Acabei de ler uma das histórias mais loucas de roubo de criptomoedas e honestamente não consigo parar de pensar em como isso aconteceu de verdade. Então, Michael Turpin, um investidor em criptomoedas, foi completamente devastado pelo que provavelmente foi o ataque de troca de SIM mais sofisticado já realizado. Um garoto de 15 anos chamado Ellis Pinsky liderou uma equipe que basicamente orquestrou tudo.

Aqui é onde fica louco. Eles subornaram funcionários de telecomunicações para redirecionar o número de telefone de Turpin para seus próprios cartões SIM. A partir daí, Ellis executou scripts que vasculharam tudo — e-mails, armazenamento na nuvem, tudo mesmo. Eles estavam caçando chaves privadas como caçadores de tesouro. Então, eles encontraram: $900M em ETH ali mesmo. Mas estava trancado.

Eles continuaram investigando e, eventualmente, conseguiram acesso a uma carteira contendo 24 milhões de dólares. Essa é a maior fraude de troca de SIM individual já registrada. Assim, um adolescente tinha mais dinheiro do que a maioria das pessoas vêem na vida toda.

O que Ellis fez a seguir é quase tão insano quanto o próprio roubo. Relógios Rolex debaixo do colchão, festas, acompanhantes, toda a ostentação. Mas aqui está o ponto sobre equipes — alguém sempre fala. Sua ex-parceira Truglia começou a twittar sobre isso. Usou seu nome real no Coinbase. Hora de amador. O FBI não demorou a conectar os pontos.

Truglia foi preso. Ellis? Ele era menor de idade, então tecnicamente não enfrentou acusações, mas Turpin o processou por 22 milhões de dólares. E então as coisas ficaram realmente sombrias — homens armados mascarados apareceram na casa de Turpin. Isso foi muito além de um roubo típico de criptomoedas.

A história de fundo também é interessante. Ellis cresceu em um apartamento apertado em Nova York, ganhou seu primeiro Xbox aos 13 anos, começou a frequentar fóruns de hackers, aprendeu injeção de SQL, vendeu contas raras do Instagram. Ele era bom nisso. Mas precisava de dinheiro, não só de fama. Troca de SIM foi a arma perfeita assim que descobriu como fazer — sequestrar o número de alguém, controlar a autenticação de dois fatores, redefinir senhas, acessar tudo.

Hoje Ellis estuda filosofia e ciência da computação na NYU. Diz que quer criar startups, pagar suas dívidas, passar por tudo isso. Aos 15 anos, tinha 562 BTC, insiders de telecomunicações na mão, um processo judicial enorme pendurado sobre ele, e aparentemente pessoas querendo matá-lo. Não exatamente a experiência de um adolescente ideal.

Tudo isso é um lembrete brutal de como os números de telefone são vulneráveis em crypto. Sua autenticação de dois fatores, seus códigos de recuperação, toda a sua vida digital pode depender de uma conversa com um funcionário de telecomunicações. Michael Turpin aprendeu isso da maneira difícil. Faz você pensar no que realmente significa segurança quando o elo mais fraco é um trabalhador subornado numa loja de telefonia.