Hack no sistema Pix compromete milhões e levanta alertas sobre segurança digital

O que está sendo chamado de maior crime cibernético da história do sistema financeiro nacional ainda gera repercussões intensas. Um ataque sofisticado à C&M Software (CMSW) — empresa que fornece infraestrutura para operações bancárias como o Pix — resultou em prejuízos milionários para instituições financeiras brasileiras.

Segundo investigações, os criminosos invadiram os sistemas utilizando credenciais de um funcionário da própria empresa, subornado por cerca de R$ 15 mil. Com acesso à infraestrutura da CMSW, conseguiram movimentar recursos de contas de reserva mantidas por pelo menos seis bancos e fintechs no Banco Central.

As estimativas apontam que até R$ 778 milhões foram comprometidos, com fontes sugerindo que o valor total desviado pode ter superado R$ 3 bilhões.

Parte dos fundos foi lavada usando criptomoedas

Logo após o roubo, uma parcela significativa dos recursos foi convertida em criptomoedas. De acordo com o investigador on-chain ZachXBT, cerca de R$ 225 milhões foram transformados em ativos digitais, dificultando o rastreamento.

Por ter origem no sistema financeiro tradicional, o fluxo inicial do dinheiro era mais difícil de mapear. “Foi extremamente demorado identificar todos os endereços dos ladrões vinculados ao incidente”, explicou ZachXBT em uma publicação no X (antigo Twitter), feita no dia 14 de julho. Ele afirma que analisou os picos de volume nas exchanges brasileiras em 30 de junho, cruzando com movimentações de carteiras conhecidas para mapear os envolvidos.

R$ 28 milhões em criptoativos foram congelados

Graças à colaboração de exchanges como Binance, Bitso e Bybit, além da Tether, emissora do USDT, foi possível congelar cerca de US$ 5 milhões em ativos digitais — o que equivale a aproximadamente R$ 28 milhões.

Embora o valor represente apenas 3,5% do total roubado e 17,8% do que foi convertido em cripto, ZachXBT considerou a operação bem-sucedida. “Mais de US$ 140 milhões em moeda fiduciária foram supostamente roubados, mas estimo que cerca de US$ 40 milhões foram realmente convertidos em criptomoedas, então mais de US$ 5 milhões congelados não é ruim”, declarou.

Parceria entre setor cripto e investigadores foi essencial

A ação coordenada entre ZachXBT e as empresas do ecossistema cripto mostrou o quanto a colaboração é essencial para lidar com crimes digitais. O investigador reforçou que parcerias com exchanges e emissores de stablecoins são “a forma mais eficaz de combater atividades ilícitas e impulsionar a nossa indústria”.

Apesar da complexidade do caso e do tempo investido, ZachXBT afirmou que não foi remunerado pela atuação. “O trabalho neste caso foi todo pro bono. Eu só me diverti com a pesquisa”, comentou em resposta a usuários da rede.

Até o momento, as assessorias de Binance, Bitso e Bybit não se pronunciaram oficialmente sobre o caso nem confirmaram o congelamento dos valores.

Quem é ZachXBT?

Conhecido como um dos mais influentes analistas on-chain do mercado cripto, ZachXBT já participou de diversas investigações internacionais. Um de seus casos mais conhecidos envolveu o hack de US$ 1,46 bilhão da exchange Bybit, associado ao grupo hacker norte-coreano Lazarus Group.

Ele também revelou esquemas que envolveram 21 desenvolvedores norte-coreanos infiltrados em projetos legítimos de blockchain, responsáveis por roubos milionários e lavagem de dinheiro usada para financiar atividades ilegais do regime norte-coreano.

Governo brasileiro quer reforçar fiscalização sobre criptoativos

O ataque levantou novos alertas sobre a regulação das criptomoedas no Brasil. O governo Lula já discute a implantação de um programa chamado “Brasil Seguro”, que visa ampliar o monitoramento das exchanges e transações com ativos digitais.

A proposta inclui maior integração entre órgãos reguladores e plataformas de criptomoedas, além da exigência de relatórios detalhados sobre movimentações suspeitas. A expectativa é que essas medidas possam prevenir o uso de criptoativos em fraudes e lavagem de dinheiro.

Conclusão: alerta para o futuro da segurança digital

Embora o congelamento de R$ 28 milhões represente apenas parte dos fundos desviados, o caso é emblemático. Ele destaca a importância da segurança cibernética no setor financeiro e a crescente necessidade de parcerias entre especialistas independentes, empresas privadas e governos.

A atuação de ZachXBT prova que a blockchain não é território sem lei, e que, com as ferramentas certas, é possível rastrear e conter parte dos danos causados por crimes digitais. Ainda assim, os números reforçam que a prevenção é sempre mais eficaz do que a remediação.

Este artigo é de caráter informativo e não deve ser interpretado como recomendação de investimento ou orientação financeira.