A aposentadoria foi toda perdida! Investidores da carteira XRP foram hackeados, 3 milhões de dólares foram transferidos para a lavagem de dinheiro da Huione.

Brandon LaRoque, um aposentado de 54 anos, descobriu que os 1,2 milhões de XRP (no valor de cerca de 3 milhões de dólares) em sua Carteira Ellipal XRP foram roubados, economias que ele acumulou ao longo de sua vida desde 2017. O investigador de blockchain ZachXBT rastreou essa perda através de mais de 120 trocas de cadeia cruzada e descobriu que os ativos desapareceram em um balcão de Negociação OTC vinculado à Huione.

A aposentadoria foi completamente perdida: falha de segurança fatal na carteira XRP

（Fonte：Youtube）

O incidente teve origem no início deste mês, quando Brandon LaRoque descobriu que 1,2 milhões de XRP em sua Carteira Ellipal XRP haviam sido roubados. Vale a pena mencionar que essa quantia roubada vale atualmente 2,88 milhões de dólares, representando todas as economias acumuladas por este homem de 54 anos desde 2017.

Ele inicialmente pensava que seus fundos estavam seguros na carteira fria. No entanto, mais tarde, LaRoque descobriu que ao importar sua frase-semente no aplicativo móvel Ellipal, na verdade estava convertendo a configuração para uma carteira quente. Esse mal-entendido fatal resultou em consequências desastrosas.

“Nos últimos oito anos, estive acumulando XRP,” disse Larocque em um vídeo no YouTube sobre o caso de roubo. “Isso equivale a toda a nossa vida de aposentadoria, não sei o que fazer.” Esse tipo de desespero não é raro em casos de roubo de Carteira de XRP.

O caso Ellipal levantou novamente o debate sobre a segurança da custódia própria. As vítimas confundiram a carteira fria da Ellipal com a carteira quente baseada em aplicativo, o que reflete a falta de clareza no design da carteira XRP e a deficiência na educação dos usuários. A carteira fria deve estar completamente offline, com a chave privada nunca entrando em contato com a rede. No entanto, quando os usuários inserem a frase-semente no aplicativo móvel, a chave privada é exposta ao ambiente da rede, tornando-se essencialmente uma carteira quente.

Esta ambiguidade no design é uma falha comum em muitas Carteiras XRP. Os usuários muitas vezes erroneamente acreditam que ao usar uma carteira de hardware ou uma “carteira fria” reivindicada pela marca, os fundos estão absolutamente seguros. Na verdade, qualquer erro no processo operacional pode comprometer a segurança. Vale a pena questionar se a Ellipal advertiu adequadamente sobre este risco na interface do usuário e na documentação.

Huione lavagem de dinheiro: 150 bilhões de dólares de canal negro

A investigação em blockchain de ZachXBT revelou que os atacantes trocaram o XRP roubado através de 120 transações de ponte Ripple-to-Tron. Eles utilizaram os Bridgers (anteriormente conhecidos como SWFT) e depois integraram os fundos na Tron. Em três dias, esses ativos desapareceram em um balcão de negociação OTC vinculado à Huione.

O Departamento do Tesouro dos EUA impôs recentemente sanções a esta rede de pagamento do Sudeste Asiático, pois a empresa estava realizando lavagem de dinheiro da Huione através de fraudes, tráfico de pessoas e crimes cibernéticos, envolvendo bilhões de dólares. O caso conecta o roubo da carteira XRP ao Huione, expondo uma fraqueza crítica na aplicação da lei global. As autoridades americanas afirmaram que a lavagem de dinheiro da Huione facilitou transferências ilegais de mais de 15 bilhões de dólares.

O modelo de operação da rede Huione para lavagem de dinheiro é extremamente clandestino. Como um provedor de serviços de pagamento e câmbio aparentemente legítimo, a Huione opera em vários países do Sudeste Asiático, oferecendo aos criminosos uma via para trocar criptomoedas por moeda fiduciária. Devido à regulamentação mais flexível nesses países e à dificuldade de coordenação da aplicação da lei, a Huione conseguiu evitar sanções por um longo período.

A desvantagem é que, mesmo com o caminho da blockchain sendo público, os canais de lavagem de dinheiro entre jurisdições ainda são difíceis de interromper. ZachXBT consegue rastrear o fluxo de fundos para a Huione, mas não consegue impedir que os fundos sejam trocados e desapareçam lá. Este vazio de aplicação da lei é a causa fundamental da proliferação de crimes em criptomoedas.

Processo de lavagem de dinheiro da Huione em três etapas:

Primeiro passo: Cadeia cruzada de ofuscação: converter XRP em Tron através de 120 transações de ponte, ofuscando a origem dos fundos.

Segundo passo: Integração da transferência: integrar pequenos fundos em grandes, transferir para um novo endereço na cadeia Tron

Terceiro passo: Negociação OTC: troque por moeda fiduciária através do balcão de negociação OTC vinculado ao Huione, desaparecendo completamente.

95% recuperação da empresa é de predadores: cadeia de fraude secundária

Apesar de as autoridades frequentemente terem dificuldade em reagir rapidamente, ZachXBT afirmou que a recuperação econômica já está a ocorrer, aproveitando-se do desespero das vítimas. Ele escreveu: “Outra lição é que mais de 95% das empresas de recuperação são predatórias, oferecendo apenas relatórios básicos e cobrando altas taxas, mas raramente fornecendo insights acionáveis.”

Ele acrescentou que muitas dessas empresas dependem de SEO e segmentação em mídias sociais para atrair vítimas de roubos de carteiras XRP. Elas geralmente oferecem apenas relatórios superficiais sobre blockchain ou dizem aos clientes “entre em contato com a exchange”. O valor real desse tipo de serviço é extremamente baixo, mas as taxas são muito altas, frequentemente exigindo que as vítimas paguem dezenas de milhares de dólares como taxa inicial ou uma alta porcentagem após a recuperação bem-sucedida.

Este mecanismo de camada secundária transformou muitos ataques de hackers de alto valor em crimes de múltiplas fases. Primeiro, o próprio hacker realiza o ataque, seguido por operadores de recuperação falsos que prometem recuperar fundos que na verdade já desapareceram. Para vítimas como LaRoque, que já perderam 3 milhões de dólares, as falsas promessas dessas empresas de recuperação são como colocar mais lenha na fogueira.

ZachXBT sugere que a verdadeira tragédia é que a próxima onda de perdas pode não vir de hackers, mas sim daquelas pessoas que afirmam ajudar a recuperar fundos. Quando as vítimas, em desespero, buscam ajuda, essas empresas predatórias aproveitam sua esperança e desamparo para extrair o último valor.

Lição de segurança da Carteira XRP: a confusão mortal entre carteiras frias e quentes

Além das pistas de lavagem de dinheiro e da recuperação de esquemas fraudulentos de empresas, o caso Ellipal suscitou novamente o debate sobre a segurança da custódia autônoma da carteira XRP. As vítimas confundiram a carteira fria da Ellipal com a carteira quente baseada em aplicativo, o que reflete a falta de clareza no design da carteira e a ausência de educação do usuário.

A diferença fundamental entre uma carteira fria e uma carteira quente é se a chave privada está exposta à rede. A chave privada de uma verdadeira carteira fria nunca entra em contato com qualquer dispositivo conectado à Internet, e todas as assinaturas de transações são feitas em um ambiente offline. Em contraste, a chave privada de uma carteira quente é armazenada em um dispositivo conectado à Internet, o que a torna conveniente, mas com menor segurança.

O erro da LaRoque foi inserir a frase-semente na aplicação móvel. Mesmo que o dispositivo de hardware Ellipal seja uma carteira fria, uma vez que a frase-semente é inserida em uma aplicação conectada à internet, a segurança de toda a carteira XRP é reduzida a uma carteira quente. Esse erro de operação pode originar-se de uma má compreensão de como a carteira funciona, ou pode ser que a interface do usuário da Ellipal não tenha alertado suficientemente sobre os riscos dessa operação.

Devido à falta de capacidade das autoridades para lidar com crimes relacionados com criptomoedas, as esperanças de recuperar os 3 milhões de dólares da LaRoque são escassas. À medida que redes de lavagem de dinheiro transnacionais, como a Huione, se tornam cada vez mais prevalentes, a dificuldade de recuperação aumenta. Mesmo que o ZachXBT consiga rastrear o fluxo de fundos, a transparência da blockchain perde a sua eficácia quando os fundos entram na rede da Huione e são trocados por moeda fiduciária.