Artigo atualizado às 10h49: Novas informações indicam que mesas de OTC se recusaram a processar a conversão para cripto.

O sistema financeiro nacional tremeu na tarde da última segunda-feira (01) com um ataque hacker de proporções alarmantes. Contas de reserva do Banco Central do Brasil foram invadidas, resultando no desvio de mais de R$ 1 bilhão em ativos pertencentes a seis instituições financeiras, incluindo BMP, Bradesco e Credsystem. Apesar do impacto inicial, o Bradesco declarou oficialmente que não foi afetado diretamente pelo ataque.

A brecha de segurança ocorreu na C&M Software, uma empresa autorizada e supervisionada pelo próprio Banco Central. A C&M Software é responsável por fornecer APIs e webservices que garantem o acesso direto às mensagens do Pix, TED, DDA e outros sistemas cruciais do Sistema de Pagamentos Brasileiro (SPB), facilitando a comunicação entre bancos, fintechs e outras entidades financeiras.

Em comunicado oficial, a C&M Software declarou que está colaborando ativamente com as autoridades competentes, incluindo o Banco Central e a Polícia Civil de São Paulo, para auxiliar nas investigações em curso.

A empresa se declarou vítima direta da ação criminosa, que envolveu o uso indevido de credenciais de clientes para tentar acessar seus sistemas e serviços de forma fraudulenta. A C&M Software enfatizou que, por orientação jurídica e em respeito ao sigilo das apurações, não divulgará detalhes do processo, mas assegurou que todos os seus sistemas críticos permanecem íntegros e operacionais, e que as medidas de segurança previstas nos protocolos foram integralmente executadas.

O Banco Central do Brasil confirmou o ataque, mas optou por não divulgar os valores oficiais do montante roubado.

Em nota oficial, o Banco Central informou que a C&M Software, prestadora de serviços de tecnologia para instituições provedoras de contas transacionais que não possuem meios de conexão própria, comunicou um ataque à sua infraestrutura tecnológica. Diante da situação, o Banco Central determinou à C&M o imediato desligamento do acesso das instituições às infraestruturas por ela operadas.

A Rota Cripto: Tentativa Frustrada de Lavagem?

Após o roubo, os hackers tentaram converter os valores desviados em criptomoedas, utilizando diferentes provedores que operam com Pix, como exchanges, gateways, sistemas de swap integrados ao Pix e mesas OTC, com o objetivo de adquirir USDT e Bitcoin.

Em um dos casos, ao detectar um volume incomum de transações, um provedor bloqueou as operações, alertou a BMP (uma das instituições mais afetadas) e impediu a conversão dos valores em USDT.

No entanto, informações indicam que um fluxo significativo de operações foi identificado em outras empresas do setor. Fontes revelaram que, ao analisar os endereços e o volume de transações dessas empresas na tarde do incidente, é possível rastrear parte dos valores desviados para a compra de criptoativos.

Segundo fontes ligadas às empresas, parte dos recursos já foi bloqueada nos bancos e muitas mesas de OTC cripto negaram tanto o cadastro quanto as operações dos hackers.

Rocelo Lopes, CEO da SmartPay e criador da carteira de auto-custodia Truther, informou que detectou uma atividade atípica em ambas as plataformas ainda na madrugada do dia 30 de junho, elevando automaticamente os filtros de validação nas compras de USDT e Bitcoin.

Segundo ele, grandes somas de dinheiro foram retidas, e o processo de devolução para as instituições envolvidas foi iniciado imediatamente.

Lopes preferiu não divulgar os valores para preservar as empresas envolvidas, mas se colocou à disposição das autoridades e instituições para auxiliar nas operações envolvendo criptoativos.

"Nos últimos anos, adquirimos muita experiência em monitorar transações suspeitas envolvendo criptoativos, através de ferramentas que adquirimos e processos que criamos, alinhado com o amplo conhecimento do mercado e da tecnologia da Blockchain. Acredito que podemos ajudar muito nesse incidente", declarou Lopes.

Ainda não há informações oficiais sobre a quantia exata do valor roubado que foi efetivamente convertida em criptomoedas.

Após o incidente, a C&M Software foi desconectada do ambiente do Banco Central, e as autoridades competentes estão conduzindo uma investigação detalhada sobre o ocorrido.

O Maior Ataque Hacker da História?

Fontes ligadas à investigação na Polícia Federal apontam que este caso já é considerado o maior ataque hacker da história do sistema financeiro nacional.

Em nota, a BMP informou que as contas reserva são mantidas diretamente no Banco Central e utilizadas exclusivamente para liquidação interbancária, sem qualquer relação com as contas de clientes finais ou com os saldos mantidos dentro da BMP.

"Reforçamos que nenhum cliente da BMP foi impactado ou teve seus recursos acessados. No caso da BMP, o ataque envolveu exclusivamente recursos depositados em sua conta reserva no Banco Central. A instituição já adotou todas as medidas operacionais e legais cabíveis e conta com colaterais suficientes para cobrir integralmente o valor impactado, sem prejuízo a sua operação ou a seus parceiros comerciais. A BMP segue operando normalmente, com total segurança, e reforça seu compromisso com a integridade do sistema financeiro, a proteção dos seus clientes e a transparência nas suas comunicações", destacou a instituição.