Dossiê PexRat: Como 1,5 Milhão de Usuários da Binance Acabaram à Venda na Deep Web Sem Que os Servidores Fossem Invadidos

A Descoberta: VECERT Detecta o Maior Vazamento Cripto do Ano

Em 28 de março de 2026, a VECERT Analyzer — plataforma de cyber threat intelligence especializada em rastrear atores criminosos na dark web, deep web e fóruns ilegais — publicou um alerta que abalou o setor: um threat actor operando sob o alias PexRat havia colocado à venda em fórum fechado uma base de dados contendo informações de aproximadamente 1,5 milhão de usuários da Binance, a maior exchange de criptomoedas do mundo.

O caso merece atenção não apenas pelo tamanho, mas pela sofisticação do método. O que o PexRat vendia não era um banco de dados clássico exfiltrado via servidor comprometido — era algo mais perigoso e mais difícil de detectar: o resultado de uma operação de credential stuffing combinado com scraping de API que operou durante meses, aproveitando falhas no desenho de proteção de endpoints de login.

O Que Foi Exposto

Conforme a análise técnica da VECERT, a base oferecida contém:

Dados Cadastrais

• Nomes completos
• Endereços de email de cadastro
• Números de telefone registrados
• Status de verificação KYC (básica, intermediária, avançada)

Dados Técnicos e de Sessão

• Último IP de login de cada conta
• User agents de dispositivo (navegador, sistema operacional)
• Status e tipo de 2FA (SMS, email ou app autenticador)

Essa combinação é especialmente perigosa. Não é só uma lista de emails — é um perfil operacional completo por usuário. Um atacante com essa base sabe exatamente como atacar cada vítima: se tem 2FA fraco (SMS → SIM swap), se usa dispositivos específicos (targeting de device-specific malware), se está geograficamente concentrada em jurisdições vulneráveis.

O Método: Não Foi Breach, Foi Abuso

A VECERT foi categórica na análise: os servidores internos da Binance NÃO foram invadidos. O que aconteceu foi mais embaraçoso — do ponto de vista de segurança, mais difícil de aceitar:

"A evidência sugere que o atacante conseguiu contornar ou abusar de mecanismos de segurança (como o Captcha) na interface de login ou em alguma API da plataforma, permitindo um fluxo constante de requisições sem bloqueio." — VECERT Analyzer

Credential Stuffing: A Mecânica

Credential stuffing é um ataque onde o criminoso:

1. Obtém listas gigantes de combinações email+senha de outros vazamentos (LinkedIn 2021, Yahoo, Adobe, milhares de sites menores)
2. Usa ferramentas automatizadas para testar essas combinações em outra plataforma (no caso, Binance)
3. Quando uma combinação funciona, significa que o usuário reciclou a senha — e agora essa conta está comprometida
4. Extrai dados do perfil que a API retorna durante login bem-sucedido

O Bypass do Captcha

Aqui está o detalhe crítico. A proteção padrão contra credential stuffing é o captcha ou rate limiting. O PexRat encontrou formas de:

• Contornar o captcha usando solvers automatizados (serviços como 2Captcha, AntiCaptcha)
• Explorar endpoints de API menos protegidos que o fluxo principal de login
• Rotacionar pools de proxies para evitar bloqueio por IP
• Modular timing e fingerprint para parecer tráfego orgânico

A combinação de técnicas permitiu um fluxo constante de requisições não-bloqueadas — efetivamente transformando a API pública da Binance em uma fonte de dados controlada.

Quem É o PexRat

O alias PexRat aparece em fóruns de vendas criminosas desde aproximadamente 2024. Análises cruzadas de VECERT, TRM Labs e outras firmas sugerem:

• Operação provavelmente baseada no Leste Europeu ou Rússia, com alguns indicadores de atividade em horários de fuso brasileiro
• Histórico de vendas de bases de dados de fintechs, exchanges menores e plataformas de apostas
• Forte atuação em BreachForums e LeakBase, com reputação estabelecida entre compradores
• Preços variáveis conforme escala — para a base Binance, relatos indicam valores na faixa de US$ 10.000 a US$ 50.000 pela base completa, com acesso parcial oferecido por valores menores

O modus operandi sugere operação profissional, não oportunista. Não é um adolescente em porão — é um operador comercial que trata dados como commodity, vendendo em múltiplos canais e extraindo valor por anos a fio.

O Histórico Que Não Pode Ser Ignorado

O leak do PexRat não é evento isolado. Em janeiro de 2026, o pesquisador de segurança Jeremiah Fowler havia publicado report sobre aproximadamente 420.000 credenciais vinculadas à Binance expostas através de infostealer malware — vírus que rodam no computador da vítima e extraem senhas salvas em navegadores e carteiras.

Combinando os dois episódios, temos um quadro maior:

• Dezenas de milhares de usuários Binance comprometidos via malware no endpoint
• Milhões de usuários expostos via enumeração de API e credential stuffing
• A superfície de ataque real é dinâmica e persistente, não um incidente pontual

O Que a Binance Disse (E o Que Não Disse)

A resposta oficial da exchange seguiu o padrão típico de grandes plataformas:

• Reconhecimento da existência de atividade suspeita em endpoints de autenticação
• Afirmação de que sistemas core não foram comprometidos — ponto técnico correto, mas enganoso em percepção
• Implementação de novas camadas de proteção (captcha invisível adicional, detecção de padrões de bot, bloqueio de pools de proxy conhecidos)
• Sem comunicação individualizada aos 1,5 milhão de usuários afetados
• Sem oferta de compensação, já que formalmente não houve "invasão"

A postura é juridicamente sustentável mas moralmente frágil. A distinção entre "seus dados vazaram porque invadimos nosso servidor" e "seus dados vazaram porque a nossa API não tinha proteção suficiente" pode não fazer sentido para um usuário que agora recebe phishing direcionado diariamente.

Como Saber Se Você Foi Afetado

Não há forma oficial da Binance de confirmar individualmente. Mas alguns indicadores:

1. Aumento abrupto de phishing direcionado (emails e SMS citando seu nome, últimos 4 dígitos de telefone, ou referências a depósitos reais)
2. Tentativas de login não reconhecidas no histórico da sua conta (verifique em Security Settings > Account Activity)
3. SIM swap tentado na sua operadora — contato do atacante pedindo transferência de número
4. Aparição do seu email em HaveIBeenPwned (haveibeenpwned.com) ligada a dump recente

Guia de Proteção Imediata

Ações Críticas (Fazer Hoje)

1. Trocar a senha da Binance para uma única, de 20+ caracteres, gerada por password manager (1Password, Bitwarden)
2. Migrar 2FA de SMS para app autenticador (Google Authenticator, Authy) ou ideal: chave física FIDO2 (YubiKey, Feitian)
3. Ativar Anti-Phishing Code nas configurações da Binance — emails legítimos passam a incluir esse código único
4. Configurar Whitelist de Saques — só permitir saques para endereços pré-aprovados com timelock de 24h
5. Verificar API keys ativas — revogar tudo que não usa ativamente

Higiene Continuada

• Use email dedicado para exchanges — nunca o email pessoal que está em dezenas de sites
• PIN de proteção do chip junto à operadora, contra SIM swap
• Senhas únicas em cada serviço — nunca reutilize
• Password manager obrigatório — manter "senhas fáceis de lembrar" é permitir o PexRat da vida
• Considere self-custody para a maior parte do patrimônio — deixar em exchange só o necessário para trading ativo

A Perspectiva de Indústria

Para Exchanges

O caso Binance expõe uma falha estrutural: exchanges operam APIs de login como SaaS públicos, mas protegem-nas como blogs. Padrões que deveriam ser baseline:

• Device fingerprinting + behavioral analytics em cada tentativa de login
• Rate limiting adaptativo por conta, IP, device, geolocalização
• Proof-of-work invisível (hashcash-style) para elevar custo do atacante
• Monitoramento contínuo de BreachForums, LeakBase, Telegram canais
• Parceria com threat intel (VECERT, Intel471, Recorded Future)

Para Reguladores

Leis de notificação de breach (GDPR na UE, SEC Cybersecurity Rules nos EUA, LGPD no Brasil) se aplicam formalmente a invasões. Mas não a credential stuffing em massa. Essa é uma lacuna que precisa fechar — usuários afetados são usuários afetados, independentemente do vetor técnico.

Conclusão: A Nova Fronteira da Segurança em Exchanges

O vazamento PexRat ensina três lições desconfortáveis:

1. "Não fomos invadidos" é uma declaração que está perdendo valor. Se seus dados saíram, saíram — o vetor técnico importa pouco
2. Captcha e 2FA por SMS são defesas do passado. Em 2026, precisamos de arquiteturas mais sofisticadas
3. Threat intelligence é infraestrutura. Plataformas que ignoram VECERT, Intel471, Elliptic e congêneres operam com venda na vista

Para o usuário comum, a lição é ainda mais simples: sua higiene digital é metade da sua segurança financeira em cripto. Senha única, 2FA forte, email dedicado, whitelist de saques, self-custody para longo prazo. Nada disso é sexy, mas é o que separa quem dorme tranquilo de quem descobre, uma manhã qualquer, que seu nome está em um pacote vendido no BreachForums por US$ 50.000.

O PexRat seguirá o próximo alvo. E se depender apenas do captcha dele, ele vai conseguir.

Fonte principal: análise técnica publicada pela VECERT Analyzer em 28 de março de 2026. Dados cruzados com cobertura de BeInCrypto, CoinDesk e outras fontes.

Aviso: Este conteúdo é informativo e tem finalidade educacional. Não constitui recomendação de investimento. Siga boas práticas de segurança e, em caso de suspeita de comprometimento, contacte imediatamente o suporte da sua exchange.