Na tarde de 1º de julho de 2025, criminosos cibernéticos invadiram a C&M Software – empresa autorizada pelo Banco Central do Brasil para acesso às mensagens do Sistema de Pagamentos Brasileiro (SPB) – e desviaram mais de R$ 1 bilhão das contas reserva de diversas instituições financeiras, incluindo BMP, Bradesco e Credsystem, convertendo os recursos em bitcoin e USDT em exchanges e mesas OTC.
O ataque explorou falha nos APIs e webservices da C&M, que intermedeia a comunicação entre bancos, fintechs e o BC para operações de Pix, TED e Débito Direto Autorizado (DDA). Segundo o comunicado da própria companhia, “a ação criminosa incluiu o uso indevido de credenciais de clientes para tentar acessar de forma fraudulenta seus sistemas e serviços”.
Em nota oficial, o Banco Central informou que determinou o desligamento imediato dos acessos da C&M às suas infraestruturas de mensageria, a fim de mitigar riscos adicionais. “A C&M Software, prestadora de serviços de tecnologia para instituições que não possuem conexão própria, comunicou ataque à sua infraestrutura tecnológica. O Banco Central determinou à C&M o desligamento do acesso das instituições às infraestruturas por ela operadas”, afirmou a autoridade monetária.
Após o rompimento da segurança, os hackers fragmentaram as ordens de saque e as enviaram via Pix para diferentes provedores de criptomoedas. Em seguida, adquiriram bitcoin e USDT, dificultando o rastreamento dos ativos.
Considerando a cotação do bitcoin em R$ 589.369,32 na manhã de 2 de julho de 2025, o montante furtado equivale a aproximadamente 1.700 BTC.
O episódio remete ao assalto cibernético contra o Bangladesh Bank em 2016, atribuído ao grupo Lazarus, que resultou na emissão de instruções SWIFT fraudulentas para desviar US$ 101 milhões antes de ser parcialmente detido.
Especialistas em segurança apontam que, embora o SPB seja considerado uma das infraestruturas financeiras mais robustas do mundo, a terceirização de APIs e serviços críticos ajuda a expandir a superfície de ataque. Agora, o Banco Central e a Polícia Federal deflagram investigações conjuntas para identificar os responsáveis, reforçar protocolos de segurança e recuperar parte dos ativos desviados.
Para acompanhar em tempo real as desdobramentos deste caso e outras notícias sobre mobilidade, política e economia, siga o DFMobilidade em nossas redes sociais:
- Twitter: https://twitter.com/dfmobilidade
- Facebook: https://facebook.com/dfmobilidade
- Instagram: https://instagram.com/dfmobilidade
