Escrito por: Liam Akiba Wright
Tradução: Saoirse, Foresight News
De acordo com o San Francisco Chronicle, por volta das 6h45 da manhã de 22 de novembro, um suspeito disfarçado de entregador entrou numa residência no bairro Mission Dolores, perto da 18th Street e Dolores Street, controlou os moradores e roubou um telemóvel, um computador portátil e cerca de 11 milhões de dólares em criptomoedas.
Até domingo, a polícia de San Francisco ainda não tinha anunciado qualquer detenção nem fornecido detalhes específicos sobre os ativos roubados, e ainda não foi divulgado a que rede blockchain ou tipo de token pertenciam as criptomoedas envolvidas.
Ataques físicos contra detentores de criptomoedas não são casos isolados, e uma tendência preocupante está a emergir gradualmente.
Casos semelhantes que já noticiámos incluem: um assalto domiciliário no Reino Unido envolvendo 4,3 milhões de dólares; um caso em SoHo, Nova Iorque, onde a vítima foi sequestrada e torturada para entregar o acesso à sua carteira de bitcoin; o aumento dos casos de sequestro relacionados com criptomoedas em França e as medidas do governo; medidas extremas de proteção adotadas por detentores conhecidos de criptomoedas (como a "Bitcoin Family"), que dispersam as frases-semente das suas carteiras por vários continentes para aumentar a segurança operacional; a tendência de investidores de alto património em criptomoedas contratarem seguranças privados; e análises sobre a tendência dos "ataques de chave inglesa" (ataques físicos para obtenção de criptomoedas) e os prós e contras da autocustódia de ativos digitais.
Após o roubo, inicia-se imediatamente o rastreamento on-chain
Mesmo que o roubo comece à porta de casa, os fundos roubados geralmente circulam em registos públicos de blockchain, tornando possível o rastreamento — criando assim uma "corrida": de um lado, a movimentação dos canais de lavagem de dinheiro; do outro, as ferramentas de congelamento e rastreamento, cada vez mais sofisticadas e maduras em 2025. O USDT na TRON continua a ser um fator central nesta "corrida".
Este ano, graças à colaboração entre emissores de tokens, redes blockchain e empresas de análise de dados, a capacidade do setor para congelar ativos ilícitos melhorou. Segundo o relatório do "T3 Financial Crime Unit", desde o final de 2024, centenas de milhões de dólares em tokens de transações ilícitas já foram congelados.
Se os fundos roubados incluírem stablecoins, a possibilidade de bloquear a circulação desses fundos a curto prazo aumenta significativamente — porque os grandes emissores de stablecoins colaboram com as autoridades e parceiros de análise de dados, colocando os endereços de carteiras envolvidos em listas negras assim que são notificados.
Dados mais amplos também confirmam a ideia de que "stablecoins são a ferramenta preferida para movimentação de fundos ilícitos". O relatório de crimes de 2025 da Chainalysis mostra que, em 2024, as stablecoins representaram cerca de 63% do volume total de transações ilícitas, uma mudança significativa em relação aos anos anteriores, quando BTC e ETH dominavam os canais de lavagem de dinheiro.
Esta mudança é crucial para a recuperação de fundos: porque emissores centralizados de stablecoins podem bloquear transações ao nível do token, e quando os fundos passam por etapas que exigem KYC, plataformas centralizadas (como exchanges) tornam-se pontos adicionais de "interceção".
Entretanto, a Europol alerta que grupos criminosos organizados estão a utilizar inteligência artificial para aprimorar os seus métodos — isto não só encurta o ciclo de lavagem de dinheiro, como também automatiza a divisão de fundos entre diferentes redes blockchain e plataformas de serviços. Se o endereço de destino dos fundos roubados for identificado, o mais importante é notificar rapidamente os emissores de tokens e as exchanges.
De uma perspetiva macro, as perdas das vítimas continuam a agravar-se
Registos do "Internet Crime Complaint Center" do FBI mostram que, em 2024, crimes e fraudes online causaram perdas de 16,6 bilhões de dólares, com os casos de fraude de investimento em criptomoedas a crescerem 66% em relação ao ano anterior. Entre 2024 e 2025, incidentes de coação física contra detentores de criptomoedas (por vezes chamados de "ataques de chave inglesa") atraíram mais atenção — estes casos frequentemente combinam invasão domiciliar, sequestro de cartões SIM (acesso fraudulento ao controlo do cartão SIM de terceiros) e técnicas de engenharia social, e a TRM Labs (empresa de segurança blockchain) já registou tendências relacionadas com este tipo de roubo por coação.
Embora o caso de San Francisco envolva apenas uma residência, o modo de operação é representativo: invasão de dispositivos → coação da vítima para transferir fundos ou exportar chaves privadas → rápida dispersão dos fundos on-chain → teste dos canais de levantamento.
Uma nova política regulatória da Califórnia acrescenta outra variável ao caso. A "Digital Financial Assets Law" do estado entra em vigor em julho de 2025, dando ao "Department of Financial Protection and Innovation" autoridade para licenciar e fiscalizar atividades de determinadas exchanges e custodians de criptomoedas.
Se qualquer "canal de saída" com ligação à Califórnia (ou seja, canais para converter criptomoedas em moeda fiduciária), corretoras OTC ou prestadores de serviços de custódia entrarem em contacto com estes fundos roubados, o quadro regulatório da "Digital Financial Assets Law" pode apoiar a colaboração com as autoridades. Embora isto não seja um método direto para recuperar ativos autocustodiados, afeta as contrapartes normalmente usadas pelos ladrões para converter criptomoedas em moeda fiduciária.
Mudanças políticas noutras regiões também afetarão o desenrolar do caso
Segundo análise jurídica da Venable LLP, o Departamento do Tesouro dos EUA removeu o mixer Tornado Cash da "Lista de Nacionais Especialmente Designados" (lista de pessoas ou entidades sancionadas pelos EUA) em 21 de março de 2025, alterando os requisitos de conformidade para interações com o código deste mixer.
No entanto, esta alteração não legaliza a lavagem de dinheiro nem reduz a capacidade de análise das transações on-chain.
Contudo, enfraquece o "efeito dissuasor" que anteriormente levava alguns participantes a recorrer a outros mixers ou bridges cross-chain. Se os fundos roubados forem misturados em mixers tradicionais antes do levantamento, ou transferidos para stablecoins através de bridges cross-chain, o rastreamento dos fundos e o momento em que o KYC é acionado continuam a ser pontos-chave do caso.
Como o endereço da carteira envolvida ainda não foi divulgado, as plataformas de negociação podem planear as suas respostas para os próximos 14 a 90 dias com base em três caminhos principais. A tabela abaixo, baseada na estrutura de mercado e no ambiente regulatório de 2025, apresenta o "modelo de transferência de fundos de primeira linha", os indicadores a monitorizar e a faixa de probabilidade de congelamento e recuperação dos fundos:
As pistas da linha temporal do caso podem ser inferidas com base neste modelo.
Nas primeiras 24-72 horas, é fundamental monitorizar a consolidação e as transferências iniciais dos fundos. Se o endereço envolvido for divulgado e os fundos incluírem stablecoins, o emissor deve ser imediatamente notificado para iniciar a revisão da lista negra; se os fundos estiverem em bitcoin ou ethereum, é necessário monitorizar mixers, bridges cross-chain e se há conversão para USDT antes do levantamento em moeda fiduciária.
De acordo com o processo de colaboração do "Internet Crime Complaint Center", se os fundos entrarem em locais que exigem KYC, normalmente será emitida uma "ordem de preservação de ativos" e as contas relevantes nas exchanges serão congeladas dentro de 7 a 14 dias.
Entre 30 e 90 dias, se surgirem caminhos de transação com moedas de privacidade, o foco da investigação mudará para pistas off-chain, incluindo perícia de dispositivos, registos de comunicação e vestígios do golpe do "falso entregador" — o rastreamento de fundos por parte da TRM Labs e instituições semelhantes também avançará gradualmente nesta fase.
O design das carteiras continua a evoluir para enfrentar riscos de coação física
Em 2025, a aplicação de "carteiras de computação multipartidária" e "carteiras de abstração de conta" expandiu-se ainda mais, com novas funções como controlo estratégico, recuperação sem frase-semente, limites diários de transferência e processos de aprovação multifatorial — estes designs reduzem o risco de "exposição de ponto único" das chaves privadas em casos de coação física (ou seja, a chave privada não é exposta por um único dispositivo ou etapa).
Funcionalidades de "time lock" ao nível do contrato (mecanismos que atrasam a execução de transações) e "limite de gastos" podem abrandar a velocidade de transferência de fundos de alto valor e, em caso de roubo de conta, criar uma janela de tempo para alertar emissores ou exchanges.
Estas medidas de proteção não substituem as normas básicas de segurança no uso de dispositivos e na segurança doméstica, mas podem reduzir a probabilidade de sucesso dos ladrões caso tenham acesso a um telemóvel ou computador portátil.
O relatório do San Francisco Chronicle já forneceu os factos centrais do caso, mas o site oficial do Departamento de Polícia de San Francisco ainda não publicou um comunicado específico sobre este incidente.
O desenrolar do caso dependerá de dois fatores principais: se o endereço de destino dos fundos será tornado público e se o emissor da stablecoin ou a exchange já receberam pedidos de revisão e intervenção.
