Criminosos se aproveitaram de uma falha na troca de mensagens do Sistema de Pagamentos Brasileiro (SPB) para transferir grandes somas de dinheiro para plataformas de criptomoedas. Banco Central e Polícia Federal já investigam o caso.
Na última segunda-feira (1º), o Brazil Journal divulgou que hackers acessaram contas de reserva vinculadas ao Banco Central e desviaram mais de R$ 1 bilhão de seis instituições financeiras, incluindo BMP, Credsystem e supostamente o Bradesco — que, em nota, negou ter sido afetado pelo incidente.
O ponto vulnerável foi a C&M Software, empresa supervisionada pelo Banco Central e responsável por fornecer APIs e webservices que permitem a comunicação entre bancos e instituições financeiras, viabilizando operações como Pix, TED e DDA.
A empresa afirmou estar cooperando com as investigações em curso, que envolvem o Banco Central e a Polícia Civil de São Paulo. Em comunicado ao Valor Econômico, a C&M declarou:
“A empresa é vítima direta da ação criminosa, que incluiu o uso indevido de credenciais de clientes para tentar acessar de forma fraudulenta seus sistemas e serviços. Por orientação jurídica e em respeito ao sigilo das apurações, a C&M não comentará detalhes do processo, mas reforça que todos os seus sistemas críticos seguem íntegros e operacionais, e que as medidas previstas nos protocolos de segurança foram integralmente executadas.”
O Banco Central confirmou o ataque, embora não tenha revelado o montante oficial dos valores envolvidos. Em nota, informou:
“A C&M Software, prestadora de serviços de tecnologia para instituições provedoras de contas transacionais que não possuem meios de conexão própria, comunicou ataque à sua infraestrutura tecnológica. O Banco Central determinou à C&M o desligamento do acesso das instituições às infraestruturas por ela operadas.”
Ainda segundo o Banco Central, as contas de reserva em si não foram comprometidas diretamente.
Conversão para criptomoedas
Informações recebidas pelo Cointelegraph indicam que, após o ataque, os valores começaram a ser direcionados para plataformas que operam com Pix, incluindo exchanges, serviços de swap integrados e mesas OTC, com o objetivo de adquirir criptomoedas como Bitcoin e USDT.
Em uma das situações, um provedor identificou movimentações suspeitas e bloqueou as transações, comunicando à BMP e impedindo que os valores fossem convertidos para USDT. Apesar disso, a fonte indicou que outras empresas do setor acabaram processando parte das transferências. A movimentação dos ativos pode ser monitorada observando os endereços e o volume das transações nas últimas horas.
Fontes ligadas às instituições relataram que uma parte do dinheiro foi bloqueada nos bancos e que diversas mesas de OTC recusaram tanto o cadastro quanto as operações dos responsáveis pelo ataque.
Rocelo Lopes, CEO da SmartPay e criador da carteira Truther, relatou ao Cointelegraph Brasil que detectou um comportamento anormal à meia-noite do dia 30 de junho e reagiu imediatamente:
"Nos últimos anos adquirimos muita experiência em monitorar transações suspeitas envolvendo criptoativos, através de ferramentas que adquirimos e processos que criamos, alinhado com o amplo conhecimento do mercado e da tecnologia da Blockchain acredito que podemos ajudar muito nesse incidente."
Ele explicou que grandes quantias foram bloqueadas e prontamente devolvidas às instituições afetadas. Por questões de segurança e confidencialidade, Lopes optou por não divulgar os valores.
Até o momento, ainda não se sabe exatamente quanto foi efetivamente convertido em criptoativos.
Investigação e desconexão da C&M Software
Logo após a identificação do ataque, a C&M Software foi desconectada da infraestrutura do Banco Central. As investigações seguem em andamento com o envolvimento direto das autoridades competentes.
Um dos maiores ataques da história financeira nacional
Fontes da Polícia Federal envolvidas na apuração consideram esse episódio o maior ataque hacker já registrado no sistema financeiro brasileiro.
A BMP, uma das instituições afetadas, esclareceu em nota que as contas de reserva são utilizadas exclusivamente para liquidações entre bancos e não têm qualquer ligação com as contas de clientes:
“Reforçamos que nenhum cliente da BMP foi impactado ou teve seus recursos acessados. No caso da BMP, o ataque envolveu exclusivamente recursos depositados em sua conta reserva no Banco Central. A instituição já adotou todas as medidas operacionais e legais cabíveis e conta com colaterais suficientes para cobrir integralmente o valor impactado, sem prejuízo a sua operação ou a seus parceiros comerciais. A BMP segue operando normalmente, com total segurança, e reforça seu compromisso com a integridade do sistema financeiro, a proteção dos seus clientes e a transparência nas suas comunicações.”
O artigo "Hackers roubam R$ 1 bilhão em contas do sistema financeiro nacional e tentam converter em Bitcoin e USDT " foi escrito por Cassio Gusson no site Cointelegraph.
