O músico americano Garrett Dutton, mais conhecido como G. Love, passou por uma situação bastante complicada. Ele perdeu 5,9 BTC, que hoje valem cerca de R$ 3,7 milhões, ao inserir sua seed phrase em um aplicativo falso da Ledger na Apple App Store. O aplicativo parecia legítimo, enganando até os filtros de segurança da Apple. Assim que Dutton digitou suas 24 palavras de recuperação, seus fundos foram transferidos para carteiras controladas pelos golpistas. Depois, os 5,9 BTC foram lavados através de uma exchange, dificultando seu rastreamento.
Isso levanta uma questão importante: será que esse incidente foi um erro isolado de um usuário desatento ou revela uma vulnerabilidade séria nas lojas de aplicativos? A questão é preocupante, especialmente para quem faz autocustódia das criptomoedas.
Contexto do mercado
Infelizmente, aplicativos fraudulentos que imitam carteiras cripto não são novidade e têm se tornado cada vez mais sofisticados. Nos últimos 18 meses, golpistas vêm lançando apps falsos que imitam marcas como Ledger, Trezor e Phantom. Eles passam pelo crivo das lojas e permanecem disponíveis por tempo suficiente para drenar os fundos de usuários despreparados. Curiosamente, a Apple, que sempre se orgulhou de ter uma loja segura, não está imune a esse tipo de ataque.
Um exemplo triste desse problema foi um aplicativo falso da Phantom Wallet, que foi encontrado na App Store. Ele estava vinculado a uma conta chamada “Meta Voxify” e alegava existir há 17 anos — um absurdamente impossível, já que a Solana, que é uma plataforma da qual a Phantom faz parte, não estava por aqui naquela época. Mesmo assim, conseguiu passar pela revisão da Apple e chegou a usuários reais. O co-fundador do Dubai Blockchain Center, Mende Matthias, lamentou ter perdido mais de US$ 100.000 (cerca de R$ 630.000) ao tentar recuperar sua conta. O padrão de golpe é similar ao que vitimou G. Love.
Investigações anteriores já mostraram que hackers se tornaram mais habilidosos. A verdadeira fraqueza não está no código dos protocolos, mas no comportamento do usuário ao instalar aplicativos ou confirmar transações. A vulnerabilidade é a mesma, seja em um ataque de hackers de um país ou em um golpe digital.
No Brasil, essa situação é ainda mais preocupante. A combinação do aumento do uso de hardware wallets e a baixa conscientização sobre a verificação de autenticidade de software expõe muitos investidores. Embora a Receita Federal e a Comissão de Valores Mobiliários (CVM) tenham alertado sobre golpes, ainda não houve uma campanha específica para prevenir os riscos de apps falsos nas lojas.
Em termos simples, imagine
Vamos fazer uma analogia. Imagine que você mora em um prédio na Faria Lima e tem um cofre no seu apartamento, com uma chave única. Se você perde essa chave, não há cópias. Agora, pense em um golpista que entra no prédio com documentos falsificados, se passa por alguém da administração e, ao pedir uma segunda via da chave, acaba entregando um papel em branco. Enquanto você se afasta, ele usa as informações que coletou para acessar seu cofre, retirar tudo e sumir.
É isso que um aplicativo falso de carteira cripto faz. A seed phrase — as 12 ou 24 palavras que você anotou — é a chave mestra. Qualquer aplicativo ou pessoa que tenha acesso a essa informação pode controlar seus fundos de forma permanente. O aplicativo falso da Ledger não precisou de técnicas complicadas para hackear servidores, só que a vítima acreditasse que estava interagindo com a fonte legítima.
O mais cruel é que a Apple App Store deveria ser o “porteiro de confiança” do condomínio. Quando esse porteiro falha, a traição é mais dolorosa. Não só a vítima foi enganada, mas também o ambiente que ela confiava para filtrar ameaças. Para quem usa uma Ledger, esperando segurança, descobrir que o aplicativo era falso é como descobrir que seu cofre tinha um mecanismo de espionagem.
Quais são os dados e fundamentos destacados?
- ‘O Valor Evaporado’ – Os **5,9 BTC** perdidos equivalem a cerca de **R$ 3,7 milhões**. Para a maioria dos investidores brasileiros, isso é uma quantia que pode levar anos para ser recuperada, e que foi transferida em segundos após a inserção da seed phrase.
- ‘A Lavagem Acelerada’ – Os fundos foram rapidamente movimentados para uma exchange, sugerindo que os golpistas são organizados. A velocidade da lavagem dificultou o rastreamento antes que os ativos fossem fragmentados.
- ‘O Buraco na Triagem da Apple’ – O app enganoso passou pelos testes de revisão da App Store, tanto automatizados quanto manuais. Especialistas comentam que os golpistas usam o método chamado bait-and-switch: o app é enviado com funcionalidades normais e depois recebe o código malicioso. A Apple não explicou como o app específico conseguiu contornar suas medidas de segurança.
- ‘O Padrão Recorrente’ – O caso de G. Love não é único. O app falso da Phantom Wallet teve problemas semelhantes, atingindo usuários em vários países. A categoria errada em que foi publicado torna mais difícil encontrar a versão legítima.
- ‘A Regra de Ouro Violada’ – O princípio de segurança fundamental é que a seed phrase nunca deve ser inserida em dispositivos. Apps legítimos da Ledger, como o **Ledger Live**, não pedem essa informação. Qualquer aplicativo que solicitar a seed phrase é uma ameaça, independente de onde tenha sido baixado.
Esses dados revelam uma vulnerabilidade que não é técnica, mas humana e institucional. A presença de aplicativos em lojas confiáveis cria um ambiente onde golpes têm maior chance de sucesso do que o esforço técnico dos atacantes.
O que muda na estrutura do mercado?
As consequências imediatas são palpáveis: a Ledger terá que intensificar suas campanhas de autenticação e colaborar com a Apple e Google para fortalecer a verificação de desenvolvedores. A empresa já possui um sistema para denunciar apps falsos, mas a rapidez com que novos surgem indica que não é suficiente. É necessário um sistema preventivo que bloqueie submissões que imitam marcas antes de serem publicadas.
Isso gera um efeito colateral importante: eventos como esse reforçam a ideia de que a autocustódia é perigosa, levando a um argumento de que manter criptos em exchanges é a opção mais segura. Porém, essa lógica ignora que essas exchanges são alvos de ataques bem mais sofisticados, como os recentes que resultaram em perdas de mais de US$ 285 milhões. O que falta, na verdade, é educação operacional para aqueles que optam pela autocustódia.
Outro ponto a ser observado é o debate sobre a regulamentação das lojas de aplicativos. Alguns enfatizam que eventos como esses sustentam argumentos a favor do sideloading — instalar apps fora das lojas convencionais, um modelo que a União Europeia já exige da Apple. O risco da falsa segurança gerada pelo monopólio das lojas pode ser maior do que a descentralização na distribuição de software.
Como isso afeta o investidor brasileiro?
Para o brasileiro, o impacto é direto: os 5,9 BTC perdidos por G. Love representam uma soma significativa no contexto econômico do país. A alta do real frente ao dólar também torna essa situação mais crítica. Para quem acredita na autocustódia como uma forma de proteger seu dinheiro da desvalorização da moeda, o risco de cair em um golpe por aplicativos falsos é amplificado, especialmente se já tiver acumulado uma boa quantia de BTC.
Para quem utiliza uma carteira Ledger, a primeira dica é garantir que o aplicativo no celular ou computador é o Ledger Live oficial, baixado somente do site ledger.com/ledger-live. O Ledger Live legítimo nunca solicitará sua seed phrase. Caso o aplicativo solicite essas 24 palavras, a orientação é fechar imediatamente, desconectar da internet e transferir os fundos para uma nova carteira antes que seja tarde. Para quem armazena criptos em exchanges como Mercado Bitcoin, Foxbit ou Binance Brasil, os riscos desse golpe não se aplicam diretamente, mas a lição sobre a verificação de autenticidade é válida para todos. ETFs como HASH11 e QBTC11, disponíveis na B3, são uma forma de minimizar riscos de autocustódia.
Um detalhe importante a se lembrar: perdas devido a golpes em criptomoedas têm um tratamento fiscal específico no Brasil. Segundo a Lei 14.754/2023 e a Instrução Normativa 1.888, é possível declarar perdas no Imposto de Renda como forma de compensar ganhos futuros. Para isso, é preciso registrar um boletim de ocorrência e juntar evidências. A declaração da Receita é feita por meio do programa GCAP.
Riscos e o que observar
- ‘O Risco da Confiança Delegada’ – Apostar que a App Store ou Google Play filtram as ameaças é um grande erro. Fique atento a qualquer app que pedir sua seed phrase ou chave privada.
- ‘O Risco da Atualização Silenciosa’ – Apps podem ser atualizados após a aprovação inicial para incluir funcionalidades maliciosas. Revise as permissões e desconfie de atualizações que exigem novos dados.
- ‘O Risco do Ambiente Comprometido’ – Mesmo baixando o Ledger Live legítimo, inserir a seed phrase em qualquer software é perigoso. A segurança se baseia em nunca sair do dispositivo.
- ‘O Risco da Escala Silenciosa’ – O caso G. Love é notório por conta da fama do artista, mas muitos outros golpes semelhantes não têm a mesma visibilidade. Isso significa que muitas pessoas podem ter instalado apps falsos sem perceber.
- ‘O Gatilho dos Próximos 90 Dias’ – Fique de olho na resposta da Apple. Se a companhia implementar mudanças efetivas, o risco diminui. A falta de uma comunicação ativa em português seria um alerta sobre o compromisso da empresa com o mercado local.
O veredicto do mercado
Estamos diante de um cenário claro: se a pressão pública levar Apple e Google a mudarem suas práticas de triagem de aplicativos para carteiras cripto, o risco diminui e a confiança na autocustódia aumenta. Mas se as lojas continuarem com respostas reativas, a frequência de golpes pode aumentar proporcionalmente à adoção de hardware wallets, colocando novos usuários em risco desde o início da sua jornada.
Para quem investe no Brasil, a mensagem é clara: nunca insira sua seed phrase em uma tela. Os aplicativos de carteira devem ser baixados apenas dos sites oficiais, e a segurança começa muito antes de qualquer transação. Isso requer disciplina e cuidado, lembrando sempre que um ambiente digital que parece seguro pode esconder armadilhas.
