Está no Brasil 247
Um simples Pix de R$ 18 milhões às quatro da manhã disparou o alarme que expôs o maior roubo já registrado na infraestrutura financeira brasileira. A operação, reconstruída em detalhes pelo Brazil Journal, mostra como hackers exploraram vulnerabilidades da C&M Software — empresa que faz a “mensageria” entre 293 instituições e o Banco Central — para desviar cerca de R$ 800 milhões das chamadas contas-reserva.
Segundo o Brazil Journal, o ataque começou quando um executivo da BMP, plataforma de banking as a service, foi avisado de uma transferência não autorizada. Ao checar o back-office, descobriu que outros Pix indevidos haviam saído de sua conta reserva, somando R$ 400 milhões. “Nossa parte foi de R$ 400 milhões, mas já recuperamos R$ 130 milhões”, disse o fundador da BMP, Carlos Eduardo Benitez. “Nossos clientes estão 100% protegidos. Nenhuma conta de cliente foi afetada e nenhum dado foi vazado.”
Como o golpe atravessou o Sistema Brasileiro de Pagamentos
A C&M — classificada pelo BC como Provedora de Serviços de Tecnologia da Informação (PSTI) — oferece APIs que permitem a fintechs se conectarem ao Sistema Brasileiro de Pagamentos (SBP) sem infraestrutura própria. Foi por essa “porta” que os criminosos, munidos de credenciais legítimas, iniciaram uma série de transferências em minutos, respeitando todos os critérios técnicos de segurança exigidos pelo BC.
“O que chegou foi uma ordem lícita, que partiu do participante do sistema, por meio de seu prestador. Era uma ordem que atendia todos os critérios de segurança do BC,” relatou uma fonte próxima à autoridade monetária ao Brazil Journal, comparando o episódio a “uma compra com chip e senha corretos num cartão de crédito”.
Para tentar conter novas fraudes, a própria C&M desabilitou temporariamente o Pix das instituições afetadas e passou a trabalhar com o BC na identificação do ponto exato de falha. “O processo de segurança é dinâmico e contínuo de aprendizado… Há lições a serem extraídas desse episódio”, acrescentou a mesma fonte do Banco Central.
Conversão imediata em cripto: a rota de fuga
Depois de sacar os valores, os hackers correram para convertê-los em criptomoedas, sobretudo USDT e Bitcoin, usando provedores integrados ao Pix, mesas OTC e exchanges. Rocelo Lopes, CEO da SmartPay e criador da carteira Truther, percebeu atividade atípica às 0h18 de 30 de junho:
“Congelamos grandes somas e devolvemos às instituições envolvidas. Se o sistema tivesse mecanismos para analisar transações atípicas, esse problema não teria ocorrido… Nessa era de IA, você não ter uma AI que possa analisar isso é complicado.”
Apesar das retenções pontuais, parte do dinheiro continua circulando em blockchains, dificultando o rastreamento definitivo.
Risco sistêmico e credibilidade em xeque
A invasão expõe uma fragilidade estrutural justamente no elo onde a digitalização financeira avança mais rápido: as mensagerias que conectam bancos digitais, fintechs e cooperativas ao núcleo do BC. Ao contrário dos grandes bancos, que têm links diretos, as instituições menores dependem de PSTIs terceirizadas.
Para especialistas, a combinação de contas-reserva (onde se misturam fundos próprios e de clientes), liquidação instantânea via Pix e diversificação de agentes tecnológicos criou o ambiente perfeito para um ataque coordenado em larga escala. Se o montante não for recuperado, a BMP pode sofrer perda líquida próxima de R$ 300 milhões — metade de sua liquidez pré-incidente — e outras sete instituições também reportam prejuízos relevantes.
O Banco Central e a Polícia Federal seguem examinando logs e rastros em blockchain para medir o dano real e propor novos protocolos de detecção de anomalias em tempo real. Enquanto isso, o caso já é tratado como “o ataque cibernético mais sofisticado e caro da história do País”, deixando em aberto uma pergunta crucial: até que ponto as engrenagens digitais do sistema financeiro estão preparadas para golpes cada vez mais tecnológicos e velozes?
Foto reproduzida da Internet