Exclusivo: Endereço com 1564 Bitcoins da Unick Forex é alvo de dusting attack no primeiro dia de 2021
Endereço contendo 1564 Bitcoins da Unick Forex e que foram apreendidos pela Polícia Federal foram alvo de ataque no primeiro dia de 2021
O ano de 2021 começou com o Bitcoin negociando acima de US$ 29 mil e testando os níveis em busca de ultrapassar a marca de US$ 30 mil.
Mas, para além do preço, uma fortuna em Bitcoins ligada a um dos maiores golpes da história do Brasil, a Unick Forex, está sendo alvo de ataques neste 01 de janeiro.
A partir das mensagens do Telegram de Leidimar Lopes encaminhadas ao Cointelegraph nossa equipe conseguiu identificar um possível endereço para o qual mais de 1564 Bitcoins, provenientes da Unick Forex, teriam sido enviados.
O endereço – bc1q0q6rshyllhwj6r9808meqcjl44c9rj7y7jzf62 – está no formato BC1, ou seja, em formato bech32 com segwit ativado e está sendo alvo de um Dusting Attack já que diversas transações com valores de 547 satoshis estãos sendo enviadas de endereços que não estão mais associados a uma chave privada.
Com quem estão os Bitcoins da Unick Forex?
O suposto endereço contendo os Bitcoins da Unick Forex e o dusting attack que vem recebendo geram questões importantes sobre a investigação da Polícia Federal e o resultado da Operação Lamanai.
Nas mensagens que o Cointelegraph teve acesso em 04 de setembro de 2019 “Rudimar Fernandes” que é um pseudônimo de Leidimar Lopes, envia um endereço para outro membro do suposto esquema da Unick, “Israel Agência”, que seria o diretor de comunicação e tecnologia da Unick, Israel Nogueira e Souza.
Nogueira e Souza é acusado de atuar no desenvolvimento de sistemas para a operacionalização das atividades da empresa. Auxiliaria na abertura de empresa para a suposta organização criminosa em Los Angeles (EUA) e de contas bancárias para suposto recebimento de recursos dos investimentos.
Na conversa, Leidimar passa um endereço para Israel e solicita o envio dos Bitcoins e, para isso, fornece as credenciais para o acesso a wallet (provavelmente na Bitgo)
O endereço informado por Leidimar – 3GxPSHrE55SXfbfCReg7bcH9gL7RKSeJ1a – teria recebido 824.25104100 Bitcoins que, por sua vez, foram movidos para outros endereços, como – 3Q4Fi8VWeAAzmVAe1T88PXH7bDvXF8b3if – ficando com um saldo de mais de 444 Bitcoins que foram movidos para o endereço – bc1q0q6rshyllhwj6r9808meqcjl44c9rj7y7jzf62 – em 17 de setembro, exatemante no dia que a Operação Lamanai foi realizada.
Assim, tudo indica que o endereço que hoje contém os mais de 1500 bitcoins da Unick Forex foi criado dois dias antes da Operação Lamanai, pela Polícia Federal em 15 de setembro já que naquele dia o endereço recebeu 0.00050000 Bitcoins provenientes de uma exchange – 1NDyJtNTjmwk5xPNhjgAMu4HDHigtobu1s.
Na sequência, o endereço passa a receber transações novamente somente no dia 17 de setembro, a partir das 9h, sendo que a Operação Lamanai que culminou com a prisão de 13 líderes da Unick Forex, entre eles Leidimar e Israel ocorreu no mesmo dia 17 e teve início por volta das 6h.
Assim, na coletiva de imprensa daquele dia a PF havia informado que tinha apreendido cerca de 1500 Bitcoins, além de dinheiro, jóias, imóveis, carros de luxo e outros itens da Unick Forex.
Hackers ou o próprio Leidimar Lopes
Para o especialista em Bitcoin e Chief Scientist & Disruption da BRQ Digital Solutions. Courtnay Guimarães, é difícil dizer quem está tentando ‘atacar’ os Bitcoins da Unick Forex.
“A Polícia Federal do Brasil sabe muito bem gerar um dusting attack e como se prevenir deles. Eles são muito bem instruídos, não só eles, como o FBI e outras organizações pelo mundo conhecem muito bem o funcionamento do Bitcoin tecnicamente, porém é difícil dizer que está tentando atacar, e se há mesmo uma tentativa de ataque, aos Bitcoins neste endereço”.
Guimarães levanta que, caso as transações envolvem um dusting attack, elas podem ter sido originadas de um hacker ‘aleatório’ que busca endereços com grandes quantidades de Bitcoin como pode ser o próprio Leidimar Lopes.
O especialista aponta que se está ocorrendo um dusting attack ao endereço ele não começou somente no dia 01 deste ano, mas em 16 de agosto do ano passado e depois por outras vezes ao longo do ano anterior.
Pode ser o próprio Leidimar que contratou alguém buscando saber se houve movimentação na carteira e tentando, de alguma forma, recuperar os ‘seus’ Bitcoins, mas, provavelmente, nunca saberemos quem é o real autor, se um hacker, se alguém da Unick ou se é você que descobriu o endereço”.
Leidimar que foi preso em 17 de setembro de 2019, foi colocado em prisão domiciliar em 02 de abril de 2020 com tornozeleira eletrônica, porém entre maio e julho o uso da tornozeleira foi dispensado devido a problemas técnicos.
Dusting Attack
Um dusting attack (ataque da poeira) se refere a um tipo de atividade maliciosa onde hackers e fraudadores tentam quebrar a privacidade do Bitcoin ao enviar quantidades minúsculas de moedas para carteiras pessoais. Basicamente “quando se move os bitcoins, a poeira vai junto”.
Por meio deste tipo de ataque os fraudadores buscam enviar pequenas quantidades de satoshi por meio de vários endereços e, com isso, quando estes satoshis são gastos eles buscam rastrear as transações e com isso associar endereços e eventualmente determinar quais empresas ou pessoas estão por trás de cada endereço.
Porém, se um saldo dust não é movimentado, os agentes maliciosos não conseguem fazer as conexões que precisam para acabar com o anonimato dos donos de cada endereço afetado.
Para evitar este tipo de ataque, por exemplo, a carteira Samourai já tem a habilidade de reportar transações abaixo do limite de 564 satoshis, oferecendo então um nível razoável de proteção.
“Para fazer este tipo de ataque geralmente os ‘atacantes’ geram diversos endereços que não podem ser associados a uma chave privada, ou seja, se você mandar qualquer quantia para este endereço ‘dust’ ele será perdido para sempre. Para você gerar um endereço ‘dust’ você precisa escolher aleatoriamente um número (bem grande) e desse número você calcula o endereço. O processo de cálculo do endereço “embaralha” número, de sorte que o endereço resultante parece aleatório. E esse processo é impossivelmente caro de reverter — a partir do endereço, não tem como reaver a chave privada”, explicou ao Cointelegraph Marco Carnut, CTO do Zro Bank.
Para explicar o processo Carnut gerou um endereço com o meu nome – 1CassioGussonxxxxxxxxxxxxxxxy4SqHy – destacando que endereços deste tipo são usados em dust attack.
“Você pode inventar um endereço sem ter a chave privada. Isso apenas significa que se você mandar dinheiro pra ele, ficará imexível provavelmente por toda a eternidade. Isso é chamado “burn” — queimar dinheiro. Se você colocar em qualquer corretora ou app de carteira ele aceita este endereço e você pode mandar Bitcoins para ele, porque os ‘dígitos verificadores’, os últimos 6 caracteres estão corretos e ele é composto dos caracteres válidos. Agora se você mandar BTC para o endereço que montei nunca mais conseguiremos gastá-los, porque eu não sei qual é a chave privada dele, porque tudo que eu fiz foi escrever CassioGussonxxxxxxxxxxxxx, adicionar o cabeçalho de versão (que resulta no “1” inicial) e os dígitos verificadores (que resultam no y4SqHy) do final”.
Carnut destacou que gerar este tipo de endereço, para um dust attack, é relativamente simples e qualquer programador que entenda dos bits e bytes do blockchain sabe fazer isso
“Eu fiz com um programa chamado “bx”, da suíte libbitcoin. É um utilitário linha de comando que permite você manipular as estruturas de dados básicas do bitcoin manualmente. O comando que eu usei aqui no meu Linux foi: a=$(bx base58-decode CassioGussonxxxxxxxxxxxxxxxxxxxxx) ; bx address-encode ${a:0:40}. Mas se você não tem o bx instalado ou usa Windows ou Mac, tem de fazer de outra forma, mas o ponto é que eu posso colocar qualquer texto que respeite as regras de composição de endereço (tamanho máximo, caracteres permitidos, etc)… ao custo de, se eu mandar dinheiro pra lá, ficará inacessível pra sempre”, explicou.
LEIA MAIS