Detalhes Surreais de um Casal Preso em NY Supostamente Ligados ao Hack da Bitfinex em 2016

Nota: Fica registrado que o site, seus administradores e o autor da postagem não estão fazendo nenhum tipo de acusação contra os investigados e tampouco fazendo críticas a qualquer funcionário, instituição civil ou órgão do Governo dos Estados Unidos. Os fatos narrados são públicos e foram divulgados pelo Departamento de Justiça do Governo dos Estados Unidos (link para o texto original em inglês no final da postagem).

Logo no dia 01 de fevereiro de 2022 quem acompanhou o noticiário, principalmente os que são voltados para notícias do mundo da criptotecnologia deve ter visto pelo menos as manchetes falando sobre a movimentação de 3.5 bilhões de dólares equivalente a cerca de 94 mil bitcoins desviados em 2016.

As manchetes indicavam que a bilionária movimentação de bitcoins teria sido feita pelos próprios hackers.

Imagem printada em 28/02/2022 de: https://www.google.com

Existem perguntas sem resposta sobre este ataque hacker. Vale a pena dar uma olhada na análise abaixo:

Imagem retirada em 28/02/2022 do site 4 perguntas não respondidas sobre o hack da Bitfinex - Criptomoedas | InfoMoney

Alguns dias depois, no dia 08 de fevereiro o assunto voltou novamente para as manchetes dizendo que o governo americano tinha prendido um casal que morava em Nova York sob acusação de lavagem de dinheiro e conspiração para ocultar fundos obtidos de forma ilegal. Segundo reportagem da CNN Brasil [1] o montante apreendido seria parte de um ataque hacker sofrido pela corretora de criptomoedas Bitfinex em 2016 num montante total estimado de 4.5 ou 4.6 bilhões de dólares [2]

Imagem retirada em 28/02/2022 de: https://www.google.com

O documento que serviu de base para esta postagem é chamado de Affidavit [3] que é um documento oficial que relata em detalhes o passo a passo da investigação. Quem assina este documento garante a autenticidade e veracidade dos fatos ali narrados. O documento oficial (Affidavit) está disponível no site do Departamento de Justiça do Governo dos Estados Unidos [4]. O documento tem 20 páginas e quase 60 parágrafos. O link [4] segue abaixo para quem tiver interesse, quer ir ao detalhe da coisa e não tem dificuldade com o inglês.

Desde o início esta história é SURREAL começando pelo desvio de quase 120 mil bitcoins (vale a pena dar uma olhada no artigo do link [2]) até chegar no momento da prisão do casal que estava morando em Nova York.

Apesar das suspeitas indicarem que o casal preso em Nova York tem alguma ligação com o ataque hacker realizado em 2016 contra a Corretora Bitfinex o governo americano não está fazendo nenhuma acusação específica sobre este crime. O casal está sendo acusado de conspiração contra leis americanas de combate ao crime de lavagem de dinheiro e fraudes eletrônicas realizadas com fundos de origem ilícitas. Esse detalhe aparece logo no parágrafo 2 quando é indicada a base legal onde se diz qual é a lei e quais são os artigos que fundamentam a prisão (obs.: Al Capone, também conhecido como Scarface, um dos maiores gangster americano que carregava um caminhão de crimes nas costas foi preso e condenado sob acusação de evasão fiscal). Aliás, já foram feitos diversos filmes sobre Al Capone e acho que veremos algum dia pelo menos um filme ou seriado contando a história da prisão deste casal de Nova York.

Este casal quebrou uma lenda do mundo do crime idealizada romanticamente pelo cinema, a de que os criminosos fogem para paraísos fiscais para desfrutar a vida depois de um grande resultado. Em vez de fugir estavam morando em Nova York, a mais global das cidades deste planeta. E se não bastasse o fato de estar na capital do mundo a Acusada2 era ativa nas redes sociais, postava fotos, participava de eventos, se dizia rapper, artista surrealista, empreendedora, desenhista de moda e contribuiu com artigos para a revista dos ricos, a Forbes Women de 2017 a 2021 de acordo com o que consta na capa do seu twitter: https://twitter.com/heatherreyhan

Imagem retirada em 01/03/2022 de: https://www.todayscrypto.news/pt/conheca-heather-morgan-a-rapper-e-a-contribuinte-da-forbes-presa-no-roubo-de-bitcoin-4b/

É interessante ver como pessoas que conseguiram desviar quase 120 mil bitcoins de uma carteira digital de uma corretora que deveria estar bem protegida e supostamente fizeram um grande processo de lavagem movimentando os bitcoins por várias contas em pequenas quantidades acabaram sendo descobertas por causa de detalhes, como por exemplo:

a) manter arquivo salvo na nuvem, usado seu nome real e onde estavam registrados dados de logins em contas virtuais para onde foram transferidos ou transitaram boa parte dos bitcoins desviados ilegalmente da conta da vítima;

b) diversos endereços de e-mails foram criados no mesmo provedor e com endereços de estilo parecido; entre os arquivos salvos na nuvem um deles continha os endereços e as respectivas chaves privadas permitindo que os investigadores apreendessem quase 95 mil bitcoins que ainda estavam na carteira digital fria assim que o arquivo foi descriptografado);

c) Abriram contas e movimentaram parte dos bitcoins desviados em instituições financeiras localizadas nos Estados Unidos com fotos e nomes verdadeiros usando endereço de e-mail cadastrados com seus próprios nomes e chegaram a fazer compras online fornecendo endereços verdadeiros ligados ao casal para entrega das mercadorias;

e) Movimentaram diversas contas virtuais abertas em diferentes VCE’s (Casas de Câmbio Virtuais) com nomes reais ou fictícios usando o mesmo endereço IP da cidade de Nova York;

Sobre VCE – Virtual Currency Exchange, antes de continuar, sugiro que assista o vídeo abaixo que tem menos de 1 minuto e mostra como funciona uma VCE - Casa de Câmbio Virtual.

É importante não confundir a VCE (empresa) com as contas individuais dos clientes. Para facilitar o entendimento, ao invés de usar a expressão Virtual Currency Exchange que em tradução livre seria algo como Casa de Câmbio Virtual ou Casa Virtual de Câmbio poderíamos usar a expressão Banco Digital para nos referimos as VCE’s mas elas fazem transações com criptomoedas de acordo com os relatos da investigação indo um pouco além do que os bancos digitais que temos por aqui fazem, pelo menos por enquanto.

f) Quando foram pressionados pelas Casas de Câmbio Virtuais (VCE’s) para apresentarem comprovação da origem dos recursos ou para fornecerem mais detalhes pessoais eles simplesmente abandonaram as contas deixando milhares de dólares para trás. Donos de dinheiro obtidos de forma honesta não abandonariam, por exemplo, quantia equivalente a 155 mil dólares em criptomoedas;

Conforme elencamos acima o relatório expõe detalhes do trabalho de investigação que se aproveita da transparência do Blockchain, das leis bancárias que exigem comprovação da origem de recursos, identificação pessoal e de endereços e obrigam as instituições a serem “delatores” informando atividades suspeitas que transitam por suas empresas. Apesar dos nomes dos supostos envolvidos no suposto desvio terem sido amplamente divulgados vamos chamá-los de Acusado1 (ele) e Acusada2 (ela) ou de casal.

Observação: Os trechos identificados como obs.: entre parêntese e em itálico são anotações ou comentários pessoais, geralmente para esclarecer resumidamente alguma questão tratada no mesmo parágrafo.

Link para o documento que serviu como base para esta postagem (em inglês): https://www.justice.gov/opa/press-release/file/1470211/download

Statement of Facts – Declaração dos Fatos (título do documento)

No parágrafo 1 o autor (agente que investigou) se identifica citando seu nome, cargo e função, tarefa atual e sua experiência que no caso específico é de investigar crimes envolvendo moedas virtuais incluindo rastreamento de transações nos Blockchains.

No parágrafo 2 ele cita os nomes do casal de investigados e indica os crimes que teriam sido praticados e transcrevo literalmente o trecho que indica as leis que teriam sido violadas, no original: “Money Laundering Conspiracy, in violation of 18 U.S.C. § 1956(h); and Conspiracy to Defraud the United States, in violation of 18 U.S.C. § 371”. As duas violações criminais que estão sendo atribuídas ao casal são relativas a crimes previsto na 18.U.S.C (United States Code) que é uma lei que trata dos crimes de lavagem de dinheiro e dos chamados crimes do colarinho branco onde são enquadrados crimes tais como esquema ponzi, falsificações, extorsão etc. [5] e [6].

I – Introdução

No parágrafo 3 o autor do documento cita as agências envolvidas no processo de investigação: IRS-CI (Internal Revenue Service – Criminal Investigation) [7], FBI (Federal Bureau of Investigation) [8] e HSI – Homeland Security Investigations [9]. (Obs.: O IRS-CI é uma agência do Departamento do Tesouro Americano focado em questões fiscais, equivalente à nossa Receita Federal. O FBI é o órgão encarregado de proteger os cidadãos americanos dentro do território americano contra ataques terroristas, crimes cibernéticos e crimes do colarinho branco entre outros, sendo equivalente a nossa Polícia Federal. O HSI é o principal órgão do Departamento de Segurança Interna que investiga crimes e ameaças de natureza transnacional com foco em organizações terroristas e/ou criminosas com atuação global que violam leis alfandegárias e de imigração dos Estados Unidos. Estas agências estão investigando o ataque praticado em 2016 contra a corretora Biffinex (vítima). Vale a pena perceber que a investigação já dura mais de 5 anos).

No parágrafo 4 o investigador relata basicamente o desvio de bitcoins dizendo que o(s) atacante(s) conseguiu(ram) romper os sistemas de segurança cibernética da corretora e fez mais de 2 mil transações transferindo cerca de 119.754 bitcoins da carteira digital da corretora para uma carteira digital controlada pelo(s) atacante(s) (obs.: Em 2016 os quase 120 mil bitcoins valiam cerca de 71 milhões de dólares e na cotação atual estão valendo cerca de 4.5 bilhões de dólares dos quais aproximadamente 3.5 bilhões foram recuperados. Cerca de 26 mil bitcoins (120 – 94) tiveram algum destino ao longo dos últimos 6 anos e não é pouco dinheiro, representa algo em torno de 1 bilhão de dólares em valores atuais).

No parágrafo 5 o autor relata que os investigadores rastrearam a movimentação dos bitcoins no Blockchain do Bitcoin. O autor relata que em janeiro de 2017 uma parte dos bitcoins foi movimentada com a realização de uma série de transações de pequeno valor e por meio de várias plataformas usando um processo de embaralhamento para dificultar o rastreamento. Mesmo assim as autoridades conseguiram rastrear as movimentações partindo da transferência feita da carteira digital da Bitfinex passando por diversas contas virtuais até chegar em contas virtuais e contas bancárias abertas em instituições financeiras localizadas nos Estados Unidos com os documentos (nomes e fotos) reais dos acusados.

No parágrafo 6 o autor cita que depois da transferência inicial feita em 2017 o restante dos bitcoins permaneceu na carteira digital destinatária dos fundos transferidos ilegalmente da corretora. Em 31 de janeiro de 2022 a polícia obteve acesso à carteira digital após descriptografar um dos arquivos encontrados na nuvem que era de um dos supostos hackers, no caso o Acusado1. Esse arquivo continha uma lista com cerca de 2 mil endereços com as suas respectivas chaves privadas. O saldo total apreendido nesta carteira digital foi de 94.636 bitcoins equivalente a cerca de 3.5 bilhões de dólares em valores atuais. No dia 4 de fevereiro de 2022 um tribunal autorizou os investigadores a realizarem a apreensão desse saldo para uma carteira digital controlada pelo governo americano lembrando que poucos dias antes as chaves privadas dos cerca de 2 mil endereços já tinha sido descriptografada pelos investigadores.

II – Rastreando os Bitcoins (supostamente) transferidos para controle do casal

A – Resumo

O parágrafo 7 traz um resumo dividido em tópicos sobre a parte específica da descoberta de várias pastas na nuvem que continha entre outros arquivos dados da carteira digital com endereço e respectivas chaves privadas para onde foram transferidos ilegalmente os bitcoins da Bitfinex. A maior parte tinha sido transferida para os mais de 2 mil endereços de uma carteira digital não hospedada [10] que estavam num arquivo salvo na nuvem juntamente com as respectivas chaves privadas. Outra parte foi transferida para contas virtuais via transações no AlphaBay [11] (obs.: é um mercado de produtos ilegais mantido na deep web que foi fechado em julho de 2017). Outra parte foi transferida para 7 contas virtuais abertas em VCE’s – Virtual Currency Exchange (obs. Basicamente são casas de câmbio virtuais onde é possível fazer conversão de uma moeda ou criptomoeda operando exclusivamente ou quase totalmente via internet. Numa casa de câmbio ou loja física você entra com reais num bolso e sai com dólares no mesmo bolso). Outra parte foi transferida para outras carteiras digitais não hospedadas e o restante foi transferido para diversas contas virtuais supostamente controladas pelo casal. De acordo com análises detalhadas que foram conduzidas pelos investigadores que estão denunciando o casal de hackers existem evidências revelando que as características das movimentações financeiras tiveram possivelmente o objetivo de lavar dinheiro.

No parágrafo 8 os investigadores listaram as técnicas que supostamente teriam sido usadas pelo casal para a realização da atividade ilícita de lavagem de dinheiro: 1) abertura de grande parte das contas com documentos falsos; 2) realização de milhares de transações de pequeno valor ao invés de movimentar os fundos de uma só vez; 3) movimentação de valores com uso de programa de computador que automatiza as transferências permitindo a realização de milhares de transações em curto espaço de tempo; 4) movimentação dos fundos em camadas como depósitos e retiradas feitos em contas virtuais nas Casas de Câmbio Virtuais (VCE’s) e mercados virtuais da deep web para dificultar o rastreamento do histórico das transações até que a movimentação é interrompida; 5) trocaram bitcoins por outras criptomoedas focadas no anonimato num processo conhecido em inglês como chain-hopping que não se limita a uma troca simples consistindo numa movimentação por vários Blockchains com foco na privacidade/anonimato. (Observações: 1 - não confundir com chain hopping atack que é uma “artimanha” usada por alguns mineradores contra alguns Blockchains. Quando a dificuldade de mineração de uma criptomoeda aumenta devido ao poder de hash atuando no blockchain um grande minerador para de minerar aquela criptomoeda diminuindo muito o poder de hash para voltar depois quando a dificuldade diminui conseguindo minerar vários blocos rapidamente durante algum tempo até a dificuldade aumentar novamente, logo após o fork o bitcoin cash sofreu este tipo de ataque [12]; e 2 – as transações de trocas de criptomoedas podem ser feitas diretamente via rede P2P ou em corretoras não legalizadas que existem por aí); e 6) usaram contas de Casas de Câmbio Virtuais (VCE’s) estabelecidas nos Estados Unidos para legalizar o recurso.

O parágrafo 9 traz uma ilustração (pág. 4) tendo como ponto de partida a carteira digital da vítima (Bitfinex) mostrando o caminho percorrido até parte desse montante ser gasto. A investigação mostra que os recursos foram transferidos inicialmente para uma carteira digital de bitcoins e depois foram divididos em duas partes, uma parte seguiu para cerca de uma dúzia de contas virtuais (abertas na Casa de Câmbio Virtual - VCE 1) envolvendo a AlphaBay no meio dessas movimentações e a outra parte para outras contas virtuais (abertas na Casa de Câmbio Virtual - VCE 4). Dalí o recurso transitou por cerca de dez contas virtuais sendo algumas com o nome verdadeiro e outras possivelmente abertas com nomes fictícios. As contas virtuais abertas na Casa de Câmbio Virtual - VCE 10 indicada na ilustração traz nomes de empresas conhecidas como Uber e Walmart.

O parágrafo 10 ressalta que a partir da transferência inicial da carteira digital da Bitfinex foram rastreadas milhares de transações envolvendo diversas contas virtuais indicadas na ilustração do parágrafo anterior reforçando que todas eram supostamente controladas individualmente ou em conjunto pelo casal. Mais detalhes foram elencados nos itens seguintes:

B – Passagem pela AlphaBay

No parágrafo 11 o documento explica que os supostos autores do ataque feito contra a Bitfinex usaram diversas contas virtuais em transações no AlphaBay aplicando uma técnica conhecida como peel chain [13] onde os fundos movimentados são transferidos aos poucos, em valores baixos para não gerar suspeitas.

No parágrafo 12 a investigação esclarece que as contas virtuais movimentadas via AlphaBay foram utilizadas pelos acusados para dificultar o rastreamento. Esse movimento de depositar e depois sacar os bitcoins realizando transferências para várias contas virtuais em pequenos montantes também é chamado de atividade em camadas.

C – Rastreando a movimentação de fundos via AlphaBay com uso de contas virtuais abertas em Casas de Câmbio Virtuais VCE numeradas como 1, 2, 3 e 4

O parágrafo 13 traz outra ilustração mostrando parte da movimentação de fundos (pág. 5).

No parágrafo 14 o documento diz que várias contas virtuais usadas no processo de lavagem dos recursos foram abertas usando endereços de e-mail do mesmo provedor localizado na Índia.

No parágrafo 15 consta que as principais contas virtuais abertas na VCE1 estavam em nome de terceiros sem relação com o casal de acusados. Nos meses de fevereiro e março de 2017 a VCE 1 (Casa de Câmbio Virtual) pediu informações adicionais dos titulares de sete contas virtuais para identificar melhor seus titulares. Sem receber resposta, em abril de 2017 a VCE1 congelou 18 contas virtuais que na época tinham saldo em criptomoedas equivalente a 186 mil dólares (obs.: na época o bitcoin oscilava entre 3 e 4 mil dólares. Esse pedido de identificação pode ter relação com o fato de que três meses depois o AlphaBay foi fechado e autoridades já poderiam estar pressionando a VCE para identificar alguns clientes através do processo de KYC – Know Your Client).

O parágrafo 16 lista detalhes apurados na investigação que deram aos agentes policiais sinais evidentes de convergência para um controlador comum: 1) endereços de e-mail com estilo semelhante e hospedados no mesmo provedor da Índia; 2) as contas de e-mails que foram acessados a partir do mesmo IP; 3) e-mails foram criados na mesma época em que houve o ataque contra a Bitfinex; 4) as contas abertas com uso destes endereços de e-mail foram usadas em movimentações parecidas que envolviam criptomoedas com foco na privacidade; e 5) foram abandonadas depois que houve a solicitação de informações adicionais por parte da VCE. Entre os arquivos apreendidos na nuvem existe uma planilha com dados de login para diversas contas virtuais abertas em diversas VCE’s (Casa de Câmbio Virtual) inclusive com anotação do status da conta. O Acusado1 mantinha arquivos na nuvem em seu nome contendo informações de login de várias contas virtuais da VCE1 (casa de câmbio virtual) que receberam transferências originadas da carteira digital hackeada da Bitfinex incluindo a ciência quanto ao congelamento de várias contas.

No parágrafo 17 o investigador relata que parte dos bitcoins movimentados via AlphaBay vieram de contas virtuais abertas em uma VCE batizada deVCE2 localizada no exterior (fora dos Estados Unidos) e outra parte de uma VCE batizada de VCE4 localizada nos Estados Unidos. As contas criadas nestas duas casas de câmbio virtual foram registradas com uso de um endereço de e-mail do mesmo provedor localizado na Índia. Endereço da conta de e-mail, dados para login nas contas abertas nas casas de câmbio VCE2 e VCE4 também foram encontradas na planilha que estava salva na nuvem.

No parágrafo 18 consta que uma conta virtual aberta na casa de câmbio virtual VCE 2 foi usada para converter bitcoins para Dash. Pouco tempo depois duas contas virtuais abertas na casa de câmbio virtual VCE 4 que estavam registradas na planilha encontrada na nuvem que os investigadores tiveram acesso tinham recebido depósitos em Dash.

D – Rastreando fundos desviados para uma conta na Casa de Câmbio Virtual VCE 5 que estava em nome de um dos acusados

No parágrafo 19 o agente do governo americano relata que eles conseguiram rastrear movimentações realizadas através de contas virtuais abertas na Casa de Câmbio Virtual VCE 1 antes destas contas serem congeladas pela casa de câmbio (obs.: vide parágrafo 15). Parte dos recursos que transitaram nas contas virtuais mantidas na Casa de Câmbio Virtual VCE 1 passaram por endereços de carteiras digitais de bitcoin do tipo não hospedadas e tiveram como destino uma conta virtual na Casa de Câmbio Virtual VCE 5, com sede nos Estados Unidos, aberta com o nome verdadeiro de um dos acusados. Antes de chegar ao destino os fundos transitaram por várias contas e os valores eram divididos e agrupados durante o processo. Esta conta virtual aberta com o nome real de um dos acusados recebeu depósitos em janeiro, fevereiro, junho e dezembro de 2017 (obs.: o ideal é ver a ilustração na página 18 do documento original).

O parágrafo 20 reforça ainda mais o lado surreal desta história da vida real. Dados apurados junto a Casa de Câmbio Virtual VCE 5 mostram que a conta virtual com o nome e endereço real de um dos acusados foi aberta em torno do dia 13 em janeiro de 2015 (obs.: a data exata não importa tanto e pode ser a data do preenchimento do formulário na internet, do envio de cópia de algum documento, foto, da validação dos dados pela Casa de Câmbio Virtual etc.). Esta conta virtual foi aberta com apresentação de duas fotos verdadeiras do Acusado1 (foto da carteira de motorista e uma selfie). O endereço de e-mail informado para abertura da conta continha o primeiro nome real do investigado. Durante o processo de investigação uma segunda conta foi identificada com nickname de um dos acusados, igual ao outro e-mail.

No parágrafo 21 consta que a conta virtual aberta com dados reais de um dos acusados na Casa de Câmbio Virtual VCE 5 foi usada para comprar ouro e para não restar dúvida quanto ao lado surreal desta história o acusado forneceu seu endereço verdadeiro para a entrega.

E – Rastreamento dos fundos movimentados pelos acusados nas outras contas virtuais

I – Visão geral da atividade do Acusado1

De acordo com o parágrafo 22 parte dos fundos rastreados passaram por outras contas virtuais abertas em outras cinco Casas de Câmbio Virtuais batizadas de VCE 6, VCE 7, VCE 8, VCE 9 e VCE 10. Neste parágrafo tem outra ilustração indicando que parte dos fundos desviados que transitaram na conta virtual aberta na Casa de Câmbio Virtual VCE 1 (obs.: destino inicial dos fundos desviados) transitaram por contas abertas nestas Casas de Câmbio Virtuais numeradas de 6 a 10.

O parágrafo 23 mostra que mesmo as Casas de Câmbio Virtuais chamadas no documento de VCE’s estão adotando práticas de KYC – Know Your Client ou conheça seu cliente. Os investigadores tiveram acesso a registros obtidos junto a algumas destas VCE’s onde se constatou que várias contas virtuais foram abertas com o nome real do Acusado1 ou de empresas abertas em nome dele. Diante de pedidos de informações adicionais e/ou de documentos o Acusado1 forneceu documentos dele mesmo. Respondendo via e-mail a um pedido de informação sobre a origem do recurso o Acusado1 respondeu que estava minerando bitcoins desde 2013.

No parágrafo 24 os investigadores relatam que desde o ataque perpetrado em 2016 até os dias atuais o casal realizou inúmeras transações com diferentes criptomoedas vendendo bitcoins em caixas eletrônicos para comprar altcoins e entraram na onda dos NFT – Non-fungible Tokens.

II – Movimentação de fundos das contas virtuais abertas na Casa de Câmbio Virtual VCE 4 para contas do Acusado1 e Acusada2

De acordo com o parágrafo 25 os investigadores cruzaram dados do Blockchain com os que foram obtidos junto as casas de câmbio virtuais ligadas ao Acusado1 nas Casas de Câmbio Virtuais VCE5, VCE6, VCE7, VCE8, VCE9 e VCE10. (obs.: para detalhes ver a ilustração da página 11).

• O cruzamento entre as movimentações de valores feito nas contas virtuais e no Blockchain indicou que a movimentação de grande parte dos bitcoins passou por duas contas virtuais abertas na Casa de Câmbio Virtual VCE4, nomeadas como VCE4 Conta2 e VCE4 Conta3.
• Apurou-se que créditos recebidos em contas virtuais abertas em nome da Acusada2 e outra conta em nome da empresa Endpass Inc de propriedade do Acusado1 receberam transferências originadas a partir das contas 2 e 3 da Casa de Câmbio Virtual VCE4.

De acordo com o parágrafo 26 a conta 2 aberta na VCE4 foi criada no começo de novembro de 2017 com nome e e-mail de um cidadão russo. Esta conta recebeu cerca de 13.200 XMR (Monero) no período de novembro de 2017 a março de 2019 num total aproximado de 21 transações.

A conta 3 descrita no parágrafo 27 foi aberta no final do mês de novembro de 2017 com nome e e-mail de outro cidadão russo. Entre os meses de novembro de 2017 e abril de 2019 esta conta recebeu cerca de 6.870 XMR (Monero) num total aproximado de 10 transações.

O parágrafo 28 relara que funcionários da Casa de Câmbio Virtual VCE4 tentaram verificar a identidade do titular da conta 2. Questionado sobre a origem dos recursos o suposto titular (cidadão russo) respondeu que os recursos movimentados eram de investimentos. Diante de um pedido de apresentação de cópia dos extratos bancários ou da comprovação dos investimentos em seu nome o suposto titular não respondeu e nunca mais entrou em contato.

Continua …

A Casa de Câmbio Virtual VCE4 congelou a conta 2 que acabou sendo abandonada com um saldo em criptomoedas equivalente a 155 mil dólares.

Já no caso da conta 3, de acordo como parágrafo 29 o suposto titular (outro cidadão russo) nunca respondeu as tentativas de contato feitos pelos funcionários da Casa de Câmbio Virtual VCE4 que acabaram congelando a conta. Os fundos desta conta já tinham sido sacados.

O investigador relata no parágrafo 30 que os moneros depositados nas contas virtuais 2 e 3 da Casa de Câmbio Virtual VCE4 que foram convertidos (novamente) em bitcoins e depois foram sacados usando o método de chain hopping (obs.: trocar a criptomoeda originalmente obtida de maneira ilegal por outras focados em privacidade realizando vendas e compras em sequência para finalmente voltar a comprar a moeda original ou outra que os interessados julguem mais interessante) num processo igual ao que foi apurado através da análise das movimentações feitas em movimentações das contas abertas na Casa de Câmbio Virtual VCE1 já descrita.

III – Depósitos em contas virtuais da Acusada2 na Casa de Câmbio Virtual VCE7

No parágrafo 31 o investigador relata que analisando registros fornecidos pela Casa de Câmbio Virtual VCE7 havia duas contas ligadas a Acusada2, uma em seu nome e outra em nome da sua empresa SalesFolk. A Acusada2 atendeu pedido de validação de dados feito pela Casa de Câmbio Virtual VCE7 para atender normas de compliance KYC (obs.: conheça seu cliente) usando e-mail da empresa com suas iniciais. Além de enviar documentos comprovando a constituição da empresa ela informou que era a única proprietária. Análise de registros obtidos junto a Casa de Câmbio Virtual VCE7 mostraram que outro endereço de e-mail contendo o nome da Acusada2 estava ligado a duas outras contas virtuais em nome da Acusada2 abertas na Casa de Câmbio Virtual VCE7.

De acordo com o parágrafo 32, quando foi questionada sobre a origem dos bitcoins a Acusada2 informou aos funcionários da Casa de Câmbio Virtual VCE7 que sua empresa (SalesFolk) aceitava bitcoins como forma de pagamento. Após checar movimentações da empresa os investigadores conseguiram levantar apenas uma única transação em bitcoins recebido pela SalesFolk em valor equivalente a 130 mil dólares que tinha sido enviado por uma Shell Company (empresa de fachada) [14] por supostos serviços de publicidade. Os investigadores não conseguiram encontrar o site da empresa ou qualquer atividade comercial legítima da Shell Company, nem ao menos um anúncio.

IV – Informações supostamente falsas prestadas pelo casal para a Casa de Câmbio Virtual VCE 7

O investigador relata no parágrafo 33 que analisando dados de acesso as contas em nome do casal e das respectivas empresas de cada um deles que foram abertas na Casa de Câmbio Virtual 7 identificou que o IP era o mesmo e era da cidade de Nova York. No total estas contas movimentaram bitcoins estimados em cerca de 2.9 milhões de dólares no período aproximado de 01 de março de 2017 a 24 de outubro de 2021, portanto após o ataque hacker de 2016. Praticamente todo o montante de quase 3 milhões foi convertido em dólares e sacado em instituições financeiras localizadas nos Estados Unidos, mantidos pelo casal. Os registros destas contas mostram que todas foram abertas após o ataque hacker de 2016.

O parágrafo 34 detalha que as contas pessoais e das empresas abertas na Casa de Câmbio Virtual VCE 7 foram acessadas 34 vezes através do mesmo endereço IP da cidade de Nova York. Quando o Acusado1 foi questionado sobre a natureza e a fonte dos recursos da conta que estavam sendo movimentados nas contas virtuais da Casa de Câmbio Virtual VCE7 o Acusado1 declarou via e-mail que os fundos eram decorrentes de investimentos iniciais em bitcoins e as contas eram destinadas para movimentar tais recursos e não movimentaria criptomoedas de terceiros. No parágrafo consta a transcrição de um trecho de e-mail onde o Acusado1 diz que é um empreendedor do ramo de tecnologia e adepto do bitcoin desde 2011 e estava querendo diversificar sua carteira. Concluiu dizendo que os ativos movimentados nas contas pessoais ou na conta da empresa seriam dele mesmo.

No parágrafo 35 o investigador desmente a declaração feita pelo Acusado1 via e-mail para a Casa de Câmbio Virtual VCE7 combinando dados rastreados no Blockchain e dados fornecidos pela VCE7 mostrando que os recursos movimentados pelo Acusado1 tiveram como origem contas virtuais abertas na Casa de Câmbio Virtual VCE4, aquelas que tinham sido abertas com documentos e e-mails de russos. Não se comprovou que a origem veio de investimentos iniciais que teriam sido feitos pelo Acusado1.

No parágrafo 36 o investigador relata que ao ser questionado sobre a empresa Demandpath o Acusado1 informou que era uma empresa individual e, portanto, não tinha contrato social ou qualquer tipo de órgão administrativo e concluiu que ele (Acusado1) era dono integral da empresa.

O parágrafo 37 é dedicado para relatar fatos ligados a Acusada2. Como já tinha sido relatado anteriormente a Acusada2 alegou via e-mail que suas contas seriam usadas para movimentar bitcoins recebidos de clientes da empresa dela (SalesFolk) além dos bitcoins que ela já teria recebido anteriormente. Entre outras informações a Acusada2 disse que ela teria recebido criptomoedas do Acusado1 nos anos de 2014 e 2015 para justificar a origem dos depósitos na conta da empresa. Análise de transações do Blockchain desmente esta informação e mostra que a maior parte dos fundos transferidos a favor da conta empresarial da Acusada1 tiveram como origem contas virtuais da Casa de Câmbio Virtual VCE4 e não foi apurado nenhum depósito feito por clientes que possam ser identificados. Em tópicos numerados de “a” até “f” o investigador relata outros fatos da apuração específica sobre as contas virtuais da Casa de Câmbio Virtual VCE7:

• Em 28 de agosto de 2018 a Acusada2 entrou em contato com representantes da Casa de Câmbio Virtual VCE7 pedindo aumento do limite de transações diários da sua conta pessoal reclamando que não havia conseguido fazer uma retirada de 8 mil dólares porque o limite máximo diário era de 500 dólares;
• Em junho de 2019 a Acusada2 pediu abertura de uma conta empresarial. Questionada sobre a finalidade informou que pretendia receber pagamentos em bitcoins nas transações comerciais da empresa (SalesFolk). Além disso acrescentou que já teria bitcoins e pretendia vende-los para financiar o desenvolvimento de novos projetos de software e uma conta empresarial seria mais vantajoso em termos de tributação;
• Em 01 de julho de 2019 a Acusada2 garantiu para a Casa de Câmbio Virtual VCE7 que não usaria a conta empresarial para movimentar criptomoedas de terceiros (obs.: agir como corretora) e afirmou que as transações teriam origem na venda de softwares e/ou na prestação de serviços de consultoria de vendas e/ou e-mail marketing. Ressaltou ainda que os contratos giravam em torno dos 8.5 mil dólares e a empresa dela (SalesFolk) e entendia que a empresa não precisava fazer atividade de compliance (obs.: KYC – conheça seu cliente) junto a seus parceiros de negócios);
• Em 2 de julho de 2019 um representante da Casa de Câmbio Virtual VCE7 pediu maiores esclarecimentos sobre a origem dos ativos digitais que seriam depositados na nova conta empresarial que ela estava querendo abrir. Como resposta a Acusada2 disse que o namorado (na época o Acusado1 era namorado e atualmente é o marido) tinha presenteado ela com criptomoedas nos anos de 2014 e 2015 dizendo que até então tais criptomoedas estavam armazenadas em carteiras frias (cold wallets ou carteiras sem conexão com a internet);
• Em 15 de janeiro de 2020 um representante da Casa de Câmbio Virtual VCE7 pediu para a Acusada2 uma estimativa mensal de vendas e o fluxo estimado de movimentação da conta a partir daquele ano. Em resposta a Acusada2 disse que estimava vendas mensais numa faixa de 10 a 30 mil dólares e movimentação da conta em torno de 10 a 20 mil dólares;
• Como já foi registrado anteriormente embora a Acusada2 tenha afirmado aos representantes da Casa de Câmbio Virtual VCE7 que a conta da SalesFolk receberia criptomoedas de alguns clientes os investigadores não conseguiram encontrar nenhuma referência no site da empresa sobre a aceitação deste meio de pagamento. Na conclusão do investigador esta funcionalidade deveria ter sido amplamente divulgada aos supostos clientes para atrair mais clientes. Até a elaboração do relatório (Affidavit) os investigadores não tinham encontrado evidências de que a SalesFolk de fato tenha recebido pagamentos em criptomoedas por serviços prestados aos supostos clientes. A única transação encontrada foi a que teve origem numa Shell Company citada acima. Na conclusão do investigador a abertura da conta empresarial teve como finalidade diminuir o acompanhamento da Casa de Câmbio Virtual sobre suas transações na conta pessoal já que (em tese) uma conta empresarial poderia movimentar volumes maiores sem despertar tanta suspeita.

No parágrafo 38 o investigador conclui que o casal informou para a Casa de Câmbio Virtual VCE7 que a origem dos bitcoins depositados em suas respectivas contas pessoais e empresariais tinham como origem investimentos anteriores a 2015. Prossegue o investigador que uma análise detalhada das transações no Blockchain do Bitcoin apurou que a fonte primária dos depósitos eram contas virtuais da Casa de Câmbio Virtual VCE4 e todas tinham sido abertas em 2017, portanto após o ataque hacker de 2016. Os fatos contradizem as declarações do casal.

O investigador finaliza este tópico relatando no parágrafo 39 que registros obtidos em outras Casas de Câmbio Virtuais e em instituições financeiras que em todas elas o casal fez declaração supostamente enganosas e parecidas desde o ataque hacker.

V – Depósitos nas contas do Casal mantidas na Casa Virtual de Câmbio VCE8

Neste tópico que começa no parágrafo 40 o investigador relata algumas informações obtidas a partir de dados fornecidos pela Casa de Câmbio Virtual VCE8. De acordo com estes dados o casal teria duas contas sendo uma em nome da empresa Demandpath batizada de conta 1 e outra em nome da empresa Endpass batizada de conta2 na Casa de Câmbio Virtual VCE8.

No parágrafo 41 o investigador relata que o Acusado1 informou via e-mail para um representante da Casa de Câmbio Virtual VCE8 que a as contas virtuais abertas naquela casa de câmbio seriam usadas para negociar criptomoedas obtidas como resultado de um investimento inicial em bitcoins e em outras altcoins. Os registros rastreados no Blockchain cruzados com os dados de movimentação das contas abertas na casa de câmbio VCE8 mostram que a maior parte dos recursos movimentados vieram direta ou indiretamente das contas virtuais do Acusado1 mantidos na Casa de Câmbio Virtual VCE4.

O investigador dedica o parágrafo 42 para informar que o site da empresa Demandpath tem um texto com cerca de duas frases sobre a empresa, cita um endereço em Nova York e um endereço de e-mail para contato. Nenhuma outra informação desta empresa foi encontrada.

O parágrafo 43 é usado para relatar que além da abertura de várias contas virtuais em Casas de Câmbio Virtuais no exterior e nos Estados Unidos o casal também abriu pelo menos uma conta em uma USFI – United States Financial Institution [15] localizadas nos Estados Unidos (obs. USFI é um conceito bastante amplo de instituição financeiro indo muito além dos bancos, corretoras e casas de câmbio. Entram nesta definição companhias de seguros, bolsas de valores, empresas de investimento, de planos de benefícios para funcionários, alguns tipos de holding e engloba também todas as filiais localizadas em território americano de instituições financeiras com sede no exterior). Esta conta foi aberta em nome da Endpass e foi movimentada durante o período de novembro de 2018 a agosto de 2019.

De acordo com o relato do parágrafo 44 o casal forneceu alguns extratos e documentos para amparar a abertura da conta numa Instituição Financeira USFI alegando que os pagamentos seriam processados por uma empresa de serviços financeiros (obs. Possivelmente seria algo parecido com o serviço prestado pelas empresas que fornecem as maquininhas para passar cartão). Uma checagem nas movimentações desta conta e no Blockchain indicou que esta conta não foi usada, na prática, com a finalidade de receber pagamentos por serviços prestados conforme alegaram na abertura da conta. Não foi encontrada nenhuma transação por intermédio desta empresa de serviços financeiros. A maior parte dos recursos que transitaram nesta conta vieram de cinco transferências originadas de contas virtuais mantidas na Casa de Câmbio Virtual VCE8 totalizando um montante aproximado de 758 mil dólares. Esta conta da Endpass recebeu um depósito de 11 mil dólares proveniente de um empréstimo dentro de um programa criado pelo governo americano para ajudar empresas americanas devido à crise da Covid-19.

VI – Rastreando fluxo de fundos movimentados pelo casal que transitaram por um Cluster específico

No parágrafo 45 o investigador relata que durante o processo de análise das transações no Blockchain identificaram um cluster [16] de bitcoin chamado de Cluster 36B6mu que teve um papel importante no processo de movimentação dos recursos pelas várias contas do casal. Este cluster foi bastante utilizado como ponto de passagem durante a movimentação de saldos entre as contas.

Segundo apuração feita durante a investigação, conforme relato do parágrafo 46, no período de 11 de fevereiro de 2019 a 14 de dezembro de 2020 passaram pelo Cluster 36B6mu 177.816 bitcoins. A origem principal de grande parte dos bitcoins que passaram pelo Cluster 36B6mu foram as contas virtuais 2 e 3 mantida na Casa de Câmbio Virtual VCE4. A investigação concluiu que a origem e o destino dos recursos que passaram pelo Cluster 36B6mu eram contas mantidas pelo casal.

O parágrafo 47 é dedicado para detalhar o rastreamento deu uma movimentação específica de 0,057 bitcoins a partir da passagem pelo Cluster 36B6mu. A Casa de Câmbio Virtual VCE10 vende cartões do tipo pré-pago e aceita bitcoins como pagamento. O recurso foi usado para comprar um vale presente no valor de 500 dólares para ser usado na Walmart. A conta virtual tinha sido aberta com o fornecimento de um endereço de e-mail hospedado na Rússia, mas a transação foi conduzida através de um endereço IP de uma empresa que presta serviços na nuvem com sede em Nova York. Registros desta empresa provedora de serviços na nuvem mostraram que o endereço IP estava vinculado a uma conta em nome do Acusado1 e tinha vínculo com um e-mail pessoal dele.

O parágrafo 48 é dedicado para apresentação de uma ilustração mostrando o fluxo da transação detalhada no parágrafo anterior a partir da passagem pelo Cluster 36B6mu até a compra do vale presente de 500 dólares.

O parágrafo 49 relata que parte do montante de 500 dólares do vale presente foram utilizados para a realização de compras online no Walmart através de um aplicativo do iPhone. As compras foram realizadas em nome (verdadeiro) da Acusada2, usando um dos endereços de e-mail da Acusada2 para cadastro e fornecendo como local de entrega um endereço verdadeiro do casal.

De acordo com o parágrafo 50 foram identificados cerca de 16 envios de bitcoins que passaram pelo Cluster 36B6mu para compra de cartões presente pré-pagos incluindo a que foi descrita no parágrafo anterior. Embora as contas abertas na Casa de Câmbio Virtual VCE 10 tenham sido abertas com o uso de diversos endereços de e-mail, todas as transações destas contas virtuais que foram rastreadas, com exceção de uma, foram realizadas a partir do mesmo endereço de IP do provedor de serviços na nuvem que tinha sido alugado pelo Acusado1.

III – Conta do Acusado1 na nuvem

No parágrafo 51 o investigador relata que um dos endereços de e-mail usados pelo Acusado1 tinha sido fornecido por um provedor de serviços na nuvem que também oferecia serviços de hospedagem de contas de e-mail. Em 2021 os agentes americanos obtiveram um mandado de busca e tiveram acesso ao conteúdo mantido na nuvem pelo Acusado1. Boa parte dos arquivos estava criptografada.

No parágrafo 52 o investigador relata que no final do mês de janeiro de 2021 especialistas conseguiram descriptografar vários arquivos. Entre os arquivos descriptografados estava um arquivo que listava todos os endereços de uma carteira digital com as suas respectivas chaves privadas. Com estas informações os investigadores apreenderam 94.636 bitcoins que representa um montante aproximado de 3.5 bilhões de dólares. Este parágrafo tem uma ilustração que pode conferido na página 18 do documento original.

O parágrafo 53 relata que outro arquivo importante que foi descriptografado pelos especialistas foi um arquivo com os números das contas, informações de login e o status das várias contas virtuais mantidas nas diversas Casas de Câmbio Virtuais com observações tais como congelada ou esvaziada. A maioria destas contas que constavam neste arquivo receberam fundos desviados do ataque hacker contra a corretora Bitfinex.

No parágrafo 54 o investigador relata que uma das pastas dentre os arquivos encontrados na conta armazenada na nuvem continha o título “personas”. Nesta pasta foram encontradas diversas informações biográficas e cópias de documentos de identificação de várias pessoas. Nesta pasta também foi encontrado um arquivo texto com o nome de “passport_ideas” que continha links para endereços na deep web de fornecedores de passaportes e/ou de identidades.

Outra pasta encontrada na conta armazenada na nuvem do Acusado1 é descrita no parágrafo 55. Nesta pasta foram encontrados diversos arquivos contendo dados de diversas instituições financeiras com anotações que indicariam instituições onde possivelmente haveria mais facilidade para a realização da lavagem. O investigador cita como exemplo um documento em nome do Alfa-Bank com a seguinte anotação: “banco de propriedade de um oligarca russo” além de anotações sobre procedimentos de login.

IV – O casal agiu para obstruir a fiscalização do FinCEN [17]

No parágrafo 56 o investigador reforça a importância das leis e regulamentos que exigem que as instituições cambiais e financeiras estabeleçam e mantenham programas específicos para detectar e relatar atividades suspeitas tendo obrigação de denunciar qualquer transação suspeita enviando relatório para o Departamento do Tesouro. Esta obrigação se aplica tanto nos casos em que se desconfia que os fundos têm origem em atividades ilegais ou tenham como propósito disfarçar ou ocultar recursos derivados de atividades ilegais. Este relatório é chamado de SAR – Suspicious Activity Report (Relatório de Atividades Suspeitas).

No parágrafo 57 o investigador explica que a FinCEN - Financial Crimes Enforcement Network é uma divisão do Departamento de Tesouro dos Estados Unidos e tem como função implementar e administrar a Lei do Sigilo Bancário Americano. Basicamente tem como função combater lavagem de dinheiro e crimes relacionados como terrorismo e contra a segurança nacional. Ela exerce sua função coletando e analisando dados de diversas fontes incluindo as casas de câmbio e instituições financeiras. A sede fica em Washington D.C.

No parágrafo 58 o investigador relata que a instituição financeira citada neste documento e as Casas de Câmbio Virtuais VCE1, VCE4, VCE5, VCE7, VCE8, VCE 9 e VCE10 tinham registro na FinCEN e realizavam operações nos Estados Unidos estando submetidas a Lei Americana de Sigilo Bancário. De acordo com registros fornecidos por duas Casas de Câmbio Virtuais o Acusado1 manifestou conhecimento da Lei Americana de Sigilo Bancário dizendo inclusive que estava escolhendo determinada Casa de Câmbio Virtual para garantir que estivesse operando com uma instituição devidamente regulamentada. Isso também foi apurado com relação a Acusada2 que disse conhecer a Lei Americana da Sigilo Bancário quando tinha sido questionada sobre as operações da SalesFolk.

No parágrafo 59 o investigador diz que durante o período investigado o casal forneceu repetidamente informações falsas e enganosas para as Casas de Câmbio Virtual e para outras instituições financeiras quanto a origem real dos seus fundos e a natureza das suas transações. Essas atitudes, segundo o investigador, tinham como objetivo impedir que as áreas de fiscalização das Casas de Câmbio Virtual emitissem o relatório SARs relatando que as transações do casal eram suspeitas, conforme exige a Lei Americana de Sigilo Bancário. O investigador conclui o parágrafo dizendo que o relato acima é apenas uma amostra.

V – Conclusão

Na conclusão que é feita em dois parágrafos começando pelo parágrafo 60 o investigador que assina o documento diz que há causa provável para acreditar que o casal conspirou para realizar ou tentar realizar operações financeiras utilizando fundos obtidos de atividade ilícita sabendo que as transações que estavam realizando tinham como objetivo, no todo ou em parte, ocultar ou disfarçar a natureza, localização, origem, propriedade ou controle dos recursos obtidos de forma ilegal. Estes crimes que supostamente teriam sido praticadas pelo casal estão na categoria das fraudes cometidas de forma eletrônica ou com uso de computador e estão enquadrados nos parágrafos 1030 e 1343 da lei 18 U.S.C. – United States Code.

Finalmente, no parágrafo 61 o investigador afirma que também há causa provável para acreditar que o casal violou o parágrafo 371 da lei 18 U.S.C. – United States Code que enquadra os acusados no crime de conspiração praticado contra os Estados Unidos ou qualquer agência dos Estados Unidos.

Referências e fontes adicionais para consulta:

[1] - Polícia prende casal de NY e apreendem US$ 3,6 bilhões em criptomoeda roubada | CNN Brasil

[2[ - 4 perguntas não respondidas sobre o hack da Bitfinex - Criptomoedas | InfoMoney

[3] - Affidavits | Department of Justice and Community Safety Victoria

[4] - https://www.justice.gov/opa/press-release/file/1470211/download

[5] 2101. Money Laundering Overview | JM | Department of Justice

[6] - 923. 18 U.S.C. § 371—Conspiracy to Defraud the United States | JM | Department of Justice.

[7} - The Agency, its Mission and Statutory Authority | Internal Revenue Service

[8] - https://www.fbi.gov/about/mission

[9] - Homeland Security Investigations | ICE

[10] - O que é um endereço Bitcoin?

[11] - AlphaBay, the Largest Online 'Dark Market,' Shut Down | OPA | Department of Justice

[12] - Chain Hopping Attack on Bitcoin Cash Network | Blockchaind.Net

[13] - Peel Chain | Cryptocurrency Investigation | Hudson Intelligence

[14] - Shell corporation - Wikipedia

[15] - 31 CFR § 561.309 - U.S. financial institution. | CFR | US Law | LII / Legal Information Institute

[16] - O que são clusters de criptomoedas e como eles podem facilitar a vida dos traders – Money Times.

[17] - What We Do | FinCEN.gov

Se você chegou até aqui pode ser que não tenha visto e/ou lido uma postagem que eu publiquei por aqui que tem um pouco a ver com o assunto desta postagem:

De acordo com notícia publicada hoje, 03/08/2023 o casal suspeito e investigado como sendo supostos autores de um dos grandes ataques hacker dos últimos tempos se declarou culpado.
A notícia diz que Ilya se declarou culpado e assumiu a responsabilidade pelo ataque cibernético e a esposa Heather se declarou culpada pela prática de lavagem de dinheiro, não estando ligado ao ataque. Ele pode pegar possivelmente 20 anos de cana e ela 5 anos.

Imagem parcial retirada em 03 08 23 do site: NYC couple pleaded guilty to money laundering in Bitfinex hack | CyberScoop