Como Rastrear Criptomoedas em Investigações
Endereços ilícitos receberam pelo menos US$ 154 bilhões em criptomoedas durante 2025, alta de 162% em relação ao ano anterior (Chainalysis, 2026). O número assusta, mas esconde a melhor notícia para quem investiga: cada um desses dólares deixou um rastro permanente em um ledger público que ninguém apaga.
Existe um mito persistente de que criptomoeda é dinheiro anônimo e impossível de seguir. A realidade técnica é o oposto. Bitcoin, Ethereum e a maioria das redes são pseudônimas, não anônimas. Toda transação fica visível para sempre. O desafio do investigador não é enxergar o fluxo de dinheiro: é ligar um endereço a uma pessoa de carne e osso.
Na espectrosint, incluímos a verificação de endereço blockchain dentro do fluxo OSINT, conectando uma carteira a outras pistas como e-mail, telefone e nome de usuário. Este guia organiza a metodologia do rastreamento, da leitura do ledger ao ponto de conversão para reais, sempre no contexto de uma investigação legítima e autorizada.
Principais Conclusões
- A blockchain é pseudônima, não anônima: todo movimento fica em um ledger público e permanente, consultável por qualquer pessoa.
- Atividade ilícita ainda é menos de 1% do volume total de cripto, mas em 2025 somou US$ 154 bilhões (Chainalysis, 2026).
- Stablecoins responderam por 84% do volume ilícito em 2025, com USDT em TRON liderando golpes no Brasil (Chainalysis, 2026).
- O off-ramp (conversão para fiat numa exchange com KYC) é o ponto de estrangulamento onde a identidade real costuma vazar.
- Fraudes com cripto custaram US$ 5,8 bilhões só em investimento nos EUA em 2024 (FBI IC3, 2025).
0x9f2a...c41d
- RedeEthereum · USDT
- Tipo de entidadeDepósito em exchange
- Username vinculadocr••••99
- E-mail em vazamentoSim · 2 bases
- Último off-rampExchange com KYC
Por Que a Blockchain é Pseudônima e Não Anônima?
A blockchain é pseudônima porque substitui o nome do usuário por um endereço alfanumérico, mas mantém todo o histórico aberto. Menos de 1% do volume total de criptomoedas é ilícito, ainda assim isso representou US$ 154 bilhões em 2025 (Chainalysis, 2026). Cada centavo desse valor é visível para qualquer pessoa.
Pense no endereço como um apelido de fórum. Enquanto ninguém sabe quem está por trás dele, há privacidade. No instante em que o apelido é ligado ao nome real, todo o histórico passado e futuro fica exposto de uma vez. Em cripto, esse "histórico" é o registro completo e imutável de cada valor recebido e enviado.
A diferença entre pseudônimo e anônimo é a chave de toda investigação. Anonimato verdadeiro significa que não existe vínculo recuperável entre ação e identidade. Pseudônimo significa que o vínculo existe, está apenas escondido atrás de um identificador. O trabalho do analista é encontrar a ponte que liga os dois lados.
Por que isso é uma vantagem para quem investiga? Porque o ledger nunca esquece. Diferente de um extrato bancário que some após anos ou exige ordem judicial para cada consulta, a blockchain pública está sempre disponível, gratuita e completa desde o bloco zero. Você pode reconstruir o caminho do dinheiro anos depois do crime.
Como Ler o Ledger: Endereços, Transações e Block Explorers
Um block explorer é a janela gratuita para o ledger, e ler corretamente um endereço e uma transação é a habilidade base do rastreamento. O Etherscan mostra cada transação de qualquer endereço Ethereum em segundos, com data, valor, contraparte e saldo. Para Bitcoin, o mempool.space cumpre o mesmo papel. Nenhum login, nenhuma ordem judicial.
Os três objetos que você precisa entender
Endereço: o identificador da carteira, como 0x... no Ethereum ou bc1... no Bitcoin. É o pseudônimo. Transação (hash): o registro único de uma transferência, com remetente, destinatário, valor e horário. Bloco: o lote de transações confirmado e gravado em ordem cronológica. Esses três objetos sustentam toda a análise.
Modelo UTXO contra modelo de conta
Bitcoin usa o modelo UTXO, em que cada transação consome "moedas" anteriores e gera novas. Ethereum usa modelo de conta, parecido com saldo bancário. A distinção importa porque algumas heurísticas de rastreamento funcionam só em um dos modelos. No Bitcoin, por exemplo, várias entradas numa mesma transação sugerem que pertencem ao mesmo dono.
No fluxo prático, o investigador parte de um endereço ou hash conhecido e segue o dinheiro transação a transação. Para onde foi? De onde veio? Quantos saltos até chegar a um serviço identificável? Cada salto reduz o anonimato, porque aproxima a investigação de uma exchange ou de um ponto com cadastro real.
Segundo o relatório de crimes cripto da Chainalysis de 2026, stablecoins responderam por 84% do volume ilícito em 2025. Para o investigador brasileiro, isso significa que a maioria dos rastreamentos envolve USDT, frequentemente na rede TRON, cujo explorador é o Tronscan. Dominar três ou quatro exploradores cobre quase todos os casos reais.
Para fundamentos de como amarrar esses dados a outras pistas abertas, vale revisar o nosso guia sobre o que é OSINT e a metodologia de montar um dossiê de investigação. O endereço é só uma das chaves do quebra-cabeça maior.
Heurísticas de Clusterização e Desanonimização
Clusterização é a técnica de agrupar múltiplos endereços que provavelmente pertencem ao mesmo dono, transformando dezenas de pseudônimos em uma única entidade. É o coração da forense de blockchain. Como mais de 99% das transações são legítimas (Chainalysis, 2026), o desafio é isolar o cluster certo no meio do ruído.
Heurística de gasto comum (common input ownership)
Quando uma transação Bitcoin usa várias entradas ao mesmo tempo, presume-se que todas pertencem a quem assinou a transação. Afinal, foi preciso ter a chave privada de cada uma. Essa heurística simples já une centenas de endereços sob um mesmo dono e é a base histórica do rastreamento de Bitcoin.
Detecção de endereço de troco
Em pagamentos, parte do valor volta para o pagador como troco, em um novo endereço. Identificar qual saída é troco e qual é pagamento real permite seguir o saldo do alvo ao longo do tempo. Padrões como valores "redondos" para a contraparte e valores "quebrados" de retorno ajudam a separar os dois.
A desanonimização acontece quando um cluster é amarrado a uma identidade do mundo real. As pontes mais comuns são: cadastro em exchange com KYC, endereço publicado em redes sociais ou fóruns, vinculação a e-mails de vazamentos e reuso do mesmo nome de usuário em outros serviços. Cada ponte é uma oportunidade de OSINT clássico.
É aqui que o rastreamento on-chain encontra a investigação digital tradicional. Um endereço postado em um perfil leva ao nome de usuário, que leva ao e-mail, que leva a outros perfis e a vazamentos. Esse é exatamente o caminho descrito no nosso guia de como rastrear um golpista na internet, agora com a carteira como ponto de partida.
O Papel das Exchanges, KYC e a Quebra de Sigilo
A exchange é o elo entre o pseudônimo e a pessoa real, porque exige cadastro com KYC (conheça seu cliente) por obrigação regulatória. Nos EUA, metade das perdas com fraude em 2025 foi ligada a golpes com cripto (FBI, 2026), e quase todo esse dinheiro precisou virar moeda comum em algum momento. Esse momento é a exchange.
KYC e AML (prevenção à lavagem de dinheiro) são as obrigações que fazem da exchange uma mina de identidade. Para abrir conta, o usuário entrega nome completo, CPF, documento com foto, selfie e, muitas vezes, comprovante de endereço. Tudo isso fica vinculado aos endereços de depósito e saque daquele cliente.
O fluxo do rastreamento, então, tem um destino claro: chegar a um endereço atribuído a uma exchange. Quando os fundos do alvo entram em uma corretora identificada, a investigação on-chain pode parar ali e passar o bastão para a via legal. A pergunta deixa de ser "para onde foi o dinheiro?" e vira "quem é o titular desta conta?".
Requisição e quebra de sigilo no Brasil
No Brasil, a resposta vem por requisição formal ou quebra de sigilo. Exchanges nacionais respondem a ordens judiciais e, em casos de investigação criminal, a requisições de autoridade policial dentro da legalidade. Exchanges estrangeiras exigem cooperação internacional, o que torna o caso mais lento, mas não impossível.
O investigador OSINT prepara o terreno para essa fase legal. Ao documentar com precisão qual endereço de exchange recebeu os fundos, em qual data e por qual rede, ele entrega à autoridade um pedido cirúrgico, fácil de cumprir. Um pedido vago é negado ou demora. Um pedido com hash de transação e timestamp é acionável.
Mixers, CoinJoin e Privacy Coins: Onde o Rastro Some (e Onde Não)
Mixers, CoinJoin e moedas de privacidade dificultam o rastreamento, mas raramente o eliminam. A evasão por meio de cripto cresceu de forma expressiva em 2025, com o uso de técnicas de ofuscação em alta (Chainalysis, 2026). Ainda assim, cada técnica deixa um tipo de assinatura que o analista treinado reconhece.
Mixers e tumblers
Um mixer junta os fundos de vários usuários e os redistribui, tentando quebrar o vínculo entre origem e destino. O problema para o criminoso é que o serviço inteiro vira um cluster conhecido. Entrar e sair de um mixer é, por si só, um sinal de alerta que ferramentas de forense marcam automaticamente.
CoinJoin
O CoinJoin é uma forma descentralizada de mistura, em que vários participantes assinam juntos uma única transação. É mais robusto que um mixer centralizado, mas deixa padrões: número de participantes, valores padronizados e momentos de entrada e saída. Análise de timing e de valores frequentemente reabre a trilha.
Privacy coins: o caso do Monero
O Monero é o adversário mais difícil. Por design, ele esconde remetente, destinatário e valor usando assinaturas em anel e endereços furtivos. Não existe explorador que mostre o fluxo como no Bitcoin. Mesmo assim, o rastreamento não morre: ele migra para os pontos de entrada e saída, onde o Monero é trocado por outras moedas em exchanges.
A lição estratégica é clara. Quando o meio on-chain fica opaco, a investigação volta para as bordas. Onde o criminoso comprou a privacy coin? Onde ele a converteu de volta? Esses dois momentos quase sempre tocam um serviço com KYC. O sumiço no meio do caminho não apaga a entrada nem a saída.
Vale o alerta ético e legal: este conteúdo descreve como a ofuscação funciona para que investigadores autorizados a reconheçam, não para ensinar evasão. Usar essas técnicas para ocultar produto de crime é, ele próprio, crime de lavagem de dinheiro. O analista profissional opera sempre dentro do marco legal, tema que aprofundamos em OSINT é legal no Brasil?.
Como Rastrear o Golpe do Pix que Virou Criptomoeda
O golpe que começa no Pix e termina em cripto é, hoje, o caso mais comum no Brasil, e é rastreável em quase todas as etapas. Fraudes de investimento com cripto somaram US$ 5,8 bilhões em perdas reportadas só nos EUA em 2024 (FBI IC3, 2025), e o esquema brasileiro segue o mesmo molde do "pig butchering" global.
O fluxo típico do golpe
A vítima é convencida a fazer um Pix para uma suposta plataforma de investimento. Esse Pix cai em uma conta laranja. O dinheiro é convertido em USDT em uma exchange e, em seguida, enviado para a carteira do golpista, muitas vezes na rede TRON. Cada uma dessas três etapas deixa um rastro próprio e auditável.
O Pix é rastreável pelo Banco Central via chave, conta e instituição. A conta laranja tem CPF associado. A conversão em USDT acontece em uma exchange com KYC. E o envio on-chain fica gravado no ledger para sempre. O ponto mais frágil da operação é justamente a costura entre o mundo bancário e o mundo cripto.
Para o lado bancário, o nosso guia sobre como verificar o recebedor de um Pix mostra como começar pela ponta da vítima. Para a ponta cripto, o trabalho é seguir o USDT no explorador até onde ele encosta de novo em uma exchange. As duas pontas se encontram no meio.
Casos reais de aplicação da lei confirmam a viabilidade. Autoridades dos EUA apreenderam mais de US$ 61 milhões em USDT ligados a esquemas de "pig butchering", com a própria Tether ajudando a rastrear e congelar fundos (The Block, 2026). Stablecoins centralizadas podem ser congeladas, algo impossível com dinheiro em espécie.
Ferramentas para Rastrear Criptomoedas em Investigações
O rastreamento profissional combina exploradores gratuitos com plataformas pagas de atribuição de entidades. Como atividade ilícita é menos de 1% do volume (Chainalysis, 2026), o valor da ferramenta paga está em separar rapidamente o que é exchange, mixer ou serviço conhecido do que é carteira pessoal do alvo.
Exploradores gratuitos
- Etherscan: padrão de fato para Ethereum e tokens ERC-20, incluindo USDT. Mostra transações, tokens e contratos.
- mempool.space: explorador de Bitcoin com visualização clara de entradas, saídas e taxas.
- Blockchair: busca unificada em várias redes ao mesmo tempo, útil para comparação rápida.
- Tronscan: essencial para USDT na rede TRON, a campeã dos golpes brasileiros.
Plataformas profissionais de forense
- Chainalysis Reactor: referência de mercado em atribuição de endereços a entidades e visualização de fluxos.
- Elliptic: forte em conformidade e monitoramento de risco em tempo real.
- TRM Labs: ampla cobertura de redes e parceria com aplicação da lei, inclusive na iniciativa T3 com a Tron e a Tether.
Onde entra a camada OSINT? As ferramentas de forense dizem que um endereço pertence a um "depósito de exchange", mas não dizem quem é a pessoa. Plataformas OSINT amarram o endereço a e-mail, telefone e nome de usuário, fechando a lacuna entre o cluster e a identidade. É essa correlação que transforma dado on-chain em uma pessoa identificável.
Na espectrosint, a verificação de endereço blockchain vive dentro do mesmo fluxo OSINT das buscas por e-mail, telefone e username. Um endereço encontrado em um perfil, em um anúncio de golpe ou em um vazamento entra na busca e volta correlacionado com as demais pistas do alvo. Para o leque completo de fontes gratuitas, veja nossas ferramentas OSINT gratuitas.
Verifique um endereço blockchain junto com o resto das pistas
Conecte uma carteira a e-mail, telefone e nome de usuário do alvo em uma única busca OSINT, sem pular entre exploradores e planilhas.
Criar conta gratuita Acessar a plataformaCadeia de Custódia e Cooperação Internacional
A prova on-chain só tem valor se a cadeia de custódia for preservada da coleta ao laudo. Com US$ 154 bilhões em fluxos ilícitos rastreados em 2025 (Chainalysis, 2026), tribunais já lidam com evidência de blockchain com frequência, e exigem rigor metodológico de quem a apresenta.
Como documentar prova on-chain
A regra de ouro é a reprodutibilidade: qualquer perito deve poder refazer seu caminho e chegar ao mesmo resultado. Para isso, registre o hash de cada transação relevante, o endereço investigado, a rede, a data e a hora exatas da coleta, a fonte consultada e o método aplicado. Capturas de tela devem vir acompanhadas do hash da própria transação, não só da imagem.
- Salve os hashes de transação e os endereços em texto, não apenas em imagem.
- Registre data, hora e fuso da coleta, além da ferramenta usada.
- Gere hash (por exemplo, SHA-256) dos arquivos exportados para provar integridade.
- Distinga sempre fato observado de inferência analítica no relatório.
Jurisdição e cooperação internacional
A blockchain não tem fronteira, mas a aplicação da lei tem. Quando os fundos param em uma exchange estrangeira, o caso depende de cooperação internacional, normalmente via acordos de assistência jurídica mútua (MLAT). Isso adiciona tempo, mas a permanência do ledger joga a favor: a prova não se deteriora enquanto o pedido tramita.
Por isso o trabalho de OSINT bem documentado é tão valioso. Quanto mais preciso o mapeamento do fluxo e da exchange envolvida, mais direto fica o pedido de cooperação. A autoridade estrangeira recebe um alvo específico, com endereço e data, em vez de um pedido genérico que costuma ser negado por falta de detalhamento.
O rastreamento de cripto, no fim, é uma disciplina de investigação como outra qualquer: método, documentação e legalidade. Para situar essa prática no contexto policial e corporativo brasileiro, vale ler o guia de OSINT para investigadores no Brasil e cruzar com a consulta de CPF e CNPJ por OSINT, que costuma fechar a identidade do titular de uma conta de exchange.
Este artigo faz parte de uma série técnica de investigação financeira e digital. Em breve, aprofundaremos temas vizinhos em OSINT na investigação policial, monitoramento de dark web em investigações e geolocalização e chronolocation.
Perguntas Frequentes
Criptomoeda é anônima ou pseudônima?
Bitcoin e Ethereum são pseudônimos, não anônimos. Cada transação fica registrada para sempre em um ledger público que qualquer pessoa consulta. O endereço é um apelido, não a identidade real. Quando esse endereço é ligado a um nome (via exchange com KYC, vazamento ou erro do alvo), todo o histórico de movimentações vira rastreável.
Como funciona o rastreamento de criptomoedas em uma investigação?
O rastreamento parte de um endereço ou hash de transação e segue o fluxo de fundos pelo ledger usando um block explorer como o Etherscan. Heurísticas de clusterização agrupam endereços do mesmo dono. O objetivo é chegar ao ponto de conversão para reais (a exchange), onde existe cadastro com KYC que pode ser requisitado judicialmente.
É possível rastrear um golpe do Pix que virou criptomoeda?
Sim, em muitos casos. O caminho típico é Pix da vítima para uma conta laranja, conversão em USDT em uma exchange e envio para a carteira do golpista. O Pix é rastreável pelo Banco Central e a conversão acontece em exchange com KYC. O elo entre os dois mundos costuma ser o ponto mais frágil da operação criminosa.
Mixers e moedas de privacidade como Monero impedem o rastreamento?
Eles dificultam, mas raramente impedem por completo. Mixers e CoinJoin embaralham fundos, porém deixam padrões de entrada e saída. O Monero esconde valores e endereços por design e é o caso mais difícil. Ainda assim, erros operacionais, momentos de entrada e saída e cadastros em exchanges costumam abrir brechas para a investigação.
Que ferramentas são usadas para rastrear criptomoedas?
Investigações profissionais combinam exploradores gratuitos (Etherscan, mempool.space, Blockchair) com plataformas pagas de forense de blockchain como Chainalysis Reactor, Elliptic e TRM Labs, que atribuem endereços a entidades conhecidas. Ferramentas OSINT amarram o endereço a outras pistas, como e-mail, telefone e nome de usuário do alvo.
Provas obtidas em blockchain têm valor em processo no Brasil?
Sim, desde que a cadeia de custódia seja preservada. O analista deve registrar hash das transações, data e hora da coleta, fonte consultada e método usado, idealmente com hash dos próprios arquivos exportados. Sem documentação rastreável, o achado on-chain perde força probatória, mesmo sendo tecnicamente correto.
Conclusão
Rastrear criptomoedas em investigações começa por desfazer um mito: a blockchain não é anônima, é pseudônima. Cada transação fica gravada para sempre em um ledger público e gratuito. O trabalho do investigador não é enxergar o dinheiro, que já está visível, mas construir a ponte entre um endereço e uma pessoa real.
Os pontos essenciais: leia o ledger com block explorers; use clusterização para agrupar endereços do mesmo dono; persiga o off-ramp, porque a conversão para reais quase sempre passa por uma exchange com KYC. Mixers e privacy coins atrapalham, mas o rastro reaparece nas bordas. E nada disso vale em juízo sem cadeia de custódia.
No contexto brasileiro, o caso dominante é o golpe que sai do Pix e vira USDT. Ele é vulnerável justamente porque cruza dois mundos rastreáveis, o bancário e o cripto, e a costura entre eles é o elo mais frágil da operação. Método, documentação e legalidade transformam esse rastro em prova.
Pronto para começar? Crie sua conta gratuita na espectrosint e verifique um endereço blockchain junto com e-mail, telefone e username em uma única busca. Para os fundamentos da disciplina, comece pelo nosso guia completo sobre OSINT.
- O que é OSINT? Guia completo de inteligência de fontes abertas
- OSINT é legal no Brasil? Limites legais e LGPD
- Golpe do Pix: como verificar o recebedor
- Como rastrear um golpista na internet
- Como montar um dossiê de investigação com OSINT
- OSINT para investigadores: guia prático Brasil
- Ferramentas OSINT gratuitas
- Como consultar CPF e CNPJ com OSINT
- OSINT na investigação policial
- Monitoramento de dark web em investigações
- Geolocalização e chronolocation em investigações