Um ataque hacker à C&M Software, provedora que conecta instituições financeiras ao Banco Central do Brasil, resultou no desvio de aproximadamente R$ 800 milhões (US$ 140 milhões) em fundos de seis instituições bancárias. O incidente, considerado um dos maiores do tipo no país, foi possível após um funcionário da empresa vender suas credenciais de acesso por US$ 2.700 a cibercriminosos.
Segundo as investigações, os hackers usaram os dados para acessar o sistema responsável por operar transações via contas de reserva. Parte dos valores foi convertida em criptomoedas, como Bitcoin (BTC), Ether (ETH) e USD Tether (USDT), e posteriormente lavada em exchanges da América Latina e plataformas OTC, de acordo com o analista on-chain ZachXBT.
A polícia brasileira já prendeu o funcionário envolvido, que confessou ter repassado a senha após contato com membros do grupo criminoso.
Falhas estruturais e risco sistêmico
O caso evidencia a fragilidade de sistemas centralizados, que concentram riscos em pontos únicos de falha. Segundo especialistas, a crescente sofisticação de ataques cibernéticos — impulsionada por ferramentas de inteligência artificial — amplia o impacto potencial de incidentes como esse.
Relatórios da Chainalysis indicam que exchanges centralizadas (CEXs) foram alvo frequente de ataques no final de 2024, revelando uma tendência de exploração de sistemas que concentram altos volumes de dados e valores financeiros.
“Os cibercriminosos miram retornos massivos. Plataformas que armazenam milhões de senhas ou bilhões em capital se tornam alvos óbvios”, explica Eran Barak, CEO da Shielded Technologies.
Barak defende o uso de blockchains descentralizadas com tecnologias como provas de conhecimento zero (ZKPs) para mitigar riscos. Segundo ele, descentralizar os dados dispersa o risco e reduz a atratividade dos ataques.
“Com sistemas descentralizados, o ROI do hacker cai drasticamente. Em vez de milhões, ele teria que invadir uma carteira de cada vez. Simplesmente não vale o esforço.”
Investigação em andamento
O episódio se soma a uma série de casos recentes que colocam em xeque a resiliência das infraestruturas críticas de pagamentos no Brasil. A C&M Software informou que colabora com as autoridades e que adotou medidas técnicas e legais após identificar o ataque, mas optou por não comentar publicamente enquanto a investigação estiver em curso.
Ainda não está claro o impacto total sobre outras instituições financeiras conectadas à plataforma. O Banco Central não se pronunciou até o momento.
O caso reacende o debate sobre segurança cibernética no sistema financeiro nacional, em um momento em que o setor intensifica a digitalização de seus serviços e a integração com tecnologias emergentes.