Un bărbat din Puerto Rico a dat Coinbase în judecată. Susține că bursa refuză să îi returneze criptomonedele pe care echipele lui de investigație le-au urmărit până în conturile platformei, după un atac de phishing care l-a costat zeci de milioane de dolari în august 2024.
Procesul, depus luni la o curte din California, atacă o zonă gri pe care industria cripto a evitat-o sistematic. Cine decide cui aparțin fondurile furate odată ce ele ajung pe un exchange reglementat și ce mai poate face victima atunci când probele sunt clare, dar bursa cere o hârtie de la judecător?
Reclamantul este identificat în documente doar prin inițialele „D.B.”, iar suma exactă apare redactată. Detaliile temporale și mecanica atacului seamănă însă izbitor cu un incident din 20 august 2024, când un investitor cu poziții mari în DeFi a pierdut peste 55 de milioane de dolari în stablecoin DAI după ce a semnat o tranzacție malițioasă.
Coincidențele sunt greu de ignorat. Tipul de malware identificat de cercetători, instrumentul pe care escrocii l-au clonat, drumul fondurilor prin mixere și depozitul final pe Coinbase, toate aceste detalii se potrivesc cu un caz pe care comunitatea cripto îl reconstruiește public de aproape doi ani.
O victimă, o capcană digitală și un singur clic
Atacul a început așa cum încep majoritatea fraudelor moderne din DeFi. Cu un link care părea să ducă spre un site cunoscut. Conform plângerii, victima a accesat o copie a platformei DefiSaver, un instrument popular folosit pentru gestionarea pozițiilor de împrumut și colateralizare pe Ethereum. Site-ul fals reproducea fidel originalul, de la culorile interfeței până la modul de interacțiune. O reproducere atât de îngrijită încât să treacă fără frecare prin verificarea vizuală pe care o face automat un utilizator obișnuit.
Conectarea portofelului a deschis cutia Pandorei. Atacatorii au cerut o semnătură care arăta ca o aprobare normală. Diferența nu se vedea cu ochiul liber. Tranzacția semnată nu autoriza o operațiune obișnuită, ci dădea control complet asupra smart contract-urilor victimei. Practic, omul a oferit cheile întregii sale colecții digitale, convins că deschide o singură ușă.
De ce permisiunile smart contract pot deveni capcane?
Pe Ethereum și pe blockchain-urile compatibile, utilizatorul poate da altor adrese, inclusiv unor contracte automatizate, dreptul de a muta active din portofel. Pentru cineva care interacționează zilnic cu Aave, Uniswap sau Compound, mecanismul e o necesitate, nu un risc. Aprobările corecte taie din timpul tranzacțiilor și ușurează costurile de gas.
Riscul apare atunci când aprobarea nu are limită. O permisiune nelimitată acordă contractului acces la întreg balansul portofelului pentru un anumit token, pe termen nedeterminat. Portofelele moderne afișează aceste informații, dar le ascund adesea într-o secțiune avansată pe care utilizatorul grăbit nu o deschide. Atacatorii speculează acest reflex prin presiune temporală și interfețe care imită urgența.
În cazul descris în plângere, semnătura aprobată a fost una totală. Atacatorii nu au mai avut nevoie de un al doilea pas. Au mutat fondurile imediat.
Anatomia atacului, reconstituită de cercetători independenți
Comunitatea de securitate cripto reacționează rapid la astfel de incidente. La câteva ore după mișcarea fondurilor, Scam Sniffer, un serviciu specializat în detectarea fraudelor Web3, a publicat un thread care detalia mecanica atacului, semnalând o pierdere de 55,43 milioane de dolari în DAI după o tranzacție de phishing care viza componenta Proxy a DefiSaver.
Firma de securitate Halborn a publicat ulterior o analiză tehnică detaliată în care explica cum proxy-ul a fost manipulat prin substituirea adresei de implementare. Manevra face dificilă reversia tranzacției chiar și atunci când victima realizează rapid eroarea. Cercetătorii de la Halborn au notat că semnatarul a acționat „neglijent”, o caracterizare aspră în lumina sumelor implicate, dar care reflectă realitatea ireversibilă a blockchain-ului. Odată confirmată o tranzacție, retragerea ei nu mai e o opțiune tehnică decât în cazuri rare, prin reorganizări coordonate ale rețelei. Aici nu s-a întâmplat așa ceva.
Un alt cercetător proeminent, fondatorul SlowMist, a indicat folosirea unui malware specializat numit Inferno Drainer, un instrument apărut în mai multe atacuri din ultimele luni pentru golirea sistematică a portofelelor compromise. Inferno Drainer funcționează ca un serviciu cu abonament. Operatorii principali oferă infrastructura, afiliații își aduc victimele și fiecare parte primește o cotă din sumele furate.
De ce confunzi atât de ușor o pagină reală cu una clonată?
Spațiul DeFi suferă de o problemă structurală în privința identității vizuale. Spre deosebire de aplicațiile bancare, care funcționează prin canale închise, protocoalele descentralizate sunt accesate prin browser și prin extensii ale portofelelor.
Un domeniu care diferă de original printr-o singură literă, sau care folosește un caracter Unicode aproape identic cu unul latin, poate trece testul vizual fără să dea de bănuit. Atacatorii cumpără reclame plătite pe Google, urcându-și site-urile clonate deasupra rezultatelor organice. Pentru un utilizator care intră zilnic pe aceeași pagină, lucrul ăsta nu mai e un filtru, e o capcană.
Drumul fondurilor furate, de la portofel la mixere și înapoi pe un exchange reglementat
Odată preluate, fondurile au mers pe un traseu devenit deja clasic în spălarea criptomonedelor. Sume mari de DAI au fost convertite în ether, mișcare confirmată de urmăritorii on-chain de la Lookonchain prin trasarea adreselor implicate. Conversia într-o monedă cu lichiditate mai mare facilita pașii următori. O vânzare directă a 55 de milioane de DAI ar fi atras imediat atenția protocolului care menține peg-ul stablecoin-ului.
Au urmat trecerile prin Tornado Cash, un mixer descentralizat care amestecă depozitele mai multor utilizatori într-un cazan comun și permite retrageri către adrese noi, fără legătură vizibilă cu intrările. Tornado Cash a fost sancționat de Trezoreria Statelor Unite în 2022, ceea ce l-a transformat într-un instrument toxic pentru orice exchange centralizat care își păzește licențele. Reglementatorii internaționali estimează că serviciul a fost folosit pentru spălarea unor sume care depășesc miliarde de dolari, inclusiv fonduri legate de grupul Lazarus din Coreea de Nord.
A urmat „peeling chain”, o tehnică prin care atacatorii mută sume mici, succesiv, prin lanțuri lungi de portofele intermediare. Scopul e să tocească algoritmii de tracing, să creeze atâtea ramuri în arborele tranzacțional încât urmărirea să devină prohibitivă pentru cineva care lucrează manual. Tehnica nu rezistă însă în fața firmelor specializate, care folosesc clusterizare comportamentală și amprente temporale pentru a identifica adresele controlate de același actor.
În cele din urmă, o parte din fonduri a aterizat pe Coinbase. Aici povestea își schimbă registrul. Bursa, care operează sub jurisdicție americană și are obligații stricte de raportare conform Bank Secrecy Act, a primit fonduri pe care o anchetă privată le marca drept furt.
Cum a ajuns Coinbase să blocheze conturile și unde s-a rupt comunicarea?
Plângerea descrie efortul reclamantului de a recupera fondurile prin canale private, înainte de a apela la justiție. Două firme de cercetare blockchain, Zero Shadow și Five Stones, au reconstruit traseul fondurilor prin Tornado Cash și prin lanțul de portofele intermediare, ajungând până la adresele de depozit folosite pe Coinbase. Au prezentat dovezile bursei și au cerut înghețarea conturilor.
Coinbase a acționat. A blocat fondurile dintr-un cont retail asociat depozitelor identificate. Această parte a procesului e considerată chiar de plângere drept rezonabilă. Disputa începe după.
Conform documentelor depuse, Coinbase a refuzat să returneze fondurile fără un ordin judecătoresc. Reclamantul susține că a oferit dovezi sub jurământ ale calității sale de proprietar legitim și că a depus toată documentația care lega portofelul său inițial de atac, de mișcările de spălare și de depozitele identificate. Răspunsul bursei nu s-a schimbat. Fără ordin de la judecător, fondurile rămân blocate pe contul administrat de Coinbase.
Plângerea formulează poziția într-un limbaj juridic precis. Reclamantul recunoaște că înghețarea inițială a fost o decizie corectă, dar susține că „refuzul de a returna fondurile blocate către reclamant a devenit nerezonabil în momentul în care reclamantul a oferit dovezi sub jurământ că este proprietarul de drept iar Coinbase a refuzat să acționeze”. Așa apare întrebarea esențială a procesului. Ce probe sunt suficiente pentru ca un exchange să restituie active urmărite și dovedite ca fiind furate, fără a aștepta o procedură judiciară completă?
Argumentul Coinbase și logica unei platforme custodiale
Bursa nu a comentat public asupra cazului la momentul depunerii plângerii. Logica internă a unei astfel de poziții este însă cunoscută celor familiarizați cu departamentele juridice ale exchange-urilor cripto.
Un exchange care returnează fonduri pe baza unor declarații sub jurământ ale unor terți se expune la cereri identice formulate de actori care prezintă documente fabricate. Cazurile reale de hack se amestecă cu tentative de fraudă inversă, prin care un atacator pretinde a fi victimă pentru a deturna fonduri care nu îi aparțin.
Pe lângă asta, returnarea fondurilor fără ordin judecătoresc poate genera responsabilități legale ale exchange-ului față de terți care s-ar putea considera îndreptățiți la aceleași active. În jurisdicții complexe, mai multe persoane pot revendica simultan aceleași fonduri. Un exchange care decide singur cui aparțin se așază pe terenul instabil al unei decizii judiciare luate fără autoritate. Văzută din această perspectivă, cererea unui ordin judecătoresc nu e obstrucționism, e prudență instituțională.
Plângerea contestă cadrul. Susține că, atunci când dovezile sunt clare iar reclamantul oferă declarații sub jurământ, refuzul devine o formă de îmbogățire nejustificată. Coinbase ar putea genera randamente din custodia fondurilor blocate, prin staking sau prin alte mecanisme aplicate asupra activelor sale. Plângerea cere restituirea oricăror profituri obținute astfel.
Cele cinci capete de acuzare împotriva Coinbase
Documentul depus la curtea din California cuprinde cinci capete de acuzare împotriva exchange-ului. Pe lângă îmbogățirea fără justă cauză, plângerea solicită un ordin declarativ prin care reclamantul să fie recunoscut ca proprietar legitim al fondurilor. Mai cere un ordin care să oblige Coinbase la returnarea criptomonedelor și impunerea unui constructive trust asupra activelor.
Constructive trust este un concept juridic anglo-saxon care permite instanței să trateze fondurile ca fiind deținute de Coinbase „în trust” pentru reclamant, deși tehnic ele se află în custodia bursei. Construcția separă custodia legală de proprietatea echitabilă. Practic, deschide calea pentru forțarea returnării prin presiune juridică, fără să mai fie nevoie de un proces clasic de proprietate.
De ce procesul nu e penal?
Distincția pe care o face plângerea contează. Coinbase nu este acuzată de furtul fondurilor, lucru care ar transforma cazul într-un proces penal. Acuzația principală e civilă, iar formularea îmbogățire fără justă cauză sugerează că bursa nu a inițiat infracțiunea, dar profită indirect de pe urma ei prin reținerea activelor. Această distincție permite reclamantului să acționeze rapid, fără să aștepte concluziile unei investigații penale care, în cazuri internaționale precum acesta, durează ani buni.
Identificarea unui suspect și acuzația separată împotriva lui John Doe
Pe lângă acțiunea împotriva Coinbase, plângerea include o serie de acuzații împotriva unui inculpat numit John Doe, o convenție folosită în sistemul juridic american pentru părți încă neidentificate. Acest John Doe se confruntă cu șapte capete de acuzare. Printre ele apar fraudă, furt și racketeering.
Reclamantul susține că ancheta privată a identificat cel puțin un suspect concret, un cetățean ucrainean numit Oleksiy Oleksandrovych Goreliikhin, care ar fi avut un rol semnificativ în spălarea fondurilor. Identificarea unui nume specific într-un context internațional ridică complicații serioase.
Extrădarea este greu de obținut, asistența juridică reciprocă cu Ucraina e îngreunată de starea de război, iar colaborarea autorităților locale rămâne dependentă de priorități pe care invazia rusă le-a redefinit complet. Plângerea civilă oferă reclamantului un instrument paralel celui penal, cu praguri probatorii mai joase și cu posibilitatea unor sentințe pecuniare chiar și în absența procesului penal.
Cifrele din 2024 și contextul mai larg al pierderilor cripto
Suma pierdută în atacul din august 2024 nu e o anomalie izolată, ci se înscrie într-o tendință care a marcat anul. Datele agregate ale incidentelor cripto din 2024 indică pierderi de peste un miliard de dolari în peste 60 de incidente majore. Cifra reflectă atât atacuri asupra protocoalelor, cât și incidente individuale precum cel descris în plângere.
Phishing-ul vizat asupra investitorilor cu poziții mari, cunoscut în industrie ca whale phishing, este o categorie distinctă în taxonomia atacurilor. Atacatorii care vânează portofele cu zeci sau sute de milioane investesc resurse semnificative în pregătire. Identificarea țintei se face prin analiza on-chain a pozițiilor mari pe protocoale DeFi, prin monitorizarea fluxurilor de stablecoin și prin urmărirea adreselor asociate public cu persoane influente din spațiu.
Pregătirea efectivă durează săptămâni. Atacatorii își construiesc infrastructura cu răbdare. Clonează site-urile țintă, cumpără reclame care urcă paginile false deasupra rezultatelor organice pe motoarele de căutare, plantează mesaje în grupurile de social media frecventate de investitori cu poziții mari și deschid conversații aparent legitime prin Telegram sau Discord. Toată această coregrafie se așază pas cu pas către un singur moment, acela în care victima este împinsă să semneze o tranzacție într-un context familiar.
Ce semnale ar fi putut alerta victima?
Analiștii care au studiat tranzacția semnată de victimă au observat că aceasta a încercat să o reverseze imediat după ce și-a dat seama de greșeală. Manevra presupune plata unui volum mare de gas pentru a împinge o tranzacție concurentă în același bloc, cu speranța că minerul sau validatorul va prefera tranzacția nouă. Funcționează rareori în condițiile actuale ale rețelei Ethereum, mai ales când atacatorii folosesc relayer-i privați și conexiuni directe la pool-urile de tranzacții.
Semnalul de alarmă ar fi trebuit să se aprindă înainte de semnătură, nu după. Portofelele moderne afișează detaliile aprobărilor, inclusiv tipul permisiunii și suma afectată. Un utilizator antrenat poate identifica diferența dintre o aprobare specifică și una globală.
Pentru investitorii cu poziții mari, regula minimă presupune folosirea unor portofele hardware separate pentru fiecare protocol important. La asta se adaugă revocarea periodică a permisiunilor, posibilă prin instrumente precum Revoke.cash. Practicile astea nu elimină riscul, dar îl mută din zona existențială într-una localizată.
Ce înseamnă cazul pentru piața crypto și pentru utilizatorii obișnuiți?
Procesul deschis împotriva Coinbase contează dincolo de soarta individuală a reclamantului. Industria cripto se mișcă într-o zonă tot mai îngustă între promisiunea libertății financiare și realitatea unei economii reglementate care interacționează zilnic cu sistemul tradițional. Exchange-urile centralizate stau exact pe linia asta de tranziție, acolo unde fondurile devin urmăribile, identificabile și recuperabile, cel puțin teoretic.
O hotărâre favorabilă reclamantului ar deschide un precedent. Burse precum Coinbase ar trebui să adopte protocoale interne mai rapide pentru returnarea fondurilor către victime cu probe documentate, fără să mai aștepte luni de zile pentru ordine judecătorești. Schimbarea ar reduce frecarea pentru victime, dar ar expune exchange-urile la riscuri legale suplimentare, mai ales în cazurile în care dovezile prezentate se dovedesc ulterior contestate.
O hotărâre favorabilă Coinbase ar consolida poziția conform căreia un exchange nu este o autoritate cvasi-judecătorească, ci un custode ale cărui responsabilități se opresc la cooperarea cu instanțele formale. Ar lăsa victimele dependente, în continuare, de procese costisitoare, lungi și uneori imposibil de finalizat în absența cooperării internaționale.
Ce ar trebui să schimbe investitorii individuali?
Pentru utilizatorul mediu, lecția nu se reduce la prudența în semnarea tranzacțiilor, deși aici este punctul de plecare. Conțează și înțelegerea limitelor mecanismelor de recuperare. O criptomonedă furată nu se comportă precum o sumă pierdută într-o tranzacție bancară frauduloasă, unde banca poate inversa transferul cu un clic. Pe blockchain, tranzacția e finală.
Recuperarea presupune fie cooperarea voluntară a destinatarului, fie un ordin judecătoresc, fie negocierea cu atacatorul prin canale care, formal, nu există.
Câteva practici taie din risc fără să-l elimine. Portofelele hardware separate, câte unul pentru fiecare protocol important, izolează compromisurile atunci când apar. Permisiunile smart contract setate atent, fără sume nelimitate când nu este necesar, restrâng pierderea în caz de eroare.
Reclamele plătite din motoarele de căutare rămân unul dintre vectorii preferați de phishing, iar evitarea lor în accesarea protocoalelor cunoscute scoate o sursă semnificativă de risc. La toate astea se adaugă revocarea periodică a aprobărilor vechi, care micșorează fereastra în care un compromis nedescoperit mai poate fi exploatat. Niciuna dintre aceste practici nu funcționează singură. Securitatea în spațiul cripto rămâne un strat peste alt strat, în care fiecare reduce, fără să elimine complet, suprafața de atac.
Ce urmează în calendarul juridic și ce întrebări rămân deschise?
Procesul depus la începutul lunii mai 2026 va parcurge etapele standard ale procedurii civile americane. Coinbase va depune un răspuns formal, urmat de faza descoperirii probelor, depoziții și, eventual, o hotărâre sumară solicitată de oricare dintre părți. Cazurile civile care implică active digitale au tendința de a se prelungi din cauza complexității tehnice a probelor și a nevoii de experți care să explice judecătorilor mecanica blockchain-ului.
Decizia care va fi pronunțată în acest dosar ar putea forma jurisprudența anilor următori în Statele Unite și ar putea influența direct modul în care alte exchange-uri reglementate, precum Kraken, Gemini, Binance.US sau Bitstamp, gestionează cereri similare. Industria observă atent. Firme de avocatură specializate în litigii cripto au început să vadă în acest caz un test al limitelor responsabilității custodiale.
Întrebările deschise rămân multiple. Va accepta instanța argumentul îmbogățirii fără justă cauză împotriva unui exchange care a acționat conform protocolului propriu? Va recunoaște dreptul victimei de a recupera fondurile fără un ordin de înghețare emis de o autoritate publică?
Va deschide acest caz drumul către un model nou de cooperare obligatorie între exchange-uri și victimele atacurilor de phishing, sau va consolida modelul actual care lasă povara probei și a procedurii pe umerii celor păgubiți?
Răspunsurile vor veni odată cu desfășurarea procesului. Cazul D.B. împotriva Coinbase devine între timp un punct de referință în discuția despre cât de departe trebuie să meargă un exchange atunci când o victimă vine cu probe pe masă, dar fără hârtie de la judecător.
Intrebari Frecvente(FAQ)
Procesul a fost depus de un rezident al Puerto Rico, identificat în documente doar prin inițialele „D.B.” pentru protejarea identității. Acesta acuză exchange-ul Coinbase că reține pe nedrept criptomonede pe care echipele sale de investigație le-au urmărit până în conturile platformei după un atac de phishing din august 2024.
Suma exactă apare redactată din plângere, însă detaliile cazului se potrivesc cu un incident bine documentat din 20 august 2024, în care un investitor a pierdut 55,43 milioane de dolari în stablecoin DAI. Cercetătorii independenți care au reconstruit cazul public au confirmat această valoare.
Victima a accesat un site clonat al platformei DefiSaver, un instrument popular folosit pentru gestionarea pozițiilor de împrumut și colateralizare pe Ethereum. Prin semnarea unei tranzacții care părea o aprobare normală, a oferit atacatorilor control complet asupra smart contract-urilor sale. Cercetătorii de securitate au identificat malware-ul folosit ca fiind Inferno Drainer.
Coinbase a înghețat fondurile la cererea echipelor de investigație Zero Shadow și Five Stones, dar refuză restituirea fără un ordin judecătoresc. Bursa argumentează implicit că deciziile asupra proprietății activelor disputate revin instanțelor, nu platformelor. Plângerea contestă această poziție și susține că dovezile sub jurământ ar fi trebuit să fie suficiente.
Plângerea formulează cinci capete de acuzare împotriva Coinbase, principalul dintre ele fiind îmbogățirea fără justă cauză. Cere și un ordin de restituire a fondurilor, recunoașterea reclamantului ca proprietar legitim și impunerea unui constructive trust asupra activelor. Atacatorul, denumit John Doe în acțiune, se confruntă cu șapte capete de acuzare separate, inclusiv fraudă, furt și racketeering.
Reclamantul susține că ancheta privată a identificat un suspect concret, un cetățean ucrainean numit Oleksiy Oleksandrovych Goreliikhin, care ar fi avut un rol important în spălarea fondurilor. Identificarea unei persoane reale într-un context internațional ridică însă obstacole majore privind extrădarea și asistența juridică reciprocă.
Inferno Drainer este un malware specializat în golirea sistematică a portofelelor cripto compromise prin permisiuni smart contract. Funcționează ca un serviciu cu abonament, în care dezvoltatorii principali oferă infrastructura, iar afiliații aduc victimele și împart sumele furate. A fost legat de mai multe incidente majore de phishing cripto din 2024.
Decizia instanței poate stabili un precedent privind responsabilitatea exchange-urilor centralizate față de victimele atacurilor de phishing. O hotărâre favorabilă reclamantului ar putea forța bursele să adopte protocoale interne mai rapide pentru returnarea fondurilor urmărite și dovedite ca furate. O hotărâre favorabilă Coinbase ar consolida poziția conform căreia exchange-urile rămân custozi care răspund doar la ordine judecătorești formale.
Constructive trust este un concept juridic anglo-saxon care permite instanței să trateze fondurile ca fiind deținute de o parte „în trust” pentru o altă parte, deși tehnic se află în custodia primei. În cazul de față, plângerea cere ca instanța să declare că Coinbase ține fondurile în trust pentru reclamant, ceea ce ar deschide calea pentru forțarea returnării prin presiune juridică, fără un proces clasic de proprietate.
Câteva practici reduc semnificativ riscul. Folosirea unor portofele hardware separate pentru fiecare protocol izolează compromisurile. Configurarea atentă a permisiunilor smart contract, fără aprobări nelimitate, restrânge pierderea în caz de eroare. Evitarea reclamelor plătite în accesarea protocoalelor cunoscute reduce expunerea la site-uri clonate. Iar revocarea periodică a aprobărilor cu instrumente precum Revoke.cash micșorează fereastra în care un compromis nedescoperit poate fi exploatat.
