* Artigo publicado originalmente na minha coluna do Valor Investe em 05 de julho de 2025

Na madrugada de 1º de julho de 2025, o sistema financeiro brasileiro acordou com um rombo bilionário. Algo como R$ 1 bilhão evaporaram em poucos minutos das contas de reserva de seis instituições financeiras. Só do banco BMP foram drenados R$ 541 milhões. Inicialmente atribuído a falhas técnicas, o caso teve um desfecho diferente: não houve invasão. O ataque foi facilitado por um agente interno, cooptado criminosamente, com acesso total e indevido ao ambiente de produção.

A engenharia humana por trás do ataque

Apesar de diversas análises técnicas circularem, com foco em vulnerabilidades de software, a realidade foi mais simples e mais grave: engenharia social. Segundo apuração da Polícia Federal e reportagens confirmadas, um funcionário ligado ao ambiente da C&M Software vendeu seus acessos — credenciais que, combinadas com configurações permissivas (como IPs fixos e VPNs mal geridas), permitiram o acesso direto e autorizado ao ambiente de produção.

Com privilégios ampliados, o grupo criminoso acessou subdomínios mal protegidos, sem criptografia e sem MFA, e dali gerou ordens de transferências usando perfis com permissões para isso. Como o sistema da ponta final (cliente da C&M) não exigia validações adicionais como double check de saldo, as transações passaram direto.

A engrenagem crítica que falhou

A C&M era responsável por uma parte vital, mas invisível, do sistema financeiro: ela encaminhava ordens de pagamento via SPB e Pix. Em vez de um ataque externo, foi um uso indevido de permissões internas, combinado com práticas frágeis de segurança e ausência de controles mínimos o grande gerador do problema.

A instituição mais atingida foi o banco BMP. Outras cinco também foram afetadas. O somatório de perdas especula-se atualmente que esteja na casa dos R$ 1,0 bilhão. Nenhum cliente comum foi impactado diretamente já que o evento afetou reservas bancárias mantidas no Banco Central — e abalou a confiança no modelo terceirizado de infraestrutura crítica.

Uma curiosidade disso é que pelo hack ter sido sob as reservas dos bancos junto ao Banco Central, um aspecto “lá casa de papel” aparece aqui, já que o dinheiro sumiu, mas nenhum cliente foi impactado. Como o Banco Central vai lidar com isso é a grande questão, já que essas reservas são a “garantia” que os bancos depositam lá para poder operar (fazer crédito etc.). E se não estão mais lá, como esses bancos continuam a fazer as operações? Índices de Basileia, por exemplo devem ter sido imensamente impactados.

Compartilhar

Quase 1% das reservas totais depositadas no Banco Central foi drenado

Com base em dados de julho de 2025, as reservas bancárias no país somavam cerca de R$ 110 bilhões. O ataque drenou quase 0,9% desse total. Esse rombo escancarou uma grande vulnerabilidade do sistema financeiro nacional — onde um único prestador de serviços tinha o permissão suficiente para na surdina da noite movimentar valores como esse.

A madrugada e o silêncio do sistema

O ataque ocorreu fora do horário comercial. Ordens de valor atípico foram enviadas e processadas sem nenhuma trava ou validação humana. Alertas soaram, mas aparentemente, algumas horas foram necessárias para que a resposta ocorresse. O processo operava sem verificação de origem, sem controle transacional e sem dupla autenticação. Um sistema que movimenta bilhões, funcionando no modo “confiança cega”. Dá para acreditar?

O herói improvável: Uma empresa Crypto

Enquanto o setor tradicional demorava a reagir, a cripto tomou a frente. A SmartPay, identificou rapidamente volumes atípicos de Pix para compra de USDT e BTC. Bloqueou, congelou, rastreou e devolveu. Agiu antes que o dano fosse maior. A resposta ágil dela — habituada a operar em ambientes sem garantias institucionais — expôs ainda mais a complacência do sistema tradicional. Infelizmente isso não foi padrão nas empresas crypto. As 5 principais exchanges crypto do Brasil tiveram aumentos consideráveis de volume nesse dia e, pelo menos até o momento, não ouvi nenhum relato de que alguma tenha bloqueado valores significativos.

BaaS: agilidade, mas com riscos

O modelo Banking-as-a-Service, que o Brasil utiliza, facilitou a entrada de novas fintechs no mercado. Mas ao centralizar a comunicação com o SPB em poucos provedores, criou pontos únicos de falha. O caso C&M revelou o que acontece quando fornecedores mantem práticas subótimas de segurança — e quando seus clientes não exigem o contrário.

A lição da Bybit

O caso lembra o hack recente da Bybit. Lá também houve uma falha de terceiros. Mas os fundos foram desviados on-chain — visíveis, rastreáveis. Rapidamente, analistas independentes mapearam tudo, e a empresa teve uma gestão de crise que considero exemplar. Já o SPB permanece uma caixa-preta. O mercado depende de rumores, vazamentos e silêncio institucional.

Compartilhar

Gestão de crise: silêncio que assusta

Até agora, apenas a C&M, BMA e Banco Paulista publicaram notas de que algo aconteceu, mas sem dados e números. O Banco Central não divulgou dados ou medidas claras. O valor de R$ 1 bi continua sendo uma estimativa. Não se sabe exatamente quantos bancos foram atingidos, nem qual o impacto real. Será que o total foi somente R$ 1,0 bi? 2 dias depois do ataque isso ainda não está esclarecido.

Além de ter desconectado a C&M no dia do hack, no dia 3 de julho, o Banco Central suspendeu cautelarmente três participantes do Pix (Transfeera, Nuoro Pay e Soffy) por entender que precisam melhorar questões de segurança, e causou uma grande confusão entre empresas que utilizam Fintrechs para pagamentos. Sei de uma pessoa que estava tendo que fazer mais de 300 PIX “na mão” na sua empresa por conta da suspensão dessas três empresas, só para dar um exemplo.

Voltando aos reguladores. Nenhuma explicação técnica foi divulgada. Enquanto isso, analistas seguem tentando entender o caso a partir de logs fragmentados e relatos de bastidor. Sim, a polícia já prendeu um suspeito que confessou ter dado acesso e provido chaves (senhas), mas e o processo? Como e por que esse programador tinha tanto acesso?

A diferença com o mundo crypto é clara. Lá, a transparência é default. Aqui, ela parece opcional.

E agora?

O Banco Central isolou a C&M temporariamente, suspendeu alguns outros provedores e iniciou investigações. Mas o problema é maior: o sistema permitiu acesso full a ambientes produtivos via credenciais; ignorou boas práticas de RSFN; aceitou a presença de usuários do fornecedor com privilégios ampliados; e deixou brechas como payloads abertos, ausência de MFA, e validações de saldo inexistentes. Isso tudo sem contar que qualquer sistema de AI, até os mais “burrinhos” teriam dado alertas de movimentações fora do padrão automaticamente. Sem contar que em um fluxo bem implementado, isso deveria requerer escalonamento de autorizações devido aos volumes serem expressivos para os horários.

Se o ataque foi possível sem qualquer invasão técnica — apenas com uso de permissões concedidas — a fragilidade está no modelo de confiança. E quem opera sistemas com esse nível de exposição precisa revisar tudo: de arquitetura técnica à gestão de acessos, da governança dos prestadores à validação operacional.

Crypto, por viver no caos, tem aprendido a não confiar em ninguém. Verifica tudo. Audita tudo. E cópia grande parte dos seus processos dos “infalíveis” processos que o sistema financeiro tradicional criou ao longo das últimas décadas. Será que já está na hora de Tradfin começar a copiar os processos de crypto?

No fim, o que parecia inicialmente um ataque técnico muito sofisticado, revelou-se uma combinação de descuido, concentração de poder e engenharia social. Se isso foi suficiente para tirar quase 1% das reservas bancárias do país, a questão já não é se vai acontecer de novo. É onde — e quando.

Nesse cenário ainda bem que os grandes bancos acabam internalizando essas áreas mais críticas e não dependendo de terceiros. Isso ajuda e muito a termos um sistema menos suscetível a um risco sistêmico devido a ocorridos como esse.

Que esse episódio sirva de aprendizado concreto para aumentar a robustez do sistema. Governança, processos, segurança cibernética e auditoria não podem ser lembrados apenas nos momentos de crise. Precisam ser estruturais, permanentes — e prioridade de quem opera infraestrutura crítica.

Deixe um comentário

—

Utilizado nessa análise:

· Suspeito recebeu R$ 15 mil para facilitar golpe com Pix, diz delegado

· Boletim de segurança Asper

· BC suspende instituições acusadas de receber recursos de ataque hacker | Serviços Financeiros | Valor Investe

· EXCLUSIVO: Hackers levam mais de R$ 1 bilhão de ‘banking as a service’ - Brazil Journal

· Veja o que se sabe sobre o ataque hacker que desviou quase R$ 1 bilhão - Estadão

· Maior Ataque Hacker ao SPB: Roubados >R$ 1 Bi via C&M Software

· Ataque hacker ao sistema financeiro: BMP perdeu, sozinha, R$ 541 milhões; outras instituições também foram afetadas | Economia | G1

✨ Exclusividade FinTrender ✨
🚀 Garanta sua Gota Exclusiva FinTrender, totalmente GRATUITA e celebre sua conexão especial com o universo FinTrender.
➡️ Acesse Gotas.social e use o código HACKBCBVI para resgatar a sua.
💡 Não perca essa oportunidade no universo Web3, powered by Gotas!

Seguimos em contato nos links abaixo:
FinTrender.com, YouTube, LinkedIn, Instagram, Twitter, Facebook e podcast FinTrender