Golpista fica com medo e “estorna” R$ 330 milhões em Bitcoin para vítima

Um investidor que recentemente perdeu R$330 milhões em WBTC (token sintético de Bitcoin) pode respirar aliviado ao ver que seus fundos foram “estornados” pelo golpista que o roubou.

Parece improvável, mas o blockchain não mente. O roubo, ou pishing, ocorreu após o golpista enviar um endereço bastante parecido com o da vítima, e a vítima achar que era o dela. Desse modo, a vítima acaba se confundindo, e envia a quantia para o endereço errado. Portanto o que aconteceu foi como um PIX copiado e colado errado, mas no valor de R$ 330 milhões.

No dia 12 de maio, após o incidente de phishing de alto perfil chamar a atenção de várias empresas de investigação de blockchain. A firma de segurança on-chain Lookonchain detalhou os acontecimentos em uma postagem no X.

“SlowMist_Team divulgou um relatório sobre esse incidente há 3 dias, rastreando múltiplos IPs do atacante possivelmente de Hong Kong (o uso de VPNs não foi descartado). Após isso, o atacante respondeu à baleia e devolveu todos os fundos.”

O golpista criou um endereço de carteira com caracteres alfanuméricos semelhantes e fez uma pequena transação para a conta da vítima. Assim, torceu para que a vítima se confundisse e enviasse para ele, achando que seria seu próprio endereço.

Como a maioria dos investidores, a vítima validou o endereço da carteira combinando os primeiros e últimos caracteres, e transferiu 97% de seus ativos para ele. No entanto, a diferença teria sido perceptível nos caracteres do meio, frequentemente ocultos em plataformas para melhorar a aparência visual.

Volta o golpista arrependido, com Bitcoin devolvido

Apesar de devolver todos os fundos roubados, as transações on-chain que antecederam o evento sugerem que essa não era a intenção inicial do explorador.

Após receber os fundos roubados, o golpista converteu imediatamente os 1.155 WBTC (Bitcoin) em aproximadamente 23.000 ETH (Ether). Essa jogada é popular entre hackers maliciosos que podem ajudar a lavar fundos roubados por meio de protocolos de privacidade e serviços de mistura de criptomoedas como o Tornado Cash.

Em 8 de maio, o atacante começou a espalhar os fundos por mais de 400 carteiras cripto, que acabaram em mais de 150 carteiras separadas, antes de devolver os ativos.

A devolução dos fundos ocorreu logo após a firma de segurança on-chain SlowMist publicar uma análise sobre os potenciais IPs do atacante baseados em Hong Kong. Portanto, a análise sugere que o ladrão ficou assustado com as possíveis consequências.