Operation Atlantic: How Coinbase, the Secret Service, and the NCA Froze $12M in Stolen Crypto in One Week

Em janeiro de 2026 apenas, ataques de phishing drenaram mais de $311 milhões de usuários de criptomoedas. No momento em que a maioria das vítimas percebeu que suas carteiras foram comprometidas, os fundos já estavam em cascata através de mixers e pontes entre cadeias. Por anos, as agências de segurança jogavam catch-up — investigando crimes meses depois de ocorrerem, recuperando centavos no dólar.

Então veio a Operação Atlantic.

Lançada em 16 de março de 2026, a partir da sede da Agência Nacional de Crime do Reino Unido em Londres, a Operação Atlantic reuniu o Secret Service dos EUA, agências de segurança canadenses, firmas de análise blockchain Chainalysis e TRM Labs, e as exchanges de criptomoedas Coinbase e Kraken em um sprint sem precedentes de uma semana. O resultado: $12 milhões congelados, $45 milhões em fraude mapeados, 20.000 carteiras de vítimas identificadas em 30 países, e mais de 120 domínios de fraude interrompidos — tudo dentro de sete dias.

Esta não foi uma investigação típica. Foi uma prova de conceito de que parcerias público-privadas podem mudar a segurança criptográfica de forense reativa para intervenção em tempo real.

O que é Approval Phishing — e Por Que É Tão Perigoso?

Diferentemente do phishing tradicional que rouba credenciais de login, o approval phishing explora a arquitetura de permissão construída nos próprios smart contracts. As vítimas são atraídas pelo que parecem ser oportunidades de investimento legítimas, mints de NFT ou plataformas de yield em DeFi. Eles assinam uma transação que parece rotineira, mas na verdade concede permissão de gasto ilimitado ao atacante sobre os tokens da sua carteira.

O atacante não precisa da sua chave privada. Ele já tem sua permissão.

O que torna o approval phishing particularmente insidioso é o atraso temporal. Os atacantes geralmente esperam dias ou semanas antes de drenar carteiras, tornando quase impossível para as vítimas conectar a aprovação maliciosa ao roubo. No momento em que os fundos desaparecem, as vítimas podem ter assinado dezenas de transações legítimas, enterrando a aprovação fraudulenta profundamente no histórico de transações.

De acordo com o Relatório de Crime Cripto 2026 da Chainalysis, o approval phishing e o abuso de autorização permanecem os vetores de ataque dominantes no ecossistema cripto. A técnica escala eficientemente: uma única campanha de phishing pode gerar milhares de aprovações maliciosas, e os atacantes podem drenar carteiras no seu próprio cronograma.

Dentro da Operação Atlantic: Um Sprint de Uma Semana

A Operação Atlantic não foi meses de investigação lenta. Foi projetada como um sprint operacional concentrado, reunindo agências e parceiros do setor privado fisicamente na sede da NCA em Londres.

Os participantes incluíram:

• Agências de segurança: Secret Service dos EUA, Agência Nacional de Crime do Reino Unido (NCA), autoridades canadenses
• Análise blockchain: Chainalysis e TRM Labs forneceram rastreamento de transações e clustering de carteiras
• Exchanges de criptomoedas: O time de Global Intelligence da Coinbase e Kraken contribuíram com dados de exchange, identificação de carteiras e capacidades de congelamento de fundos

A operação funcionou em três fases:

Fase 1 — Identificação. Usando análise blockchain, investigadores mapearam padrões de transação de approval phishing em múltiplas cadeias. Eles identificaram mais de 20.000 endereços de carteira vinculados a vítimas de fraude em mais de 30 países.

Fase 2 — Intervenção. Em vez de construir casos para futuras prosecuções, o time priorizou proteção de vítimas em tempo real. Mais de 3.000 indivíduos identificados como em risco ativo foram contatados diretamente — alertados de que suas carteiras foram comprometidas e orientados sobre como revogar aprovações maliciosas antes que os atacantes pudessem drenar os fundos restantes.

Fase 3 — Congelamento. Trabalhando com exchanges e emissores de stablecoin, $12 milhões em fundos roubados foram congelados nos pontos de saída onde os atacantes tentaram sacar. Um adicional de $33 milhões em fluxos fraudulentos foram mapeados e sinalizados para investigação contínua. Mais de 120 domínios web usados por golpistas foram identificados e interrompidos.

A Mudança de Paradigma: De Pós-Hack para Pré-Drenagem

A linha do tempo tradicional de investigação de crime cripto se parece com isto: um hack ocorre, as vítimas relatam perdas semanas depois, investigadores gastam meses rastreando fundos, e no momento em que os ativos são congelados — se é que são — a maioria foi lavada através de mixers, pontes e exchanges offshore.

A Operação Atlantic comprimiu essa linha do tempo de meses para dias. A inovação crítica não foi qualquer tecnologia única, mas o próprio modelo operacional: co-localizar analistas de segurança e do setor privado na mesma sala, com acesso em tempo real a dados de blockchain e sistemas de exchange.

Isto importa porque transações blockchain são irreversíveis, mas não são instantâneas na camada de saque. Os atacantes ainda precisam converter criptomoeda roubada para moeda fiduciária através de exchanges, mesas OTC ou resgates de stablecoin. Esse ponto de saída é onde a intervenção é possível — mas apenas se os investigadores puderem rastrear e congelar fundos mais rápido do que os atacantes podem movê-los.

O histórico da Coinbase demonstra o potencial. Antes da Operação Atlantic, o time de Global Intelligence da Coinbase já tinha ajudado o Secret Service a apreender $225 milhões em USDT de fraudes de pig-butchering, apoiado a recuperação de $28,6 milhões de uma campanha de phishing visando mais de 1.000 usuários, e auxiliado no desmantelamento de um anel de crime violento com $3,5 milhões em fundos roubados rastreados.

A Escala do Problema: Por Que Isto Importa Agora

O congelamento de $12 milhões da Operação Atlantic é significativo não por seu tamanho — é uma fração do crime cripto total — mas pelo que prova sobre a velocidade operacional. A urgência é impulsionada pela escala absoluta do problema:

• $154 bilhões em fluxos de criptomoedas ilícitas foram registrados em 2025, um aumento de 162% ano-a-ano de acordo com a Chainalysis
• $17 bilhões foram roubados globalmente através de fraudes e golpes cripto em 2025
• $2 bilhões foram roubados por hackers ligados à RPDC apenas em 2025
• Golpes habilitados por IA são 4,5 vezes mais lucrativos do que golpes tradicionais, com golpes de representação aumentando mais de 1.400% em 2025

A industrialização do crime cripto está acelerando. Plataformas phishing-as-a-service permitem que atacantes com pouca habilidade implementem campanhas sofisticadas de approval phishing. Deepfakes gerados por IA permitem uma representação convincente de agentes de suporte de exchange, fundadores de projetos e até officials do governo. E conforme o total value locked em DeFi cresce, a superfície de ataque se expande.

Diante deste pano de fundo, a questão não é se parcerias público-privadas funcionam — a Operação Atlantic respondeu isso. A questão é se elas podem escalar.

O Modelo Pode Escalar? Desafios Adiante

A Operação Atlantic foi um sucesso, mas também foi uma exceção. Um sprint de uma semana na sede da NCA com times dedicados de múltiplas agências e empresas é caro e difícil de replicar continuamente. Vários desafios estruturais permanecem:

Fragmentação jurisdicional. Crime cripto é inerentemente transfronteiriço, mas os frameworks legais para congelar ativos, compartilhar inteligência e processar ofensores variam dramaticamente por país. A Operação Atlantic conseguiu sucesso em parte porque se focou em nações aliadas (EUA, Reino Unido, Canadá) com sistemas legais compatíveis. Estender isto a jurisdições menos cooperativas com agências de segurança ocidentais é muito mais difícil.

Velocidade vs. privacidade. Intervenção em tempo real requer vigilância em tempo real de transações blockchain e contas de exchange. Isto cria tensão com defensores de privacidade que argumentam que as mesmas capacidades usadas para proteger vítimas podem ser usadas para vigilância financeira em massa. A prosecução do Tornado Cash demonstrou quão fina pode ser a linha entre cumprimento anti-lavagem de dinheiro e criminalização de ferramentas de privacidade.

Risco de centralização. As capacidades de inteligência da Coinbase criam um fosso competitivo — clientes institucionais confiam na exchange que ativamente recupera fundos roubados. Mas críticos observam que concentrar capacidades de vigilância em uma empresa privada levanta questões sobre quem vigia os vigilantes. Se a Coinbase pode rastrear e congelar fundos, o que impede que essas capacidades sejam mal usadas?

Adaptação do atacante. Atacantes sofisticados já estão se movendo em direção a cadeias de privacidade, pontes entre cadeias e exchanges descentralizadas que não têm um time de conformidade para chamar. A Operação Atlantic principalmente congelou fundos nos pontos de saída centralizados. Conforme a infraestrutura DeFi amadurece e atacantes encontram mais saídas descentralizadas, a janela de intervenção se estreita.

A Corrida Armamentista de Forense Blockchain

A Operação Atlantic não aconteceu isoladamente. Ela se situa dentro de um ecossistema de forense blockchain em rápido crescimento:

• Chainalysis recebeu mais de $130 milhões em contratos governamentais acumulados e recentemente lançou Agentes de Blockchain Intelligence habilitados por IA treinados em mais de 10 milhões de casos
• TRM Labs implementou seu Co-Case Agent para investigação blockchain em linguagem natural e apoiou diretamente o trabalho analítico da Operação Atlantic
• Coinbase recentemente fez parceria com a Microsoft para desmantelar Tycoon 2FA, uma plataforma phishing-as-a-service alimentando roubo de credenciais em escala global

A convergência de IA e análise blockchain está acelerando as capacidades de detecção. Mas as mesmas ferramentas de IA que ajudam investigadores também estão disponíveis para atacantes. A questão sobre se a defesa pode acompanhar a ofensiva permanece aberta.

O que é claro é que o modelo antigo — esperar por um hack, investigar por meses, recuperar quase nada — é obsoleto. A Operação Atlantic mostrou que com o modelo operacional correto, a intervenção pode acontecer em dias em vez de meses. O desafio agora é tornar isso a norma em vez da exceção.

O Que Os Usuários Podem Fazer Hoje

Enquanto operações em nível institucional como Atlantic protegem vítimas em escala, usuários individuais podem tomar medidas imediatas para se proteger:

1. Audite suas aprovações de token regularmente. Ferramentas como Revoke.cash e Token Approval Checker do Etherscan permitem que você veja e revogue qualquer aprovação ativa na sua carteira.
2. Seja cético com qualquer transação que você for pedido a assinar. Plataformas legítimas raramente requerem aprovações de token ilimitadas. Se um dApp solicita aprovação para mais tokens do que sua transação requer, esse é um sinal de alerta.
3. Use carteiras de hardware para holdings significativos. Mesmo se você assinar uma aprovação maliciosa, ter ativos em uma carteira de hardware separada limita a exposição.
4. Monitore a atividade da sua carteira. Configure alertas através de serviços que o notifiquem de transações de saída, para que você possa responder rapidamente se um atacante ativa uma aprovação adormecida.

Olhando para o Futuro: O Futuro da Segurança Cripto

A Operação Atlantic representa um ponto de virada em como a indústria cripto aborda segurança. A mudança de investigação reativa para intervenção proativa espelha o que aconteceu em crime financeiro tradicional nos últimos dois decênios — de forense pós-violação para sistemas de detecção de fraude em tempo real que sinalizam transações suspeitas antes de serem liquidadas.

Para cripto, esta evolução é atrasada. A tecnologia para rastrear transações blockchain existe há anos. O que tem faltado é o framework operacional para agir nessa inteligência rápido o suficiente para importar. A Operação Atlantic provou que esse framework pode funcionar. Agora a indústria — exchanges, firmas de análise, reguladores e agências de segurança — deve decidir se vai investir em torná-lo permanente.

Os $12 milhões congelados em uma única semana é um número pequeno relativo aos $154 bilhões em fluxos ilícitos anuais. Mas as 20.000 vítimas identificadas e as 3.000 pessoas alertadas antes de seus fundos poderem ser drenados representam algo mais valioso do que qualquer número em dólares: prova de que o ecossistema cripto pode proteger seus usuários, não apenas após o fato, mas em tempo real.

BlockEden.xyz fornece infraestrutura de API blockchain e nós de grau empresarial para desenvolvedores construindo aplicações Web3 seguras e transparentes. Conforme forense blockchain e segurança on-chain se tornam infraestrutura crítica, acesso a nós confiáveis e dados em tempo real formam a fundação que torna operações como Atlantic possíveis. Explore nosso marketplace de API para construir em infraestrutura projetada para a próxima era de segurança blockchain.