Então eu acabei caindo nesse buraco sobre um dos maiores roubos de criptomoedas já registrados, e honestamente vale o seu tempo.

Imagine o seguinte: um investidor de criptomoedas chamado Michael Turpin, apenas cuidando da sua vida após sair de uma conferência. Enquanto isso, do outro lado do país, um grupo de adolescentes está literalmente subornando funcionários de telecomunicações para sequestrar seu número de telefone. O cérebro por trás? Um garoto de 15 anos chamado Ellis Pinsky.

Depois que eles tiveram controle do seu número, Ellis ativou alguns scripts para vasculhar toda a vida digital de Turpin—e-mails, backups na nuvem, tudo. Eles estavam procurando por chaves de carteiras privadas. E então encontraram: $900M em ETH. Exceto que havia um problema. Estava bloqueado.

Mas eles continuaram investigando. Horas se passaram. Michael Turpin verifica suas contas e percebe que sua maior carteira ainda está lá, mas $24M desapareceu. Simplesmente sumiu. Isso se tornou o maior roubo de troca de SIM individual já registrado.

De repente, Ellis está com uma fortuna. Ele compra um Rolex, esconde debaixo da cama como se estivesse em um filme. Exceto que a realidade rapidamente o alcança. Um colega rouba US$ 1,5 milhão e desaparece. Outro começa a falar sobre contratar um matador. A coisa toda está saindo do controle.

Mas aqui está o ponto sobre Ellis—seu caminho não começou com esse roubo. O garoto cresceu em um apartamento apertado em Nova York, ganhou seu primeiro Xbox aos 13 anos, começou a frequentar fóruns de hackers, aprendeu injeção de SQL, vendia contas raras do Instagram por fama. Mas a fama não satisfazia mais. Ele queria dinheiro de verdade.

Troca de SIM é uma jogada genial na pior das formas: Você convence um representante de telecom a transferir o número de telefone de alguém para seu cartão SIM. Agora você controla as mensagens, a 2FA, os códigos de recuperação. A partir daí, é só redefinir senhas, acessar e-mails, roubar carteiras. Toda a cadeia de segurança das criptomoedas se quebra.

Mas aqui é onde tudo desmorona. O ex-parceiro de Ellis, Truglia, não conseguiu ficar calado. Literalmente tweetou 'Roubou US$ 24M. Ainda não consegue manter um amigo.' Ele foi pego imediatamente porque—escuta só—usou seu nome verdadeiro na Coinbase. FBI não demorou. Truglia foi preso. Ellis, sendo menor de idade, não enfrentou acusações. Mas Michael Turpin o processou por US$ 22 milhões.

Depois, homens mascarados armados invadiram a casa de Turpin.

Hoje, Ellis estuda filosofia e ciência da computação na NYU. Diz que quer criar startups, pagar suas dívidas, deixar toda aquela confusão para trás. Aos 15 anos, tinha 562 BTC, conexões com insiders de telecom, um processo ativo e, aparentemente, uma ameaça de morte. Difícil até de descrever.

É uma daquelas histórias que mostram o quão frágil é a segurança das criptomoedas—e como um adolescente pode passar de fóruns de hackers para atenção federal em questão de dias. O caso de criptomoedas do Michael Turpin virou praticamente o estudo de caso para vulnerabilidades de troca de SIM na indústria.