Detetive na cadeia resolve o mistério: Como a TRM Labs rastreou os US$35 milhões roubados do LastPass até à rede de crime cibernético na Rússia

A empresa de inteligência em blockchain TRM Labs publicou recentemente um relatório aprofundado que revela os efeitos subsequentes do grande vazamento de dados de 2022 na conhecida gestor de palavras-passe LastPass. O relatório indica que a quantidade de criptomoedas roubadas relacionada a essa vulnerabilidade ultrapassou os 35 milhões de dólares, e o fluxo de fundos aponta diretamente para uma organização criminosa russa que colaborou no esquema. O que chama a atenção é que, apesar de os hackers terem utilizado ferramentas avançadas de privacidade como Wasabi Wallet e serviços de mistura de moedas para tentar esconder os rastros, os analistas da TRM Labs conseguiram, ao identificar suas características comportamentais únicas na cadeia, reconstruir o processo de mistura de fundos e rastrear o fluxo final até plataformas de negociação locais na Rússia, incluindo Cryptex, que está sob sanções dos EUA, e Audi6. Este caso não só demonstra uma investigação bem-sucedida na cadeia, como também revela o papel crucial de infraestruturas de criptomoedas específicas de regiões na lavagem de dinheiro de redes criminosas globais.

Uma “hemorragia” lenta de ativos digitais que dura anos

A história começa com o vazamento de dados da LastPass em 2022, que chocou o mundo. Na época, essa provedora de gestão de senhas, com milhões de usuários, admitiu ter sido invadida, mas o risco não terminou ali. Segundo o mais recente relatório da TRM Labs, os atacantes, nos anos seguintes, continuaram a usar credenciais roubadas para limpar sistematicamente os ativos armazenados em carteiras de criptomoedas vinculadas às vítimas. Essa abordagem de roubo contínuo, ao invés de transferências massivas de uma só vez, dificultou a detecção inicial, levando a uma atenção maior somente quando as perdas atingiram dezenas de milhões de dólares.

Os fundos roubados não permanecem imóveis. As investigações da TRM Labs mostram que os hackers demonstraram alto grau de profissionalismo e organização. Eles não transferiram simplesmente ETH ou outros tokens diretamente para exchanges para liquidação, mas executaram um processo complexo de lavagem. Primeiramente, converteram instantaneamente várias moedas não-Bitcoin em Bitcoin, usando serviços de troca rápida, o que padronizou os ativos e preparou o terreno para o uso de ferramentas de privacidade específicas do Bitcoin. Depois, enviaram os fundos para mixers como Wasabi Wallet ou por meio do protocolo CoinJoin, que mistura as moedas de diversos usuários para desconectar as entradas das saídas na cadeia, tornando mais difícil rastrear a origem do dinheiro.

Porém, essa suposta perfeição do crime foi desmascarada pelas técnicas de análise de blockchain. Os pesquisadores da TRM Labs descobriram que, apesar do uso de ferramentas de privacidade, o grupo deixou uma assinatura consistente na cadeia, uma espécie de padrão de comportamento repetível e reconhecível, semelhante a uma pegada digital ou assinatura de escrita, que permite identificá-los mesmo escondidos entre a multidão.

Caminho do lavagem de dinheiro dos hackers e pontos-chave na rastreabilidade na cadeia

• Origem do ataque: credenciais roubadas no vazamento da LastPass em 2022.
• Escala do roubo: mais de 35 milhões de dólares em várias criptomoedas.
• Primeira etapa da lavagem (conversão): troca instantânea de diversos ativos por Bitcoin.
• Segunda etapa da lavagem (confusão): envio do Bitcoin para Wasabi Wallet, CoinJoin ou outros mixers, tentando interromper o fluxo de fundos.
• Ponto de quebra na rastreabilidade: identificação de comportamentos ou pegadas digitais únicas na cadeia, como o modo de importar chaves privadas em carteiras, horários de transação, entre outros.
• Destino final: após a desconexão, o fluxo de fundos foi rastreado até plataformas de negociação na Rússia, incluindo Cryptex e Audi6, sendo que aproximadamente 7 milhões de dólares foram direcionados à Audi6.
• Relação regional: as carteiras que interagiram com mixers antes e depois da lavagem mostram conexão com operações na Rússia, indicando que os hackers provavelmente estão na região.

A arte da “desmistificação”: como a análise comportamental penetra a névoa das ferramentas de privacidade

Diante de fluxos de fundos manipulados por mixers, métodos tradicionais de rastreamento muitas vezes falham. Contudo, a análise de continuidade comportamental apresentada pela TRM Labs nesta investigação marca uma nova fase na investigação na cadeia. O foco não está apenas nos endereços das carteiras, mas nos hábitos dos operadores por trás delas. Esses hábitos podem incluir configurações específicas ao usar certos softwares de carteira, preferências de horários de transação (relacionadas a fusos horários), padrões de interação com contratos inteligentes, e até pequenas pegadas digitais deixadas ao importar chaves privadas ou construir transações.

Por exemplo, embora o Wasabi Wallet seja projetado para oferecer forte privacidade em cada transação, o usuário pode inadvertidamente deixar metadados ou padrões de comportamento que possam ser associados a ele. Os analistas da TRM Labs conseguiram, ao integrar e analisar esses dados aparentemente desconexos, reconstruir o processo de mistura, esclarecendo as transações que estavam embaralhadas. É como pegar um novelo de lã completamente desfeito e, ao identificar a textura e a cor de cada fibra, remontar seu caminho original. Este relatório demonstra que, mesmo com ferramentas avançadas de privacidade, a anonimidade oferecida por elas não é absoluta, especialmente quando os operadores deixam traços de seus comportamentos.

Essa descoberta tem grande impacto. Ela não só fornece uma via técnica para as autoridades rastrearem crimes similares, como também alerta os criminosos que tentam lavar dinheiro usando essas ferramentas. Mais importante, ela desafia o campo das tecnologias de privacidade em criptomoedas: a proteção real pode precisar ir além da confusão na camada de transações, abrangendo a proteção contra o perfil comportamental do usuário. Essa questão também ressoa no setor financeiro tradicional (TradFi), onde, independentemente da evolução tecnológica, o monitoramento baseado em padrões comportamentais e avaliação de risco continuam sendo essenciais na luta contra a lavagem de dinheiro.

Plataformas de negociação na Rússia: “hubs” e “destinos finais” do dinheiro ilícito

Com o fluxo de fundos mapeado, o destino final aponta claramente para plataformas de negociação de criptomoedas na Rússia. O relatório cita duas: Cryptex e Audi6. Destes, Cryptex é especialmente relevante, pois está na lista de sanções do Escritório de Controle de Ativos Estrangeiros do Departamento do Tesouro dos EUA. Aproximadamente 7 milhões de dólares roubados foram direcionados à Audi6, enquanto a maior parte do restante acabou em plataformas como Cryptex.

Essas plataformas desempenharam papel crucial na saída de fundos. O Bitcoin limpo, após a lavagem, é convertido em moeda fiduciária ou transferido para outros destinos, completando a transformação de ativos digitais em riqueza acessível. A TRM Labs destaca que esses plataformas mantêm conexões de longa data com o submundo do crime na Rússia, fornecendo liquidez e infraestrutura financeira essenciais. Os dados indicam que os endereços de carteiras que interagiram com mixers antes e depois da lavagem mostram relação com operações na Rússia, sugerindo que os hackers provavelmente operam na região ou têm ligação direta com ela.

Essa situação evidencia um problema regulatório de longa data: plataformas de criptomoedas em jurisdições com fiscalização frouxa ou difícil cooperação legal muitas vezes funcionam como intermediários e refúgios para fundos ilícitos. Sua existência reduz as barreiras econômicas e técnicas para o crime, permitindo que hackers legalizem seus lucros de forma relativamente segura. Isso prejudica a reputação do setor de criptomoedas e representa uma ameaça contínua à segurança financeira global. Demonstra também a necessidade de uma regulamentação internacional coordenada, alinhada aos padrões tradicionais de supervisão financeira, para bloquear rotas de fluxo ilegal de fundos. As análises de blockchain de empresas privadas desempenham papel fundamental nesse esforço, fornecendo informações que conectam o mundo cripto às ações de aplicação da lei tradicionais.

Este caso, que se estende por anos e envolve dezenas de milhões de dólares, funciona como um espelho, refletindo os desafios complexos de segurança, privacidade e conformidade regulatória no universo das criptomoedas. Comprova que, na blockchain, os rastros podem ser cuidadosamente ocultados, mas, ao agir, sempre deixam pegadas digitais que podem ser seguidas. Para o setor, construir um ecossistema que proteja ativos e privacidade dos usuários, ao mesmo tempo que seja capaz de identificar e rastrear atividades criminosas, será uma missão central por um longo período. Nesse processo, conceitos de controle de risco tradicionais, tecnologia regulatória e cooperação com as autoridades serão ferramentas indispensáveis.