Bilionário, o maior ataque hacker da história do sistema financeiro brasileiro expõe fragilidades no Banking‑as‑a‑Service

Um grupo de hackers realizou, em 1º de julho, o maior ataque cibernético já registrado no sistema financeiro do país, exfiltrando mais de R$ 1 bilhão de contas de reserva operadas pelo Banco Central.

🏦 Alvo: C&M Software e a estrutura BaaS

O ataque ocorreu na C&M Software, empresa autorizada que serve como elo entre o Sistema de Pagamentos Brasileiro (SPB) e diversas fintechs e bancos por meio de infraestruturas de banking-as-a-service (BaaS). Utilizando credenciais legítimas de clientes, os criminosos acessaram contas de reserva de pelo menos cinco a seis instituições financeiras, incluindo a fintech BMP, que atua como BaaS desde 1999 e fatura mais de R$ 800 milhões por ano.

💸 Roubos e conversão para cripto

Após a invasão, os hackers transferiram grandes quantias via Pix, convertendo-as em criptomoedas como USDT e Bitcoin por meio de exchanges e mesas OTC. O fluxo foi bloqueado em parte por monitoramento de criptoplataformas, que identificaram atividade suspeita e impediram a conversão total do valor.

🔒 Vulnerabilidades reveladas

A partir do ocorrido, especialistas apontam os principais pontos de falha:

• Risco concentrado: depender de uma única infraestrutura BaaS criou um ponto crítico de falha para várias empresas.

• Armazenamento inseguro de chaves: certificados de autenticação estavam vulneráveis, sem proteção adequada, facilitando acesso via SPB.

• Monitoramento deficiente: transações bilionárias passaram sem alarmes automáticos, apenas reações humanas detectaram o ilícito.

🛑 Reação imediata do sistema

O Banco Central desligou imediatamente a C&M do sistema do SPB para conter o ataque. A Polícia Federal, a Polícia Civil de São Paulo e o BC conduzem investigação que teve cooperação de exchanges e do setor financeiro. A BMP garantiu que nenhum cliente final foi impactado e que tem colaterais suficientes para cobrir o prejuízo.

📌 Lições estratégicas para e-commerce e fintechs

Para empresas que atuam no comércio eletrônico e no setor financeiro, a crise traz aprendizados críticos:

• Governança e segurança B2B são vitais: garantir proteção em sistemas e APIs de parceiros deve ser prioridade.

• Redundância e diversificação de fornecedores: reduzir dependência de um único provedor técnico diminui riscos estruturais.

• Monitoramento proativo e alertas automáticos: identificar operações atípicas antes da conclusão impede prejuízos bilionários.

• Colaboração entre agentes do setor: o bloqueio inicial das transações só foi possível graças à atuação conjunta de bancos, exchanges e autoridades.

💡 Conclusão

O colapso no modelo BaaS revela que a segurança do e-commerce vai além do checkout — passa pela camada técnica e pelas parcerias que sustentam pagamentos e liquidações. A chamada urgência por auditorias, criptografia forte, monitoramento ativo e diversificação de infraestrutura deve orientar a próxima temporada de investimentos em tecnologia e segurança.

Na ExpoEcomm, seguimos comprometidos em ajudar lojistas e fintechs a fortalecerem suas operações digitais. Se quiser aprofundar sobre gestão de riscos e compliance tecnológico, estamos prontos para apoiar.

Leia também