O Caso Ellis Pinsky: Como um Adolescente Executou um Roubo de SIM Swap de $24 Milhões

Quando um jovem de 15 anos de Nova Iorque decidiu transformar suas habilidades de hacking em lucro, ele não roubou de uma vítima comum. Ellis Pinsky coordenou uma das maiores ataques de troca de SIMs já registados, comprometendo ativos digitais de um investidor em criptomoedas e expondo vulnerabilidades críticas na proteção de números de telefone e carteiras. Este caso tornou-se uma advertência que iria reformular as conversas sobre segurança em telecomunicações e proteção de ativos em criptomoedas.

O Ataque a Michael Turpin: A Maior Troca de SIMs Individual já Registada

O alvo foi Michael Turpin, um investidor em criptomoedas que participou de uma conferência e se sentia seguro com seus ativos digitais. O que Turpin não sabia era que, do outro lado do país, um grupo de hackers adolescentes já tinha iniciado sua operação. Eles subornaram funcionários de telecomunicações para sequestrar seu número de telefone — uma técnica que lhes daria acesso a tudo protegido por verificação por SMS.

Ellis Pinsky dirigiu a operação remotamente. Usando scripts lançados via Skype, sua equipe trabalhou sistematicamente na infraestrutura digital de Turpin: e-mails, armazenamento na nuvem, qualquer porta de entrada que pudesse levar às chaves da carteira de criptomoedas. Descobriram uma posse de Ethereum avaliada em cerca de 900 milhões de dólares, mas essas estavam protegidas por camadas adicionais que não conseguiram invadir. No entanto, encontraram um alvo alternativo com 24 milhões de dólares em criptomoedas acessíveis. Em poucas horas, o dinheiro desapareceu das contas de Turpin. Foi o maior roubo de troca de SIMs individual já documentado.

De Fóruns de Hackers em NYC a Operações de Alto Risco

A trajetória de Ellis Pinsky neste mundo começou muito antes. Criado num apartamento apertado em Nova Iorque, recebeu seu primeiro Xbox aos 13 anos — uma porta de entrada para comunidades online onde jovens entusiastas de tecnologia se reuniam. Progrediu de aprender técnicas de injeção SQL a negociar nomes de Instagram raros, construindo reputação e influência em fóruns underground. Mas status não era suficiente. A verdadeira atração era acessar riquezas reais.

A troca de SIMs oferecia um caminho: subornar um representante de telecomunicações, assumir o controle do número de telefone de alguém, interceptar códigos de verificação por mensagem de texto, redefinir senhas e, por fim, esvaziar carteiras de criptomoedas. Era uma técnica que transformava o conhecimento técnico de um adolescente em poder financeiro imediato. Aos 15 anos, Ellis Pinsky já tinha montado uma rede: 562 Bitcoins em ativos apreendidos, insiders de telecomunicações na sua folha de pagamento e acesso a milhões em contas de criptomoedas.

A Tecnologia por Trás dos Ataques de Troca de SIMs e Por Que Eles Funcionam

O método de troca de SIMs explora uma fraqueza fundamental na forma como empresas de telecomunicações e plataformas digitais lidam com recuperação de contas. Quando um número de telefone é transferido para um novo SIM (ou para o SIM de um hacker), todos os códigos de verificação por texto vão para o atacante, em vez do proprietário legítimo. Essa vulnerabilidade única faz com que toda a cadeia — de contas de email, plataformas bancárias e trocas de criptomoedas — fique exposta.

O ataque teve sucesso porque a maior parte da segurança depende da verificação por SMS como uma “segunda camada” de proteção. Uma vez comprometido o número de telefone, a equipe de Ellis Pinsky contornou esses supostos mecanismos de segurança de forma sistemática. Acessaram armazenamento na nuvem com arquivos sensíveis, contas de email com links de recuperação de senha e, por fim, os pontos mais frágeis na defesa digital de Turpin.

O Desfecho: Quando Cúmplices se Tornam Passivos

A operação começou a desmoronar sob pressão interna. Um cúmplice fugiu com 1,5 milhão de dólares, desaparecendo da rede. Outro membro, aparentemente sem conhecimento dos riscos, discutiu abertamente a contratação de alguém para cometer violência — conversas que levantaram bandeiras vermelhas imediatas. Mas o maior erro veio de Nicholas Truglia, um dos parceiros de Ellis no crime.

Truglia não resistiu à tentação de se gabar. Online, ostentou o roubo: “Roubei 24 milhões de dólares. Ainda não consigo manter um amigo.” Cometeu o erro fatal de usar seu nome verdadeiro na Coinbase ao tentar converter fundos roubados. O FBI rastreou isso diretamente até ele, levando à sua prisão e condenação. Seu deslize demonstrou um ponto crucial: a segurança operacional se desfaz quando os participantes buscam reconhecimento.

As Consequências para Ellis Pinsky: Implicações Legais e Tentativas de Reabilitação

Quando o FBI chegou à porta de Ellis Pinsky, seu status de menor tornou-se tanto escudo quanto peso. O sistema legal o tratou de forma diferente de criminosos adultos. Ele evitou as acusações mais severas em parte por causa da idade, mas não sem custo. Turpin entrou com uma ação civil de 22 milhões de dólares contra ele pelos fundos roubados. Além disso, homens armados mascarados invadiram sua casa — consequência do mundo underground ao qual entrou.

Hoje, Ellis Pinsky é estudante de filosofia e ciência da computação na NYU. Afirmou estar direcionando seus talentos para criar startups enquanto tenta pagar suas dívidas legais significativas. Se isso representa uma reabilitação genuína ou outro capítulo de uma narrativa contínua, permanece uma questão em aberto. Seu caso demonstra como um adolescente com habilidades técnicas pode acessar somas enormes — e como essa riqueza se torna precária.

As Implicações Mais Amplas: O que o Caso Ellis Pinsky Revela

Este incidente expôs como a segurança moderna ainda depende de infraestrutura de telecomunicações desatualizada. Grandes detentores de criptomoedas aprenderam que possuir ativos digitais não basta; é preciso proteger os números de telefone associados à recuperação de contas. O caso levou exchanges, provedores de email e instituições financeiras a implementarem métodos de verificação mais robustos além dos códigos SMS.

Para a indústria de criptomoedas, o caso Ellis Pinsky tornou-se uma evidência de que vulnerabilidades de segurança nem sempre exigem exploits sofisticados de zero-day. Às vezes, o elo mais fraco é o funcionário de telecomunicações disposto a aceitar suborno, ou a simplicidade do ataque de troca de SIMs como vetor. Aos 15 anos, Ellis Pinsky demonstrou uma lição de 24 milhões de dólares sobre por que estratégias de autenticação multifator devem evoluir além da verificação por mensagem de texto.