivamente, não são o perfil de gente que você esperaria estar com a posse de alguns bilhões em crépetomoedas.

🕵️ Engenharia Social e Disfarce

Em 2019, Heather Morgan deu uma palestra sobre “Como Entrar em Qualquer Lugar com Engenharia Social”. O vídeo da apresentação é um deleite de assistir. Te faz indagar se não estamos, de fato, vivendo numa simulação.

Heather menciona algumas das pessoas notáveis que conheceu por meio de suas habilidades sociais. John McAfee é uma das que aparece no slide (abaixo).

Conta sobre quando penetrou uma zona arqueológica restrita no Egito, e convenceu o guarda a lhe conceder um tour privado em vez de expulsá-la.

Ela também sugere métodos para “construir confiança junto a desconhecidos” e “se misturar a um grupo” em que você recém-chegou.

O casal era relativamente conhecido na cena de tecnologia. Heather era verificada no Twitter, mantinha um negócio online de vendas, e fizera uma série de investimentos-anjo. Escrevia até colunas para a Forbes. O tema delas? Persuasão e empreendedorismo.

Mas o hobby que a fez entrar para a história dos memes criptonianos era o rap.

Seus clipes são uma aula magna. Ainda não sei sobre o quê - mas que são uma aula magna, são 😅

👣 Como O Ataque Aconteceu - e Como Eles Foram Pegos?

Nunca se publicou um post-mortem sobre o incidente de 2016.

O CTO da BitFinex twittou, ontem, que a história é tão cabeluda… que um dia alguém deve escrever um livro sobre ela.

Suas interações ásperas com o CEO da BitGo - custodiante que atendia a Finex na época do incidente - sugerem que falhas humanas foram centrais ao ocorrido.

Invasões complexas costumam gerar post-mortems suculentos. Quando não se faz um destes, ainda mais num evento dessa magnitude… geralmente é porque as causas da infiltração são um tanto quanto vergonhosas.

No que diz respeito à captura do casal, o relatório do DOJ americano é recheado de detalhes esclarecedores.

As moedas roubadas passaram por mercados negros como a AlphaBay; e foram convertidas em outras criptos.

O que entregou os ladrões foi terem usado documentos verdadeiros para comprar vale-presentes com bitcóios.

De posse do nome dos bandidos, autoridades ianques conseguiram mandatos para tomar-lhes equipamentos eletrônicos. Encontraram aí documentos com “ideias de passaportes falsos” e listas de exchanges que foram usadas como intermediárias.

Uma provedora de armazenagem em nuvem - americana - forneceu acessos às contas dos dois, onde investigadores acharam as chaves privadas para a fortuna perdida ✨

No fim das contas, o casal bilionário acabou sendo pego por conta de gift cards de U$500 gastos no Walmart, em Ubers e na loja da Playstation 😳

Será que eles foram os autores do ataque? Teriam comprado as moedas do verdadeiro bandido com um gordo desconto? Seriam meros laranjas?

Precisaremos esperar pelo livro (ou filme) para descobrir 😛

PS: o casal já saiu da detenção mediante fiança.

💡 Morais da História

Não subestime os rappers ao seu redor.

Não guarde suas chaves privadas em meios eletrônicos.

Não pense que hackers são sempre como o Neo, de Matrix.

Reconheça que boa parte dos incidentes de segurança começam com engenharia social. Atente-se às vulnerabilidades que te acometem. E às pessoas em quem confia.

Por fim, principalmente: nunca use crépetomoedas para lavar dinheiro!

🧠 Dicas de Leitura

🤫 WAGMI Fallacy (Nimrod Kamer)

Uma lista satírica de conselhos por alguém que ganhou (e perdeu) muito dinheiro com NFTs.

🤑 19.56% de Juros em Cripto-Dólar (YouTube da Paradigma)

Um tutorial em vídeo sobre a Anchor Protocol - que permite o empréstimo de UST (uma stablecoin) a taxas de juros suculentas. Leia a descrição e se atente aos riscos. No mais, inscreva-se neste nosso canal do YouTube!

🌶️ O Modelo Econômico dos veTokens (Paradigma Pro)

Uma análise avançada do tokenomics pioneirizado pela Curve, que virou moda entre tokens de DeFi. Exclusivo pra quem assina nosso plano Pro.