Cibercriminosos roubaram mais de R$ 1 bilhão das contas de reserva de instituições financeiras mantidas junto ao Banco Central do Brasil em um dos maiores ataques já registrados no sistema financeiro nacional.
O ataque ocorreu na última terça-feira, 1º de julho de 2025, quando criminosos exploraram uma vulnerabilidade na infraestrutura da C&M Software, empresa que fornece serviços de mensageria para o Sistema de Pagamentos Brasileiro (SPB), como Pix, TED e DDA.
Autorizada e supervisionada pelo próprio Banco Central, a empresa oferece APIs e webservices que conectam instituições financeiras ao ambiente operacional do BC. Os invasores utilizaram esse acesso privilegiado para realizar transferências fraudulentas diretamente das contas de reserva de bancos como BMP, Bradesco e Credsystem.
Em seguida, movimentaram os recursos desviados para plataformas de criptomoedas integradas ao Pix, utilizando serviços como exchanges, gateways de pagamento e mesas OTC para converter os valores em ativos digitais como Bitcoin (BTC) e Tether (USDT).
Em pelo menos um dos casos, uma exchange identificou transações atípicas, bloqueou as operações e notificou a instituição afetada, impedindo parte das conversões. No entanto, outras plataformas não conseguiram barrar o fluxo e permitiram a conversão dos valores roubados.
O Banco Central confirmou o incidente e determinou o desligamento imediato da C&M Software do seu ambiente, além de comunicar o início de uma investigação em conjunto com a Polícia Federal. A BMP informou que os recursos desviados não afetam diretamente seus clientes e que possui garantias suficientes para recompor os valores junto ao Banco Central.
Autoridades seguem monitorando os endereços de criptoativos envolvidos na tentativa de rastrear os fundos e identificar os responsáveis pelo ataque, considerado até agora o mais grave da história do setor financeiro brasileiro.
