O Roubo de Criptomoedas de Michael Turpin: Como um Adolescente de 15 Anos e um Golpe de Troca de SIMs Rendeu $24 Milhões

Quando o investidor de criptomoedas Michael Turpin saiu de uma conferência de tecnologia em 2020, não tinha ideia de que sua vida digital estava prestes a ser desmontada meticulosamente por um grupo de adolescentes do outro lado do país. O que se seguiu nas horas seguintes tornou-se um dos roubos de criptomoedas mais audaciosos da história — um assalto de 24 milhões de dólares orquestrado principalmente por um rapaz de 15 anos chamado Ellis Pinsky. O incidente expôs vulnerabilidades críticas na segurança das telecomunicações e demonstrou como a riqueza em blockchain poderia ser alvo e drenada por táticas de engenharia social surpreendentemente simples.

A Tempestade Perfeita: Como Ellis Pinsky Alvo um Investidor de Criptomoedas

O ataque começou com o telefone de Michael Turpin. Ellis Pinsky e seus associados fizeram sua lição de casa. Corromperam funcionários de uma grande operadora de telecomunicações para transferir o número de Turpin para um cartão SIM sob seu controle — uma técnica conhecida como troca de SIM. Esse ato simples lhes deu acesso a algo muito mais valioso do que uma linha telefônica: as chaves para a identidade digital de Turpin.

Depois de controlarem o número, Ellis usou uma série de scripts a partir de uma chamada no Skype que raspou sistematicamente as contas online de Turpin. E-mails, arquivos de armazenamento na nuvem, opções de recuperação de senha — tudo ficou acessível aos atacantes. Eles buscavam credenciais de carteiras de criptomoedas, procurando as chaves privadas que desbloqueiam fortunas digitais. A escala do que encontraram era impressionante: 900 milhões de dólares em Ethereum espalhados por várias carteiras. Mas havia um problema. A maior parte estava protegida por medidas de segurança que eles não conseguiam contornar.

Então, eles cavaram mais fundo. Procuraram por posses de Bitcoin, contas adicionais de Ethereum, qualquer ativo cripto acessível. Horas se passaram enquanto os adolescentes comprometiam sistematicamente conta após conta, movendo-se pela infraestrutura digital de Michael Turpin como testadores de penetração experientes. Então, encontraram: uma carteira de 24 milhões de dólares que não estava protegida. Era acessível e, em poucos momentos, desapareceu.

Por Dentro do Esquema de Troca de SIM: A Exploração Técnica

O ataque de troca de SIM que vitimou Michael Turpin representa um dos métodos mais eficazes — e evitáveis — de comprometer detentores de criptomoedas de alto patrimônio. Veja como funciona:

Passo 1: Engenharia Social — Os atacantes convencem funcionários de operadoras de telecomunicações a transferir o número de telefone do alvo para um novo cartão SIM. Normalmente, isso envolve pretextos (mentir sobre quem são) ou, no caso de Ellis, oferecer incentivos financeiros a insiders.

Passo 2: Sequestro de Autenticação — Uma vez controlando o número, eles recebem todos os códigos de autenticação de dois fatores (2FA) via SMS. A maioria das exchanges de cripto e provedores de e-mail envia códigos de recuperação assim.

Passo 3: Tomada de Conta — Com os códigos 2FA, os atacantes podem redefinir senhas, acessar contas de e-mail e, eventualmente, chegar às exchanges de criptomoedas onde os fundos estão armazenados.

Passo 4: Saque — O passo final é esvaziar as carteiras antes que os sistemas de segurança detectem a intrusão.

No caso de Turpin, Ellis agiu com precisão. O adolescente aprendeu hacking por fóruns, estudando técnicas de injeção SQL e outros exploits. Já tinha realizado operações pequenas — vendendo contas raras do Instagram por lucros modestos. Mas isso era diferente. Era cripto, e os riscos eram incomparavelmente maiores. Na época, o BTC negociava por cerca de 68.328 dólares, e o ETH ficava perto de 1.982 dólares. O valor em dólares de roubar ativos digitais superava tudo o que Ellis tinha tentado antes.

O Adolescente que se Tornou Milionário: Como Ellis Gastou os 24 Milhões de Dólares

Ellis Pinsky de repente ficou rico além da imaginação. Mas ainda tinha 15 anos, morava em um apartamento apertado em Nova York, e pensava como um adolescente. O dinheiro foi para destinos previsíveis: bens de luxo, vida noturna e tentativas de manter seu novo status entre colegas que não participaram do roubo.

Comprou um relógio Rolex de 100 mil dólares e o escondeu debaixo da cama como um segredo. Gastou de forma extravagante em clubes de alto padrão. Jogou dinheiro como se a fonte fosse inesgotável. Mas manter um grupo de conspiradores foi difícil. Um colega fugiu com 1,5 milhão de dólares em cripto roubado. Outro enfrentou problemas pessoais e brincou sobre contratar alguém para cometer violência. O grupo começou a se fragmentar sob pressão e suspeitas.

Ellis construiu sua reputação com persistência: um Xbox aos 13 anos, entrada em fóruns de hackers, aprendendo a programar, vendendo contas ilícitas online. Mas nada disso o preparou para administrar uma organização criminosa, mesmo que informal.

O Desfecho: Como a Negligência de Truglia Levou ao FBI

A operação poderia ter permanecido desconhecida por mais tempo se não fosse o co-conspirador de Ellis, Truglia. A pressão de ter roubado milhões, a paranoia, os conflitos interpessoais — tudo se tornou demais. Truglia começou a postar nas redes sociais sobre o roubo, basicamente se gabando do crime em posts como “Roubei 24 milhões. Ainda não consigo manter um amigo.”

Essa negligência foi catastrófica. Truglia cometeu um erro de iniciante: usou seu nome verdadeiro na Coinbase ao tentar mover ou acessar parte do cripto roubado. A trilha digital levou direto a ele, e de lá, ao restante da operação. A investigação do FBI avançou rapidamente. As autoridades tinham um alvo específico, um rastro de transações e provas digitais que ligavam Truglia diretamente ao crime.

Truglia foi preso e cumpriu pena. Mas Ellis apresentou uma complicação legal: era menor de idade. Enquanto Michael Turpin foi defraudado de 24 milhões de dólares, o fato de o autor ser menor complicou a acusação criminal. Ellis não foi formalmente acusado. Em vez disso, teve que devolver a maior parte dos fundos roubados — embora não tudo.

Turpin buscou reparação civil, entrando com uma ação contra Ellis por aproximadamente 22 milhões de dólares em danos. Mas antes que essa ação se resolvesse completamente, algo muito mais sinistro aconteceu: homens armados encapuzados invadiram a casa de Michael Turpin. Se isso tinha relação com o roubo ou era um caso separado, não ficou claro, mas mostrou o perigo de ser vítima de um roubo de alto perfil.

De Cibercriminoso a Estudante de Filosofia: Onde Está Ellis Pinsky Hoje

Hoje, Ellis Pinsky frequenta a NYU, cursando filosofia e ciência da computação. Ele declarou publicamente sua intenção de trabalhar em startups legítimas e de, eventualmente, pagar sua dívida com Turpin e a sociedade de forma mais ampla. Se sua transformação é genuína ou apenas performática, só o tempo dirá.

O que permanece certo é o dano: Michael Turpin perdeu 24 milhões de dólares em um ataque de troca de SIM orquestrado por um menor. O incidente revelou como até investidores de criptomoedas relativamente sofisticados podem ser vulneráveis a ataques de engenharia social. Aos 15 anos, Ellis acumulou ativos que a maioria dos adultos nunca alcançaria, comprometeu a segurança de um investidor de cripto e iniciou um crime que marcaria sua juventude.

O caso serve como um alerta para a comunidade cripto: nenhuma quantidade de protocolos de segurança sofisticados pode superar um número de telefone comprometido e o acesso aos códigos 2FA via SMS. À medida que os ativos digitais continuam a crescer em valor, também aumentam a sofisticação e a desesperação de quem tenta roubá-los — às vezes com cúmplices quase jovens demais para dirigir.