Um simples Pix De R $ 18 milhões, realizados às quatro da manhã, chamou um aviso que expôs o maior roubo já registrado na infraestrutura financeira brasileira. A operação, em detalhes, reconstruída pelo Brasil Journal, mostra como os hackers exploraram a C&M Software Vulnerabilidades-uma empresa responsável pelo Mensageiro entre 293 instituições financeiras e o banco central para desviar cerca de US $ 800 milhões das chamadas contas de reserva.
Leia mais:
Diogo Jota, atacante de Liverpool e equipe portuguesa, morre aos 28
Como o ataque foi descoberto
De acordo com o Brasil Journal, o ataque começou quando um executivo do BMP, uma plataforma bancária como serviço (BAAs), foi avisado sobre uma transferência não autorizada. Ao verificar seu sistema de back-office, ele descobriu que outro pix inadequado havia sido realizado na conta de reserva da empresa, totalizando cerca de US $ 400 milhões em saques ilegais.
Carlos Eduardo Benitez, fundador da BMP, disse: “Nossa parte era de US $ 400 milhões, mas já recuperamos US $ 130 milhões. Nossos clientes estão 100% protegidos. Nenhuma conta de cliente foi afetada e nenhum dado foi vazado”.
A vulnerabilidade explorada no software C&M
O software C&M é classificado pelo Banco Central como fornecedor de serviços de tecnologia da informação (PSTI) e oferece APIs que permitem que a Fintechs se conecte ao sistema de pagamento brasileiro (SBP) sem sua própria infraestrutura.
Foi por essa “porta” que os criminosos, armados com credenciais legítimas, iniciaram uma série de transferências em minutos, respeitando todos os critérios de segurança técnica exigidos pelo banco central.
Ordem legal para fraude ilícita
Uma fonte próxima à autoridade monetária explicou ao Brasil Journal: “O que veio foi uma ordem legal, que veio do participante do sistema, por meio de seu fornecedor. Foi uma ordem que atendeu a todos os critérios de segurança da BC”. A situação foi comparada a “uma compra correta de chip e senha em um cartão de crédito”.
Medidas de emergência e a busca pelo ponto de falha
Para tentar conter novas fraudes, a própria C&M desativou temporariamente o PIX de instituições afetadas e trabalha em parceria com o banco central para identificar o ponto exato de vulnerabilidade que permitiu o ataque.
De acordo com a mesma fonte do BC, “o processo de segurança é um aprendizado dinâmico e contínuo … há lições a serem extraídas deste episódio”.
A rota de fuga para criptomoedas
Depois de retirar os valores, os hackers correram para convertê-los em criptomoedas, especialmente USDT (Tether) e Bitcoin, usando fornecedores integrados ao PIX, OTC (Over-the-Country) e Exchange.
Rocelo Lopes, CEO da SmartPay e criador da carteira digital Truther, identificou uma atividade atípica às 12h18 de 30 de junho:
“Congelamos ótimas somas e retornamos às instituições envolvidas. Se o sistema tivesse mecanismos para analisar transações atípicas, esse problema não teria acontecido … Nesta era da AI, você não tem uma IA que pode analisar isso é complicado”.
Apesar da retenção pontual, parte do dinheiro continua circulando em blockchains, dificultando o rastreamento definitivo e a recuperação total dos valores desviados.
O risco sistêmico e credibilidade do sistema financeiro
A invasão revelou fragilidade estrutural com precisão no link, onde a digitalização financeira avança mais rápido: mensageiros que conectam bancos digitais, fintechs e cooperativos ao núcleo do banco central.
Ao contrário dos grandes bancos, que têm links diretos e robustos, as instituições menores dependem de Pstis terceirizados para acessar o sistema de pagamento brasileiro.
A combinação perigosa: contas de reserva, liquidação instantânea e múltiplos agentes tecnológicos
Especialistas afirmam que a combinação de contas de reserva que mistura seus próprios fundos e clientes com liquidação instantânea via PIX, e a diversidade de agentes tecnológicos, criaram o ambiente ideal para um ataque coordenado em larga escala.
Se o valor não estiver totalmente recuperado, o BMP poderá sofrer uma perda líquida próxima a R $ 300 milhões-que representa metade de sua liquidez pré-establishment. Sete outras instituições também relatam perdas financeiras relevantes decorrentes do ataque.
A resposta das autoridades e perspectivas futuras
O Banco Central e a Polícia Federal ainda estão examinando toras e faixas de blockchain para medir o impacto real do ataque e propor novos protocolos para detectar anomalias reais de tempo.
O caso já foi tratado como “o ataque cibernético mais sofisticado e caro da história do país”, abrindo uma questão crucial: até que ponto as engrenagens digitais do sistema financeiro brasileiro preparadas para golpes cada vez mais tecnológicos, rápidos e sofisticados?
A importância da inovação e vigilância constantes no setor financeiro
Este incidente reforça a necessidade urgente de inovação constante na segurança da infraestrutura financeira brasileira. O uso da inteligência artificial para análise de transações preditivas, monitoramento real de tempo e integração das ferramentas de segurança pode ser decisiva na prevenção de futuras fraudes em larga escala.
Fortalecimento de mensageiros e treinamento tecnológico
Além dos bancos, fornecedores de tecnologia como o software C&M devem investir em certificações de segurança e segurança. O treinamento contínuo das equipes técnicas e a adoção dos padrões de segurança internacional são imperativos para proteger o sistema financeiro contra ataques cibernéticos cada vez mais sofisticados.
Cooperação entre setores para maior proteção
A cooperação entre autoridades reguladoras, instituições financeiras e provedores de tecnologia é fundamental para garantir que as vulnerabilidades sejam rapidamente detectadas e corrigidas, evitando impactos que possam comprometer a confiança do público no sistema financeiro nacional.
Conclusão
O episódio PIX de R $ 18 milhões que desencadeou o maior roubo de infraestrutura financeira brasileira serve como um alerta para todos os agentes envolvidos no ecossistema financeiro digital. A complexidade e a velocidade dos ataques exigem respostas ágeis, integração tecnológica e uma cultura de segurança reforçada para proteger a herança e a credibilidade do setor.