TL;DR: Em 4 de maio de 2026, entre 14:11:06 e 14:12:18 UTC, o multisig da Tether enviou 19 propostas de
addBlackListmirando endereços Tron ligados ao esquema Ponzi DSJ Exchange / BG Wealth Sharing — e executou todas em um único lote de transações. Total congelado: $38,430,800.62. Janela de congelamento média: 70 segundos. Fugas durante a janela: zero. O lote é o maior congelamento de USDT em bloco único na Tron já registrado por nós — 4,4 vezes maior que o lote anterior. ZachXBT, que coordenou a operação com Tether, Binance, OKX e autoridades dos EUA, afirma que o esquema movimentou mais de $150M no total, com $92M lavados entre cadeias na semana anterior ao congelamento. Total recuperado até agora: cerca de $41.5M, ou aproximadamente 28%.
Às 14:11:06 UTC de 4 de maio de 2026, o multisig de USDT na Tron começou a enviar propostas addBlackList mirando carteiras controladas por um Ponzi que se autodenominava DSJ Exchange. Eram 19 ao todo. Três segundos depois, todas as 19 estavam on-chain. Setenta e dois segundos após a primeira proposta chegar, todas haviam sido executadas. O lote travou $38.4 milhões em 19 endereços em uma única transação.
Em toda a história da lista negra de USDT na Tron, nenhum outro lote coordenado chega perto. O segundo maior — oito endereços, $8.72 milhões, em 31 de março de 2026 — representa menos de um quarto do volume. Confirmamos o resultado com dois pipelines de análise independentes (Python com psycopg2 e Go com pgx/v5), que retornaram números idênticos.
Os alvos tinham nome: DSJ Exchange, também grafada como DSJEX, a fachada de plataforma de trading do Ponzi chamado BG Wealth Sharing. Segundo o investigador on-chain ZachXBT, que divulgou a operação em 5 de maio, o esquema movimentou mais de $150 milhões em depósitos desde 2025 e drenou silenciosamente $92 milhões através de pontes entre cadeias e agregadores DEX nos sete dias anteriores ao congelamento.
Não foi uma lista negra de rotina. Foi um bloqueio coordenado — os signatários do multisig da Tether agindo ao lado da segurança da Binance, da OKX e das autoridades norte-americanas, todos trabalhando a partir da investigação de ZachXBT. No lado da Tron, quando o momento chegou, todas as propostas caíram ao mesmo tempo.
O bloqueio em nível de bloco
A maioria dos congelamentos de USDT na Tron acontece um endereço por vez. Um signatário do multisig envia uma proposta addBlackList, outros signatários confirmam e, quando o limiar (atualmente 2-de-N) é atingido, o congelamento é executado. Na Tron, onde a latência do multisig é curta, a janela típica é de cerca de 60 a 80 segundos. Essa janela — o que chamamos de janela de congelamento — é o intervalo que analisamos anteriormente e identificamos ter sido explorado 449 vezes, com mais de $215 milhões em fundos escapando.
O dia 4 de maio foi diferente em escala e sincronização, embora não em duração: a janela foi de 70 segundos, dentro do normal. Aqui estão os 19 endereços do lote principal, congelados às 14:12:18 UTC:
Total: $38,430,800.62 em 19 endereços, todos executados no mesmo lote de transações em 2026-05-04 14:12:18 UTC.
O que a distribuição revela
A Figura 1 plota os 19 endereços do lote principal pelo valor congelado. Os $38.4 milhões não estavam distribuídos uniformemente: um único endereço — TAQa4FZweNjbxq69adEhPnFQeKZqkN1pJa — concentrava $9.43 milhões, cerca de um quarto do total.
Olhando o fluxo de entrada recente nessa carteira, vê-se o padrão de consolidação típico de quando um operador costura pequenos depósitos em uma única carteira de gasto antes de enviá-los adiante: entre 07:19 e 07:54 do dia 2 de maio, quatro transferências somando $2.4 milhões chegaram de um único endereço alimentador, TKPTe5J5NzXyscatzqVmjrjWPy4av3mjfr.
Os 18 endereços restantes se dividiam em duas faixas claras:
- 11 carteiras na faixa de $2M — dez com exatamente $2,000,000.00 e uma com $2,000,010.54
- 7 carteiras na faixa de $1M — cinco com exatamente $1,000,000.00, mais $1,000,010 e $1,000,008.08
Esse tipo de empilhamento em números redondos — $1M, $2M, $1M, $2M — é a assinatura de um operador manual abastecendo carteiras quentes em lotes fixos, e não de uma distribuição por contrato inteligente ou de uma varredura automatizada. Alguém estava completando carteiras à mão, provavelmente antes de um pagamento que nunca chegou.
Os três valores quebrados ($2,000,010.54, $1,000,010.00 e $1,000,008.08) parecem ajustes de “depósito mais crédito de rendimento”, em que a carteira recebe um valor redondo e depois ganha uma pequena taxa ou acréscimo de juros. Dentro de um Ponzi, esses microajustes geralmente apontam para uma camada de contabilidade interna que simula rendimento — livros se mexendo, sem produto real por trás. Os valores são redondos demais para um P&L de trading legítimo; é racionamento.
Por que zero fugas
Tratamos do problema da janela de congelamento em detalhes em fevereiro. Em 8.310 congelamentos executados na Tron e na Ethereum, 449 — ou 5,4% — apresentaram pelo menos uma transferência de saída entre o envio da proposta e a execução. Total escapado: $215.5 milhões. Só o número de 2025 foi de $141.7 milhões.
A pergunta natural para 4 de maio, então: quantos dos 19 endereços tentaram fugir durante a janela de 70 segundos? Rodamos a mesma consulta nos pipelines em Python e Go contra o conjunto de dados on-chain; ambos retornaram a mesma resposta: zero. Nenhuma transferência de qualquer uma das 19 carteiras durante a janela de 69 a 72 segundos em que cada proposta esteve on-chain mas ainda não executada.
Estatisticamente, não é o que se esperaria. Uma taxa histórica de fuga de 5,4% prevê que aproximadamente um dos 19 fugisse; a taxa específica da Tron, de 6,2% em 2025, prevê um pouco mais. Nenhum dos dois aconteceu. Quando 19 endereços são atingidos de uma vez, o operador precisa escolher quais drenar em 70 segundos, e o operador da DSJ não escolheu nenhum.
Escolher todos também não era realmente uma opção. Resgatar $38.4 milhões em 70 segundos significaria transmitir 19 transferências separadas, assinar cada uma e confirmá-las dentro da janela de congelamento. O tempo de bloco da Tron é de cerca de 3 segundos, o que dá um orçamento de 23 blocos — viável para uma ou duas transferências, não para 19. Mesmo com transações pré-assinadas e um signatário quente, o operador competiria com sua própria ordenação de nonces, estimativas de gás e reverts de contrato nesse volume.
O operador da DSJ não tentou. Não houve drenagens parciais, transmissões pendentes nos blocos relevantes, nada que se pareça com um botão apertado em pânico. Em nossa análise dos $215M, fugas bem-sucedidas costumavam ocorrer de 12 a 24 segundos após o envio da proposta — bem dentro da janela. Operadores que fogem são operadores que estão observando ao vivo; o operador da DSJ não estava.
A Figura 2 mostra a linha do tempo de 14:11:06 a 14:12:18, com a janela sombreada. Cada carteira permaneceu intocada durante toda a janela.
Uma coisa que a cadeia não pode nos dizer: se o operador sabia que o congelamento estava chegando e decidiu não reagir, ou se o lote realmente o pegou desprevenido. O rastro mostra apenas que nada tentou sair.
Por trás dos números: o que era a DSJ
As propostas addBlackList não dizem por que uma carteira está sendo congelada. O porquê veio da divulgação de ZachXBT, confirmada por alertas paralelos de reguladores em pelo menos cinco jurisdições.
A DSJ Exchange — DSJEX — era a fachada. A BG Wealth Sharing era a camada de recrutamento. Juntas, operavam o que o BehindMLM classifica como um Ponzi de “apertar um botão”: os usuários eram instruídos a depositar USDT e depois colar “sinais de trading” enviados pelo WhatsApp, BonChat e Telegram em uma plataforma de trading falsa que exibia ganhos fabricados.
A oferta era de retornos diários de 1,3% a 2,6% — números que, compostos, dobram o dinheiro em cerca de 60 dias, o que já deveria ter sido um sinal de alerta. O recrutamento se sustentava em comissões de indicação em múltiplos níveis. A credibilidade vinha de um CEO fictício chamado “Stephen Beard” (a pessoa não existe). A evasão vinha do rodízio de domínios: bg877.com, bg661.com, dsjex.net, dsj89.com, dsjex123.com e pelo menos meia dúzia de variantes.
Os reguladores perceberam bem antes da ação on-chain. A Comissão de Valores Mobiliários de Alberta emitiu um alerta em 17 de fevereiro de 2026. O Departamento de Comércio de Utah seguiu em 10 de março. O DFI do estado de Washington alertou em 10 de abril. O Banco da Reserva de Tonga emitiu seu próprio alerta sobre a variante voltada para a diáspora — a DSJ recrutava ativamente vítimas tonganesas, neozelandesas e australianas. A Unidade de Inteligência Financeira de Nauru fez o mesmo, observando que o aplicativo BG Wealth continha malware que extraía dados dos usuários junto com o dano financeiro.
Nenhum desses alertas congelou um único dólar.
Essa lacuna merece peso. Cinco jurisdições, a mais antiga emitida mais de dois meses antes do congelamento, todas dizendo ao público que essas carteiras estavam ligadas a uma fraude — e nenhuma tinha autoridade unilateral para travar os fundos. O congelamento de stablecoins fica fora do perímetro regulatório no qual a maioria dos órgãos de proteção ao consumidor opera, então as agências podiam alertar, mas não agir on-chain.
Aí, em 2 de maio, os operadores fizeram o que todo Ponzi em colapso faz: inventaram um motivo para exigir mais dinheiro. Segundo o resumo da fraude da IFW Global, os participantes foram informados de que o projeto faria IPO e que precisariam pagar um “imposto” de 12% antes que os saques pudessem ser retomados. Os saques já estavam suspensos. Os 12% eram o bombeamento final — espremer o último rendimento das vítimas que ainda queriam acreditar que a operação era real. A Tether travou as carteiras dois dias depois.
O dinheiro que já tinha saído
A cifra de $38.4 milhões é menor do que parece. A investigação de ZachXBT rastreou cerca de $92 milhões circulando pela rede entre 27 de abril e 3 de maio, na janela de sete dias entre o alerta de Washington e o congelamento. A maior parte saiu antes que qualquer endereço do lote de 4 de maio fosse marcado.
A rota relatada:
- Pontes entre cadeias, incluindo Bridgers, Butter Network e USDT0, para tirar valor da Tron e levá-lo a cadeias onde a Tether não pode congelar unilateralmente
- Loops de embrulhar e desembrulhar USDD para ofuscar o rastro através de uma stablecoin que a Tether não emite
- Aterrissagens finais em endereços de depósito de exchanges e carteiras de clusters OTC
Cada uma é um obstáculo diferente para a recuperação. Pontes adicionam atraso de finalidade e uma cadeia de destino com ferramentas de recuperação distintas. O USDD é uma stablecoin algorítmica nativa da Tron; embrulhar e desembrulhar nele borra o rastro sem sair da infraestrutura nativa da Tron. E uma vez que os fundos chegam a exchanges ou mesas OTC, a recuperação vira um problema de processo legal, não mais on-chain.
O total recuperado até agora, segundo ZachXBT, é de cerca de $41.5 milhões. O congelamento do USDT na Tron acaba de percorrer contas no valor de $38.4 milhões; os cerca de $3.1 milhões restantes vieram de ações coordenadas da Binance, da OKX e de outras plataformas com rampas fiduciárias ligadas à operação. Diante dos $150M+ que ZachXBT cita como volume total de depósitos, a taxa de recuperação é de aproximadamente 28%.
Não é um bom número para as vítimas, mas não é surpreendente. Quando um Ponzi colapsa visivelmente, a maior parte do que vai sair já saiu — geralmente semanas ou meses antes, no gotejamento lento do desvio do operador. O congelamento que cai no fim não é, na verdade, uma recuperação; é uma contenção. Os $92M não vão voltar. O que o congelamento faz é impedir que os próximos $38.4M se juntem a eles.
O ganho plausível em casos assim está mais a montante: pipelines mais rápidos do regulador para o emissor, clusters de carteiras pré-marcados que possam ser congelados em lote antes do colapso público. Nada disso existia para a DSJ. O congelamento só chegou após o colapso, o que limitou o que podia ser salvo.
Por que esse congelamento foi mais rápido do que a maioria
A janela média de 70 segundos em 4 de maio é rápida, mas não é recorde para a Tron. Já vimos lotes do multisig na Tron executarem em menos de 3 segundos quando os signatários já estavam alinhados — um lote de 23 endereços em 11 de março de 2026 teve média de 2,7 segundos. O que tornou o 4 de maio incomum não foi a janela. Foi a simultaneidade.
Para entender por que a simultaneidade importa mais que a duração da janela, veja como um operador de Ponzi costuma reagir a um congelamento isolado:
- Ele monitora o contrato multisig em busca de propostas
addBlackListrecebidas (algo que muitos operadores automatizam — o contrato é público). - Quando uma proposta mirando sua carteira chega, ele tem cerca de 70 segundos para transmitir uma transferência antes da execução.
- Se estiver preparado — com transações pré-assinadas prontas, automação observando o mempool — ele consegue.
É o que vemos nas 449 fugas históricas. A maioria dos operadores roda scripts que drenam automaticamente ao detectar uma proposta, e a taxa de fuga sobe quando esses scripts estão bem ajustados. É particularmente alta — 6,2% na Tron em 2025 — para operadores rodando bots de drenagem ativos.
O modo de falha desses bots é a parte interessante. Eles foram feitos para lidar com um endereço por vez. Quando 19 propostas chegam em uma janela de 3 segundos, todas mirando carteiras controladas pelo mesmo operador, a lógica de drenagem não escala: cada transação de drenagem precisa ser assinada, transmitida e confirmada, e cada uma disputa com as outras as posições na sequência de nonces do mesmo operador. A capacidade de assinatura é limitada, e 19 propostas simultâneas estouram esse limite, independentemente do hardware ou da qualidade do script.
Chame de defesa por bloqueio simultâneo em lote: ao saturar a capacidade de reação do operador, o multisig fecha a janela de congelamento que existiria para qualquer endereço isolado. A janela não fica mais curta — ela simplesmente se torna intransponível nesse volume. A Figura 3 mostra a diferença estrutural entre um congelamento de endereço único (que um bot de drenagem comum consegue derrotar) e um lote coordenado de 19 carteiras (que ele não consegue).
O padrão de defesa depende de três coisas:
- Signatários do multisig pré-posicionados, prontos para confirmar em segundos em vez de minutos, com a lista de endereços pré-distribuída
- Envio coordenado, com todas as propostas chegando on-chain em sucessão próxima (3 segundos, neste caso)
- Completude da lista de endereços, de modo que nenhuma carteira sucessora óbvia continue utilizável após o lote
A coordenação de ZachXBT com Tether, Binance e OKX forneceu os dois primeiros. A completude da lista de endereços é a parte que não conseguimos avaliar plenamente apenas com dados on-chain.
Colocando o 4 de maio em contexto
Para classificar o que aconteceu, extraímos todo congelamento em lote de USDT na Tron em que um único timestamp de execução cobriu cinco ou mais endereços, ordenado por valor total. A consulta foi validada cruzadamente em Python e Go.
| Posição | Data (UTC) | Endereços | Total Congelado | Janela Média |
|---|---|---|---|---|
| 1 | 2026-05-04 14:12:18 | 19 | $38,430,800.62 | 70.3s |
| 2 | 2026-03-31 20:57:15 | 8 | $8,724,744.65 | 74.6s |
| 3 | 2026-03-27 19:32:24 | 7 | $5,570,189.95 | 71.1s |
| 4 | 2026-03-31 20:57:18 | 7 | $4,171,169.54 | 74.1s |
| 5 | 2026-03-27 19:32:27 | 9 | $3,776,144.95 | 71.0s |
O lote da DSJ é 4,4 vezes maior que o recorde anterior. Em toda a história dos congelamentos em lote de USDT na Tron em nosso conjunto de dados — que vai até 2020 — nenhum lote coordenado isolado chega perto.
Um enquadramento mais útil que o gráfico de manchete: dos mais de $1.29 bilhão congelados em USDT na Tron em 2026 até agora, o lote da DSJ representa cerca de 3% do total do ano em uma única janela de 72 segundos numa tarde — um operador, um esquema, uma operação coordenada. Com o passar do tempo, este será o estudo de caso que as equipes de compliance vão citar quando explicarem como é o congelamento coordenado em escala.
O que este caso mostra
A maior variável na recuperação não é a velocidade com que o multisig assina — é se a carteira ainda tem algo dentro quando a proposta chega. Na hora em que o lote de 4 de maio caiu, $92M já haviam sido lavados na semana anterior, então o congelamento travou $38.4M, mas o teto de recuperação já estava definido sete dias antes. Um pipeline de compliance que ganha sete dias de antecedência na detecção supera um pipeline que economiza 15 segundos na assinatura. E a taxa de recuperação de 28% é mais ou menos o teto realista para operações tardias contra Ponzis: quando um esquema colapsa visivelmente, a maior parte do que está saindo já saiu, então congelar após o colapso é contenção, não restituição. Os ganhos estão a montante — nos meses em que as vítimas ainda estão depositando e o operador ainda está desviando. O dia 4 de maio foi a ação certa; só não foi o momento certo para uma fatia maior de recuperação.
A lavagem entre cadeias continua sendo o buraco aberto. Os $92 milhões que se moveram entre 27 de abril e 3 de maio passaram por agregadores DEX, três pontes e um loop de stablecoin embrulhada. Emissores de stablecoin podem congelar em sua cadeia nativa, mas não podem desfazer um trânsito por ponte, então a recuperação fica limitada por quanto do volume lavado sai da cadeia de emissão. E embora cinco jurisdições tenham alertado sobre a DSJ entre 17 de fevereiro e 27 de abril, nenhum desses alertas impediu um único dólar de sair. A governança das stablecoins é onde a ação acontece on-chain; tudo o mais é sinalização. Equipes de compliance que tratam os avisos regulatórios como gatilhos, e não como ponto final, pegam operações mais cedo.
O lote de 4 de maio também levanta um ponto estrutural sobre o desenho da defesa. Enviar 19 propostas em 3 segundos não economizou apenas tempo dos signatários — saturou a janela de reação do operador de uma forma que nenhum congelamento de endereço único consegue. Quando se mira um cluster conectado, agrupar é uma defesa, não apenas uma conveniência de fluxo. O ganho está na simultaneidade, não na velocidade.
Uma nota sobre o Phalcon Compliance
Acompanhamos cada proposta de congelamento executada e pendente em USDT na Ethereum e na Tron pelo BlockSec USDT Freeze Dashboard. Os 19 endereços do lote principal estão todos linkados acima. Para equipes de compliance que precisam de alertas em tempo real sobre propostas de congelamento mirando carteiras em seus portfólios — incluindo a janela de congelamento, em que transferências de fuga ainda são possíveis — o produto Phalcon Compliance roda os mesmos dados por uma API de triagem.
Para a DSJ, os dados sempre estiveram lá. O congelamento aconteceu porque alguém — ZachXBT, neste caso — conectou o rastro de lavagem a uma lista limpa de endereços, e os signatários do multisig estavam prontos quando o lote caiu. Essa coordenação é a parte que leva semanas de trabalho investigativo; a execução on-chain, depois que se tem uma lista limpa e signatários alinhados, é questão de segundos.