Na madrugada, um PIX de R$ 18 milhões. Começava o assalto

Na madrugada de domingo para segunda, um executivo da BMP recebeu uma ligação de um banco, informando que R$ 18 milhões haviam sido transferidos da conta da empresa de banking as a service para aquele banco.

Era um PIX às 4 da manhã.

Alarmado, o executivo saiu de casa e foi até o escritório da BMP, onde verificou — ao contactar a C&M — que, apesar dos sistemas da própria BMP permanecerem intactos, diversos outros PIX não-autorizados haviam sido feitos.

No total, R$ 400 milhões haviam evaporado da conta da empresa.

O episódio era a ponta do iceberg de um ataque que, segundo estimativas preliminares do Banco Central, drenou R$ 800 milhões de oito instituições bancárias e não-bancárias.

O mais problemático: os recursos roubados foram tirados da chamada “conta reserva” que as instituições mantêm junto ao BC — uma conta que mistura dinheiro de clientes e da própria instituição.

O ataque cibernético – o mais sofisticado e mais caro já perpetrado no País até onde se tem conhecimento – joga luz sobre vulnerabilidades até então indetectadas na infraestrutura que interconecta o sistema financeiro, num momento em que cada vez mais players precisam se plugar no BC e em que o PIX oferece uma rota de fuga rápida para os criminosos.

O ataque começou na C&M Software, uma empresa que algumas instituições contratam para fazer a “mensageria” entre elas e o BC.

A C&M é o que se chama no jargão do setor de PSTI, uma provedora de serviços de tecnologia da informação. Hoje, sete empresas deste tipo, autorizadas e supervisionadas pelo BC, conectam 293 instituições à autoridade monetária.

São esses PSTIs que disponibilizam os APIs que dão acesso às mensagens do PIX, TED e outras funções do Sistema Brasileiro de Pagamentos – e é por esses sistemas que algumas instituições (tipicamente fintechs) têm acesso a suas contas reservas no BC. (Os bancões se conectam diretamente, sem intermediários.)

O hacker entrou por aquela porta, e a partir dali acessou as contas das instituições, fazendo múltiplos PIX em questão de minutos.

Uma fonte próxima ao Banco Central disse que os sistemas do BC estão íntegros e não foram atacados. “O que chegou foi uma ordem lícita, que partiu do participante do sistema, por meio de seu prestador. Era uma ordem que atendia todos os critérios de segurança do BC,” disse a fonte.

Essa fonte fez uma analogia com um cartão de crédito. “É como se tivéssemos recebido uma transação com o chip e a senha do cartão. Estava tudo certo. O que aconteceu é que o prestador foi enganado, dando acesso aos hackers a esses dados.”

O BC está trabalhando para identificar o ponto exato de vulnerabilidade que gerou a falha para fazer uma avaliação do que pode ser recuperado — e de como é possível aperfeiçoar os mecanismos de segurança do sistema.

“O processo de segurança é um processo dinâmico e contínuo de aprendizado. Pensando no ecossistema como um todo, há aprendizados a serem extraídos desse episódio,” disse essa fonte.

Na manhã de segunda-feira, tentando estancar novos ataques, a própria C&M desabilitou a função PIX para as instituições que haviam sido roubadas.

Na segunda à tarde, a BMP começou uma série de reuniões com o BC para contar o que estava lhe acontecendo e tentar entender o full picture.

“Nossa parte foi de R$ 400 milhões, mas já recuperamos R$ 130 milhões,” Carlos Eduardo Benitez, o fundador da BMP, disse ao Brazil Journal. “Nossos clientes estão 100% protegidos. Sempre prezamos pela segurança, que não é só cibernética, mas também de recursos. Nenhuma conta de cliente foi afetada e nenhum dado foi vazado.”

Se o resto do dinheiro não for recuperado, a BMP sofrerá um dano de cerca de R$ 300 milhões em sua liquidez, que era de R$ 600 milhões antes do ataque.

Rocelo Lopes, CEO da SmartPay e criador da carteira de auto-custódia Truther, disse ao CoinTelegraph Brasil que detectou que havia algum problema às 00:18 de 30 de junho. Lopes observou um movimento atípico em suas plataformas, o que o levou a robustecer os filtros de validação nas compras de USDT (um stablecoin de dólar) e Bitcoin.

Segundo ele, a empresa congelou grandes somas de dinheiro e as devolveu às instituições envolvidas.

“O coração do problema está nas mensagerias. Se não mudarem isso, isso vai acontecer de novo e outras instituições terão problemas,” Rocelo disse ao Brazil Journal. “Me chama muita atenção que não havia protocolos de segurança in place capazes de barrar isso porque, veja, isso não aconteceu às 3 horas da tarde, aconteceu depois da meia-noite!”

Rocelo disse que já houve outras invasões de contas reserva, mas sem repercussão na imprensa porque não interessa às instituições mostrar que foram hackeadas.

Há poucos dias, um banco de São Paulo foi hackeado. O dinheiro foi enviado de sua conta reserva para uma conta PF, de lá para uma OTC (uma empresa que recebe ordens de compra e venda de cripto), e de lá para a SmartPay, a empresa de Rocelo, onde a compra de uma stablecoin foi efetuada.

A SmartPay não achou a ordem estranha porque, apesar de grande (R$ 30 milhões), a OTC tinha um histórico de grandes operações com a casa.

“Para mim, é clara a fragilidade do sistema de mensageria. Se o sistema tivesse mecanismos para analisar transações atípicas, esse problema não teria ocorrido. Aliás, nessa era de AI, você não ter uma AI que possa analisar isso… é complicado.”