Criptomoedas

Nos últimos anos, as operações de roubo de criptomoedas evoluíram significativamente, passando de páginas de phishing isoladas para uma economia subterrânea estruturada em torno de plataformas conhecidas como ‘Drainer-as-a-Service’ (DaaS). Diferente das operações tradicionais de malware, os draineres utilizam engenharia social para atrair vítimas a sites falsos de criptomoedas, NFTs ou DeFi, onde são induzidas a conectar suas carteiras e aprovar transações maliciosas. Uma análise de dados coletados de fóruns underground revelou que essas operações estão se profissionalizando, com foco em crescimento de afiliados e automação. O modelo DaaS permite que operadores mantenham a infraestrutura de drenagem enquanto afiliados geram tráfego por meio de links de phishing e contas de redes sociais comprometidas. O estudo também destacou a resiliência operacional do Lucifer, um exemplo de DaaS, que se adaptou a banimentos e suspensões de serviços, utilizando descentralização para manter suas operações. A popularidade dos draineres se deve à natureza líquida e rápida das criptomoedas, além da confusão que muitos usuários têm em relação às permissões de carteira, tornando-os alvos fáceis para ataques. Essa situação representa um risco significativo para organizações que lidam com criptomoedas, exigindo atenção especial de equipes de segurança.

O FBI revelou que os americanos perderam mais de US$ 388 milhões em 2025 devido a fraudes envolvendo quiosques de criptomoedas, também conhecidos como ATMs de Bitcoin. Esses terminais eletrônicos permitem a compra e venda de ativos digitais usando dinheiro ou cartões de débito, mas têm sido explorados por cibercriminosos que instruem as vítimas a depositar dinheiro, que é então transferido para carteiras controladas pelos atacantes. O relatório do FBI indica um aumento de quase 60% nas perdas em comparação ao ano anterior, com mais da metade das reclamações vindo de indivíduos com mais de 50 anos. Os estados de Minnesota, Indiana e Tennessee já baniram esses quiosques, enquanto o FBI recomenda medidas de proteção, como não enviar dinheiro a desconhecidos e verificar a autenticidade de solicitações de pagamento. O relatório de crimes cibernéticos do FBI também destacou que, no total, mais de 1 milhão de reclamações foram registradas, resultando em perdas de quase US$ 21 bilhões em crimes cibernéticos em geral.

O principal administrador do Dream Market, Owe Martin Andresen, foi indiciado nos Estados Unidos por lavagem de dinheiro, enfrentando até 20 anos de prisão por cada uma das 12 acusações. Arrestado na Alemanha, ele é acusado de movimentar milhões de dólares de carteiras de criptomoedas do mercado, que operou entre 2013 e 2019, facilitando a venda de substâncias ilegais como cocaína e fentanil. A investigação revelou que, entre agosto de 2023 e abril de 2025, Andresen teria lavado mais de 2 milhões de dólares, utilizando um serviço de criptomoedas para comprar barras de ouro, que foram enviadas para sua residência na Alemanha. As autoridades alemãs também encontraram 1,7 milhão de dólares em barras de ouro e 23 mil dólares em dinheiro durante buscas em sua casa. O Dream Market, que chegou a ter cerca de 100 mil anúncios, foi um dos maiores mercados da dark web, especialmente após o fechamento de concorrentes como Hansa e AlphaBay.

Um homem de 20 anos da Califórnia, Marlon Ferro, foi condenado a 78 meses de prisão por seu papel em um esquema criminoso que roubou mais de 250 milhões de dólares em criptomoedas. Ferro, conhecido online como GothFerrari, foi preso em maio de 2025, portando armas e documentos falsos. Ele se declarou culpado em outubro e foi condenado a pagar 2,5 milhões de dólares em restituição, além de três anos de liberdade supervisionada. O grupo criminoso, ativo entre 2023 e 2025, utilizou engenharia social para enganar vítimas e obter acesso a carteiras digitais. Quando as vítimas armazenavam fundos em carteiras de hardware, Ferro realizava invasões residenciais para roubar esses dispositivos. Em um caso, ele roubou uma carteira contendo cerca de 100 Bitcoins, avaliados em mais de 5 milhões de dólares na época. O esquema envolveu também a lavagem de dinheiro por meio de exchanges de criptomoedas e a compra de bens de luxo. Além de Ferro, outros membros do grupo também foram condenados, totalizando 14 suspeitos envolvidos em uma conspiração de RICO, que resultou em perdas significativas para as vítimas. O caso destaca a combinação de fraudes online sofisticadas com métodos tradicionais de roubo, evidenciando a necessidade de vigilância e proteção contra tais ameaças.

Uma operação internacional coordenada entre autoridades dos EUA e da China resultou na prisão de pelo menos 276 suspeitos e no fechamento de nove centros de fraudes relacionados a investimentos em criptomoedas, que visavam cidadãos americanos. A ação foi liderada pela Polícia de Dubai, em colaboração com o FBI e o Ministério da Segurança Pública da China. Os acusados, incluindo indivíduos de Mianmar e Indonésia, enfrentam acusações de fraude e lavagem de dinheiro nos EUA. Os golpistas utilizavam táticas conhecidas como ‘pig butchering’ e ‘romance baiting’, enganando vítimas a investirem em plataformas fraudulentas de criptomoedas. Após a transferência dos fundos, os ativos eram lavados para contas de criptomoedas dos fraudadores. A operação também resultou na notificação de quase 9.000 vítimas e na recuperação de aproximadamente $562 milhões. Além disso, um senador cambojano foi sancionado por seu envolvimento em redes de fraudes cibernéticas. A situação destaca a crescente interconexão entre fraudes financeiras e tráfico humano, com trabalhadores sendo forçados a participar de esquemas fraudulentos sob condições desumanas.

Uma operação conjunta entre autoridades dos EUA e da China resultou na prisão de pelo menos 276 suspeitos e no fechamento de nove centros de fraude em investimentos em criptomoedas. A ação, liderada pela Polícia de Dubai, focou em redes criminosas que operavam esquemas de ‘pig-butchering’, onde golpistas criam laços de confiança com as vítimas através de amizades ou romances falsos, levando-as a plataformas de investimento fraudulentas que esvaziam suas contas. Os documentos judiciais revelam que as vítimas perderam imediatamente o controle dos fundos transferidos, que eram lavados por meio de contas de criptomoedas adicionais. Entre os presos, destaca-se Thet Min Nyi, acusado de ser gerente de uma das operações fraudulentas. A operação também levou à prisão de outros indivíduos ligados a diferentes grupos de fraude. O FBI identificou várias vítimas nos EUA, com perdas que somam milhões de dólares. Em 2025, a fraude em investimentos representou 49% de todos os incidentes relacionados a golpes, resultando em perdas de US$ 8,6 bilhões. A criação da Scam Center Strike Force pelos EUA visa desmantelar redes de fraudes em criptomoedas, refletindo a crescente preocupação com a segurança cibernética nesse setor.

Autoridades da Áustria e da Albânia desmantelaram uma rede criminosa acusada de operar um esquema de fraude em investimentos em criptomoedas, resultando em perdas estimadas em mais de €50 milhões (cerca de $58,5 milhões) para vítimas em todo o mundo. A ação conjunta, iniciada em junho de 2023 e apoiada pela Europol e Eurojust, culminou na prisão de 10 suspeitos e na realização de buscas em três call centers e nove residências particulares em 17 de abril. Durante a operação, foram apreendidos €891.735 em dinheiro, 443 computadores, 238 celulares, 6 laptops e diversos dispositivos de armazenamento de dados para exame forense.

Pesquisadores de cibersegurança descobriram um código malicioso em um pacote npm chamado ‘@validate-sdk/v2’, que foi introduzido como dependência em um projeto do modelo de linguagem Claude Opus da Anthropic. Este pacote, que deveria funcionar como um kit de desenvolvimento de software para validação e geração aleatória segura, na verdade, tem a capacidade de roubar segredos sensíveis do ambiente comprometido. A campanha de malware, denominada PromptMink, está associada a um ator de ameaças da Coreia do Norte conhecido como Famous Chollima, que já esteve envolvido em outras campanhas fraudulentas. O ataque utiliza uma abordagem em camadas, onde pacotes de primeira camada não contêm código malicioso, mas importam pacotes de segunda camada que realmente executam as funções maliciosas. Isso permite que os atacantes acessem carteiras de criptomoedas dos usuários. Além disso, a campanha evoluiu para atingir o Python Package Index (PyPI) e utiliza técnicas de ofuscação e typosquatting para evitar a detecção. O uso de pacotes legítimos para comunicação de comando e controle também foi observado, aumentando a complexidade e a eficácia das operações maliciosas.

Pesquisadores de cibersegurança descobriram um conjunto de aplicativos maliciosos na Apple App Store que se passam por carteiras de criptomoedas populares, com o objetivo de roubar frases de recuperação e chaves privadas desde o outono de 2025. Esses aplicativos, conhecidos como FakeWallet, imitam carteiras como Bitpie, Coinbase e MetaMask, e redirecionam os usuários para páginas de navegador que se assemelham à App Store, distribuindo versões trojanizadas de carteiras legítimas. Embora muitos desses aplicativos tenham sido removidos pela Apple após a divulgação, a campanha representa uma evolução nas táticas de roubo de criptomoedas, pois os aplicativos estão disponíveis para download diretamente da App Store, especialmente para usuários com contas configuradas para a China. Os atacantes utilizam ícones semelhantes aos originais, mas com erros de digitação intencionais nos nomes para enganar os usuários. Além disso, a campanha pode estar ligada a um grupo de ameaças que já atuou anteriormente, utilizando técnicas sofisticadas de phishing para capturar frases mnemônicas e comprometer carteiras de criptomoedas. A situação é preocupante, pois o roubo de ativos digitais pode ter consequências financeiras significativas para os usuários.

O cenário de cibersegurança continua a ser alarmante, com uma série de incidentes recentes que destacam a vulnerabilidade das infraestruturas digitais. Um dos principais eventos foi o roubo de criptomoedas de $290 milhões do projeto KelpDAO, supostamente orquestrado por atores de ameaças da Coreia do Norte, que comprometeram a infraestrutura de comunicação do LayerZero. Além disso, falhas críticas em plataformas de automação residencial, como MajorDoMo, estão sendo ativamente exploradas, com vulnerabilidades que permitem execução remota de código e injeção de backdoors.

Um conjunto de 26 aplicativos maliciosos foi identificado na Apple App Store, disfarçando-se como carteiras populares como Metamask, Coinbase, Trust Wallet e OneKey. Esses aplicativos têm como objetivo roubar frases de recuperação ou seed phrases, drenando os ativos em criptomoedas dos usuários. Os atacantes utilizaram métodos como typosquatting e branding falso para enganar usuários na China, publicando os aplicativos como jogos ou calculadoras, na tentativa de contornar as restrições do país. Os pesquisadores da Kaspersky nomearam essa campanha de FakeWallet, associando-a à operação SparkKitty. Ao serem abertos, os aplicativos redirecionam os usuários para páginas de phishing que imitam portais legítimos de serviços de criptomoedas. Essas páginas convencem as vítimas a baixar aplicativos de carteira trojanizados, que interceptam as frases mnemônicas durante a configuração ou recuperação da carteira, criptografando-as e enviando-as para os atacantes. Embora a campanha tenha como alvo principal usuários na China, o malware não possui restrições geográficas, podendo afetar usuários globalmente. A Kaspersky recomenda que os detentores de criptomoedas verifiquem sempre o editor dos aplicativos que baixam, mesmo em lojas oficiais. Após a divulgação responsável da Kaspersky, a Apple removeu todos os 26 aplicativos da App Store.

Tyler Robert Buchanan, um britânico de 24 anos, se declarou culpado nos Estados Unidos por fraudes eletrônicas e roubo de identidade agravado. Ele é considerado o líder do coletivo de cibercrime Scattered Spider, que, entre setembro de 2021 e abril de 2023, teria roubado pelo menos 8 milhões de dólares em criptomoedas ao realizar ataques de phishing via SMS em diversas empresas. As organizações afetadas abrangem setores como entretenimento, telecomunicações e tecnologia. Os ataques consistiam no envio de mensagens de texto que se passavam por comunicações legítimas das empresas, levando os funcionários a fornecer informações confidenciais. Com esses dados, os criminosos conseguiram sequestrar contas de e-mail e realizar ataques de troca de SIM, transferindo milhões para carteiras que controlavam. Buchanan foi preso em junho de 2024 na Espanha e enfrenta uma pena máxima de 22 anos de prisão. Outros três cúmplices também foram acusados e podem enfrentar até 20 anos de prisão. O grupo Scattered Spider é conhecido por suas táticas de engenharia social e parcerias com gangues de ransomware, aumentando a preocupação sobre a segurança cibernética em nível global.

A exchange de criptomoedas Grinex, incorporada no Quirguistão e sancionada pelo Reino Unido e pelos EUA, anunciou a suspensão de suas operações após um ataque cibernético que resultou no roubo de 13,74 milhões de dólares. A empresa afirmou que o ataque, ocorrido em 15 de abril de 2026, possui características que sugerem a participação de agências de inteligência estrangeiras, visando desestabilizar a soberania financeira da Rússia. O ataque resultou na perda de mais de 1 bilhão de rublos em fundos de usuários. Grinex é considerada uma rebranding da Garantex, que já havia sido sancionada por lavagem de dinheiro. O roubo foi realizado através de uma série de transações que evitaram a detecção e o congelamento dos ativos. A análise de blockchain revelou que os fundos roubados foram rapidamente convertidos em tokens não congeláveis, uma tática comum entre criminosos para lavar dinheiro. A situação levanta questões sobre a segurança das exchanges de criptomoedas e a possibilidade de operações de bandeira falsa, dada a natureza do ataque e o histórico da Grinex.

A exchange de criptomoedas Grinex, baseada no Quirguistão, suspendeu suas operações após um ataque cibernético que resultou no roubo de US$ 13,7 milhões. Os fundos foram retirados de carteiras de usuários russos, uma vez que a plataforma facilita operações de troca entre negócios e indivíduos da Rússia. Grinex, que é considerada uma rebranding da exchange russa Garantex, já havia sido alvo de sanções do Departamento do Tesouro dos EUA por suas ligações com atividades ilícitas. O ataque, segundo a Grinex, foi realizado por agentes de inteligência estrangeiros com recursos tecnológicos avançados, visando diretamente a soberania financeira da Rússia. A análise da blockchain revelou que os fundos roubados foram transferidos para endereços TRON e Ethereum e convertidos em criptomoedas. Além disso, a TRM Labs identificou um segundo ataque em outra exchange, a TokenSpot, que também possui vínculos com Grinex. Embora a Grinex tenha atribuído o ataque a agências de inteligência ocidentais, não foram apresentados dados técnicos que comprovassem essa alegação.

Um aplicativo malicioso do Ledger Live para macOS, disponível na Apple App Store, causou perdas de aproximadamente US$ 9,5 milhões em criptomoedas para 50 vítimas em poucos dias. Os usuários que baixaram o aplicativo falso foram enganados a inserir suas frases de recuperação, permitindo que os atacantes acessassem totalmente suas carteiras e transferissem ativos digitais para endereços externos sob seu controle. O investigador de blockchain ZachXBT relatou que os atacantes utilizaram diversos endereços de carteira para receber fundos em várias blockchains, incluindo Bitcoin, Ethereum, Tron, Solana e Ripple. Os valores roubados foram lavados através de mais de 150 endereços de depósito na KuCoin, uma plataforma de câmbio, que está sob suspeita de violar leis de combate à lavagem de dinheiro. Embora a Apple tenha removido o aplicativo após múltiplos relatos de usuários, 50 pessoas já haviam perdido suas criptomoedas. É importante ressaltar que a Ledger oferece um aplicativo para Mac em seu site, mas não na App Store, onde apenas uma versão compatível com iOS está disponível. Esse incidente destaca a vulnerabilidade dos usuários a aplicativos maliciosos e a necessidade de cautela ao baixar softwares relacionados a criptomoedas.

Uma ação internacional de combate à fraude, liderada pela Agência Nacional do Crime do Reino Unido (NCA), revelou mais de 20.000 vítimas de fraudes com criptomoedas no Canadá, Reino Unido e Estados Unidos. A operação, chamada ‘Operação Atlantic’, ocorreu no mês passado e envolveu a NCA, o Serviço Secreto dos EUA, a Polícia Provincial de Ontário e a Comissão de Valores Mobiliários de Ontário, além de parceiros do setor privado. Durante a operação, foram congelados mais de 12 milhões de dólares em lucros criminosos provenientes de ataques de ‘phishing de aprovação’, onde golpistas enganam as vítimas para obter acesso às suas carteiras de criptomoedas. Também foram identificados mais de 45 milhões de dólares em criptomoedas roubadas relacionadas a esquemas de fraude em todo o mundo. A NCA destacou que a colaboração entre o setor público e privado foi fundamental para o sucesso da operação, que ajudou a proteger milhares de vítimas e interromper redes de fraude. Além disso, o FBI, em uma operação paralela chamada ‘Operação Level Up’, identificou mais de 8.000 vítimas de fraudes de investimento em criptomoedas, com perdas estimadas em mais de 511 milhões de dólares. O relatório de crimes na internet de 2025 do FBI revelou um aumento significativo nas queixas relacionadas a fraudes com criptomoedas, totalizando 61.559 reclamações e perdas de 7,228 bilhões de dólares em 2024.

Uma vulnerabilidade crítica foi descoberta e já corrigida no EngageLab SDK, um kit de desenvolvimento de software amplamente utilizado em aplicativos Android, que poderia ter colocado em risco milhões de usuários de carteiras de criptomoedas. Segundo a equipe de pesquisa de segurança da Microsoft Defender, essa falha permitia que aplicativos no mesmo dispositivo contornassem a sandbox de segurança do Android, obtendo acesso não autorizado a dados privados. O EngageLab SDK, que oferece um serviço de notificações push, foi integrado em muitos aplicativos do ecossistema de criptomoedas, totalizando mais de 30 milhões de instalações. A vulnerabilidade, identificada na versão 4.5.4 do SDK, é classificada como uma vulnerabilidade de redirecionamento de intent, onde um aplicativo malicioso poderia manipular intents para acessar dados sensíveis de outros aplicativos. Embora não haja evidências de exploração maliciosa, a Microsoft recomenda que os desenvolvedores atualizem para a versão mais recente do SDK para evitar riscos futuros. Este caso destaca como falhas em SDKs de terceiros podem ter implicações de segurança em larga escala, especialmente em setores de alto valor como o gerenciamento de ativos digitais.

A Bitcoin Depot, que opera uma das maiores redes de caixas eletrônicos de Bitcoin, sofreu um ataque cibernético que resultou no roubo de aproximadamente 50,903 Bitcoins, avaliados em cerca de US$ 3,665 milhões. O incidente foi descoberto em 23 de março de 2026, quando a empresa detectou atividades suspeitas em seus sistemas de TI. Apesar de ter ativado rapidamente seus protocolos de resposta a incidentes e notificado as autoridades, os atacantes conseguiram roubar credenciais de contas de liquidação de ativos digitais antes que o acesso fosse bloqueado. A empresa afirmou que o incidente foi contido ao seu ambiente corporativo e não afetou as plataformas ou dados dos clientes. Embora a Bitcoin Depot tenha cobertura de seguro para ataques cibernéticos, a empresa alertou que isso pode não cobrir todas as perdas resultantes do ataque. Este não é o primeiro incidente de segurança da empresa; em 2024, quase 26,000 pessoas foram notificadas sobre um vazamento de dados que expôs informações pessoais. O ataque à Bitcoin Depot destaca a crescente vulnerabilidade das empresas no setor de criptomoedas e a necessidade de medidas de segurança robustas.

Um ataque cibernético ocorrido em 1º de abril de 2026 resultou no roubo de US$ 285 milhões de uma exchange descentralizada baseada em Solana, revelando uma operação de engenharia social meticulosamente planejada pela Coreia do Norte. O grupo de hackers, conhecido como UNC4736, é associado a diversas campanhas de roubo no setor de criptomoedas desde 2018. A análise da Drift, a exchange atacada, indica que o ataque foi o resultado de meses de interação com colaboradores da empresa, onde os atacantes, disfarçados como uma empresa de trading, estabeleceram relações de confiança. Durante esse período, eles conseguiram integrar um Ecosystem Vault na plataforma, o que facilitou o acesso a ativos criptográficos. O ataque pode ter sido realizado através de dois vetores principais: a clonagem de um repositório de código malicioso e o download de um aplicativo de carteira comprometido. A investigação também destaca a evolução do ecossistema de malware da Coreia do Norte, que se tornou mais fragmentado e resistente a atribuições, dificultando a identificação de suas operações. Este incidente ressalta a necessidade de vigilância constante e medidas de segurança robustas no setor de fintech e criptomoedas.

No dia 1º de abril de 2026, a exchange descentralizada Drift, baseada em Solana, sofreu um ataque que resultou no roubo de aproximadamente $285 milhões. O ataque foi realizado por um ator malicioso que obteve acesso não autorizado ao Drift Protocol, utilizando uma técnica inovadora envolvendo ‘durable nonces’. Essa abordagem permitiu a pré-assinatura de transações, atrasando sua execução e facilitando a apropriação das permissões administrativas do Conselho de Segurança da plataforma. Importante ressaltar que o ataque não explorou vulnerabilidades nos contratos inteligentes da Drift, nem houve comprometimento de frases-semente. Em vez disso, os atacantes manipularam aprovações de transações, possivelmente através de engenharia social, para executar uma transferência administrativa maliciosa rapidamente. O incidente, que começou a ser preparado em 23 de março, está sendo investigado em colaboração com várias empresas de segurança e autoridades. Relatórios indicam que o ataque pode estar ligado a grupos de hackers da Coreia do Norte, que têm um histórico de roubo de criptomoedas para financiar programas de armas. A evolução das técnicas de engenharia social, aliada ao uso crescente de inteligência artificial, amplia o escopo das ameaças, tornando desenvolvedores e colaboradores de projetos alvos potenciais.

Pesquisadores de cibersegurança descobriram uma nova versão do malware SparkCat nas lojas de aplicativos da Apple e Google, mais de um ano após sua primeira detecção. Este trojan se disfarça em aplicativos aparentemente inofensivos, como mensageiros corporativos e serviços de entrega de alimentos, enquanto escaneia silenciosamente as galerias de fotos das vítimas em busca de frases de recuperação de carteiras de criptomoedas. A empresa russa Kaspersky identificou dois aplicativos infectados na App Store e um no Google Play, com foco em usuários de criptomoedas na Ásia. A variante para iOS se destaca por buscar frases mnemônicas em inglês, o que amplia seu alcance potencial. A versão para Android, por sua vez, apresenta várias camadas de ofuscação e busca palavras-chave em japonês, coreano e chinês. O SparkCat utiliza um modelo de reconhecimento óptico de caracteres (OCR) para extrair imagens que contêm frases de recuperação de carteiras e enviá-las a servidores controlados por atacantes. As melhorias recentes indicam que o malware está em evolução contínua, reforçando a necessidade de soluções de segurança para dispositivos móveis.

Jonathan Spalletta, um homem de 36 anos de Maryland, foi acusado de roubar mais de US$ 53 milhões após invadir a exchange de criptomoedas Uranium Finance em duas ocasiões. A primeira invasão ocorreu em abril de 2021, quando ele explorou uma falha no código do contrato inteligente da exchange, drenando cerca de US$ 1,4 milhão do fundo de liquidez. Após a primeira invasão, Spalletta extorquiu a Uranium, exigindo quase US$ 386 mil como um falso ‘bug bounty’ em troca do retorno de parte dos fundos. Na segunda invasão, ele aproveitou um erro de codificação que permitiu retirar quase 90% dos ativos da exchange, totalizando aproximadamente US$ 53,3 milhões. Spalletta utilizou um mixer de criptomoedas para lavar os ativos roubados e gastou os lucros em itens de alto valor, como cartas de Magic: The Gathering e um conjunto completo de cartas Pokémon. Ele enfrenta até 30 anos de prisão por fraude e lavagem de dinheiro. Este caso destaca a vulnerabilidade das exchanges descentralizadas e a necessidade de medidas de segurança robustas para proteger os ativos dos usuários.

O Escritório de Relações Exteriores, Comunidade e Desenvolvimento do Reino Unido (FCDO) impôs sanções ao Xinbi, um mercado online em língua chinesa que comercializa dados roubados e equipamentos de internet via satélite, supostamente utilizado por redes de fraude no Sudeste Asiático. O Xinbi, que opera via Telegram, é acusado de ajudar atores de ameaças da Coreia do Norte a lavar criptomoedas obtidas em grandes roubos. Entre 2021 e 2025, o mercado processou mais de $19,9 bilhões, facilitando desde negociações não licenciadas até a venda de bancos de dados pessoais roubados. As sanções também atingem o #8 Park, um grande centro de fraudes em Camboja, e a Legend Innovation Co, operadora do local. O FCDO busca isolar o Xinbi do ecossistema legítimo de criptomoedas, dificultando suas operações financeiras. O governo britânico enfatiza que não tolerará abusos de direitos humanos associados a esses centros de fraude, que frequentemente coagem trabalhadores a participar de esquemas criminosos globais, como fraudes de investimento em criptomoedas. As sanções são parte de uma ação mais ampla contra redes criminosas que exploram pessoas vulneráveis, com o Reino Unido liderando esforços internacionais para combater o financiamento ilícito.

Um novo malware de roubo de informações, chamado Torg Grabber, está comprometendo dados sensíveis de 850 extensões de navegador, sendo mais de 700 delas voltadas para carteiras de criptomoedas. O acesso inicial é realizado através da técnica ClickFix, que sequestra a área de transferência e engana o usuário para executar um comando PowerShell malicioso. Pesquisadores da Gen Digital relatam que o Torg Grabber está em desenvolvimento ativo, com 334 amostras únicas compiladas em apenas três meses e novos servidores de comando e controle (C2) sendo registrados semanalmente. Além de carteiras de criptomoedas, o malware também rouba dados de 103 gerenciadores de senhas e ferramentas de autenticação de dois fatores. O Torg Grabber evoluiu rapidamente, abandonando métodos anteriores de exfiltração de dados em favor de uma conexão HTTPS, e implementou mecanismos de anti-análise e ofuscação para evitar detecções. O malware é capaz de roubar credenciais, cookies e dados de preenchimento automático, além de coletar informações de aplicativos populares como Discord, Telegram e Steam. A Gen Digital alerta que o Torg Grabber continua a se desenvolver, com uma base de operadores em expansão e um potencial impacto significativo na segurança de dados dos usuários.

Pesquisadores de cibersegurança descobriram uma nova campanha maliciosa, chamada Ghost, que utiliza pacotes npm para roubar carteiras de criptomoedas e dados sensíveis. Os pacotes, publicados por um usuário identificado como ‘mikilanjillo’, incluem nomes como ‘react-performance-suite’ e ‘coinbase-desktop-sdk’. Esses pacotes enganam os usuários ao solicitar a senha sudo durante a instalação, enquanto ocultam suas verdadeiras intenções. O processo de instalação é disfarçado com logs falsos e atrasos aleatórios, criando a ilusão de que a instalação está em andamento. Ao inserir a senha, o malware é ativado, permitindo o download de um trojan de acesso remoto que coleta dados e aguarda instruções de um servidor externo. A campanha Ghost apresenta semelhanças com outra atividade chamada GhostClaw, que também utiliza repositórios do GitHub para disseminar malware, disfarçado como ferramentas legítimas. Ambas as campanhas destacam uma nova abordagem dos atacantes, que exploram ecossistemas confiáveis para introduzir código malicioso. A situação é preocupante, pois pode impactar desenvolvedores e empresas que utilizam essas bibliotecas, especialmente no Brasil, onde o uso de tecnologias como Node.js e npm é comum.

A Bitrefill, uma plataforma de e-commerce que permite a compra de cartões-presente com criptomoedas, sofreu um ataque cibernético no início do mês, supostamente perpetrado pelo grupo de hackers norte-coreano Bluenoroff. Durante a investigação, a empresa identificou semelhanças com ataques anteriores atribuídos a esse grupo, incluindo o uso de malware específico e endereços IP e e-mails reutilizados. O ataque foi originado a partir de um laptop comprometido de um funcionário, onde os atacantes conseguiram roubar credenciais e acessar informações sensíveis, incluindo partes da infraestrutura da Bitrefill e algumas carteiras de criptomoedas. Aproximadamente 18.500 registros de compras, que continham endereços de e-mail e IP de clientes, foram expostos, embora a empresa tenha assegurado que os saldos dos usuários não foram afetados. A Bitrefill, que opera em 150 países e suporta mais de 600 operadores móveis, está implementando medidas de segurança adicionais e revisando seus controles de acesso. Apesar da gravidade do ataque, a empresa conseguiu minimizar as perdas, que serão cobertas por seu capital. A Bitrefill acredita que os atacantes estavam mais interessados em criptomoedas e no estoque de cartões-presente do que nas informações dos clientes.

O grupo de ameaças conhecido como UNC4899, vinculado ao governo da Coreia do Norte, está associado a uma sofisticada campanha de comprometimento em nuvem que visou uma organização de criptomoedas em 2025, resultando no roubo de milhões de dólares em ativos digitais. O ataque começou com engenharia social, onde um desenvolvedor foi enganado a baixar um arquivo malicioso que, ao ser transferido para seu dispositivo corporativo, permitiu que os invasores acessassem o ambiente de nuvem da empresa. Utilizando técnicas de Living-off-the-Cloud (LotC), os atacantes exploraram fluxos de trabalho legítimos de DevOps para coletar credenciais e manipular bancos de dados SQL na nuvem. Através de uma série de etapas, incluindo a modificação de políticas de autenticação multifatorial e a injeção de comandos em recursos do Kubernetes, o grupo conseguiu escalar privilégios e acessar informações sensíveis, culminando em saques significativos de criptomoedas. Este incidente destaca os riscos críticos associados ao uso de métodos de transferência de dados pessoais para corporativos e à gestão inadequada de segredos em ambientes de nuvem. Especialistas recomendam que as organizações adotem estratégias de defesa em profundidade e implementem controles rigorosos para mitigar tais ameaças.

John Daghita, filho de um contratante do governo dos EUA, foi preso na ilha de Saint Martin, acusado de roubar mais de 46 milhões de dólares em criptomoedas do Serviço de Marshals dos EUA. A prisão foi resultado de uma operação conjunta entre o FBI e a elite da Gendarmerie Nacional da França. Daghita, que usava o pseudônimo ‘Lick’, é filho de Dean Daghita, CEO da Command Services & Support, empresa que gerencia ativos digitais apreendidos pelo governo. As investigações revelaram que Daghita teria movimentado grandes quantias de criptomoedas, ligadas a um dos maiores roubos de criptomoedas da história, o hack da Bitfinex em 2016, que resultou no roubo de 120.000 bitcoins. O investigador ZachXBT foi crucial para a descoberta, rastreando os movimentos de carteiras digitais e expondo Daghita em um chat privado no Telegram. Após a divulgação, Daghita teria zombado do investigador, enviando pequenas quantias das criptomoedas roubadas como forma de provocação. A operação destaca a importância da cooperação internacional no combate a crimes cibernéticos.

A extensão do Chrome chamada ‘QuickLens - Search Screen with Google Lens’ foi removida da Chrome Web Store após ser comprometida para distribuir malware e tentar roubar criptomoedas de milhares de usuários. Originalmente, a extensão permitia que os usuários realizassem buscas com o Google Lens diretamente no navegador e contava com cerca de 7.000 usuários. No entanto, em 17 de fevereiro de 2026, uma nova versão foi lançada, contendo scripts maliciosos que introduziram ataques ClickFix e funcionalidades de roubo de informações. Pesquisadores de segurança relataram que a extensão mudou de propriedade e, em seguida, recebeu uma atualização que solicitava novas permissões de navegador e removia cabeçalhos de segurança, facilitando a execução de scripts maliciosos. A extensão se comunicava com um servidor de comando e controle, coletando dados do usuário e tentando roubar informações de carteiras de criptomoedas. Os usuários afetados foram aconselhados a remover a extensão, escanear seus dispositivos em busca de malware e redefinir senhas. Este incidente destaca a vulnerabilidade de extensões populares e a necessidade de vigilância constante por parte dos usuários e administradores de segurança.

Um incidente de cibersegurança ocorreu na Coreia do Sul, onde a Autoridade Nacional de Impostos expôs publicamente a frase de recuperação de uma carteira de criptomoedas apreendida, resultando no roubo de aproximadamente R$ 4,4 milhões em ativos digitais. Os fundos estavam armazenados em uma carteira fria da Ledger, confiscada durante operações contra 124 sonegadores fiscais. Ao divulgar o sucesso da operação, a agência publicou fotos que incluíam uma nota manuscrita com a frase de recuperação, permitindo que qualquer pessoa tivesse acesso total aos ativos. Após a divulgação, 4 milhões de tokens Pre-Retogeum (PRTG) foram transferidos para um novo endereço em três transações distintas. Especialistas criticaram a falta de compreensão das autoridades sobre ativos virtuais, que resultou em perdas significativas para o tesouro nacional. O caso serve como um alerta para proprietários de carteiras de hardware, enfatizando a importância de proteger a frase de recuperação e evitar armazená-la em formatos digitais inseguros. A divulgação do incidente gerou preocupações sobre a segurança das criptomoedas e a necessidade de medidas mais rigorosas para proteger informações sensíveis.

O Departamento de Justiça dos EUA anunciou a apreensão de US$ 61 milhões em Tether, supostamente ligados a esquemas fraudulentos de criptomoedas conhecidos como ‘pig butchering’. Esses fundos foram rastreados até endereços de criptomoedas utilizados para lavar lucros obtidos de vítimas de fraudes em investimentos. O agente especial da HSI, Kyle D. Burns, destacou que criminosos e lavadores de dinheiro utilizam fraudes cibernéticas para enganar vítimas e ocultar seus ganhos ilícitos. Os golpistas geralmente cultivam relacionamentos românticos em aplicativos de namoro e redes sociais, atraindo indivíduos que são forçados a enganar outras pessoas online sob ameaça. As plataformas fraudulentas apresentavam portfólios de investimento falsos com retornos extremamente altos, levando as vítimas a investir mais. Quando tentavam retirar seus fundos, eram solicitados a pagar taxas adicionais. O DoJ informou que, uma vez que o dinheiro era transferido para carteiras controladas pelos golpistas, ele era rapidamente movimentado para ocultar sua origem. A Tether também anunciou que congelou cerca de US$ 4,2 bilhões em ativos relacionados a atividades ilícitas, incluindo US$ 250 milhões apenas desde junho de 2025.

Davit Avalyan, um homem de 36 anos de Glendale, foi condenado a quase cinco anos de prisão federal por seu envolvimento em uma operação de tráfico de drogas na dark web, que vendia substâncias como cocaína, metanfetamina, MDMA e cetamina para clientes em todo os Estados Unidos. Avalyan recebeu uma sentença de 57 meses do juiz federal Percy Anderson, após se declarar culpado em outubro de 2025 por conspiração para distribuir narcóticos. Ele foi o último dos quatro réus a ser sentenciado, com seus cúmplices recebendo penas que variam de 24 a 10 anos. A operação, que funcionou de setembro de 2018 a fevereiro de 2025, utilizava uma extensa rede de contas de vendedores na dark web, incluindo nomes como JoyInc e PlanetHollywood, e enviava drogas através do Serviço Postal dos EUA. O FBI, em colaboração com outras agências, liderou a investigação, que destaca a crescente preocupação com o tráfico de drogas online e a utilização de criptomoedas para transações ilícitas. Este caso é um exemplo da eficácia das forças de segurança em desmantelar redes criminosas que operam na dark web.

Recentemente, especialistas em cibersegurança alertaram sobre uma nova tática de phishing que utiliza cartas físicas para enganar proprietários de carteiras de criptomoedas. Em vez de e-mails maliciosos, os hackers estão enviando correspondências que parecem vir de equipes de segurança de marcas de carteiras de hardware, como Trezor e Ledger. Essas cartas contêm QR codes que direcionam os usuários a sites fraudulentos que imitam páginas oficiais. Os destinatários são instruídos a escanear os códigos para realizar uma ‘verificação de autenticação’ sob a ameaça de perder acesso às suas carteiras. Uma vez que os usuários inserem suas frases de recuperação, os atacantes podem acessar e transferir os fundos sem mais interações. Embora a seleção dos alvos ainda não esteja clara, dados de violações anteriores podem ter exposto informações de contato, incluindo endereços físicos. Os fabricantes de carteiras alertam que essas frases devem ser inseridas apenas em dispositivos físicos e nunca em sites. A mudança para o uso de correspondência física representa uma adaptação dos atacantes a um cenário digital saturado, mas a técnica de phishing permanece a mesma.

A recente campanha de cibersegurança identificada por BleepingComputer revela que atores de ameaças estão explorando comentários no Pastebin para disseminar um ataque do tipo ClickFix, que engana usuários de criptomoedas a executar JavaScript malicioso em seus navegadores. Esse ataque permite que os invasores sequestram transações de troca de Bitcoin, redirecionando fundos para carteiras controladas por eles. A campanha utiliza engenharia social, prometendo lucros substanciais através de um suposto exploit na plataforma Swapzone.io. Os comentários no Pastebin contêm links que direcionam para um documento do Google Docs, que supostamente ensina uma técnica de arbitragem para maximizar lucros. Os usuários são instruídos a executar um código JavaScript diretamente na barra de endereços do navegador, o que altera a funcionalidade da página e permite que os atacantes manipulem o processo de troca. A análise do script malicioso revela que ele injeta endereços de Bitcoin controlados pelos atacantes, fazendo com que os usuários enviem seus fundos para essas carteiras. Como as transações de Bitcoin não podem ser revertidas, os usuários que caírem nesse golpe não terão como recuperar seu dinheiro. Este ataque representa uma nova variante do ClickFix, que normalmente visa sistemas operacionais, mas agora se concentra em manipulações dentro do navegador.

Recentemente, criminosos têm enviado cartas físicas que se passam por comunicações oficiais das empresas Trezor e Ledger, fabricantes de carteiras de hardware para criptomoedas. Essas cartas fraudulentas alertam os usuários sobre a necessidade de completar um ‘Check de Autenticação’ ou ‘Check de Transação’ para evitar a perda de acesso às funcionalidades de suas carteiras. Ao criar um senso de urgência, os golpistas pressionam as vítimas a escanear QR codes que direcionam para sites maliciosos. As cartas, impressas em papel timbrado, têm como alvo usuários que podem ter tido suas informações expostas em vazamentos de dados anteriores. Os sites de phishing imitam páginas legítimas e solicitam que os usuários insiram suas frases de recuperação, permitindo que os atacantes acessem e roubem os fundos das carteiras. É importante ressaltar que tanto a Trezor quanto a Ledger nunca solicitarão que os usuários compartilhem suas frases de recuperação. Este tipo de golpe, embora raro, representa uma ameaça significativa, especialmente considerando o aumento do uso de criptomoedas no Brasil.

O grupo de ameaças conhecido como UNC1069, vinculado à Coreia do Norte, tem se concentrado em atacar o setor de criptomoedas, visando roubar dados sensíveis de sistemas Windows e macOS para facilitar o furto financeiro. A intrusão utiliza uma sofisticada engenharia social, que envolve uma conta do Telegram comprometida, reuniões falsas no Zoom, e vetores de infecção como ClickFix. Pesquisadores da Google Mandiant relataram que o grupo tem utilizado ferramentas de inteligência artificial, como o Gemini, para criar materiais de isca e mensagens relacionadas a criptomoedas. Desde 2023, UNC1069 tem mudado seu foco de técnicas de spear-phishing tradicionais para a indústria Web3, atacando exchanges centralizadas, desenvolvedores de software e empresas de capital de risco. A última campanha documentada revelou o uso de até sete famílias únicas de malware, incluindo SILENCELIFT e DEEPBREATH, que são projetados para roubar credenciais e dados de navegadores. O ataque começa com uma abordagem no Telegram, onde o ator se passa por investidores, e leva a vítima a um site falso do Zoom, onde um vídeo enganoso é apresentado. A complexidade e a variedade de ferramentas utilizadas indicam um esforço determinado para coletar dados e facilitar o roubo financeiro.

Daren Li, um cidadão com dupla nacionalidade da China e de São Cristóvão e Nevis, foi condenado a 20 anos de prisão em ausência por seu envolvimento em um esquema internacional de investimento em criptomoedas, conhecido como ‘pig butchering’, que enganou vítimas em mais de $73 milhões. Esses golpes envolvem a construção de confiança com as vítimas por meio de aplicativos de mensagens e redes sociais, antes de apresentar esquemas de investimento fraudulentos. Em vez de investir os fundos, os golpistas esvaziam as carteiras de criptomoedas das vítimas. Li se declarou culpado em novembro de 2024 e foi preso em abril de 2024, mas fugiu antes da sentença. Ele e seus cúmplices operavam a partir de centros no Camboja, utilizando uma rede de lavadores de dinheiro para movimentar os fundos roubados. O Departamento de Justiça dos EUA destacou a gravidade das ações de Li, que causaram perdas devastadoras a vítimas em todo o país. Além de Li, quatro outros suspeitos foram acusados em um esquema semelhante que resultou em perdas superiores a $80 milhões. O relatório de crimes cibernéticos de 2024 do FBI revelou que os golpistas de investimento roubaram mais de $6,5 bilhões de quase 48 mil vítimas, um aumento significativo em relação ao ano anterior.

Os fluxos ilegais de criptomoedas alcançaram um recorde de US$ 158 bilhões em 2025, marcando um aumento de 145% em relação aos US$ 64 bilhões de 2024. Segundo a TRM Labs, essa elevação ocorre apesar da participação de atividades ilícitas no volume total de transações em blockchain ter caído de 1,3% para 1,2%. O aumento é atribuído a uma intensificação das atividades relacionadas a sanções, especialmente por redes associadas à Rússia, e ao uso crescente de criptomoedas por estados-nação como Rússia, Irã e Venezuela. Além disso, a TRM Labs registrou perdas de US$ 2,87 bilhões em 150 incidentes de hacking, com o maior deles, um ataque à Bybit, resultando em perdas de US$ 1,46 bilhão. As fraudes também se mantiveram altas, com cerca de US$ 35 bilhões enviados a esquemas fraudulentos, sendo 62% desses relacionados a fraudes de investimento. O cenário de ransomware, embora elevado, mostra uma resistência crescente dos alvos em pagar resgates. A fragmentação do ecossistema de ransomware também aumentou, com 161 cepas ativas identificadas em 2025.

Raheim Hamilton, co-criador do Empire Market, um dos maiores mercados da dark web, se declarou culpado de conspiração federal por tráfico de drogas, facilitando transações ilegais que totalizaram cerca de $430 milhões entre 2018 e 2020. O Empire Market, acessível apenas via navegadores TOR, foi descrito como um clone do AlphaBay, fechado em 2017. No auge, em agosto de 2020, o site contava com 1,68 milhão de usuários registrados, incluindo 360 mil compradores e mais de 5 mil vendedores. Embora o mercado também oferecesse credenciais de contas roubadas e ferramentas de hacking, as vendas de drogas representaram a maior parte das transações, totalizando quase $375 milhões. Hamilton, que operou o site com Thomas Pavey, admitiu ter projetado o Empire Market para ajudar os usuários a evitar a detecção pelas autoridades e lavar dinheiro, utilizando criptomoedas para garantir anonimato. Durante a investigação, agentes de segurança realizaram compras encobertas, adquirindo substâncias como heroína e metanfetamina. A Justiça dos EUA já apreendeu $75 milhões em criptomoedas e Hamilton concordou em entregar 1.230 bitcoins e propriedades no processo. Ele enfrenta uma pena mínima de 10 anos e máxima de prisão perpétua.

Pesquisadores de segurança da Anchore alertaram sobre uma nova campanha de hackers que invadem aplicativos inativos do Linux, especificamente os pacotes Snap, para roubar criptomoedas. Os atacantes se aproveitam de aplicativos dormentes na Snap Store Canonical, que não recebem mais atualizações e têm seus domínios expirados. Ao adquirir esses domínios, os cibercriminosos redefinem senhas e atualizam o código dos aplicativos para incluir malware. Essa técnica tem sido utilizada principalmente em aplicativos de carteira de criptomoeda, como Exodus, Ledger Live e Trust Wallet, resultando em perdas financeiras significativas que variam de R$ 50 mil a R$ 2,5 milhões. O grupo responsável pelos ataques ainda não foi identificado, mas há indícios de que opere na Croácia. A Canonical está ciente do problema e trabalha para remover os snaps maliciosos, embora novos apareçam rapidamente. Os usuários são aconselhados a ter cautela ao baixar softwares relacionados a criptomoedas, especialmente carteiras.

Pesquisadores de cibersegurança revelaram uma extensão maliciosa do Google Chrome, chamada MEXC API Automator, que tem a capacidade de roubar chaves API associadas à MEXC, uma exchange de criptomoedas centralizada disponível em mais de 170 países. Publicada em setembro de 2025, a extensão, que já conta com 29 downloads, se apresenta como uma ferramenta para automatizar operações de trading na plataforma. Ao ser instalada, ela cria programaticamente novas chaves API, habilita permissões de retirada e oculta essas permissões na interface do usuário. As chaves geradas são então enviadas para um bot do Telegram controlado pelo atacante.

Uma nova onda de ataques cibernéticos, conhecida como GoBruteforcer, está focando em bases de dados de criptomoedas e projetos de blockchain. Esses ataques utilizam botnets para realizar preenchimento de credenciais em massa, invadindo contas por meio de força bruta. Os serviços mais afetados incluem FTP, MySQL, PostgreSQL e phpMyAdmin em servidores Linux. Pesquisadores da Check Point Research identificaram que a campanha é impulsionada pelo uso de servidores gerados por inteligência artificial (IA) que propagam nomes de usuário e senhas padrão, além da presença de stacks web legados, como o XAMPP, que expõem interfaces com segurança mínima. A GoBruteforcer foi inicialmente descoberta pela Palo Alto Networks em março de 2023 e, em 2025, a equipe Black Lotus da Lumen Technologies confirmou a integração de bots da família SystemBC na botnet. Os hackers exploram servidores vulneráveis para subir web shells em PHP, permitindo o download de bots que executam scripts maliciosos. Isso possibilita ataques de força bruta, hospedagem de payloads maliciosos e controle remoto dos servidores. É crucial que as organizações verifiquem se suas implementações não utilizam credenciais padrão ou são baseadas em IA generativa para evitar invasões e a integração em botnets como a GoBruteforcer.

Uma análise da TRM Labs revelou que as transações ilícitas de criptomoedas atingiram um recorde de US$ 158 bilhões em 2025, um aumento de 145% em relação aos US$ 64,5 bilhões registrados em 2024. Esse crescimento é atribuído, em parte, à evasão de sanções em países como Venezuela, Irã e Rússia, onde as transações ilícitas aumentaram mais de 400%. Além disso, a atividade na darknet e ataques em larga escala contribuíram para esse aumento. Apesar do número alarmante, a análise também indicou uma queda na proporção de transações ilícitas em relação ao fluxo total na blockchain, que caiu de 6% em 2023 para 2,7% em 2025. Esse fenômeno pode ser resultado de um aumento na fiscalização e investigações mais rigorosas, que revelam mais informações sobre transações anteriormente desconhecidas. Os especialistas alertam que, à medida que as investigações avançam, novas sanções podem ser implementadas, o que pode levar a um aumento nas estimativas de volume ilícito no futuro.

Uma nova onda de ataques conhecidos como GoBruteforcer está direcionando suas ações contra bancos de dados de projetos de criptomoedas e blockchain, com o objetivo de cooptá-los em uma botnet capaz de realizar ataques de força bruta em senhas de serviços como FTP, MySQL e phpMyAdmin em servidores Linux. Segundo a Check Point Research, essa campanha é impulsionada pela reutilização em massa de exemplos de implantação de servidores gerados por inteligência artificial, que propagam nomes de usuários comuns e configurações padrão fracas. O GoBruteforcer, documentado pela primeira vez em março de 2023, tem se mostrado eficaz em plataformas Unix-like, utilizando um bot IRC e um shell web para acesso remoto. A análise mais recente revelou uma versão mais sofisticada do malware, que inclui um bot IRC ofuscado e listas dinâmicas de credenciais. Os atacantes utilizam uma combinação de nomes de usuários e senhas comuns, muitos dos quais são encontrados em tutoriais e documentação de fornecedores, o que facilita a exploração. Além disso, a campanha também visa endereços de blockchain, indicando um esforço coordenado para atacar projetos nesse setor. A Check Point destaca que a combinação de infraestrutura exposta, credenciais fracas e ferramentas automatizadas representa um problema persistente na segurança cibernética.

Ilya Lichtenstein, condenado por lavagem de dinheiro em conexão com o hack da exchange de criptomoedas Bitfinex em 2016, anunciou sua liberação antecipada. Em uma postagem nas redes sociais, ele atribuiu sua soltura ao First Step Act, uma legislação dos EUA que visa reformar o sistema de justiça criminal. Lichtenstein e sua esposa, Heather Morgan, foram presos em 2022 e se declararam culpados em 2023, após um ataque que resultou na transferência fraudulenta de 119.754 bitcoins, avaliados em cerca de 71 milhões de dólares na época. As autoridades recuperaram aproximadamente 94.000 bitcoins, totalizando cerca de 3,6 bilhões de dólares em 2022, tornando-se uma das maiores apreensões da história dos EUA. O ataque foi facilitado por uma vulnerabilidade no sistema de múltiplas assinaturas da Bitfinex, permitindo que Lichtenstein realizasse transações sem a aprovação necessária. O caso destaca a importância da segurança em exchanges de criptomoedas e a necessidade de vigilância contínua contra fraudes e ataques cibernéticos.

A Trust Wallet, serviço de carteira de criptomoedas, está alertando seus usuários para atualizarem a extensão do Google Chrome após um incidente de segurança que resultou na perda de aproximadamente US$ 7 milhões. O problema afeta a versão 2.68 da extensão, que possui cerca de um milhão de usuários. A empresa recomenda a atualização imediata para a versão 2.69. O ataque, conforme relatado pela SlowMist, introduziu um código malicioso que acessava as carteiras armazenadas na extensão e solicitava a frase mnemônica de cada uma. Essa informação era então enviada para um servidor controlado pelo atacante. Até o momento, cerca de US$ 3 milhões em Bitcoin, US$ 431 em Solana e mais de US$ 3 milhões em Ethereum foram drenados. A Trust Wallet afirmou que está trabalhando para reembolsar todos os usuários afetados e pediu que os usuários evitem interagir com mensagens que não venham de seus canais oficiais. A possibilidade de que o ataque tenha sido realizado por um ator de estado-nação foi levantada, e o cofundador da Binance, Changpeng Zhao, sugeriu que o ataque pode ter sido realizado por um insider.

Um novo relatório da TRM Labs revela que os backups criptografados roubados do LastPass, durante um ataque em 2022, estão sendo explorados por criminosos cibernéticos, especialmente associados à Rússia. Esses atacantes têm conseguido decifrar cofres de usuários que utilizam senhas mestras fracas, resultando em perdas significativas de ativos em criptomoedas até o final de 2025. A análise da TRM Labs indica que mais de 35 milhões de dólares em ativos digitais foram desviados, com 28 milhões convertidos em Bitcoin e lavados através da Wasabi Wallet. O LastPass foi multado em 1,6 milhão de dólares pelo Escritório do Comissário de Informação do Reino Unido por não implementar medidas de segurança adequadas. O relatório destaca que a falta de atualização de senhas e a segurança inadequada dos cofres permitiram que os atacantes continuassem a explorar vulnerabilidades por anos. As transações foram rastreadas através de exchanges russas, como Cryptex, que já foram sancionadas por atividades ilícitas. Essa situação evidencia como um único incidente de segurança pode se transformar em uma campanha de roubo prolongada, ressaltando a importância de medidas de segurança robustas e da conscientização dos usuários sobre a proteção de suas informações.

Um levantamento realizado pelo site Chainalysis revelou que hackers da Coreia do Norte foram responsáveis pelo roubo de R$ 11,21 bilhões em criptomoedas em 2025, o que representa cerca de 60% do total global de R$ 18,86 bilhões subtraídos neste ano. Desde o início dos registros de roubo de criptomoedas, o país já acumulou R$ 37,45 bilhões em ativos digitais roubados. O ataque mais significativo do ano ocorreu na plataforma ByBit, onde R$ 8,32 bilhões foram desviados, correspondendo a 75% do total roubado pela Coreia do Norte em 2025. Os hackers utilizam diversas táticas, incluindo a infiltração em empresas estrangeiras como profissionais de TI e a publicação de ofertas de emprego falsas para disseminar malwares. Apesar de uma queda no número total de ataques, os valores roubados por incidente aumentaram em 51%, indicando que os hackers estão se concentrando em alvos mais vulneráveis, como corretores e carteiras pessoais. A crescente sofisticação das técnicas de ataque e a adaptação às medidas de segurança implementadas nas plataformas de criptomoedas são preocupantes para o setor de cibersegurança.

Pesquisadores de cibersegurança alertaram sobre o surgimento do malware SantaStealer, que opera sob um modelo de malware como serviço. Este novo software malicioso, uma versão rebranded do BluelineStealer, é acessível a cibercriminosos de baixo nível por meio de assinaturas mensais que variam de $175 a $300. SantaStealer possui quatorze módulos distintos que coletam dados simultaneamente, incluindo credenciais de navegadores, cookies, histórico de navegação, informações de carteiras de criptomoedas e dados de aplicativos de mensagens. Os dados roubados são comprimidos e enviados para um servidor de comando e controle. O malware também captura capturas de tela e tem a capacidade de contornar a criptografia de aplicativos do Chrome. Embora atualmente não esteja amplamente distribuído, os pesquisadores notaram que as táticas de ataque incluem phishing e downloads de software pirata. A proteção apenas por firewall pode não ser suficiente para evitar esses vetores de ataque, e a detecção de antivírus continua sendo eficaz contra as amostras observadas. Apesar de sua capacidade técnica, SantaStealer é mais notável por sua estratégia de marketing do que por sua maturidade técnica.

Em 2025, grupos de hackers ligados à Coreia do Norte foram responsáveis por um aumento alarmante nos roubos de criptomoedas, totalizando pelo menos $2,02 bilhões de um total de $3,4 bilhões roubados globalmente. Esse valor representa um crescimento de 51% em relação ao ano anterior, com a Coreia do Norte respondendo por 76% de todas as violações de serviços. O ataque mais significativo ocorreu em fevereiro, quando a exchange de criptomoedas Bybit foi comprometida, resultando em um roubo de $1,5 bilhão. O grupo de hackers conhecido como Lazarus, vinculado ao governo norte-coreano, tem um histórico de ataques a exchanges e serviços de criptomoedas, visando gerar receita ilícita para o regime, em violação a sanções internacionais. Além disso, a infiltração de trabalhadores de TI em empresas globais tem sido uma estratégia crescente, permitindo acesso privilegiado a serviços de criptomoedas. Os fundos roubados são frequentemente lavados através de serviços de movimentação de dinheiro em chinês e misturadores, seguindo um caminho estruturado de lavagem em várias etapas. Este cenário representa um risco significativo para a segurança cibernética global e destaca a necessidade de vigilância e mitigação por parte das empresas de tecnologia e finanças.