A perda de $400 milhões da FTX revela como as fraudes de troca de SIM contornam a segurança Cripto.

Quando a FTX colapsou em novembro de 2022, os reguladores e a comunidade cripto apressaram-se a entender como os hackers drenaram $400 milhões das carteiras da exchange. As recentes acusações federais finalmente fornecem respostas – mas também levantam questões desconfortáveis sobre o que realmente aconteceu e quem é responsável.

O Esquema de Troca de SIM que Quebrou a Segurança da FTX

Em janeiro de 2024, o Escritório do Procurador dos EUA para o Distrito de Columbia revelou acusações contra Robert Powell, Carter Rohn e Emily Hernandez – três indivíduos acusados de orquestrar um ataque sofisticado, mas surpreendentemente simples: troca de SIM.

Aqui está como funcionou: Os réus alegadamente obtiveram informações pessoais de mais de 50 vítimas, e depois usaram documentos falsificados para enganar os provedores de telecomunicações a transferir os números de telefone dessas vítimas para novos dispositivos sob seu controle. Ao redirecionar um número de telefone para seu próprio cartão SIM, os golpistas interceptam códigos de autenticação de dois fatores – os Guardiões digitais que protegem contas financeiras.

Uma vez que tinham esses códigos, o acesso às contas da FTX tornou-se simples. Quando os titulares de contas legítimos tentavam autenticar os logins, os textos de autenticação iam para os telefones dos criminosos em vez disso. Os fraudadores simplesmente usaram os códigos para se fazer passar pelos titulares das contas e esvaziar os seus saldos.

A acusação descreve o maior ataque que corresponde a este padrão, com datas e montantes alinhando-se precisamente com o anúncio público de falência da FTX. Fontes federais confirmaram que a FTX é a “Victim Company-1” não nomeada mencionada nas acusações.

Uma Falha Crítica: Quem Realmente Roubou o Dinheiro?

Aqui está o que torna este caso intrigante: enquanto Powell, Rohn e Hernandez estão acusados de roubar informações pessoais e vender códigos de autenticação, a acusação exclui notavelmente esses indivíduos ao descrever o roubo real de fundos da FTX.

Em vez disso, as acusações referem-se a “co-conspiradores” não identificados que “obtiveram acesso não autorizado às contas da FTX” e “transferiram mais de $400 milhões em moeda virtual” para carteiras que controlavam. Na prática legal padrão, os promotores nomeiam os réus ao detalhar as ações que cometeram. A ausência desses três suspeitos no roubo final sugere que alguém mais executou o furto em si.

Este detalhe linguístico é importante. Enquanto as manchetes proclamavam “mistério resolvido”, a acusação mantém os principais perpetradores na sombra. Os verdadeiros arquitetos do hack da FTX podem permanecer sem nome – pelo menos por enquanto.

Por que as Trocas de SIM Funcionam e Por que os Reguladores Estão Alarmados

A troca de SIM tem sucesso porque explora uma fraqueza fundamental na infraestrutura de segurança moderna. As empresas de telecomunicações dependem de uma verificação de identidade relativamente básica – perguntas que os fraudadores podem responder com informações pessoais roubadas. Entretanto, as exchanges de criptomoedas, bancos e plataformas tecnológicas tratam a autenticação baseada em SMS como uma proteção suficiente.

Para os criminosos, a troca de SIM oferece uma combinação ideal: baixo custo, sofisticação técnica mínima e sucesso comprovado. É uma fraude rudimentar executada em grande escala.

Os reguladores federais estão a prestar atenção. Em dezembro de 2023, a Comissão Federal de Comunicações emitiu novas regras que exigem que os fornecedores de serviços sem fio reforcem a autenticação dos clientes antes de processar transferências de SIM. A SEC, por sua vez, sofreu recentemente um ataque de troca de SIM – um lembrete embaraçoso de que até as agências reguladoras permanecem vulneráveis.

Os novos requisitos de divulgação de cibersegurança da SEC aumentam esta pressão. As exchanges regulamentadas nos EUA devem agora documentar os seus protocolos de segurança, demonstrar procedimentos de gestão de risco e passar por auditorias externas. Estes requisitos garantem que os clientes compreendam quais as proteções que as empresas implementaram.

O Que Isso Significa para as Empresas e Usuários de Cripto

A acusação de Powell revela uma verdade desconfortável: a indústria cripto depende de padrões de segurança que têm décadas e são cada vez mais inadequados. O colapso da FTX resultou em parte de vetores de ataque primitivos que deveriam ter sido neutralizados há muito tempo.

Para os exchanges que operam nos EUA, o caminho a seguir é claro: adotar medidas de segurança que excedam os mínimos regulamentares. Isso inclui a transição de autenticação de dois fatores baseada em SMS para alternativas mais seguras, como chaves de hardware ou aplicativos autenticadores. Requer rigorosos protocolos de verificação de identidade que resistam a engenharia social. Mais importante ainda, exige transparência – os clientes têm o direito de saber quais medidas de segurança o seu exchange implementou.

As plataformas offshore enfrentam uma pressão diferente. Sem supervisão da SEC, não podem esconder-se atrás da conformidade regulatória como um ponto de venda. Em vez disso, a competição no mercado recompensará cada vez mais aqueles que adotam voluntariamente práticas de cibersegurança transparentes. As empresas que resistirem a tal divulgação enfrentarão clientes céticos – com razão, dado a abordagem opaca da FTX em relação à governança de segurança.

O hack da FTX e as acusações a Powell ilustram uma realidade inevitável: a infraestrutura das criptomoedas é tão segura quanto o seu elo mais fraco. Esse elo muitas vezes não é a própria tecnologia blockchain, mas os sistemas de autenticação voltados para o usuário que protegem o acesso a carteiras e contas. Até que a indústria sistematize defesas contra a troca de SIM e ataques semelhantes, nem reguladores nem usuários podem confiar que outro roubo de $400 milhões não acontecerá novamente.