Como analisar criptomoedas e NFTs para identificar scam, golpes, fraudes e evitar ser vítima?

Estratégias para due dilligence e investigação de projetos de criptomoedas e o que fazer caso tenha criptomoedas ou investimentos furtados.  

José Antonio Milagre

A popularização das criptomoedas e os tokens não fungíveis (NFTs)

Não é preciso muito esforço para identificar notícias da crescente onda de pessoas se interessando cada vez mais pelas criptomoedas. No Brasil, o número de “investidores,” se é que podemos tratá-los com este termo, cresce vertiginosamente. Inúmeras financeiras fazem anúncios ostensivos e até mesmo certa “propaganda enganosa” das “moedas do século”, as “5 altcoins com rentabilidade de 5000%”, “a cryptos dos 10000%”, dentre outras chamadas que vem atraindo milhares de pessoas, sem qualquer conhecimento do mercado, riscos, volatilidade e que muitas vezes não medem as consequências de investir grande parte do patrimônio. Calendários de lançamentos de criptomoedas são acompanhados avidamente por estas pessoas, em sites indicados nos cursos, que se multiplicaram.

Soma-se isso o crescimento dos metaversos e games baseados em compras de itens e NFTS, os chamados tokens não fungíveis, graças as Blockchains que permitem a construção da aplicativos e o processamento dos smart contracts, contratos inteligentes.

Com mais de 9000 (nove mil) criptomoedas listas e popularização das linguagens de programação, como Solidity, a cada dia pessoas são bombardeadas com novos tokens, por informações e “desinformações” sobre “no que apostar”, “como acompanhar pré-lançamentos”, e como “identificar moedas recentemente adicionadas” e supostamente “rentáveis”. E essa dinâmica apresenta inúmeros riscos, ainda não conhecidos por todos…

Quais os riscos?

Em meio a inúmeros projetos, muitos evidentemente, bem embasados, cresce no escritório de advocacia especializado em criptomoedas a procura por vitimas lesadas por Scammers, projetos falsos, fakes ou lançados por criminosos com o intuito de capitalizar, arrecadar altas cifras de dinheiro e, na sequência,  desaparecer. São portais com códigos maliciosos, falhas nos contratos, fundadores concentrando grande parte dos fundos, dentre outras manobras que despercebidas, podem lesar investidores menos atentos e causarem profundos danos.

O lançamento das criptomoedas (ICO – lançado dentro do site do projeto, IEO – pré-venda em Exchanges ou IDO – pré-venda em exchanges descentralizadas, como a Pancake Swap) exigem análise criteriosa antes de aportes, sobretudo por quem gerencia fundos de terceiros. Normalmente, estas coins estão listadas em “Recém adicionadas” no CoinMarketcap e onde temos também a guia “Trending”, ligada às criptos mais populares.

A compra em DEX, ou exchanges descentralizadas, do mesmo modo, exige cuidado ainda maior, considerando que “em tese” (e não juridicamente) não são mantidas por uma única empresa. Comumente, estas compras ensejam a criação de uma wallet, como Metamask e Trust Wallet, a adição de fundos por diversos meios disponíveis e o uso de uma cripto que permite a “compra” ou “troca” pelos tokens que só estão listados nas descentralizadas.  Neste sentido, a experiência mostra que ações de auditoria dos tokens, antes da compra, demonstram-se fundamentais

Pontos para auditoria e investigação de criptomoedas e projetos

Nosso escritório de advocacia especializado em crimes cibernéticos e criptomoedas listou alguns pontos interessantes para compreender e avaliar projetos. Recomendamos sempre a suporte de uma consultoria de forensics e due dilligence para análise de projeto. Por outro lado, algumas análises podem ser feitas pelo próprio investidor.  Dentre eles, citamos:

a) Considere analisadores como CoinMarketCap e Coinbase. Neste portais, é possível ver importantes metadados ligados aos tokens, como site oficial, links para comunidade no twitter, reddit e outros, o White paper, o endereço do contrato e outros dados como market cp, volume, quais os mercados onde ela está disponível, por qual criptomoeda pode ser adquirida dentre outros;

b) Analise o site do projeto. Veja se realmente contém informações indispensáveis para segurança do referido projeto. Avalie cuidadosamente o site e se está devidamente estruturado. Cuidado com sites falsos, criados para fazer com que você conecte sua wallet e perca tudo. Investigue em fontes abertas os dados dos registrantes e onde está hospedado;

c) Pesquisa reputacional. Analise notícias e quem comenta sobre a coin. Avalie também se existem influencers comentando e aderindo, se existe alguma noticia de fraude, dentre outros pontos ligados à informações;

d) White Paper. O White paper deve condensar o detalhamento do projeto, como funciona, quem são os envolvidos a moeda, quando será o lançamento, percentual dos fundadores, dentre outras informações importantes;

e) RoadMap. Trata-se do documento ou gráfico que condensa as etapas do projeto, informando datas de atualizações, como o projeto está elaborado, quando o jogo será atualizado (em se tratando de games), dentre outros;

f) Os desenvolvedores. Investigue quem está por trás do projeto. São pessoas ou comunidades consolidadas ou desconhecidos? São pessoas que já se envolveram em outros bons projetos consolidados? A exemplo, Charles Hoskinson, fundador da Cardano, co-fundou a Ethereum, o que não deixa de ser um bom indicativo;

g) Composição da maioria das coins. Importante verificar como está a distribuição das coins, para se evitar o esvaziamento do projeto. A exemplo uma cripto lançada onde um holder tem 70% das coins e apenas 30% está no contrato, caracteriza um risco. Agora imagine este titular tirando estas criptos… Teremos poucas vendas, teremos a queda do projeto. O mesmo dever ser visto, por exemplo, onde 99% dos fundos estão numa wallet que não é contrato ou nas mãos de poucos holders. Uma regra de auditoria e perícia em criptomoedas nos informa que projetos com holders com mais de 5% na carteira já pode ser um sinal de alerta. A movimentação deles pode prejudicar fortemente o mercado, pois gera correções. O projeto ideal seria todos com menos de 1%, porém é sabido que isso é praticamente impossível;

h) Ratings. Algumas plataformas podem avaliar, por meio de métricas, a saúde dos projetos de criptomoedas. Um dos exemplos é o Fundamental Crypto Asset Score, FCAS, que considera, para definição da saúde do projeto: a) Atividade do usuário – que compara as atividades na cadeia para identificar o crescimento; b) Comportamento do desenvolvedor – que mede atualizações de protocolo; c)Maturidade de Mercado – que analisa risco e liquidez. Considere uma consultoria de avaliação e perícia em criptomoedas que detenha e aprecie métricas consolidadas e referenciadas e elabore um parecer para potenciais investidores;

Estes são apenas alguns dos inúmeros pontos que uma consultoria de risco e segurança da informação em projetos de criptomoedas poderá desenvolver para clientes, fintechs e potenciais compradores. Além destas análises, somada à análise legal, regulatória, a ser desenvolvida pelo escritório de advocacia especializado em fraudes e criptomoedas, outra análise importantíssima deve ser feita, envolvendo os smart contracts, dados e algumas métricas.

Análises de contratos e métricas

Além destas análises citadas, uma análise do smart contract do projeto é fundamental. Neste sentido, é importante destacar que cada coin tem o seu “endereço único”, que pode ser do padrão BEP20 Binance Smart Chain ou outro padrão, com Ethereum. A partir deste endereço, podemos fazer importantes atividades de perícia e auditoria e ter admiráveis insights para que possamos evitar grandes golpes, fraudes, e scam. Algumas orientações são:

a) Audits. Algumas plataformas, permitem que parceiros conectem-se à sua API (Application Programming Interface) e conduzam avalições do código fonte. Uma das formas dos criadores de projetos buscarem maior confiança é conseguir o selo Audit, por meio de algum parceiro de plataformas, como Certik, Hacken ou QuantStamp. Porém, é importante que você conduza sua própria due dilligence. A Auditoria apresenta um Security Score e é possível ver quando foi revisada. Em nossa consultoria, conduzimos auditorias por meio de diversos analysers, inclusive com tecnologias proprietárias;

b) Holders. Como visto, podemos identificar o endereço do token em plataformas e conduzir uma análise de holders. Assim, pode-se pegar o endereço do contrato e, partir dele, avaliar o percentual de cada holder. Cuidado com contratos onde grande parte das coins estão nas mãos de endereços que não o contrato (bloqueadas), o que pode interferir na liquidez (LP info). O equilíbrio na divisão é importante;

c) Bscheck. É uma plataforma de auditoria de criptos, que a partir do contract number, procede uma série de análises e emite um relatório ao final sobre ser um scam, arriscado ou não;

d) Contract owner. Avalie o endereço do criador e o percentual que ele tem. Percentual elevado também pode caracterizar risco. Alguns analisadores forenses informam se o desenvolvedor renunciou ou não ao balanço, o que é praticamente impossivel;

e) Dev wallet. Avalie também a liquidação do desenvolvedor. Se a certeira do desenvolver não tem contrato ele pode levar tudo a qualquer momento;

f) Detectores de HoneyPot. Na nossa atividade envolvendo auditorias e perícias em projetos de criptomoedas, nfts e metaversos, utilizamos frequentemente os detectores de honeypot, por meio de tecnologia que simula a compra e venda de transações para verificar se um token é honetypot, e se é possível vender depois de comprar, incluindo o tempo entre as transações de compra e venda;

g) LP Info. Trata-se de uma métrica muito importante pois além de avaliar o percentual do endereço dos desenvolvedores, avalia o PinkSale e PinkLock, o percentual de fundos que estão travados ou seja, mais uma garantia para quem quer comprar. Alguns analisadores LP Info, mais conservadores, exigem mais de 95% burned ou locked para pque a cripto possa ser aprovada nesta métrica;

h) Analisadores de whois e metadados. Por fim, é possível, com base no mesmo endereço, utilizar plataformas que reúnem metadados sobre um endereço e podem indicar até denúncias de outras vítimas e evitar que novas tenham as criptomoedas roubadas.

Cuidado adicional ao se conectar em sites de games, nfts e projetos

Uma orientação adicional, ainda, consiste em avaliar constantemente seu endereço nos scanners de endereços e, neste sentido, caso identifique contratos suspeitos conectados, é possível remover ou revogar permissões. Se receber estranhamente criptomoedas na sua wallet, não tente resgatá-las e principalmente, cuidado ao conectar sua carteira principal em projetos não analisados. Eles conseguem permissão para desviar todos os seus fundos. Se for vítima, procure ajuda e advocacia especializada em criptomoedas.

Fui vítima de golpe e fraude com criptomoedas. Roubaram minhas criptomoedas. E agora?

Apesar de todas as medidas para due dilligence e auditoria de criptos aqui informadas e da importância de contar com uma consultoria de segurança para projetos de criptos, ainda assim, fraudes e golpes podem ser aplicados. Nestes casos, agir rápido e preservar todas as cópias e evidências de titularidade de fundos, wallet e transações revela-se fundamental, bem como procurar ajuda de um perícia forense e escritório especializado em criptomoedas e cybercrrimes, para o início de procedimentos envolvendo asset recovery, envolvendo ações de rastreamento e recuperação ou responsabilização das plataformas pelos danos diante de falhas na segurança. Dentre as medidas adotas estão:

a) Imediata notificação e acionamento do suporte ligado a Exchange ou wallet;

b) O registro da ocorrência policial e atas notariais;

c) A adoção de medidas forenses para a possível identificação ou ligação dos endereços de destino, incluindo eventual rede de cooperação internacional;

d) Diante da constatação de falhas de segurança de plataformas, quer permitindo o acesso e desvio de fundos, quer não adotando medidas para bloquear produto de furto, ou mitigar os danos, a adoção de medidas para responsabilização das plataformas. Inúmeros casos no Judiciário brasileiro já condenam estas plataformas.

Conclusões e orientações finais

A procura por uma Exchange sólida e estabelecida, conquanto para alguns seja o extermínio da privacidade, pode representar importante e decisiva para identificação dos fraudadores e bloqueio de atividades e de fundos, além da reparação por danos.

Como visto, conquanto seja impossível eliminar completamente os riscos de entrar em projetos de scammers e golpistas, a auditoria e análise detalhada de projetos e smart contracts é fundamental e pode evitar inúmeros danos ligados a criptos, nfts e tokens em geral. Uma consultoria poderá conduzir perícias e auditorias e ao final estabelecer um parecer concreto sobre os riscos de determinado projeto.

Em nosso treinamento, auxiliamos investidores, empresas e negócios a utilizarem na prática técnicas e ferramentas para auditorias e perícias em criptomoedas, bem como a operarem o mercado adotando práticas de segurança da informação, evitando golpes e fraudes, que cada vez mais são direcionados ao mercado cripto.

Fica claro que, apesar de todas as técnicas para aumentar a segurança e evitar golpes, ainda assim eles podem acontecer. Em casos de golpes e fraudes, preservar as provas e atuar rapidamente, buscando ajuda de um escritório especializado em crimes cibernéticos e criptomoedas é essencial. A consultoria poderá contribuir no rastreio das criptos e na adoção de medidas para responsabilização e reparação dos danos causados.

José Antonio Milagre

Advogado especialista em Criptomoedas e Crimes Cibernéticos, Sócio do José Milagre & Associados. Presidente de Instituto de Defesa do Cidadão na Internet – IDCIBrasil, Analista de Sistemas, Mestre e Doutor pela UNESP, DPO Exin, PECB Lead Implementer, e Diretor do PrivacyOffice, grupo de privacidade e proteção de dados da CyberExperts. http://www.youtube.com/josemilagre