Por Angus Berwick e Tom Wilson
BRATISLAVA (Reuters) – Em setembro de 2020, um grupo de hackers norte-coreano conhecido como Lazarus invadiu uma corretora de criptomoedas eslovaca e roubou uma moeda virtual avaliada em cerca de 5,4 milhões de dólares. Foi um de vários assaltos cibernéticos do Lazarus que Washington disse ter como objetivo financiar o programa de armas nucleares da Coreia do Norte.
Em menos de nove minutos, usando e-mails criptografados como identificação, os hackers criaram contas da Binance e negociaram criptomoedas roubadas da Eterbase, a bolsa eslovaca, segundo registros de contas que a Binance compartilhou com a polícia.
“A Binance não tinha ideia de quem estava movimentando dinheiro por meio de sua exchange” por causa da natureza anônima das contas, disse o cofundador da Eterbase, Robert Auxt, cuja empresa não conseguiu localizar ou recuperar os fundos.
De 2017 a 2021, a Binance processou transações de pelo menos 2,35 bilhões de dólares oriundas de hacks, fraudes e venda de drogas ilegais, calculou a Reuters a partir de declarações de autoridades, exame de dados judiciais e dados de blockchain. Dois especialistas revisaram o cálculo e avalizaram o cálculo.
A empresa de pesquisa Chainalysis, contratada por agências dos EUA para rastrear fluxos ilegais, concluiu em relatório de 2020 que a Binance recebeu fundos criminais somando 770 milhões de dólares em 2019, mais do que qualquer outra exchange de criptomoedas. O presidente-executivo da Binance, Changpeng Zhao, acusou a Chainalysis de “má etiqueta nos negócios”.
A Binance se recusou a disponibilizar Zhao para entrevista. Respondendo a perguntas escritas, o diretor de comunicação Patrick Hillmann disse que a Binance não considera o cálculo da Reuters preciso, mas não respondeu a pedidos para fornecer os próprios números da Binance para os casos citados. Ele disse que a Binance está montando “a equipe forense cibernética mais sofisticada do planeta” e busca “melhorar nossa capacidade de detectar atividades ilegais de criptografia”.
Com cerca de 120 milhões de usuários no mundo, a Binance processa transações no valor de centenas de bilhões de dólares por mês. O setor foi atingido por uma forte queda em maio, com seu valor geral caindo um quarto para 1,3 trilhão de dólares.
Enquanto isso, a empresa está investindo 200 milhões de dólares no grupo de mídia Forbes neste ano e comprometendo 500 milhões de dólares com a oferta do chefe da Tesla, Elon Musk, para assumir o Twitter. Um porta-voz da Forbes se recusou a comentar. Musk não respondeu a pedidos de comentário.
A Reuters entrevistou autoridades policiais, pesquisadores e vítimas de crimes em uma dúzia de países para avaliar o impacto de lacunas nas regras antilavagem de dinheiro da Binance. Também revisou dados detalhados sobre transações de clientes da Binance em sites “darknet” – mercados de drogas, armas e outros itens ilegais. A maioria dos dados veio da Crystal Blockchain, empresa holandesa que ajuda a rastrear fundos de criptomoedas.
Os dados mostraram que, de 2017 a 2022, participantes do maior mercado de drogas darknet do mundo, site em russo chamado Hydra, usaram a Binance para trnasações com criptomoedas no valor de 780 milhões de dólares. A Reuters cruzou esses números com outra empresa de análise, que chancelou os números.
Questionado sobre como a Binance vê sua responsabilidade de monitorar sua exposição indireta a dinheiro sujo, Hillmann respondeu que “o que é importante notar não é de onde vêm os fundos – já que os depósitos de criptomoedas não podem ser bloqueados; o que fazemos depois que os fundos são depositados”.
Ele disse que a Binance usa monitoramento de transações e avaliações de risco para “garantir que quaisquer fundos ilegais sejam rastreados, congelados, recuperados e/ou devolvidos ao seu legítimo dono”. A Binance está trabalhando com a polícia para desmantelar redes criminosas usando criptomoedas, disse ele.
Um processo nos EUA alega que em 2020 a Binance recusou um pedido, agindo em nome de uma vítima de hacking, para congelar uma conta que estava sendo usada para lavar fundos roubados. A Binance, que contesta a jurisdição do tribunal norte-americano, confirmou à Reuters que congelou temporariamente a conta.
Na Alemanha, investigadores começaram a ver criminosos na Europa recorrerem à Binance em 2020 para lavar parte dos lucros em esquemas de fraude de investimentos que fizeram com que as vítimas, muitas aposentadas, perdessem 750 milhões de euros.
Após um assalto em março passado, quando Lazarus roubou mais de 600 milhões de dólares de um jogo online com criptomoedas, Zhao disse que hackers norte-coreanos transferiram uma quantia não especificada dos fundos para a Binance. Hillmann disse que a Binance identificou e congelou mais de 5 milhões de dólares e está auxiliando a polícia na investigação, mas não deu detalhes.
Os EUA sancionaram Lazarus em 2019 por ataques projetados para apoiar programas de armas da Coreia do Norte, chamando-o de instrumento do serviço de inteligência do país, uma acusação que Pyongyang chamou de “calúnia cruel”. A missão da Coreia do Norte na ONU não respondeu a perguntas. A Chainalysis estima que a Lazarus roubou 1,75 bilhão de dólares em criptoativos até 2020, que fluía especialmente por meio de exchanges não identificadas.
“A HIDRA ESTÁ PROSPERANDO”
Zhao iniciou a Binance em Xangai em 2017. Três meses depois, ele revelou uma nova estratégia em um grupo de bate-papo interno para a próxima fase de desenvolvimento da empresa. “Faça tudo para aumentar nossa participação no mercado e nada mais”.
A prioridade, disse ele, era garantir que a Binance superasse as maiores exchanges de criptomoedas e afastasse a concorrência de rivais menores. “Lucro, receita, conforto, etc, tudo vem em segundo lugar.”
A Binance continuou a fornecer serviços limitados na Rússia desde a invasão da Ucrânia em fevereiro, apesar dos pedidos para que as exchanges banissem usuários russos como parte do esforço para isolar a Rússia. Muitas pessoas que se inscreveram na Binance na Rússia não a usavam para negociação. Em vez disso, a Binance se tornou um importante provedor de pagamentos para a Hydra, gigante da darknet, segundo dados compilados para a Reuters, uma revisão dos fóruns de usuários da Hydra e entrevistas com usuários e pesquisadores de drogas ilegais.
Criada em 2015, a Hydra distribuiu narcóticos em nome de traficantes de drogas, todos com preços em bitcoin, para milhões de compradores, principalmente na Rússia.
A polícia alemã apreendeu os servidores da Hydra em abril, fechando o site. Os EUA indiciaram um residente russo, Dmitry Pavlov, por administrar os servidores.
O Departamento de Justiça, descrevendo a Hydra como maior e mais antigo mercado de darknet do mundo, disse que o site recebeu cerca de 5,2 bilhões de dólares em criptomoedas.
Hillmann disse que a Binance trabalha em “colaboração com a polícia para atingir diariamente o comércio de drogas ilícitas”.
Em 2018, os usuários da Hydra recomendavam nos fóruns em russo do site que os compradores usassem a Binance para compras, citando o anonimato que a exchange oferecia na época, permitindo que eles se registrassem com apenas um endereço de e-mail.
A Hydra transformou o mercado de drogas na Rússia, disseram pesquisadores. Antes, os usuários de drogas costumavam comprar de traficantes em dinheiro. Com a Hydra, escolhiam o que queriam no site, pagavam em bitcoin e recebiam coordenadas para pegar o “tesouro” em um local discreto. Os compradores encontravam as compras enterradas em florestas, escondidas em lixões ou enfiadas atrás de tijolos soltos em prédios abandonados.
De acordo com um relatório da ONU, a Hydra aumentou a disponibilidade de drogas na Rússia e levou a um aumento na demanda por estimulantes como metanfetamina e mefedrona. As mortes ligadas às drogas aumentaram em dois terços entre 2018 e 2020, mostram números do comitê estadual antidrogas da Rússia.
Os fluxos de criptomoedas entre Binance e Hydra caíram acentuadamente depois que a exchange apertou as verificações de clientes em 2021, mostram os dados da Crystal Blockchain.
“LIBERDADE FINANCEIRA”
Nos últimos cinco anos, a Binance permitiu que traders em sua plataforma comprassem e vendessem uma moeda chamada Monero, criptomoeda que oferece anonimato. Enquanto as transações de bitcoin são registradas num blockchain público, o Monero oculta os endereços digitais de remetentes e destinatários. O Guia de Monero para Iniciantes diz que essas moedas são “desejáveis para aqueles que buscam verdadeira confidencialidade financeira”.
Numa videochamada em 2020, cuja gravação foi analisada pela Reuters, Zhao disse que a privacidade faz parte da “liberdade financeira” das pessoas. Ele não mencionou o Monero, mas que a Binance financiou projetos de moedas de privacidade.
No final de maio, a Binance estava processando negócios da Monero no valor de cerca de 50 milhões de dólares por dia, muito mais do que outras exchanges, segundo dados da CoinMarketCap.
Em vários fóruns da darknet que a Reuters revisou, mais de 20 usuários escreveram sobre comprar Monero na Binance para comprar drogas ilegais. Eles compartilharam guias de instruções com nomes como DNM Bible, referência aos mercados da darknet.
Após a notícia do hack de Lazarus, Zhao tuitou em setembro de 2020: “Faremos o que pudermos para ajudar”. Mas quando a Eterbase pediu ao centro de suporte da Binance, um membro da equipe disse que não poderia compartilhar nenhum dado da conta sem pedido da lei, segundo comunicações vistas pela Reuters.
A Eterbase apresentou queixa criminal à Agência Nacional do Crime da Eslováquia. A agência pediu informações à Binance, dizendo que os fundos foram roubados por um grupo de hackers Lazarus. A Binance respondeu que não conseguiu identificar contas conectadas ao hack. Após outro pedido policial, a Binance enviou os registros da agência em 24 contas, acrescentando que estavam vazias há mais de nove meses.
Hillmann disse que a Binance cooperou com os pedidos das autoridades eslovacas e ajudou a identificar contas relevantes.
Os registros mostraram que as únicas informações pessoais que a Binance tinha dos titulares das contas eram seus endereços de e-mail, muitos dos quais eram baseados em nomes conhecidos com erros de ortografia. Os hackers usaram redes privadas virtuais para ocultar a localização de seus dispositivos.
Cerca de 20 minutos após a abertura da maioria das contas, os hackers passaram por uma “verificação de segurança” não especificada, permitindo que eles retirassem criptomoedas, de acordo com os registros da conta. Cada conta então converteu partes dos fundos roubados em pouco menos de dois bitcoins, o limite de retirada na época para conta básica sem identificação.
Após o ataque, a Eterbase suspendeu as operações e pediu falência.
BURACO NEGRO
Em particular, Zhao lamentou que a Binance precise realizar verificações em seus clientes. Durante a videochamada de 2020, Zhao disse que as regras de conhecer seu cliente eram “infelizmente um requisito” dos negócios da Binance.
A equipe de compliance às vezes aprovava contas com documentação inadequada. Um membro da equipe reclamou que um usuário conseguiu abrir uma conta enviando três cópias do mesmo recibo de uma refeição. Hillmann disse que as verificações de conhecer o cliente da Binance agora são sofisticadas e que considera essas regras como obrigatórias e bem-vindas.
Policiais em cinco países disseram à Reuters que grupos criminosos estão na crescente base de clientes da Binance. Hillmann disse que a Binance está combatendo a fraudes identificando vítimas e suspeitos e, sempre que possível, congelando produtos criminais.
A European Funds Recovery Initiative, organização de Viena que apoia vítimas de fraudes em investimentos, recebeu cerca de 220 reclamações de pessoas cujas economias roubadas foram convertidas em criptomoedas. Quase dois terços perderam dinheiro canalizado através da Binance, somando 7,4 milhões de euros, disse o cofundador da iniciativa, Elfi Sixt.
Policiais disseram à Reuters que é mais difícil para vítimas de fraude recuperar fundos perdidos quando passam por uma exchange de criptomoedas. Em muitos países, podem pedir aos bancos que congelem ou reembolsem os fundos roubados. A Binance exige que as vítimas assinem acordos de confidencialidade como condição para congelamento temporário de ativos.
Em uma delegacia em Braunschweig, na Alemanha, a unidade estadual de crimes cibernéticos está investigando um golpe que usou a Binance. O inspetor-chefe Mario Krause detalhou o caso.
Em outubro passado, a unidade coordenou com autoridades búlgaras a invasão um call center na capital Sofia, que a polícia disse ter centenas de plataformas de negociação online falsas. Eles recolheram um banco de dados que mostra que os operadores receberam depósitos de 94 milhões de euros.
Vídeos apreendidos pela polícia mostravam o que Krause descreveu como uma atmosfera de “Lobo de Wall Street” no call center. A equipe tocou gongos e estouraram garrafas de champanhe quando conseguiram grandes depósitos. Um placar mostrava qual funcionário havia arrecadado mais dinheiro a cada semana. Eles festejaram em iates e jatos particulares.
Em um comunicado na época da operação, o escritório do promotor disse que um suspeito foi preso. O promotor, Manuel Recha, disse que os líderes da organização seguem foragidos.
Investigadores rastrearam o dinheiro através de muitas camadas de contas bancárias para a Binance e outra exchange, a Kraken, dos EUA. Quando a ambas forneceram os registros, a polícia disse que os fundos haviam sido retirados ou enviados para um mixer, serviço que anonimiza as transações, misturando-as com outros fundos. Informações pessoais mantidas por ambas as exchanges eram em geral falsas ou roubadas das vítimas.