Mixer de Criptomoedas eXch Continua Lavando Fundos Mesmo Após Encerramento

Apesar do anúncio oficial de encerramento, o conhecido mixer de criptomoedas eXch continua funcionando como um canal de lavagem de fundos ilícitos, de acordo com um novo relatório da TRM Labs. No dia 30 de abril de 2025, um dia antes do eXch ser programado para sair do ar, a plataforma removeu toda a infraestrutura pública, incluindo domínios da clearnet e da dark web.

No entanto, a investigação da TRM revela que o backend da plataforma, especificamente seu acesso API, permanece operacional, facilitando movimentos contínuos de fundos consistentes com seu modelo de lavagem de mixed-pool. A TRM liga o eXch a grandes operações de cibercriminosos, incluindo o hack de US$ 1,5 bilhão da Bybit pelo grupo Lazarus e atores de ameaças de material de abuso sexual infantil (CSAM).

A análise da TRM Labs mostra que o chamado “encerramento” do eXch é amplamente superficial. Embora as interfaces do site da exchange tenham sido desativadas em 27 de abril, sua infraestrutura API permaneceu ativa e interagiu com os ativos on-chain.

Em 30 de abril, a TRM observou novas transações imitando padrões de comportamento de mixed-pool anteriores, particularmente expostas a financiamento relacionado ao CSAM. O principal mecanismo por trás da ofuscação do eXch reside em sua arquitetura proprietária de mixed-pool, que quebra os depósitos e os combina em liquidity pools que tornam o rastreamento de origem quase impossível.

Este artigo aborda como o mixer de criptomoedas eXch continua operando, mesmo após o anúncio de seu fechamento, e como ele é usado para eXch lavando fundos ilícitos.

A Arquitetura do eXch: Um Motor de Lavagem Escondido

O funcionamento do eXch é semelhante aos serviços de swap de criptomoedas, permitindo que os usuários troquem um token por outro enquanto depositam seus tokens em pools reutilizados para saques não relacionados. Como resultado, um depósito de BTC de um ator de ameaça poderia facilmente financiar o saque de um usuário legítimo, misturando, assim, fundos ilícitos e limpos.

A TRM descobriu que o eXch já foi exposto a mais de US$ 300.000 em fundos relacionados ao CSAM, e espera-se que essa exposição aumente. Ainda mais alarmante, a mesma infraestrutura do eXch foi usada simultaneamente por atores ligados ao CSAM e por operativos do grupo Lazarus, sugerindo que os fundos do primeiro grupo forneceram liquidez para lavar os ativos dos hackers da Bybit.

Enquanto o eXch se posicionava externamente como uma plataforma focada na privacidade, ele consistentemente obstruiu as tentativas de manter a responsabilidade em todo o ecossistema. Após o ataque da Bybit, o eXch se recusou a cumprir os pedidos de congelamento de fundos, retirando todas as divulgações públicas sobre sua liquidez de moedas. Essa decisão atraiu críticas generalizadas em todo o setor de criptomoedas, especialmente quando outras plataformas estavam se unindo para ajudar a Bybit a congelar e recuperar ativos.

Histórico Controverso do eXch

A história de atividade controversa do eXch começou muito antes do encerramento. Em 23 de fevereiro de 2025, a exchange negou a lavagem de fundos para o grupo Lazarus no fórum Bitcointalk, admitindo apenas que uma “porção insignificante” dos fundos roubados da Bybit havia passado por um de seus endereços.

A plataforma alegou que as taxas da transação seriam doadas para o bem público, minimizando a escala de seu envolvimento. No entanto, investigadores de blockchain ofereceram uma imagem mais preocupante. O analista on-chain ZachXBT acusou o eXch de lavar US$ 35 milhões do hack da Bybit. Em contraste, outros como SlowMist e Nick Bax, da Security Alliance, estimaram que a exchange processou US$ 30 milhões em volume de lavagem. Os ativos da Bybit caíram mais de US$ 5,3 bilhões após o roubo, incluindo US$ 1,4 bilhão em Ethereum.

Mesmo com as evidências aumentando, o eXch continuou a obstruir. Ele resistiu ao pedido da Bybit para congelar os ativos roubados restantes, chegando a enviar e-mails expressando frustração com supostos insultos em interações anteriores.

A situação ficou mais obscura no final de abril, quando o eXch suspendeu abruptamente as operações em 27 de abril, citando “ações não especificadas de aplicação da lei”. Horas depois, o aviso de suspensão desapareceu e a exchange retomou as operações. Em 28 de abril, anunciou uma transição de liderança. Uma nova equipe assumirá a infraestrutura a partir de 1º de maio, enquanto a equipe original permanecerá como consultora.

Uma recomendação da liderança cessante foi implementar liquidity pools dedicados para mascarar as conexões com as operações passadas. Se esta é uma tentativa sincera de reforma ou meramente um esforço cosmético de rebranding ainda não está claro. No entanto, o acesso API restante sugere que os atores de ameaças podem continuar usando as ferramentas de anonimato do eXch, minando sua alegação pública de que não está disposto a lavar recursos criminosos.

O caso do eXch levanta sérias questões sobre a regulamentação e supervisão das exchanges de criptomoedas e a necessidade de medidas mais rigorosas para combater a lavagem de dinheiro no espaço das criptomoedas. A capacidade contínua do eXch de facilitar a movimentação de fundos ilícitos, mesmo após o seu alegado encerramento, destaca os desafios inerentes à aplicação da lei e à manutenção da integridade financeira neste setor em rápida evolução. A disseminação de notícias falsas sobre figuras públicas, como a mencionada aqui sobre robôs no WhatsApp disseminando desinformação sobre Gleisi Hoffmann, é um exemplo de como a tecnologia pode ser usada para fins nefastos.

Além disso, a recusa do eXch em cooperar com os pedidos de congelamento de fundos e a sua alegada ligação ao grupo Lazarus, bem como a atores ligados ao CSAM, levantam sérias preocupações sobre o compromisso da plataforma com a responsabilidade e a segurança. À medida que o setor de criptomoedas continua a crescer e a amadurecer, é essencial que as exchanges priorizem a conformidade regulamentar e tomem medidas proativas para evitar a lavagem de dinheiro e outras atividades ilícitas. O uso de eXch lavando fundos demonstra uma necessidade urgente de maior escrutínio e supervisão para proteger os investidores e manter a integridade do ecossistema de criptomoedas.

Primeira: Este conteúdo foi auxiliado por Inteligência Artificiado, mas escrito e revisado por um humano.

Segunda: Via Cryptonews

André Luiz

André atua como jornalista de tecnologia desde 2009 quando fundou o Tekimobile. Também trabalhou na implantação do portal Tudocelular.com no Brasil e já escreveu para outros portais como AndroidPIT e Techtudo. É formado em eletrônica e automação, trabalhando com tecnologia há 26 anos.