Hacker invade a Coinbase e golpe abala a líder das criptomoedas no sistema tradicional

Na longa lista de empresas de criptoativos que foram hackeadas, há muitos exemplos de perdas financeiras bem mais dolorosas do que o que a Coinbase aparenta estar enfrentando com o ataque revelado na quinta-feira (15).

Ainda assim, este caso se destaca por sua relevância muito além dos US$ 400 milhões que a empresa estima que custará: desta vez, a vítima foi a empresa americana mais influente da indústria cripto.

A Coinbase é a empresa que liderou a entrada dos ativos digitais no sistema financeiro tradicional, sendo a primeira corretora de criptoativos listada em bolsa. É a companhia responsável pela custódia da maior parte dos US$ 122 bilhões em tokens pertencentes aos ETFs de bitcoin à vista. E também é a empresa que liderou o esforço político da indústria ao investir pesado para eleger um grupo de legisladores pró-cripto em Washington ano passado.

A revelação do ataque ocorre apenas três dias após a grande conquista da Coinbase em consolidar os ativos digitais no mercado tradicional: sua inclusão no índice S&P 500. O ataque, somado à notícia de uma investigação da SEC (Comissão de Valores Mobiliários dos EUA) sobre a forma como a empresa reportou seus números de usuários, fez as ações da Coinbase caírem mais de 7% ontem.

Embora a empresa afirme que o serviço Coinbase Prime — responsável pela custódia de criptoativos para emissores de ETFs e outros investidores institucionais — não tenha sido afetado, os hackers tiveram acesso a alguns dos dados mais valiosos de clientes da Coinbase desde janeiro, segundo uma fonte familiarizada com o caso, que pediu anonimato para discutir assuntos internos.

O plano dos hackers foi ousado, embora não tecnicamente sofisticado: eles subornaram representantes de atendimento ao cliente para obter dados de usuários e depois exigiram um resgate de US$ 20 milhões para apagá-los. A Coinbase começou a notar atividades suspeitas por parte de alguns desses representantes já em janeiro, confirmou a empresa em entrevista à Bloomberg News.

Os funcionários subornados tiveram acesso a nomes, datas de nascimento, endereços, nacionalidades, números de documentos, algumas informações bancárias e também detalhes sobre a criação das contas e seus saldos, disse a mesma fonte. Esses dados poderiam ser usados para tentar se passar pela Coinbase e enganar clientes, convencendo-os a permitir acesso às suas contas. Também poderiam ser utilizados para se passar pelas vítimas junto a outros prestadores de serviços e tentar acessar outras contas financeiras.

Para alguns usuários com saldos elevados na plataforma, o incidente é alarmante por razões que vão além das possíveis perdas financeiras, especialmente após o sequestro e mutilação do cofundador de uma startup de criptoativos no início deste ano na França e outros relatos semelhantes. “É uma violação grave, a quantidade de informações pessoais comprometidas é assustadora”, disse Mike Dudas, sócio da empresa Web3 6MV, que afirmou ter sido alvo dos hackers da Coinbase.

O Escritório do Comissário de Informação do Reino Unido, responsável por regulamentar como as empresas lidam com dados de clientes, está “avaliando as informações fornecidas”. O órgão pode aplicar multas de até 4% da receita global anual de uma empresa em casos de violações graves das leis de proteção de dados.

Funcionários na Índia foram Subornados

Os hackers subornaram um número suficiente de atendentes para conseguir, na prática, acesso sob demanda às informações dos clientes da Coinbase nos últimos cinco meses, disse a fonte. O diretor de segurança da empresa, Philip Martin, contestou a afirmação de acesso contínuo, dizendo em entrevista à Bloomberg que a empresa revogou o acesso dos agentes assim que descobriu que estavam compartilhando dados indevidamente. Portanto, os hackers “não tiveram acesso persistente durante todo o período”, afirmou.

A Coinbase detectou os agentes, os isolou e os demitiu assim que percebeu a atividade suspeita.

Segundo a mesma fonte, os hackers ainda tinham acesso a esses dados até a última quarta-feira. Martin afirmou: “Não temos nenhuma razão para acreditar que isso seja verdade”, mas admitiu que não é possível “provar que não”.

A Bloomberg News teve conhecimento de que os dados de pelo menos uma pessoa notável, com alto patrimônio, foram acessados — o nome não foi revelado por motivos de privacidade.

A Coinbase informou que recebeu um e-mail anônimo dos hackers com a exigência de resgate em 11 de maio. Acrescentou que, nos meses anteriores a esse e-mail, detectou casos de atendentes fora dos EUA coletando dados de sistemas internos. No último fim de semana, alguns clientes premium receberam e-mails informando que suas informações podem ter sido acessadas.

“Na Coinbase, monitoramos ativamente nossos sistemas para garantir que informações dos clientes sejam acessadas apenas quando necessário e em conformidade com nossos rigorosos padrões de segurança. Queremos informar que detectamos uma atividade que sugere que informações relacionadas à sua conta podem ter sido acessadas de forma que não está em conformidade com nossas políticas internas”, dizia o e-mail. “As informações não envolviam sua senha, frase-semente ou qualquer outro dado que permitisse acesso direto à sua conta ou aos seus fundos.”

No e-mail, a Coinbase recomendou que os clientes “monitorem suas contas regularmente e usem uma senha forte e exclusiva”.

Menos de 1% dos usuários mensais ativos da exchange foram afetados, disse a Coinbase. Além de reforçar os controles de segurança para esses usuários, a empresa afirmou que reembolsará integralmente qualquer um que tenha perdido dinheiro. Em vez de pagar o resgate, a Coinbase está oferecendo uma recompensa de US$ 20 milhões para quem fornecer informações que levem à prisão e condenação dos responsáveis pelo ataque.

Os ataques hackers têm sido uma constante na indústria cripto, devido à forte dependência do anonimato dos usuários e da complexidade dos sistemas digitais. Estima-se que cerca de US$ 2,2 bilhões foram perdidos nesse tipo de incidente em 2024, segundo a empresa de análise Chainalysis. Operar sob constante risco de ataque tem sido particularmente desgastante para as corretoras, que são alvos frequentes e precisam manter altos gastos com segurança.

Esse tipo de ataque chamado de “engenharia social” — em que criminosos usam pessoas, e não falhas de código, para obter acesso não autorizado a dados — tornou-se cada vez mais comum no setor, tendo resultado em grandes incidentes recentes como o hack de US$ 1,5 bilhão à corretora Bybit em fevereiro. Com um custo estimado de US$ 400 milhões para cobrir prejuízos e outros encargos, o ataque à Coinbase já é o oitavo maior da história das criptomoedas, segundo dados da Elliptic.

Enquanto isso, o New York Times informou que a SEC está investigando se a Coinbase reportou de forma incorreta seu número de usuários em divulgações anteriores — uma investigação iniciada ainda durante o governo Biden.

“Essa é uma investigação herdada da administração anterior sobre uma métrica que deixamos de divulgar há dois anos e meio, e que foi totalmente comunicada ao público”, disse Paul Grewal, diretor jurídico da Coinbase, em nota. “Embora acreditemos firmemente que essa investigação não deveria continuar, seguimos comprometidos a colaborar com a SEC para encerrar o assunto.”