Detalhes emergem sobre o roubo bilionário que atingiu uma empresa de tecnologia que prestava serviços para diversas instituições financeiras, incluindo o Banco Central. As informações mais recentes revelam como o ataque se iniciou e a forma como as empresas afetadas foram alertadas.
INTELIGÊNCIA ARTIFICIAL
Resumo rápido gerado automaticamente
Na madrugada da segunda-feira, um executivo da BMP foi notificado sobre uma transação incomum: R$ 18 milhões transferidos via Pix de uma conta da empresa para um banco. Ao chegar no escritório, ele contatou a C&M, fornecedora de tecnologia para diversas instituições financeiras, e constatou a ocorrência de irregularidades nas operações.
Em um curto espaço de tempo, outras transferências de alto valor via Pix foram realizadas a partir da conta da BMP, que sofreu um prejuízo de R$ 400 milhões. Os invasores exploraram brechas no sistema de mensagens da C&M com as fintechs clientes, permitindo o acesso às contas das instituições e a execução de transferências sem serem detectados pelos mecanismos de segurança.
Pelo menos seis instituições tiveram “acesso não autorizado às contas reserva”, mantidas pelas empresas sem ligação com o dinheiro dos clientes. As estimativas atuais apontam para um prejuízo de R$ 800 milhões, podendo chegar a R$ 1 bilhão.
Simultaneamente, a SmartPay identificou um aumento repentino em compras de alto valor da stablecoin USDT e bitcoin, utilizadas para ocultar o dinheiro roubado e diluir a quantia em diversas contas e moedas. A SmartPay informou ter conseguido congelar “grandes somas” movimentadas e restituir o valor às empresas.
Os sistemas da BMP e do Banco Central não foram invadidos. A investigação aponta que o problema se concentrou na C&M, que atua como intermediária no setor, oferecendo APIs e sistemas de acesso a funções de pagamento como Pix e TED.
Empresas de comunicação como a C&M já apresentaram vulnerabilidades anteriormente, em casos pouco divulgados. Em tese, essas empresas deveriam possuir mecanismos mais robustos para impedir transações suspeitas, como movimentações de grandes somas em horários incomuns.
Após suspender as operações, incluindo o envio de Pix, a C&M retomou as atividades com a aprovação do Banco Central, garantindo a segurança dos sistemas. A BMP recuperou R$ 130 milhões do montante roubado, mas a quantia restante nas mãos dos criminosos representa um impacto significativo para a liquidez da empresa.
