Golpes de pools de mineração com criptomoedas: Como se proteger e recuperar os ativos?
2023 será o ano das fraudes com criptomoedas. Saiba como se proteger de um dos principais golpes ligados a criptoativos.
A cada dia mais e mais pessoas são atraídas para investimentos envolvendo criptomoedas, ativos digitais negociados em Exchanges ou entre seus adquirentes na modalidade p-2-p. São inúmeros os atrativos e apelos para que pessoas convertam seu dinheiro em moedas virtuais e comecem a participar de esquemas de investimento que prometem altíssimas rentabilidades.
Dentre os golpes e esquemas fraudulentos que crescem silenciosamente e furtam milhões por dia, estão os golpes ligados aos “pools de minerações”. Em síntese, nos pools o investidor é “mentorado” por um especialista, que lhe convida a converter moeda fiduciária em uma moeda virtual, comumente USDT (Tether) e a partir daí, investir no POOL. O POOL atuaria com as criptos em atividades de mineração, que seriam lucrativas e gerariam grandes dividendos para seus investidores.
Uma das maiores corretoras do mundo, a BINANCE, por exemplo, muito usada no Brasil, possui seu serviço de Mineração (Acessível em “Finanças, Binance Pool”), onde é possível colocar o processamento de placa de vídeo para mineração, recebendo em criptomoedas para isso.
Comumente é feito um download de um app de mineração (como MBMiner) e insere-se a URL de mineração no arquivo de texto ligado ao referido programa, inserindo-se também o hash da wallet do minerador, sendo que a mineração já começa a atuar e onde o usuário já pode ir acompanhando em estatísticas o quanto minerado e os ganhos em Ethereum, que podem ser transferidos da conta pool para a carteira spot do usuário.
Por outro lado, cientes deste aspecto, surgem os golpes onde criminosos irão usar a identidade visual de grandes Exchanges e convencer investidores a ingressarem em “lucrativos pools de mineração”. Lamentavelmente, muitas vezes estes bandidos chegam até as vítimas por meio de dados pessoais vazados das próprias Exchanges e fazem abordagens do tipo “Sei que você já é cliente nosso e tem uma wallet conosco”.
Assim, insere-se a vítima em grupos de WhatsApp ou Telegram, ou ainda, em alguns casos, adicionam vitimas a partir de aplicativos de relacionamento, como Tinder, Happn, dentre outros e lá se apresentam como agentes de investimentos das Exchanges.
A abordagem é sempre mesma, com algumas derivações: “Sou especialista em investimentos e quero lhe mostrar uma oportunidade de multiplicar seu dinheiro com piscina de mineração de criptomoedas”. Inicialmente, para ganhar a confiança da vítima, pedem para ela inserir uma pequena quantia financeira, momento em que um lucro rápido é obtido e devolvido sem maiores problemas, o que desarma qualquer desconfiança da vítima.
Confiante se tratar de uma mega oportunidade, a vítima é condicionada a criar uma carteira TrustWallet, Crypto.com ou em outra empresa e inserir USDT, para que possa dedicar à mineração. Em dado momento, o falso mentor informa que passará o link da mineração (aplicativo) pois é ele que permite acompanhar os ganhos e até mesmo solicitar o resgate. A vítima, então, insere o link no browser da wallet, que se conecta à mesma.
A partir deste momento, a vítima começa a ver rendimentos no aplicativo fraudulento, vendo o saldo aumentado. No entanto, sua wallet vai sendo esvaziada, já que o smart contract executado com o acesso ao link dá permissões para remoção de fundos.
Ao tentar sacar os valores, a vítima se depara com desculpas de que precisa pagar mais, ou pagar impostos e o dinheiro nunca é liberado. Inúmeras desculpas são ditas pelos fraudadores, até mesmo a de que a vitima está tendo muitos rendimentos e precisa pagar mais pois se tornou “vip”. São milhões de dólares e reais em ativos criptográficos roubados em wallets como Coinbase Wallet, TrustWallet, Metamask, etc.
Para se proteger, é muito importante desconfiar de contatos que lhe adicionam “do nada” ou a partir de apps de relacionamento e lhe convide para ingressar em pools de mineração. Jamais acesse links ou conecte carteiras auto-custodiadas a sites desconhecidos. Nunca mantenha ativos de alto valor em carteiras usadas para interagir com DAPPS (aplicações descentralizadas).
Em algumas Exchanges, é possível ativar um verificador de aprovação de token para validar a permissão real em carteiras e revogar aprovações que você não autorizou. Você pode conferir se um token é confiável em https://etherscan.io/tokenapprovalchecker inserindo o endereço informado pelo suposto “mentor”. Cuidado com contatos de supostos “mineradores profissionais de criptomoedas”.
Uma estratégia interessante é a criação da Vaults associadas à sua wallet, que evitam que contratos removam os fundos ou adicionam necessidades adicionais para que isso seja feito. Infelizmente, muitas wallets e exchanges “by default” não oferecem aos consumidores o mínimo em segurança que deveriam oferecer para evitar golpes desta natureza. Estão, no Brasil, para prestar serviços e lucrar, mas não possuem nenhuma medida de segurança da informação, ligada a conscientização, técnica ou administrativa para reduzir o número de clientes que são vitimados.
Pior, os criminosos usam descaradamente dados, logomarca, identidade das empresas em grupos e perfis, que por sua vez, se mantém sem silêncio. Neste sentido, não se pode descartar a responsabilidade civil destas empresas em reparar os clientes que forem lesados a partir do furto de criptomoedas em Exchanges e Wallets. Ao contrário de uma instituição bancária, por exemplo, que pode bloquear uma chave PIX suspeita, cautelarmente, ou exigir outros critérios de segurança para a aprovação da transação, muitas wallets falham nos processos simples que poderiam evitar os golpes e já são responsabilizadas judicialmente.
Um exemplo de controle que deveria se esperar de uma Exchange seria avaliar se o link representa um scam, quando o cliente aplicasse o mesmo em sua wallet, tarefa simples que poderia mostrar as reais permissões do contrato e alertar o consumidor.
Nada é feito pela maioria das responsáveis pela custódia de criptomoedas. De outra ordem, as Wallets deveriam bloquear transações que fogem ao comportamento “padrão” do cliente, o que não é feito. Além disso, poderiam observar localidade, endereços IPS, dados do dispositivo e outras indicações atípicas para aquela conta e imediatamente bloquear o furto.
Por outro lado, no Brasil, estas empresas (exchanges e wallets) se equiparam a instituições financeiras e, neste sentido, o Judiciário aprecia casos de responsabilidade civil destas empresas, que de sua parte, não realizaram ou implementaram controles mínimos para evitar golpes, cada dias mais comuns, tendo sua parcela de responsabilidade. Já existem condenações destas empresas, sobretudo por prestarem um serviço defeituoso, nos termos do Código de Defesa do Consumidor:
Art. 14. O fornecedor de serviços responde, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos relativos à prestação dos serviços, bem como por informações insuficientes ou inadequadas sobre sua fruição e riscos.
- 1° O serviço é defeituoso quando não fornece a segurança que o consumidor dele pode esperar, levando-se em consideração as circunstâncias relevantes, entre as quais:
I – o modo de seu fornecimento;
II – o resultado e os riscos que razoavelmente dele se esperam;
III – a época em que foi fornecido.
Importa dizer que o crime praticado pelos que falseiam o pool é fraude eletrônica, previsto na Lei 14.155/2021, com pena que pode chegar a oito anos de reclusão. Caso tenha sido vítima, não utilize, sob nenhuma hipótese, a wallet comprometida, salve todas a provas dos contatos recebidos, e procure um jurídico e advogado especializado em criptomoedas para rastreio forense das criptomoedas, quebra de sigilo dos contatos dos envolvidos e adoção das medidas de responsabilização das aplicações e atores envolvidos, visando o ressarcimento dos fundos.
José Antonio Milagre, PhD. Advogado especialista em Crimes Cibernéticos. Diretor de Forense Digital e Resposta a Incidentes da CyberExperts. Perito Especialista em Segurança Digital, Resposta a Incidentes e Crimes Cibernéticos. Certificações CIPM, CDPO IAPP, DPO EXIN, ISO 27701 Lead Implementer PECB, Graduação em Análise de Sistemas, Pós Graduado em Gestão de Tecnologia da Informação. Mestre e Doutor em Ciência da Informação pela Universidade Estadual Paulista UNESP, Presidente da Comissão de Direito Digital da OAB Barueri/SP.
Site: https://www.direitodigital.adv.br
Youtube: http://www.youtube.com/josemilagre