Então eu acabei de cair neste buraco de coelho sobre um dos maiores roubos de criptomoedas de todos os tempos, e honestamente vale o seu tempo.

Imagine isto: Um investidor de criptomoedas chamado Michael Turpin, apenas cuidando dos seus negócios após sair de uma conferência. Enquanto isso, do outro lado do país, um grupo de adolescentes está literalmente subornando trabalhadores de telecomunicações para sequestrar o seu número de telefone. O cérebro por trás? Um rapaz de 15 anos chamado Ellis Pinsky.

Depois de terem controlo do seu número, Ellis ativou alguns scripts para raspar toda a vida digital de Turpin—e-mails, backups na nuvem, tudo. Eles estavam à procura de chaves privadas de carteiras. E então encontraram: $900M em ETH. Exceto que havia um problema. Estava bloqueado.

Mas eles continuaram a investigar. Horas passam. Michael Turpin verifica as suas contas e percebe que a sua maior carteira ainda está lá, mas $24M desapareceu. Simplesmente sumiu. Este tornou-se o maior roubo individual de troca de SIM já registado.

De repente, Ellis está cheio de dinheiro. Compra um Rolex, esconde-o debaixo da cama como se estivesse num filme. Exceto que a realidade rapidamente o alcança. Um colega rouba 1,5 milhões de dólares e desaparece. Outro começa a falar em contratar um matador. A coisa toda está a descontrolar-se.

Aqui está o que acontece com Ellis—o seu percurso não começou com este roubo. O rapaz cresceu num apartamento apertado em Nova Iorque, recebeu o seu primeiro Xbox aos 13 anos, começou a frequentar fóruns de hackers, aprendeu injeção SQL, vendia contas raras do Instagram por fama. Mas a fama já não satisfazia a sua vontade. Ele queria dinheiro de verdade.

A troca de SIM é uma jogada genial na pior das formas: Convencer um representante de telecomunicações a transferir o número de telefone de alguém para o seu cartão SIM. Agora controla as mensagens, a 2FA, os códigos de recuperação. A partir daí, é só redefinir passwords, aceder a e-mails, roubar carteiras. Toda a cadeia de segurança das criptomoedas desmorona.

Mas aqui é onde tudo desmorona. O ex-parceiro de Ellis, Truglia, não conseguiu manter a boca fechada. Literalmente tweetou 'Roubou 24 milhões de dólares. Ainda não consegue manter um amigo.' Foi apanhado imediatamente porque—escuta isto—usou o seu nome verdadeiro na Coinbase. O FBI não demorou a agir. Truglia foi preso. Ellis, sendo menor de idade, não enfrentou acusações. Mas Michael Turpin processou-o por 22 milhões de dólares.

Depois, homens mascarados armados invadiram a casa de Turpin.

Hoje, Ellis estuda filosofia e ciência da computação na NYU. Diz que quer criar startups, pagar as suas dívidas, deixar toda aquela confusão para trás. Aos 15 anos tinha 562 BTC, ligações a insiders de telecomunicações, um processo ativo, e aparentemente uma ameaça à sua vida. Dizer que é louco nem chega perto.

É uma daquelas histórias que mostra o quão frágil é a segurança das criptomoedas—e como um adolescente pode passar de fóruns de hackers para atenção federal num instante. O caso de criptomoedas de Michael Turpin tornou-se basicamente o estudo de caso para vulnerabilidades de troca de SIM na indústria.