«Não te metas, isso vai te comer» - ForkLog: criptomoedas, IA, singularidade, futuro

# «Não te metas, isso vai te comer»

História pessoal, mas emblemática, de uma das muitas falhas no DeFi

Leitor assíduo do ForkLog e participante experiente do mercado de criptomoedas — sobre como perdi fundos e, ao mesmo tempo, a esperança de recuperá-los.

Costumamos repetir como uma espécie de mantra: «Mesmo os investidores mais experientes em criptomoedas não estão imunes a erros». E, claro, isso é verdade. No entanto, será normal que a indústria pretenda uma adoção massiva como alternativa às finanças tradicionais?

A resposta negativa a essa questão vem de um leitor assíduo e autor do ForkLog, que hoje preferiu manter o anonimato.

«Desculpe, não podemos ajudar»

Tiveram-me roubado uma quantia significativa em stablecoins de carteiras após a violação da Aperture Finance. Através deste serviço, adicionei liquidez na PancakeSwap, o que exigia aprovar gastos ilimitados de USDT. O hacker conseguiu encontrar uma vulnerabilidade nos contratos e, através de uma autorização, retirar todos os tokens das carteiras dos utilizadores. Aqui e aqui há análises técnicas do incidente.

Ao tentar obter ajuda para recuperar os fundos, pelo menos de alguém, percebi que a indústria ainda não consegue combater hackers. Depois de tanto tempo desde a criação do Bitcoin, Ethereum, 20 000 soluções L2, 30 000 plataformas de contratos inteligentes, os desenvolvedores ainda não aprenderam o principal — proteger os seus utilizadores.

Logo após o roubo, contactei a Tether em busca de ajuda, pois eles são o emissor do USDT. Todos os dias vemos notícias sobre bloqueios de tokens relacionados com roubos, hacking e atividades ilegais, mas, aparentemente, eles não cobrem incidentes como o meu. Recebi a seguinte resposta:

«Desculpe, não podemos ajudar. Não emitimos USDT na BNB Chain».

Ok, sei quem os emite. Contactei a bolsa. Certamente eles têm ferramentas para rastrear transações, pensei eu. Devem usar todas as ferramentas disponíveis no mundo. Pode-se criar um cluster de endereços relacionados, rastrear para onde foram os tokens roubados, encontrar uma saída numa plataforma centralizada com KYC. Mas o hacker precisará, algum dia, liquidar os fundos? Depois, enviar uma solicitação de congelamento de conta na plataforma. Existem provas do roubo.

«Desculpe, não podemos ajudar. Segundo os nossos dados, os tokens não chegaram até nós», foi a resposta.

Claro que não chegaram. Ainda estão na carteira do hacker. Não pedi que bloqueassem o USDT no endereço, a resposta seria óbvia.

«A melhor solução é procurar as autoridades policiais. Elas dispõem de recursos e poderes jurídicos para investigar casos complexos e identificar os responsáveis. Forneça-lhes o link para a página de solicitação às autoridades», escreveram os representantes da bolsa, enviando a URL do formulário oficial.

Procurei as autoridades, pois já tinha ouvido falar de uma cyberpolícia treinada por empresas líderes em segurança blockchain para rastrear transações. Lá, os rapazes primeiro anotaram os endereços do hacker numa folha de papel (por que os hashes das transações já não foram feitos). Depois, tiveram que explicar três vezes a mesma coisa a diferentes pessoas. No final, disseram:

«Vocês entendem mais do que nós nestas questões. Façam o que puderem, estamos disponíveis para ajudar. Podemos colocar um carimbo qualquer».

Os desenvolvedores da Aperture Finance estão em silêncio há duas semanas. Disseram que foram hackeados, e depois silêncio total. Presumo que não tenham fundos para ressarcir as vítimas.

Como resultado, após o ataque à Aperture Finance (se foi um ataque, e não uma porta dos fundos deixada pela própria equipa e subsequente roubo) e duas semanas de silêncio, tudo indica que o projeto parou de evoluir e de existir, milhões foram roubados de várias pessoas, e o hacker está satisfeito consigo mesmo, tendo saído ileso.

Todos veem os endereços onde os tokens estão, e ninguém consegue fazer nada. Não há órgão que ajude, e ninguém se interessa.

Chaves que não são suas — moedas que não são suas

Nós, utilizadores de criptomoedas, declaramos como maior vantagem da indústria o controle total sobre os nossos fundos. Mas essa mesma é a principal fraqueza dos ativos digitais. Como a indústria pretende alcançar uma adoção massiva se qualquer pessoa consegue encontrar uma vulnerabilidade em três linhas de código, roubar fundos diretamente das carteiras e não ser punida por isso?

Isso é até pior do que os golpistas de telefone. Lá, as vítimas precisam agir — vender um imóvel, enviar fundos, fornecer o CVV. Na cripto, os tokens podem desaparecer enquanto você dorme, por causa de permissões de contratos antigos, porque em contratos antigos foi descoberta uma nova vulnerabilidade.

Sim, entendo que cada um é responsável pela segurança dos seus fundos. Todos conhecemos as regras que devemos seguir:

1. Revise regularmente as permissões.
2. Mude de carteiras.
3. Não use serviços não verificados.
4. Não clique em links do Google.
5. Não copie endereços do histórico de transações.
6. Não caia em golpes do estilo «Elon Musk dá 1 BTC, envie só 0,1 BTC para este endereço».

E assim por diante, e assim por diante, e assim por diante. Não serão muitas? A indústria promete às pessoas finanças descentralizadas, onde «você mesmo controla seus ativos». Mas oferece proteção adequada?

Por que não criar ferramentas para recuperar fundos após um roubo? Para prevenir o roubo? Enviar uma solicitação de fraude aos nós —> apresentar provas —> eles votam na congelamento —> e, por decisão de um tribunal descentralizado, o dinheiro é devolvido.

Só em janeiro de 2026, hackers invadiram 16 projetos e roubaram 86,01 milhões de dólares.

Fonte: PeckShieldAlert. Se há tantos incógnitas aqui, por que as criptomoedas seriam interessantes? Tente propor ao seu amigo colocar USDT na Aave em vez de dólares no banco e descreva todos os riscos:

• USDT podem ser congelados (mas não quando te roubarem);
• Aave pode ser hackeada e tudo roubado;
• você pode clicar na link errado e perder tudo;
• USDT pode ser despegado.

Ataques de sandwich, tokens fraudulentos, manipulação de volumes para criar uma aparência de atratividade do token. Essas são as nossas realidades, com as quais vivemos e fingimos que tudo está bem.

E ainda há USDT falsificados. Você pode vender, por exemplo, um canal no Telegram, e receber tokens falsos, não os verdadeiros stablecoins. É preciso saber verificar pelo endereço do contrato.

Quem quer usar ativos digitais sabendo de tudo isso?

Quando amigos me pedem para ensinar a ganhar dinheiro com yield farming (porque veem alguém que clicou em três botões no computador e ganhou dinheiro enquanto joga Fifa), sempre quero dar um único conselho: não te metas, isso vai te comer.

Toda a indústria DeFi, como há cinco ou seis anos, continua complexa, pouco prática, insegura e pouco atraente para o grande público. Um investidor experiente pode encontrar aqui ineficiências de mercado e oportunidades de lucro, mas para a maioria absoluta, isso não é um «banco na carteira».

A forma mais segura — e continua sendo — é usar criptomoedas da maneira mais simples: comprar Bitcoin, guardar numa carteira de hardware e não mexer mais. Assim que começa a pensar que «eles só estão lá, sem fazer nada, é preciso emprestar ou transferir para ganhar», uma bomba de efeito retardado é acionada. Tarde ou cedo, o erro vai acontecer.