Estratégias eficazes para a prevenção de fraudes com criptomoedas

Os órgãos reguladores estão dando cada vez mais ênfase à prevenção de fraudes com criptomoedas e à proteção dos investidores no setor de ativos digitais. À medida que a Comissão de Valores Mobiliários (SEC) trabalha na elaboração da próxima geração de regulamentações para criptomoedas, espera-se que essas prioridades continuem sendo fundamentais na abordagem da agência.

Investidores institucionais, plataformas de negociação e outras entidades financeiras que dão ênfase a segurança de ativos digitais estarão em melhor posição para liderar a próxima onda de adoção. A clareza regulatória está a caminho, e aqueles que se prepararem agora para evitar golpes envolvendo criptomoedas estarão prontos para operar com confiança quando esse dia chegar.

Pontos principais

• Os invasores estão mudando o foco dos investidores individuais para plataformas, custodiantes e fundos, onde os ativos de maior valor oferecem incentivos mais atraentes.

• As instituições frequentemente enfrentam ameaças sofisticadas, como engenharia social, troca de cartões SIM e violação por parte de funcionários.

• Os investidores de varejo continuam vulneráveis a esquemas de "pump-and-dump", "rug pull" e fraudes de longo prazo, como os golpes do tipo "pig butchering" (em que os golpistas conquistam a confiança das vítimas ao longo do tempo antes de executar um roubo em grande escala).

• A defesa em camadas é fundamental. Uma prevenção eficaz contra fraudes requer uma combinação de pessoas, processos e tecnologia que garanta que nenhum ponto único de falha possa comprometer os ativos.

• A regulamentação está ganhando força, e a SEC está trabalhando para atualizar as regras de custódia de ativos digitais a fim de proteger melhor os investidores. As instituições que se alinharem aos padrões de custódia qualificada que regem o setor financeiro tradicional estarão bem posicionadas para evitar golpes envolvendo criptomoedas e, ao mesmo tempo, cumprir as regulamentações que estão por vir.

Como se apresenta a fraude com criptomoedas atualmente?

A TRM Labs, uma empresa de consultoria em segurança digital, estima que os investidores foram vítimas de uma fraude envolvendo mais de US$ 10 bilhões em criptomoedas em 2024.

As instituições financeiras costumam ser experientes o suficiente para evitar esquemas de "pump-and-dump" e "rug pull" que podem prejudicar os investidores de varejo. No entanto, elas continuam expostas a formas mais sofisticadas de fraude que ameaçam a infraestrutura operacional. As principais ameaças incluem:

• Engenharia social: Os golpistas roubam informações confidenciais induzindo as pessoas a fazer algo que, em circunstâncias normais, não deveriam fazer. Por exemplo, isso pode envolver fingir ser um funcionário da equipe de TI para entrar em instalações seguras ou persuadir um funcionário a contornar os processos de aprovação estabelecidos.

• Phishing: Os invasores utilizam e-mails, mensagens ou ligações telefônicas falsas para obter informações confidenciais, como credenciais de carteiras digitais ou códigos de acesso. Por exemplo, "Mark, do departamento de TI", pode ligar para um funcionário, alegando que está atualizando o sistema e que precisa da senha do funcionário para redefinir as credenciais de login.

• Troca de cartão SIM: Ao convencer uma operadora de celular a reatribuir um número de telefone, os invasores podem interceptar a autenticação multifatorial (MFA) e acessar contas protegidas. Um caso famoso foi o de uma quadrilha especializada em troca de SIM que se passou por um executivo e roubou 400 milhões de dólares em criptomoedas da FTX.

• Ameaças internas: Pessoas de confiança roubam fundos abusando do seu acesso. Por exemplo, Os detentores de Solana foram prejudicados por um desenvolvedor que programou uma porta dos fundos em uma extensão de navegador que lhe permitiu roubar chaves privadas.

Como as instituições podem evitar golpes envolvendo criptomoedas

Para evitar fraudes no setor de ativos digitais, é necessária uma abordagem multifacetada. As seguintes estratégias combinam pessoas, processos e tecnologia para garantir que nenhum ponto único de falha possa colocar os fundos em risco.

Pessoas

Muitas vezes, as pessoas são o elo mais fraco na segurança, o que torna a capacitação dos funcionários e a gestão de riscos internos fundamentais. Os funcionários devem ser orientados a reconhecer tentativas de phishing, sinais de alerta de engenharia social e solicitações suspeitas.

Além disso, o princípio do "privilégio mínimo", que concede aos funcionários e executivos o acesso mínimo necessário para desempenhar suas funções, ajuda a limitar a exposição.

Para funções críticas, como transferência de fundos ou alteração de configurações de segurança, o controle duplo (aprovação por duas pessoas) reduz a probabilidade de que um único funcionário comprometa a segurança.

Processo

Em resposta a falências e fraudes de grande repercussão, os órgãos reguladores propuseram uma ampliação do "Regra de Proteção" que obrigaria as instituições a recorrer a custodiantes qualificados, a separar os ativos dos clientes dos ativos da empresa e a submeter-se a inspeções inopinadas dos acordos de custódia.

Independentemente de a SEC vir a aprovar essas regras, a adoção proativa dessas normas já agora fortalece a proteção dos investidores e reforça a conformidade no setor de ativos digitais a nível institucional.

Por fim, toda organização deve ter um plano de recuperação de desastres para criptomoedas que inclua seguro de ativos digitais. Por exemplo, a BitGo oferece um seguro de até US$ 250 milhões contra perda, roubo e uso indevido em situações em que a BitGo detém todas as chaves.

Tecnologia

A tecnologia é fundamental para a prevenção de fraudes no setor de criptomoedas. As instituições devem implementar medidas de segurança de nível empresarial que vão além das soluções destinadas ao consumidor:

• Autenticação multifatorial: Para fazer login, os usuários devem confirmar suas identidades por meio de verificações por e-mail ou SMS.

• Carteiras com múltiplas assinaturas: O acesso requer a aprovação de mais de um detentor de chave antes que uma transação seja processada. Por exemplo, as carteiras BitGo exigem tanto a chave do cliente quanto a da plataforma para prosseguir.

• Armazenamento refrigerado: Uma carteira conectada à internet deixa os investidores vulneráveis a atividades ilícitas online. Carteiras "frias" continua sendo um pilar de Segurança do Bitcoin, armazenando chaves privadas em dispositivos físicos que permanecem permanentemente desconectados da internet.

• Módulos de segurança de hardware (HSMs): O hardware, mesmo quando está offline, não está imune a adulterações. Amplamente utilizados no setor financeiro tradicional, os HSMs criptografam informações e fornecem registros de auditoria que rastreiam quem acessou o dispositivo.

O papel da conformidade na prevenção de fraudes

Há anos, conformidade com a regulamentação de criptomoedas careciam de clareza. As instituições que desejavam cumprir as normas de conformidade frequentemente constatavam que as regras eram vagas ou aplicadas de forma inconsistente.

Isso está mudando. Em janeiro decreto instruiu os órgãos reguladores a desenvolver a próxima geração de supervisão de ativos digitais, e a SEC realizou mesas redondas públicas para solicitar sugestões sobre a melhor forma de abordar o assunto.

O trabalho ainda está em andamento, mas é provável que os órgãos reguladores implementem custódia regulamentada de criptomoedas padrões que seguem as regras aplicáveis aos depositários qualificados do setor financeiro tradicional. Essas regras priorizam a segregação dos ativos dos clientes, a supervisão independente e a transparência operacional - componentes essenciais para uma prevenção eficaz contra fraudes no setor de criptomoedas.

No futuro, as instituições que investirem em criptomoedas provavelmente serão obrigadas a recorrer a custodiantes qualificados para guardar os fundos dos clientes. Trabalhar com custodiantes de renome, como BitGo, ajudará as organizações a evitar golpes envolvendo criptomoedas, prevenir fraudes com criptomoedas e, em última análise, proteger os ativos dos clientes.

Perguntas frequentes

Quais são os sinais mais comuns de fraude envolvendo criptomoedas?

Os golpes de phishing apresentam vários sinais reveladores: urgência, táticas de intimidação, remetentes desconhecidos ou endereços de e-mail com pequenos erros ortográficos. Empresas idôneas nunca solicitam informações confidenciais por e-mail ou mensagem de texto.

Os investidores de varejo devem ter cuidado com promessas irrealistas de retornos elevados ou garantidos, promotores sem licença ou anônimos e pressões para "agir rapidamente" antes que a oportunidade desapareça.

Como as instituições podem evitar golpes envolvendo criptomoedas?

As instituições devem adotar uma abordagem de segurança em camadas que combine pessoas, processos e tecnologia.

Protocolos de segurança, como assinaturas múltiplas (multi-sig) e autenticação multifatorial (MFA), armazenamento frio offline e módulos de segurança de hardware (HSMs), garantem que nenhum ponto único de falha possa comprometer os ativos. Os funcionários devem receber treinamento para reconhecer tentativas de phishing e sinais de alerta de engenharia social, e as organizações que gerenciam ativos significativos devem ter um plano de recuperação de desastres que inclua seguro para ativos digitais.

Qual é o papel das regulamentações na prevenção de fraudes com criptomoedas?

Os regulamentos estabelecem padrões básicos para a prevenção de fraudes.

O setor ainda é recente, e a legislação tem demorado a acompanhar as realidades atuais do investimento em ativos digitais. No entanto, os órgãos reguladores estão trabalhando ativamente na próxima geração de requisitos de conformidade.

Enquanto isso, as instituições devem procurar custodiantes qualificados que cumpram as regras de custódia já em vigor no setor financeiro tradicional. Essas regras visam proteger os investidores e ajudar a prevenir fraudes no mercado de criptomoedas.

Que medidas devo tomar se suspeitar de uma fraude envolvendo criptomoedas?

É fundamental agir rapidamente. Em primeiro lugar, interrompa quaisquer outras transações relacionadas à suspeita de fraude. Se uma senha tiver sido comprometida, siga os protocolos internos adequados para restabelecer as medidas de segurança. O incidente deve ser comunicado ao responsável designado pela conformidade ou segurança da organização e encaminhado de acordo com os procedimentos estabelecidos para resposta a fraudes ou gestão de incidentes.

Existem ferramentas disponíveis para monitorar transações de criptomoedas em busca de fraudes?

Sim, existem ferramentas projetadas especificamente para monitorar transações de criptomoedas em busca de sinais de fraude. Plataformas de análise de blockchain, como Chainalysis, Elliptic e TRM Labs, ajudam a identificar atividades suspeitas por meio da análise de padrões de transação, comportamentos de carteiras e conexões com agentes ilícitos conhecidos. Essas ferramentas são utilizadas por instituições para detectar fraudes, aplicar políticas de combate à lavagem de dinheiro (AML) e cumprir normas regulatórias.

No âmbito da custódia, a BitGo oferece controles internos e trilhas de auditoria que ajudam a monitorar os fluxos de transações e sinalizar anomalias. Combinadas com uma infraestrutura segura de carteiras, essas soluções aumentam a visibilidade e o controle sobre as atividades relacionadas a ativos digitais.