Voltar ao Blog
segurancaengenharia-socialbitcointrezorinvestigacao
$282M em Bitcoin Roubados: O Maior Golpe de Engenharia Social da História Cripto
Um único usuário perdeu $282 milhões em Bitcoin e Litecoin após golpistas se passarem pelo suporte da Trezor. É por isso que a verificação humana importa mais do que o hardware.
Miguel Treviño•
Resumo:
- O Evento: Uma única vítima perdeu $282M em BTC e LTC em um ataque de engenharia social por telefone, com golpistas se passando pelo suporte da Trezor.
- A Vulnerabilidade: O ataque teve como alvo "segredos compartilháveis" (frases-semente) em vez de explorar código ou falha de hardware.
- A Lição: A segurança tradicional depende excessivamente de humanos gerenciando frases de 24 palavras que são facilmente capturadas por phishing.
- A Solução: O ZK Face Proof da Zelf elimina a necessidade de frases-semente completamente — você não pode vazar o que não possui.
Em 10 de janeiro de 2026, alguém perdeu $282 milhões em um único ataque.
Não por meio de um exploit de contrato inteligente. Não por uma vulnerabilidade zero-day. Não por uma exchange comprometida.
Por meio de uma ligação telefônica.
O Ataque
Conforme rastreado pelo investigador de blockchain ZachXBT, o ataque foi devastadoramente simples:
- A Preparação: Golpistas se passaram pelo suporte da carteira hardware Trezor
- A Engenharia Social: Convenceram a vítima a compartilhar sua frase-semente
- O Roubo: 1.459 BTC (
$139M) e mais de 2M LTC ($153M) foram drenados instantaneamente
Sem hacking sofisticado. Sem exploits de código. Apenas manipulação humana.
O Rastro do Dinheiro
Em poucas horas, o atacante começou a lavar os fundos roubados através de:
- THORChain: Trocou BTC por ETH, XRP e outros ativos sem KYC
- Tornado Cash: Misturou fundos para obscurecer o rastro
- Múltiplas CEXs: KuCoin, WhiteBit, Huobi, ChangeNOW
- Monero: Destino final para conversão não rastreável
A empresa de segurança ZeroShadow conseguiu bloquear aproximadamente $700.000 em 20 minutos — mas a grande maioria escapou.
A Dura Verdade Sobre Carteiras Hardware
Carteiras hardware como Trezor e Ledger são promovidas como a forma "mais segura" de armazenar cripto. E tecnicamente, são — se usadas corretamente.
Mas eis o que o marketing não diz:
Uma carteira hardware é tão segura quanto o humano que a opera.
O dispositivo em si nunca foi comprometido. O firmware estava intacto. A criptografia resistiu. O ponto fraco foi a pessoa.
Este não é um problema da Trezor. É um problema humano. E se aplica a toda carteira, todo dispositivo, todo sistema de segurança.
Por Que Frases-Semente São uma Falha de Design
Sejamos honestos: esperar que humanos:
- Escrevam 24 palavras aleatórias
- As armazenem com segurança para sempre
- Nunca as compartilhem com ninguém, jamais
- Lembrem onde estão anos depois
...é pedir pelo fracasso.
Frases-semente foram projetadas para segurança criptográfica, não para usabilidade humana. E quando a segurança entra em conflito com a usabilidade, a usabilidade vence — frequentemente de forma catastrófica.
A Abordagem Zelf: Autenticação Sem Segredos
Na Zelf, construímos a autenticação em torno de um princípio fundamental:
Você não pode vazar o que não possui.
O ZK Face Proof funciona de forma diferente:
- Sem frases-semente para compartilhar: Seu rosto É a autenticação
- Sem segredos para extrair: A prova é de conhecimento zero — nada sensível é transmitido
- Sem chamadas de suporte necessárias: Você não pode ser "ajudado" por golpistas porque não há nada para ajudar
Ataques de engenharia social visam segredos compartilháveis. Remova os segredos, remova o vetor de ataque.
O Que Teria Salvado Esses $282M?
Se a vítima estivesse usando um sistema de autenticação baseado em ZK:
- Não haveria nenhuma frase-semente para compartilhar
- Golpistas não poderiam se passar pelo "suporte" porque não há segredo para recuperar
- A autenticação é biométrica e intransferível
Todo o manual de estratégias do atacante se torna inútil.
Lições Aprendidas
- Nunca compartilhe sua frase-semente: Nenhum suporte legítimo jamais pedirá
- Desconfie de ligações de "suporte": Empresas reais não ligam sem aviso
- Questione segredos compartilháveis: Qualquer autenticação que depende de algo que você pode contar a alguém é vulnerável
- Considere o fator humano: A melhor segurança é aquela que você não pode acidentalmente contornar
O Futuro da Autenticação
O roubo de $282 milhões não é uma anomalia — é a consequência natural de sistemas de autenticação projetados sem considerar a psicologia humana.
A Zelf representa a próxima geração: autenticação que é tanto criptograficamente segura QUANTO socialmente não-manipulável.
Seu rosto não pode ser capturado por phishing. Sua prova biométrica não pode ser compartilhada por telefone. Sua identidade não pode ser falsificada.