Um esquema sofisticado envolvendo um aplicativo fraudulento disponível na App Store enganou dezenas de usuários e resultou em perdas significativas em diferentes redes blockchain. Segundo o pesquisador conhecido como ZachXBT, mais de 50 pessoas foram afetadas por esta fraude, que movimentou cerca de US$ 9,5 milhões em ativos digitais entre 7 e 13 de abril. As vítimas acreditavam estar instalando um cliente legítimo da Ledger, mas acabaram inserindo a frase semente durante a configuração, o que permitiu o acesso e a transferência imediata dos fundos.
O caso reacende alertas antigos sobre aplicativos falsos em lojas oficiais e mostra como o erro humano, somado à falta de checagem, pode ser explorado por criminosos. Entre os afetados houve casos de grande impacto financeiro, incluindo perdas de 5,92 BTC relatadas publicamente. A investigação rastreou o fluxo dos recursos até serviços que obscurescem a origem, com uso de múltiplos endereços e plataformas de câmbio para finalizar a operação.
Index du contenu:
Como o golpe funcionou
O método aplicado pelos criminosos seguiu um padrão clássico: um aplicativo malicioso que se passava pela interface e pelo nome do cliente legítimo induziu usuários a copiar e colar a frase semente — o conjunto de palavras usadas para recuperar carteiras. Com essa informação comprometida, os invasores conseguiram transferir ativos de várias blockchains, incluindo Bitcoin, redes EVM, Tron, Solana e Ripple. A publicação de ZachXBT detalha que as movimentações ocorreram em pouco tempo e foram posteriormente consolidadas em endereços ligados a plataformas centralizadas.
Lavagem de fundos e papel de intermediários
Na etapa de ocultação, os atores ligados ao incidente utilizaram um serviço identificado como AudiA6, classificado como um mixer centralizado que cobra altas taxas para ofuscar trilhas financeiras. Parte dos recursos chegou a ser remetida para mais de 150 endereços de depósito associados à KuCoin, segundo o rastreamento disponível. Esse padrão facilita a conversão e dispersão dos ativos, tornando o retorno aos proprietários muito mais complexo sem cooperação das plataformas que receberam os depósitos.
Regulação e histórico da KuCoin
O relatório de ZachXBT menciona um aumento de atividades ilícitas percebido na KuCoin e lembra episódios regulatórios prévios: a corretora recebeu restrições para novos usuários da União Europeia por autoridades austríacas e, segundo a investigação, acreditava-se que a KuCoin havia enfrentado penalidades significativas no passado. Esses pontos reforçam o debate sobre responsabilidade das exchanges ao receber fundos originados por fraudes.
Vítimas e perdas mais expressivas
Entre os casos reportados, houve perdas individuais substanciais. Um investidor relatou a perda de 5,92 BTC, enquanto o pesquisador identificou três vítimas com prejuízos milionários em reais: a maior perda apontada foi de R$ 16,1 milhões (equivalente a 3,23 milhões de USDT), outra de R$ 10,4 milhões (~2,1 milhões de USDC) e uma terceira envolvendo 20,6 BTC, 211 stETH e 70 ETH, totalizando aproximadamente R$ 9,7 milhões (US$ 1,95 milhão). O músico conhecido como G. Love foi um dos nomes públicos que relatou ter perdido cerca de 5,92 BTC após inserir sua frase de recuperação no app falso.
Resposta das empresas e lições para usuários
A Apple removeu o aplicativo fraudulento da App Store após os alertas, mas nem a Ledger nem a KuCoin emitiram declarações públicas detalhadas sobre esse episódio no momento do rastreamento. Para usuários de criptoativos, a recomendação é clara: baixar softwares apenas dos canais oficiais citados nos sites das empresas, validar assinaturas digitais quando disponível e nunca compartilhar a frase semente. Além disso, habilitar medidas de segurança adicionais, como autenticação de dois fatores e armazenamento a frio para grandes saldos, reduz substancialmente o risco de perdas irreversíveis.
Precauções práticas
Em cenário de recorrência de aplicativos fraudulentos, é essencial adotar práticas de higiene digital. Verifique sempre a URL oficial do fornecedor, prefira usar o software oficial baixado diretamente do site da marca, confirme a legitimidade do desenvolvedor na loja de apps e desconfie de instruções que peçam a sua frase semente. Em caso de ataque, registrar as transações e comunicar a exchange receptora pode ajudar nas investigações, ainda que a recuperação de ativos seja rara sem colaboração institucional.
