Roubos de criptomoedas são comuns na indústria. Apenas no ano passado, quase R$ 20 bilhões em criptos foram perdidos em tais ataques. No entanto, um hack que aconteceu durante um encontro presencial está desafiando a imaginação da comunidade.
Através de um documento, Ahad Shams, co-fundador da Webaverse, conta ter perdido US$ 4 milhões (R$ 20,8 milhões) durante um encontro presencial com falsos investidores em Roma, na Itália.
Em suma, Shams foi contatado por um grupo de investidores que desejava injetar dinheiro em sua startup. Conversa adiante, os golpistas pediram que o executivo se encontrasse com eles em Roma para mostrar a carteira contendo os fundos da empresa.
“Eu estava procurando fechar uma rodada de arrecadação de fundos para o Webaverse. Fui abordado por um homem que alegou ser um advogado representando o neto de Joseph Safra, que estava ansioso para investir na Webaverse”, conta Ahad Shams no documento. “Embora estivéssemos céticos, o e-mail parecia ser de um escritório de advocacia de aparência legítima (baseado em seu site) e eles puderam nos fornecer informações de KYC (que agora entendemos ser falsas).”
As conversas continuaram tanto por e-mail quanto por vídeo. Shams estava acreditando cada vez mais na veracidade das informações fornecidas pelos golpistas.
“Ele estipulou como requisito que voássemos para Roma para encontrá-lo, porque era importante o conhecer para ‘nos sentirmos confortáveis’ com quem cada um de nós estava fazendo negócios”, continuou Shams.
“Ele também queria um ‘prova de fundos’; explicando que tinha apenas um ‘entendimento básico’ de criptomoedas e não entendia a interface das carteiras de hardware, mas que havia usado a Trust Wallet da Binance e se pudesse ver os fundos em uma conta da Trust Wallet que controlamos, ele ficaria confortável.”
O encontro em Roma
Ainda em sua casa, o CEO da Webaverse então transferiu 4 milhões de dólares em USDC para seu recém-criado endereço na Trust Wallet, acreditando que os fundos estariam seguros.
Já no dia 26 de novembro, relata Shams, ele e um amigo seu encontraram os homens que se passavam por Safra, seu banqueiro e seu advogado em um lobby de hotel em Roma. “Estavamos prontos para fechar a arrecadação de fundos nesta reunião”, notou o executivo.
““Safra” pediu para ver os saldos na Trust Wallet e pegou o celular para “tirar umas fotos”. Pensamos que isso era estranho, mas como nenhuma chave privada ou frase-semente estava aparecendo, nós concordamos”, contou Shams.
“O “sr Safra” disse estar satisfeito, dizendo que precisava sair para discutir os próximos passos com os colegas e nunca mais o vimos. Minutos depois, os fundos saíram da carteira.”
O golpe então chegava ao seu fim. Shams perdia US$ 4 milhões em um encontro presencial sem ter a mínima ideia de como isso aconteceu, mas seus problemas só estavam começando.
Investigações sobre o hack presencial
No mesmo dia do golpe, Ahad Shams denunciou o roubo às autoridades italianas. No dia seguinte, também entrou em contato com o FBI para tentar reaver seus US$ 4 milhões em criptomoedas.
“Ainda não temos 100% de certeza de como isso aconteceu tecnicamente, mas, em resumo, os golpistas nos convenceram a mover fundos para uma nova carteira (que criamos e controlamos) para fornecer ‘prova de fundos’.”
Finalizando, o executivo conta estar preocupado por ter compartilhado seus documentos pessoais com os golpistas. Indo além, Shams dá ênfase a suas tentativas frustradas de obter pistas sobre como foi hackeado.
“Falei com vários escritórios de investigação e escritórios de advocacia”, conta o executivo. “Mas ninguém podia fazer mais do que dar palpites e todos eram caros, sugerindo todos os tipos de opções, incluindo processar a Binance e que eu deveria fazer um ‘seguro de sequestro’.”
O que diz a Trust Wallet
Em nota publicada no Twitter, Eowyn Chen, CEO da Trust Wallet, lamentou o caso. No entanto, após investigações, concluiu que a causa do incidente não foi a carteira, mas sim motivos externos.
“É triste saber do caso de roubo da Webaverse. Após interagir com as equipes de investigação, temos muita confiança de que o caso de roubo não foi causado pelo aplicativo Trust Wallet, mas provavelmente por uma organização criminosa. Infelizmente, tem havido alguns golpes presenciais na Europa, especificamente em Roma.”
Comunidade realiza investigação por conta própria
Conforme o caso de um hack presencial é bastante anormal, a própria comunidade está procurando por respostas. A mais lógica, até o momento, parece ser a hipótese levantada por Ouriel, CEO da ZenGo, outra carteira de criptomoedas.
“Eu fui e verifiquei”, conta Ouriel. “É possível acessar a frase-semente de forma clara na Trust Wallet sem verificação de segurança adicional (pin ou biometria).”
“1. Obtenha o telefone do proprietário com a Trust [Wallet] aberta;
2. Com uma mão, vá rapidamente para a configuração de segurança enquanto pega o outro telefone [para tirar a foto];
3. Pronto.”
I went and checked. It is possible to access the seed phrase in clear in trust wallet without additional security check (pin or biometrics).
1. Get the phone from the owner with trust open
2. With one hand move fast to security setting while getting your other phone.
3. Done pic.twitter.com/Zsk5LSuU2a— Ouriel @ZenGo (@OurielOhayon) February 7, 2023
Portanto, caso este seja o caminho percorrido pelos golpistas, é possível que a Trust Wallet e outras carteiras adicionem essa proteção adicional mencionada por Ouriel para evitar golpes semelhantes. Até lá, tal caso serve de alerta a outros empreendedores.
