Hack de R$ 1 bilhão do BC escancara falhas na segurança digital do sistema financeiro brasileiro

O hack do BC foi um dos maiores ataques cibernéticos da história do sistema financeiro brasileiro e expôs, de forma alarmante, a interseção crítica entre a infraestrutura bancária tradicional e o universo dos criptoativos. Em um relatório técnico da CriptoTrace, equipe voluntária de advogados especialistas, eles detalham como a C&M Software, empresa autorizada e supervisionada pelo Banco Central, foi o elo vulnerável usado por hackers para desviar mais de R$ 1 bilhão, convertido rapidamente em Bitcoin e USDT.

O hack do BC, que teria começado dois dias antes de vir a público, explorou brechas no sistema da C&M, que atua como intermediária tecnológica entre fintechs, bancos e o Sistema de Pagamentos Brasileiro (SPB), com acesso direto ao Pix. A gravidade do caso levou o Banco Central a desligar imediatamente a empresa de suas infraestruturas operadas. Uma medida que, segundo o relatório, já indica a possibilidade de responsabilização administrativa.

Responsabilidade compartilhada: de integradores a exchanges

O documento divide a responsabilidade do incidente em três esferas:

• C&M Software: ao ser comprometida por meio do uso indevido de credenciais legítimas, não demonstrou mecanismos de contenção eficientes. A falha, segundo o relatório, pode configurar inadimplemento contratual e até responsabilidade civil objetiva, mesmo sem dolo comprovado.
• Exchanges e OTCs: algumas prestadoras de serviços de criptoativos permitiram a conversão de valores desviados em USDT na blockchain Tron. Embora parte das operações tenha sido bloqueada por plataformas com compliance eficaz, outras não conseguiram detectar ou impedir transações atípicas. Desse modo, levantando questionamentos sobre práticas de KYC, KYT e notificações ao COAF.
• Infraestrutura regulatória: ainda em construção no Brasil, o marco regulatório dos ativos digitais, mesmo com a Lei nº 14.478/2022, revelou lacunas operacionais. A ausência de sistemas automatizados de análise transacional em tempo real comprometeu a resposta institucional.

Rede Tron: refúgio técnico para criminosos digitais

A escolha pela blockchain Tron como rota para os valores desviados não foi aleatória. Segundo o relatório, trata-se de uma decisão estratégica baseada em fatores técnicos como:

“A $TRON é uma das redes mais rápidas do ecossistema cripto, muito utilizada para transferências de USDT (Tether), por sua agilidade e baixo custo. Devido a essas eficiências ela é mais utilizada para fins ilícitos, como lavagem de dinheiro. Ela não é uma rede privada, ela é associadada a essa privacidade porque é uma rede menos auditada, o que facilita o uso indevido sem ser rapidamente detectado”, disse Pedro Candido, analista fundamentalista em criptoativos.

Portanto, esse conjunto de fatores faz da Tron a rede mais visada por agentes mal-intencionados. Além disso, uma dor de cabeça crescente para autoridades e analistas blockchain.

“Historicamente, o foco das principais ferramentas de análise de blockchain esteve concentrado em redes como Bitcoin e Ethereum, criando uma janela de oportunidade para que atividades ilícitas migrassem para ecossistemas como a TRON. Embora essa lacuna esteja diminuindo rapidamente com a especialização de novas ferramentas forenses, a combinação de alta velocidade, baixo custo e a popularidade massiva do USDT na rede solidificou a TRON como um ambiente desafiador para reguladores e analistas. A luta contra o crime financeiro aqui é uma corrida constante entre a inovação dos criminosos e a evolução da tecnologia de rastreio, comentou Victor Canoas, advogado.

Monitoramento em tempo real: lição mais urgente do hack do BC

O relatório reforça que as primeiras movimentações dos hackers ocorreram 48 horas antes do anúncio público. Essa janela crítica evidenciou a ausência de monitoramento automatizado de carteiras e fluxos atípicos. Endereços como TGETFRKJHCQDVS66ZFZTWT8NXW2RW2UXWS, que hoje estão identificados, poderiam ter sido rastreados com antecedência se os sistemas de análise onchain estivessem integrados às estruturas bancárias e regulatórias.

Mais do que um ataque isolado, o caso da C&M representa um divisor de águas na governança financeira brasileira. O relatório finaliza com uma mensagem direta. A segurança não virá do isolamento entre sistemas, mas da construção de pontes auditáveis entre o mundo offchain e onchain.

É necessário um pacto técnico e institucional baseado em rastreabilidade, interoperabilidade e responsabilidade compartilhada. A prevenção inteligente, e não a reação tardia, deve ser a norma diante da sofisticação crescente dos crimes digitais.

“O valor da prevenção é sempre superior ao preço do reparo”, concluem os autores do relatório.

CEO percebeu fundos ilícitos

Rocelo Lopes, CEO da SmartPay e criador da carteira de auto-custodia Truther, detectou que havia algum problema às 00:18 do dia 30 de junho. Lopes percebeu o movimento atípico em ambas plataformas e, automaticamente, elevou os filtros de validação nas compras de USDT e Bitcoin.

Foram retidos grandes somas de dinheiro e, na mesma hora, foi feito o processo de devolução para as instituições envolvidas. Os fundos adviam do hack do BC.

Contudo, Lopes preferiu não divulgar os valores para preservar as empresas e também se coloca a disposição das autoridades e instituições para ajudar nas operações envolvendo criptoativos.

“Nos últimos anos adquirimos muita experiência em monitorar transações suspeitas envolvendo criptoativos, através de ferramentas que adquirimos e processos que criamos, alinhado com o amplo conhecimento do mercado e da tecnologia da Blockchain acredito que podemos ajudar muito nesse incidente”