Cryptojacking

Cryptojacking é categoria de fronteira tipológica com tipificação aplicável em construção.

(i) Mecânica técnica: atacante (a) distribui código de mineração via vetor escolhido; (b) executa minerador em recurso comprometido (CPU, GPU); (c) conecta a pool de mineração que distribui trabalho e agrega contribuições; (d) recebe criptoativos proporcionais à computação contribuída; (e) lava ganhos via mixers, exchanges sem KYC ou DEXs. Volume individual por vítima é tipicamente baixo (alguns dólares mensais por máquina), mas escala compensa — operações com milhões de máquinas comprometidas.

(ii) Tipificação aplicável no Brasil: zona em construção. Argumentos doutrinários: (a) invasão de dispositivo informático (art. 154-A do CP) quando há violação de mecanismo de segurança — aplicável em endpoint-based; (b) furto (art. 155 do CP) sobre energia elétrica como coisa móvel — aplicado por analogia, com debate; (c) furto mediante fraude eletrônica (art. 155, §4º-B) em algumas modalidades; (d) estelionato eletrônico (art. 171, §2º-A) quando há indução a executar código malicioso; (e) dano (art. 163) por degradação de hardware; (f) uso indevido de dispositivo sob art. 11 da Convenção de Hanói (Convenção das Nações Unidas contra o Cibercrime). Doutrina majoritária garantista considera que invasão (art. 154-A) é o tipo central, com possíveis concursos.

(iii) Caso Coinhive (2017-2019): paradigma do browser-based cryptojacking. Serviço lançado em setembro de 2017 oferecia API para sites monetizarem visitantes via mineração de Monero no navegador. Inicialmente posicionado como alternativa a anúncios, foi rapidamente abusado — instalado sem consentimento em milhares de sites, frequentemente após comprometimento. Em pico, foi detectado em mais de 50.000 sites mensalmente. Coinhive encerrou em março de 2019 após queda no valor do Monero e medidas defensivas dos navegadores.

(iv) Cryptojacking em cloud — paradigma contemporâneo: vetor preferido pós-2019. AWS, Azure, GCP são alvos massivos via (a) credenciais comprometidas; (b) instâncias mal configuradas; (c) Kubernetes API expostos; (d) buckets S3 com permissões inadequadas. Casos documentados envolvem prejuízos de centenas de milhares de dólares por incidente em organizações vítimas (cobrança de uso por provedor de cloud).

(v) Crypto mining em CI/CD — emergente: vetor crescente. GitHub Actions, GitLab CI Runners, e correlatos oferecem execução gratuita de jobs. Atores criminosos abusam (a) criando contas falsas em massa; (b) rodando mineradores em runners gratuitos; (c) sacando ganhos antes de detecção. GitHub anunciou medidas em 2021-2022 mas problema persiste.

(vi) Resposta defensiva — navegadores e EDR: defesa em camadas. (a) Navegadores — Brave, Chrome, Firefox bloqueiam scripts conhecidos de mineração; (b) uBlock Origin, NoCoin extensões específicas; (c) EDR/XDR detectam padrões de uso anômalo de CPU; (d) Cloud providers monitoram uso de recursos com alertas para padrões compatíveis com mining.

(vii) Cryptojacking vs. uso legítimo: distinção dogmática crítica. Mineração de criptoativos em recursos próprios é lícita no Brasil. Proof-of-Work mining opera economicamente em larga escala (Bitcoin, Litecoin). O elemento criminoso é a utilização não autorizada de recursos alheios.

Linha pode ser tênue em casos como (a) sites que divulgam previamente uso de mineração no navegador como alternativa a ads (zona cinzenta); (b) softwares que mineram com consentimento parcialmente informado; (c) usos em ambientes corporativos por funcionários com autorização ambígua.

(viii) Articulação com lavagem: cryptojacking gera receita em criptoativo que precisa ser monetizada. Mecânica frequente — (a) movimentação para DEXs; (b) swap entre criptoativos para dificultar rastreamento; (c) uso de mixers (Tornado Cash quando ativo, alternativas pós-sanção); (d) saque via exchanges sem KYC ou em jurisdições não cooperativas. Configura concurso com lavagem de dinheiro (Lei 9.613/1998).

(ix) Casos brasileiros: cryptojacking é fenômeno documentado no Brasil mas com investigação criminal escassa. Polícia Federal e Ministérios Públicos têm priorizado outros tipos. Volume individual baixo por vítima e dificuldade de atribuição contribuem. Casos corporativos com prejuízo significativo em cloud têm gerado ações cíveis mas raramente persecução penal.

(x) Implicações dogmáticas: cryptojacking é categoria com lacunas tipológicas que merecem atenção doutrinária. Construção dogmática brasileira deve articular (a) clarificação da tipificação aplicável (art. 154-A como tipo central, com concursos); (b) standard de prova em casos com atribuição difícil; (c) responsabilidade de plataformas que hospedam scripts maliciosos; (d) responsabilidade de provedores de cloud em casos de comprometimento; (e) cooperação internacional dado caráter transnacional. Categoria de relevância crescente proporcional ao valor de criptoativos.