Investidor de XRP Afirma que $3M em XRP Foram Roubados; Fabricante de Carteira Fria Diz que Importação de Seed Tornou Carteira Quente

Um aposentado americano diz mais de US$ 3 milhões em XRP desapareceram depois que ele verificou o aplicativo móvel da Ellipal em 15 de outubro e viu seu saldo sumir, uma descoberta que impulsionou um esforço de rastreamento on-chain pelo analista pseudônimo ZackXBT.

A CoinDesk não verificou de forma independente a identidade do investidor, saldos ou o caminho completo on-chain. A conta provém de vários vídeos no YouTube publicados desde 15 de outubro, além das informações públicas da Ellipal declaração em 18 de outubro, e de 19 de outubro de ZackXBTFio X.

O que a vítima relata ter acontecido

O investidor, que se identificou como Brandon, disse que mora na Carolina do Norte, tem 54 anos, e que sua esposa, de 60 anos, também está aposentada. Ele afirmou que a posição em XRP correspondia a quase toda a poupança de aposentadoria deles e que tinham planos de comprar uma casa em Las Vegas.

Ele afirmou que vinha acumulando XRP desde 2017 e que anteriormente possuía uma quantidade maior, mas vendeu parte para despesas de subsistência. Em seus vídeos no YouTube, disse ter descoberto o roubo ao verificar o aplicativo Ellipal na quarta-feira, 15 de outubro, e então determinou que a drenagem ocorreu no domingo anterior, 12 de outubro.

Ele descreveu duas retiradas-teste de 10 XRP por volta das 11h15, horário do leste, seguidas por uma varredura de cerca de 1.209.990 XRP para um endereço recém-criado, depois uma rápida dispersão entre dezenas de carteiras e, eventualmente, centenas. Ele mencionou que saldos menores de outros ativos, incluindo aproximadamente US$ 1.000 em XLM e cerca de US$ 900 em FLR, permaneceram.

Ele afirmou que registrou uma denúncia no Centro de Denúncias de Crimes na Internet do FBI e contatou as autoridades locais, mas enfrentou dificuldades para entrar em contato rapidamente com unidades especializadas em cibercrimes. Ele declarou não saber exatamente como os fundos foram retirados da carteira quente.

Explicação da Ellipal e a confusão entre cold e hot

A Ellipal declarou em 18 de outubro que sua análise indicou que o usuário havia importado a frase-semente da carteira de hardware para o aplicativo móvel da Ellipal, o que recriaria a carteira em um dispositivo conectado à internet.

Em um e-mail para o usuário, a Ellipal explicou que, se a seed de uma carteira fria for utilizada em um telefone ou tablet, a seed e as chaves privadas resultantes serão armazenadas nesse dispositivo, tornando-o efetivamente uma carteira quente e reduzindo significativamente a segurança.

Brandon disse que tinha o aplicativo da Ellipal tanto em um iPhone quanto em um iPad. Ele mencionou que o aplicativo no iPhone exibiu um fundo azul, que, segundo a Ellipal, indica uma conexão com carteira fria, e o aplicativo no iPad mostrou um fundo laranja, que, segundo a Ellipal, indica uma carteira quente.

A Ellipal enfatizou que seus dispositivos de hardware são isolados da internet (air-gapped) e afirmou que não identificou furtos originados no próprio hardware. A análise da empresa indica erro do usuário, embora isso, por si só, não comprove como ocorreu a violação.

Para onde os fundos supostamente foram direcionados, segundo a investigação de ZackXBT

Em um fio de discussão em 19 de outubro, ZackXBT afirmou ter identificado o endereço do roubo ao correlacionar o horário e os valores do vídeo. Ele relatou que o atacante criou mais de 120 ordens de Ripple para Tron em 12 de outubro usando o Bridgers, um serviço de swap anteriormente conhecido como SWFT. Ele observou que alguns exploradores de blocos rotulam essas etapas como “Binance” porque o Bridgers utiliza a exchange para liquidez.

Ele afirmou que os fundos foram consolidados na Tron em TGF3hP5GeUPKaRJeWKpvF2PVVCMrfe2bYw e, até 15 de outubro, foram distribuídos para corretores de balcão próximos à Huione, um marketplace online no Sudeste Asiático que foi citado em ações públicas recentes das autoridades dos EUA. A CoinDesk não reproduziu de forma independente o rastreamento completo nem confirmou os destinatários finais.

Probabilidades de recuperação e principais conclusões para os usuários

ZackXBT alertou que a maioria das empresas de “recuperação” são predatórias, frequentemente produzindo relatórios superficiais enquanto cobram altas taxas. Ele afirmou que reportar rapidamente a investigadores credíveis e a plataformas em conformidade pode aumentar as chances de sinalizações ou congelamentos, mas recuperações são raras uma vez que os fundos passam por swaps cross-chain e ambientes OTC.

Para os usuários, a lição principal é direta: se o objetivo for armazenamento a frio, não digite a seed de uma carteira de hardware em um aplicativo móvel ou de desktop. Utilize uma seed distinta para qualquer carteira quente e considere uma frase de acesso BIP39 para armazenamento a frio de alto valor.

Brandon afirmou que a perda eliminou o que ele considerava o plano de aposentadoria do casal. Ele disse que compartilhou sua experiência para alertar outros e buscar orientações, ao mesmo tempo em que reconhece que as chances de recuperação são baixas.