4 perguntas não respondidas sobre o hack da Bitfinex

*Por David Z Morris

Na semana passada, recebemos notícias impressionantes da prisão de um casal de Nova York, Ilya “Dutch” Lichtenstein e Heather R. Morgan, por seu suposto papel na tentativa de lavar cerca de US$ 4,6 bilhões em Bitcoins (BTC) roubados da exchange Bitfinex em agosto de 2016. De lá para cá, poucas informações adicionais sobre o caso foram divulgadas.

Esse longo silêncio (junto com a inusitada “carreira musical” de um dos acusados) gerou um intenso fascínio pelas notícias sobre o episódio. Mas, por mais que tenhamos recebido várias informações, ainda há muito que não sabemos, incluindo perguntas pendentes que podem levar a um buraco de coelho muito mais profundo.

Alguns dos questionamentos mais importantes envolvem o hack em si, as consequências comerciais do ataque e o comportamento intrigante dos supostos criminosos durante o período em que são acusados de tentar lavar o BTC roubado.

Como você pode esperar, lidar com perguntas não respondidas envolve alguma especulação. Fiz o meu melhor para destacar os pontos em que essa especulação aparece. Estamos no escuro no geral, então veja o que se segue em grande parte como uma série de hipóteses e experimentos mentais.

Como aconteceu o hack inicial

Um elemento crucial, mas facilmente esquecido, das acusações da semana passada, é que elas não apontam que Lichtenstein e Morgan foram os responsáveis pelo hack inicial da Bitfinex. Não há no processo nenhuma teoria específica sobre como eles chegaram à posse das chaves privadas que controlam as moedas.

Uma possibilidade é que o casal tenha comprado “com desconto” o BTC do hacker (ou hackers) que atacou a exchange. Outra é que eles estavam apenas agindo como agentes para o criminoso virtual, embora isso seja menos provável, dado o controle direto das chaves.

Há, no entanto, alguma razão circunstancial para acreditar que o casal poderia estar envolvido no próprio hack e o Departamento de Justiça simplesmente não tinha provas suficientes para acusá-los de outros crimes além de lavagem de dinheiro.

A evidência mais intrigante (embora novamente inteiramente circunstancial) é que Morgan parece ter sido completamente obcecada por “engenharia social”, um tipo de hacking que se concentra em comprometer pessoas em vez de códigos de computadores.

Em uma longa apresentação feita em uma série de eventos chamada “NYC Salon”, ela descreveu métodos de engano e intimidação que usou em exercícios do mundo real para influenciar indivíduos e obter acesso a espaços e organizações.

Isso é particularmente intrigante, dada a natureza do hack original, que envolveu o comprometimento de proteções de múltiplas assinaturas que passaram pelo provedor de segurança BitGo.

Uma reportagem publicada pelo CoinDesk na época mencionou que “para retirar uma quantidade tão grande de fundos, o BitGo provavelmente teria que assinar essas transações” por causa de uma camada de segurança multiassinatura implementada para usuários da Bitfinex. Isso levanta a possibilidade de que a engenharia social esteja envolvida no hack.

Observou-se que Morgan entrevistou Matt Parrella, ex-diretor de compliance do BitGo, para uma coluna da Forbes de 2020 cujo o título era, surpreendentemente, “Especialistas compartilham dicas sobre como proteger seus negócios contra cibercriminosos”. Isso é uma grande surpresa, mas pode não significar muito, já que Parrella foi empregado apenas brevemente no BitGo em 2019 e 2020.

Por que “cripto criminosos” armazenariam chaves privadas na nuvem?

Uma das coisas realmente bizarras reveladas nas acusações é que as autoridades afirmam que conseguiram apreender o BTC roubado depois de acessar as chaves privadas que Lichtenstein e Morgan haviam armazenado em um serviço em nuvem. Manter as chaves privadas offline o tempo todo é um dos princípios de segurança mais fundamentais de gerenciamento de criptomoedas, e é implausível que alguém que se comprometa a lavar criptos em uma escala tão grande não esteja ciente disso.

Existem algumas maneiras não conspiratórias de entender as chaves armazenadas em ambiente online. Mais importante ainda, as próprias chaves foram criptografadas, então dá para imaginar que alguém estivesse pensando na segurança delas.

O pesquisador da indústria cripto Eric Wall sugeriu ainda que, apesar das alegações nos documentos da acusação, as chaves podem não ter sido descriptografadas pelas autoridades. Em vez disso, elas podem ter sido entregues pelos culpados quando confrontados. Isso também poderia explicar por que uma grande parte das moedas roubadas foi movida em 1º de fevereiro. Talvez os criminosos acusados estivessem demonstrando que as chaves funcionavam antes de entregar as criptos para os federais.

Também vale lembrar que os Bitcoins roubados valiam cerca de US$ 70 milhões na época do hack. Essa quantia aumentou para vários bilhões ao longo de cinco anos, possivelmente ultrapassando a capacidade dos culpados de atualizar suas práticas de segurança.

Por que esses bilionários secretos eram heavy users de redes sociais?

Infelizmente, temos que falar sobre “Razzlekhan”, a estranha e assustadora “persona do rap” criada por Morgan. Ela inundou o TikTok e o YouTube com estranhos conteúdos iscas, incluindo muito rap, enquanto também escrevia textos sobre negócios e tecnologia para a rede de colaboradores da Forbes.

Lichtenstein publicou pelo menos um post no Medium sobre ativos digitais e chegou a tuitar sobre criptomoedas. Esses conteúdos – alguns dos quais foram definidos como privados após as prisões – são apenas um pequeno exemplo do quão grande era a presença da dupla – mais de Morgan do que de Lichtenstein – nas redes sociais.

A questão que fica é – por quê? A maior parte dessa atividade ocorreu depois que a dupla estava no controle de uma fortuna em BTC. Por que você iria querer virar um influencer se tivesse tanto dinheiro? (Morgan provavelmente estava ganhando menos de US$ 100 por cada contribuição da Forbes.)

No final, só podemos especular. Mas a resposta provavelmente envolve caprichos muito pessoais, particularmente o desejo de reconhecimento e respeito. Parece claro que Morgan e Lichtenstein queriam ser vistos como empresários sérios (ainda que criativos e estranhos).

Por exemplo, os dois se apresentavam como sócios no “Demandpath”, um suposto fundo de investimento focado em “sistemas distribuídos, plataformas em nuvem e Inteligência Artificial orientada a dados”.

Ainda não descobri informações sobre seus investimentos e, portanto, a coisa toda pode ter sido meio que um jogo de representação – assim como geralmente ocorre com “investimento anjo” no mercado cripto. Morgan também se apresentou como CEO de uma empresa de e-mail marketing chamada Salesfolk.

O mais incrível é que Morgan não parou de postar mesmo quando o cerco estava se fechando. No tribunal, o advogado de defesa teria dito que os réus sabiam que estavam sob investigação desde novembro. Mas em 2 de fevereiro, apenas uma semana antes de sua prisão, Morgan fez um post sobre um artigo de vendas B2B em que estava trabalhando para a revista Inc.

Talvez o conhecimento da investigação tenha levado Morgan a se dedicar a um negócio no qual poderia realmente ganhar dinheiro, porque o monitoramento das autoridades tornou seu BTC extremamente perigoso de se mover.

Vale a pena notar que a presença online de Morgan parece distorcer as percepções do caso. Seu rap e interesse em engenharia social fazem dela uma suspeita intrigante. Mas em uma audiência pré-julgamento na semana passada, um juiz de Nova York estabeleceu fiança de US$ 5 milhões para Ilya Lichtenstein, e de apenas US$ 3 milhões para Morgan, o que pode sugerir que o tribunal acredita que Lichtenstein tem mais responsabilidade e enfrenta consequências mais duras do que Morgan.

Fatos ou teorias da conspiração

O hack original da Bitfinex ocorreu no início de agosto de 2016. O ataque virtual, e especialmente os esforços da exchange para se recuperar dele, geraram uma série de teorias da conspiração e especulações, muitas vezes envolvendo suspeitas de possível má conduta da corretora e seus associados.

Após o hack, a Bitfinex fez um movimento radical, impondo cortes de aproximadamente 36% nos saldos dos clientes. Aqueles que aceitaram a proposta receberam em troca “Tokens de Direitos de Recuperação” com o ticker “BFX”. Esses ativos digitais foram totalmente reembolsados e resgatados até 4 de abril de 2017. A narrativa oficial era que a Bitfinex aumentou o volume de negociações na época e rapidamente recuperou o dinheiro que havia perdido no hack.

Mas o token BFX foi denominado e pago de volta em USD, não em Bitcoin. O preço do BTC quase dobrou entre o hack e o reembolso e, portanto, os usuários da Bitfinex perderam dinheiro mesmo depois que seus tokens BFX foram resgatados.

Mas isso não é tudo: como integrantes da indústria apontaram na época, o token BFX ajudou a reduzir ainda mais os passivos da Bitfinex. Alguns detentores, sem confiança na capacidade de pagamento da Bitfinex, despejaram o ativo no mercado por apenas 49 centavos de dólar – e a exchange reconheceu a compra deles pelo valor de mercado, o que significa que obteve um desconto ainda maior contra a responsabilidade do BTC roubado.

Isso, combinado com o fato de que o hack envolveu o comprometimento da segurança do sistema de multiassinaturas, gerou especulações consideráveis de que o ataque pode ter sido um “trabalho interno”.

Watchdogs como a Bitfinex’ed especularam que o hack estava conectado à descoberta posterior de deficiências na operação da empresa-irmã da Bitfinex, a Tether, e que o corte de 36% dos valores dos usuários o token BFX podem ter ajudado a resolver outros problemas na exchange.

Eu ainda tenho que ver qualquer evidência absoluta disso, mas o julgamento de Morgan e Lichtenstein pode oferecer novas revelações sobre essas estranhas manobras.

*David Z. Morris é colunista-chefe da CoinDesk Insights.