Como o filho de um empreiteiro da USMS roubou criptomoedas do governo dos EUA durante anos

Um escândalo eclodiu na comunidade de criptomoedas em torno de John Daghita, que é acusado de roubar mais de US $ 90 milhões em ativos criptográficos, incluindo fundos de carteiras controladas pelo governo dos Estados Unidos. De acordo com uma investigação do conhecido analista on-chain ZachXBT, os roubos ocorreram entre 2024 e 2025, com os fundos sendo transferidos para endereços vinculados ao suspeito.

Antecedentes do incidente

As transferências das carteiras do governo apareceram inicialmente como movimentos de activos de rotina e não levantaram suspeitas. No entanto, em janeiro de 2026, surgiu uma disputa numa comunidade de hackers do Telegram sobre quem tinha roubado mais criptomoedas. Um participante, conhecido como "John" ou "Lick", revelou acidentalmente o controlo sobre as carteiras onde os fundos estavam a circular durante a discussão. Durante a disputa online, ele compartilhou uma captura de tela de sua carteira Exodus, exibindo endereços com milhões de dólares em ETH e TRON, incluindo US $ 2,3 milhões no endereço TMrWCLMS3ibDbKLcnNYhLggohRuLUSoHJg e mais US $ 6,7 milhões em 0xd8bc7ea538c2e9f178a18cc148892ae914a55d08.

ZachXBT analisou os registos da disputa e rastreou a cadeia de transacções para trás. Descobriu-se que parte dos fundos veio de endereços associados a apreensões pelo US Marshals Service (USMS), incluindo o roubo de US $ 24,9 milhões de uma carteira vinculada ao hack Bitfinex em março de 2024. No total, as estimativas sugerem que Daghita controlou entradas de mais de US $ 63 milhões de fontes suspeitas no quarto trimestre de 2025, incluindo US $ 13,5 milhões do endereço 0x77a722bf33787c3512d0f4fc36412140057f4223 e US $ 15,4 milhões de 0xf51b044f998277b17467cd713d72b403e16fad48.

Ligação ao CMDSS

Uma revelação importante foram os laços familiares de Daghita. O pai dele é dono da Command Services & Support (CMDSS), que em outubro de 2024 recebeu um contrato da USMS para gerir e vender bens criptográficos confiscados. Esta empresa sediada na Virgínia presta serviços de TI ao governo, incluindo o armazenamento e a eliminação de bens apreendidos. Acredita-se que o acesso às carteiras do governo através da empresa do seu pai permitiu que Daghita realizasse os roubos sem ser imediatamente detetado.

Anteriormente, em setembro de 2025, Daghita já tinha sido detido por suspeita de cibercrimes, mas a ligação aos roubos do governo só veio à tona graças a gabarolices no Telegram. Depois que ZachXBT publicou a investigação, o suspeito excluiu nomes de usuário NFT de sua conta do Telegram e mudou seu apelido, e também enviou um "ataque de poeira" para o endereço público do analista zachxbt.eth, uma transação de 0.0067 ETH ($ 20.01) com hash 0x25d3b02b17ccf5f0867bfbaa86c4cb918766d2b79e30cdcb7847298febfa2d15.

Reação e consequências

O US Marshals Service iniciou uma investigação sobre o incidente, expressando preocupações sobre a segurança do armazenamento de criptomoedas. Este caso destaca as vulnerabilidades das cadeias de abastecimento dos contratantes do governo e levanta questões sobre a supervisão dos bens confiscados. Na comunidade criptográfica, está em curso um debate sobre a forma como a ostentação em chats levou à queda de um "hacker brilhante" que roubou milhões mas foi vítima da sua própria estupidez.

O volume total de roubos na indústria de criptografia em 2025 ultrapassou US $ 3,4 bilhões, e incidentes como esse apenas intensificam os apelos por maior segurança. Daghita ainda não foi preso por novas acusações, mas as evidências de análises na cadeia e registros de disputas tornam o caso promissor para a aplicação da lei.