De Onde Vem o Dinheiro? Desvendando a Busca por Carteiras de Criptomoedas
Este artigo explora as técnicas e ferramentas utilizadas para rastrear e identificar endereços de carteiras de criptomoedas. Abordamos desde a estrutura dos endereços em diferentes blockchains até métodos de parsing, coleta de dados e exemplos práticos de investigações.
MundiX News·06 de junho de 2026·7 min de leitura·👁 12 views
No universo da cibersegurança e OSINT (Open Source Intelligence), a análise de criptomoedas é uma ferramenta cada vez mais essencial. Compreender quem está por trás de determinados endereços, para onde os fundos estão sendo direcionados e como rastrear atividades é fundamental para investigações e para garantir a conformidade. Este artigo detalha como os endereços de criptomoedas são estruturados em diversas blockchains, como funciona o processo de parsing, e quais métodos e utilitários estão disponíveis para identificação e verificação.
O Que é um Endereço de Criptomoeda
Em uma blockchain, um endereço de criptomoeda é derivado de uma chave pública. Ele é gerado através de operações criptográficas envolvendo um par de chaves privada e pública. A chave pública é então submetida a um processo de hashing, e a string resultante é publicada para que outros participantes possam enviar fundos para esse endereço. Em redes como o Bitcoin, os endereços podem começar com '1' (P2PKH), '3' (P2SH) ou 'bc1' (Bech32). Já no Ethereum, todos os endereços iniciam com '0x' e possuem exatamente 42 caracteres. Algumas criptomoedas, como Monero e Zcash (em modo 'shielded'), utilizam endereços ofuscados ou de aparência ilegível, o que dificulta significativamente o rastreamento. Conhecer a estrutura de um endereço específico pode simplificar a busca automatizada. Por exemplo, para encontrar todos os endereços Ethereum em um fórum, uma expressão regular como 0x[a-fA-F0-9]{40} seria suficiente. No entanto, a complexidade aumenta consideravelmente a partir daí.
Onde os Endereços São Procurados
Os endereços de criptomoedas podem ser extraídos diretamente da blockchain, de fontes externas ou de bases de dados agregadas. Dentro da blockchain, os endereços são explicitamente declarados nas transações: no Bitcoin, eles residem nas saídas (outputs), enquanto no Ethereum, são encontrados em logs e chamadas de contrato. Ao executar um nó completo e percorrer os blocos, é possível compilar todo o histórico de aparição de endereços e rastrear suas atividades. Um tópico particularmente importante no rastreamento de transações envolve endereços temporários e aleatórios. Durante uma transação comum em Bitcoin, a carteira frequentemente gera um novo endereço aleatório para o troco a partir da mesma seed phrase. Isso ocorre devido ao modelo UTXO (Unspent Transaction Output): se você tem uma entrada de 1 BTC e envia 0,3 BTC, os 0,7 BTC restantes precisam ser enviados para algum lugar. Isso complica a análise, pois um único usuário pode utilizar dezenas de endereços associados em um curto período. No Ethereum, os problemas também são abundantes. Não existe o conceito de troco, mas novas carteiras frequentemente surgem ao interagir com smart contracts, por exemplo, através dos opcodes CREATE e CREATE2, ou simplesmente como novos endereços EOA (Externally Owned Account). Além disso, criminosos utilizam ativamente seus próprios contratos para ocultar rastros. Eles podem, por exemplo, implantar um contrato intermediário que recebe fundos e imediatamente os transfere para outro endereço.
Em fontes externas, os endereços são frequentemente encontrados em formato textual. Aqui estão alguns casos reais: em fóruns como o BitcoinTalk, usuários adicionam endereços em suas assinaturas para receber doações. No GitHub, endereços aparecem em comentários de commits, testes e arquivos README. Às vezes, são endereços reais deixados por desenvolvedores. Em canais do Telegram com táticas de phishing e falsos sorteios, um endereço é frequentemente indicado como o local para onde a criptomoeda deve ser enviada para "receber dez vezes mais de volta". No Pastebin e em logs vazados, carteiras usadas em esquemas de scam são frequentemente publicadas. Em marketplaces da dark web, endereços são exibidos em páginas de pagamento. Embora às vezes sejam atualizados automaticamente, os templates permanecem os mesmos, permitindo a identificação do marketplace. Em bases de dados, os endereços aparecem após parsing e agregação. Exemplos incluem WalletExplorer, Chainanalysis e Crystal Blockchain. Esses serviços constroem perfis de endereços, marcam conexões com exchanges e outros serviços, e então os classificam: exchange, mixer, scam, hack, darkmarket, etc.
Parsing
A abordagem mais simples é a busca por padrões. Inicialmente, o sistema determina a qual rede o endereço pertence, pois cada rede possui seu próprio formato. Expressões regulares são adequadas para essa verificação. A identificação de endereços em textos, logs ou código-fonte pode ser automatizada com o uso de ferramentas de parsing e expressões regulares adaptadas a cada blockchain. A complexidade reside em lidar com a variedade de formatos e a possibilidade de endereços serem ofuscados ou gerados dinamicamente. Para investigações mais profundas, é comum a utilização de ferramentas especializadas que analisam a blockchain em busca de padrões de transação, conexões entre endereços e atividades suspeitas. A análise de metadados, como o tempo entre transações, volumes e os próprios endereços envolvidos, pode revelar a identidade ou a natureza de uma operação, mesmo que os endereços em si sejam anônimos. A combinação de técnicas de OSINT com ferramentas de análise de blockchain permite construir um panorama mais completo das atividades financeiras digitais, auxiliando tanto em investigações criminais quanto em análises de conformidade e prevenção à lavagem de dinheiro (AML).
Exemplos de Investigações
Caso 1: Vazamento de dados da MyEtherWallet: Um vazamento de dados expôs informações de usuários, incluindo endereços de carteira, permitindo que criminosos direcionassem ataques de phishing e roubassem fundos. A análise pós-vazamento focou em rastrear os fundos roubados e identificar os endereços dos atacantes.
Caso 2: Lazarus Group e Mixers: O grupo de hackers Lazarus é conhecido por utilizar mixers de criptomoedas para ofuscar a origem de fundos ilícitos. A investigação envolveu a análise de transações para mixers e a tentativa de rastrear os fundos após a mistura, um desafio técnico considerável.
Caso 3: Falsos Airdrops no Telegram: Criminosos criam canais falsos no Telegram, prometendo airdrops de criptomoedas. Os usuários são instruídos a enviar uma pequena quantidade de criptomoeda para um endereço específico para "receber mais de volta". A análise aqui se concentra em identificar os endereços dos golpistas e alertar os usuários sobre o golpe.
Aspectos Legais e Limitações Éticas
A busca por endereços de criptomoedas levanta questões legais e éticas. Embora muitas informações sejam públicas (on-chain), a coleta e o uso desses dados devem respeitar as leis de privacidade e proteção de dados. A identificação de um indivíduo por trás de um endereço pode ser complexa e requer evidências robustas. Erros de identificação e falsos positivos são riscos inerentes à análise de dados, exigindo validação cuidadosa das descobertas.
Aplicação em AML e Compliance
Ferramentas de análise de blockchain são cruciais para instituições financeiras e exchanges no cumprimento das regulamentações de Anti-Lavagem de Dinheiro (AML) e Know Your Customer (KYC). Ao rastrear a origem e o destino de fundos, é possível identificar transações suspeitas, clientes de alto risco e prevenir o uso de criptomoedas para atividades ilícitas. A classificação de endereços (exchanges, mixers, dark markets) auxilia na avaliação de risco e na tomada de decisões de compliance.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
No universo da cibersegurança e OSINT (Open Source Intelligence), a análise de criptomoedas é uma ferramenta cada vez mais essencial. Compreender quem está por trás de determinados endereços, para onde os fundos estão sendo direcionados e como rastrear atividades é fundamental para investigações e para garantir a conformidade. Este artigo detalha como os endereços de criptomoedas são estruturados em diversas blockchains, como funciona o processo de parsing, e quais métodos e utilitários estão disponíveis para identificação e verificação.
O Que é um Endereço de Criptomoeda
Em uma blockchain, um endereço de criptomoeda é derivado de uma chave pública. Ele é gerado através de operações criptográficas envolvendo um par de chaves privada e pública. A chave pública é então submetida a um processo de hashing, e a string resultante é publicada para que outros participantes possam enviar fundos para esse endereço. Em redes como o Bitcoin, os endereços podem começar com '1' (P2PKH), '3' (P2SH) ou 'bc1' (Bech32). Já no Ethereum, todos os endereços iniciam com '0x' e possuem exatamente 42 caracteres. Algumas criptomoedas, como Monero e Zcash (em modo 'shielded'), utilizam endereços ofuscados ou de aparência ilegível, o que dificulta significativamente o rastreamento. Conhecer a estrutura de um endereço específico pode simplificar a busca automatizada. Por exemplo, para encontrar todos os endereços Ethereum em um fórum, uma expressão regular como 0x[a-fA-F0-9]{40} seria suficiente. No entanto, a complexidade aumenta consideravelmente a partir daí.
Onde os Endereços São Procurados
Os endereços de criptomoedas podem ser extraídos diretamente da blockchain, de fontes externas ou de bases de dados agregadas. Dentro da blockchain, os endereços são explicitamente declarados nas transações: no Bitcoin, eles residem nas saídas (outputs), enquanto no Ethereum, são encontrados em logs e chamadas de contrato. Ao executar um nó completo e percorrer os blocos, é possível compilar todo o histórico de aparição de endereços e rastrear suas atividades. Um tópico particularmente importante no rastreamento de transações envolve endereços temporários e aleatórios. Durante uma transação comum em Bitcoin, a carteira frequentemente gera um novo endereço aleatório para o troco a partir da mesma seed phrase. Isso ocorre devido ao modelo UTXO (Unspent Transaction Output): se você tem uma entrada de 1 BTC e envia 0,3 BTC, os 0,7 BTC restantes precisam ser enviados para algum lugar. Isso complica a análise, pois um único usuário pode utilizar dezenas de endereços associados em um curto período. No Ethereum, os problemas também são abundantes. Não existe o conceito de troco, mas novas carteiras frequentemente surgem ao interagir com smart contracts, por exemplo, através dos opcodes CREATE e CREATE2, ou simplesmente como novos endereços EOA (Externally Owned Account). Além disso, criminosos utilizam ativamente seus próprios contratos para ocultar rastros. Eles podem, por exemplo, implantar um contrato intermediário que recebe fundos e imediatamente os transfere para outro endereço.
Em fontes externas, os endereços são frequentemente encontrados em formato textual. Aqui estão alguns casos reais: em fóruns como o BitcoinTalk, usuários adicionam endereços em suas assinaturas para receber doações. No GitHub, endereços aparecem em comentários de commits, testes e arquivos README. Às vezes, são endereços reais deixados por desenvolvedores. Em canais do Telegram com táticas de phishing e falsos sorteios, um endereço é frequentemente indicado como o local para onde a criptomoeda deve ser enviada para "receber dez vezes mais de volta". No Pastebin e em logs vazados, carteiras usadas em esquemas de scam são frequentemente publicadas. Em marketplaces da dark web, endereços são exibidos em páginas de pagamento. Embora às vezes sejam atualizados automaticamente, os templates permanecem os mesmos, permitindo a identificação do marketplace. Em bases de dados, os endereços aparecem após parsing e agregação. Exemplos incluem WalletExplorer, Chainanalysis e Crystal Blockchain. Esses serviços constroem perfis de endereços, marcam conexões com exchanges e outros serviços, e então os classificam: exchange, mixer, scam, hack, darkmarket, etc.
Parsing
A abordagem mais simples é a busca por padrões. Inicialmente, o sistema determina a qual rede o endereço pertence, pois cada rede possui seu próprio formato. Expressões regulares são adequadas para essa verificação. A identificação de endereços em textos, logs ou código-fonte pode ser automatizada com o uso de ferramentas de parsing e expressões regulares adaptadas a cada blockchain. A complexidade reside em lidar com a variedade de formatos e a possibilidade de endereços serem ofuscados ou gerados dinamicamente. Para investigações mais profundas, é comum a utilização de ferramentas especializadas que analisam a blockchain em busca de padrões de transação, conexões entre endereços e atividades suspeitas. A análise de metadados, como o tempo entre transações, volumes e os próprios endereços envolvidos, pode revelar a identidade ou a natureza de uma operação, mesmo que os endereços em si sejam anônimos. A combinação de técnicas de OSINT com ferramentas de análise de blockchain permite construir um panorama mais completo das atividades financeiras digitais, auxiliando tanto em investigações criminais quanto em análises de conformidade e prevenção à lavagem de dinheiro (AML).
Exemplos de Investigações
Caso 1: Vazamento de dados da MyEtherWallet: Um vazamento de dados expôs informações de usuários, incluindo endereços de carteira, permitindo que criminosos direcionassem ataques de phishing e roubassem fundos. A análise pós-vazamento focou em rastrear os fundos roubados e identificar os endereços dos atacantes.
Caso 2: Lazarus Group e Mixers: O grupo de hackers Lazarus é conhecido por utilizar mixers de criptomoedas para ofuscar a origem de fundos ilícitos. A investigação envolveu a análise de transações para mixers e a tentativa de rastrear os fundos após a mistura, um desafio técnico considerável.
Caso 3: Falsos Airdrops no Telegram: Criminosos criam canais falsos no Telegram, prometendo airdrops de criptomoedas. Os usuários são instruídos a enviar uma pequena quantidade de criptomoeda para um endereço específico para "receber mais de volta". A análise aqui se concentra em identificar os endereços dos golpistas e alertar os usuários sobre o golpe.
Aspectos Legais e Limitações Éticas
A busca por endereços de criptomoedas levanta questões legais e éticas. Embora muitas informações sejam públicas (on-chain), a coleta e o uso desses dados devem respeitar as leis de privacidade e proteção de dados. A identificação de um indivíduo por trás de um endereço pode ser complexa e requer evidências robustas. Erros de identificação e falsos positivos são riscos inerentes à análise de dados, exigindo validação cuidadosa das descobertas.
Aplicação em AML e Compliance
Ferramentas de análise de blockchain são cruciais para instituições financeiras e exchanges no cumprimento das regulamentações de Anti-Lavagem de Dinheiro (AML) e Know Your Customer (KYC). Ao rastrear a origem e o destino de fundos, é possível identificar transações suspeitas, clientes de alto risco e prevenir o uso de criptomoedas para atividades ilícitas. A classificação de endereços (exchanges, mixers, dark markets) auxilia na avaliação de risco e na tomada de decisões de compliance.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
