Horário, altos valores e insistentes tentativas de compras de bitcoins despertaram a desconfiança de uma startup de criptomoedas na madrugada da última segunda-feira (30).
Naquele instante, a decisão foi bloquear novas movimentações das contas envolvidas e acionar instituições financeiras.
Dois dias depois, entendeu-se que aquelas operações suspeitas com criptomoedas eram o desfecho de um golpe milionário e histórico contra o mercado financeiro, iniciado com um ataque hacker a uma empresa que liga bancos e fintechs a sistemas de pagamentos.
O alvo do ataque não foi o Banco Central ou o PIX, em si, mas a C&M Software. Ela é uma das empresas de tecnologia que fazem a "ponte" entre instituições financeiras menores e os sistemas do BC, para a realização de operações como o PIX.
A C&M disse que ao menos seis de seus clientes foram afetados; nem todos tiveram os nomes revelados. Também não foi divulgado o montante roubado, mas fontes da TV Globo estimam que a quantia pode chegar a R$ 800 milhões.
Criminosos usaram criptomoeda
Segundo especialistas, os criminosos provavelmente tentaram converter ao menos parte do montante roubado em criptomoedas. Isso seria uma tentativa de fazer com que a quantia não pudesse ser devolvida para os bancos.
Uma das startups procuradas para compra de criptomoedas seria a SmartPay, de Santa Catarina.
A startup começou a suspeitar quando, na madrugada de segunda-feira, uma conta recém-criada movimentou R$ 6 milhões, via PIX, e tentou comprar esse valor em bitcoins.
O PIX de R$ 6 milhões que chamou a atenção da SmartPay partiu do sistema da BMP, uma fintech que fornece infraestrutura para plataformas bancárias digitais. Ela é cliente da C&M e e admitiu ter sido uma das prejudicadas no ataque hacker.
O valor expressivo fez os alertas automáticos da SmartPay serem acionados e notados por funcionários que monitoram as transações. Eles perceberam que a quantidade de movimentações de novas contas estava bem acima do normal para as madrugadas.
"Foi uma somatória da quantidade de novos usuários na plataforma durante aquele horário com os valores que estavam sendo transferidos", relatou ao g1 Rocelo Lopes, CEO da SmartPay.
Também houve muitos pedidos de transferência em um intervalo curto, de cerca de duas horas.
Comportamento fora do usual
Outro ponto de atenção foi que parte dos pedidos de compra de criptomoeda foi feita em contas de clientes antigos da SmartPay, que já tinham recebido um "sinal amarelo" nos sistemas da startup por comportamentos suspeitos no passado.
Além disso, naquele dia, esses clientes estavam comprando bitcoins, apesar de terem o costume de negociar outra criptomoeda, a chamada "tether" ou USDT.
Tether ou USDT é a terceira criptomoeda mais usada no mundo, segundo a CoinMarketCap, plataforma que monitora esse mercado. A Tether é administrada por uma empresa de mesmo nome, que pode bloquear transações suspeitas, o que não acontece com o bitcoin, por exemplo.
Ataque exige melhorias
Para Rocelo, o ataque deverá forçar o Banco Central a cobrar melhorias por parte de empresas como a C&M Software, enquadrada como um Provedor de Serviços de Tecnologia da Informação (PSTI).
Um PSTI ajuda instituições financeiras a se integrarem a sistemas de pagamento, como o PIX. Além da C&M, oito empresas estão homologadas no país para fazerem este papel.
Na avaliação do chefe da SmartPay, elas deveriam adotar mais validações contra movimentações atípicas.
"O Banco Central se preocupou em falar para o banco bloquear uma transação às 2h da manhã, por exemplo. Mas se esqueceu que, depois do banco, tem todo um sistema de compensação financeira. Limitou o cliente, e não a instituição, aí foi onde deu o problema", afirmou.
A C&M disse que os criminosos usaram credenciais de clientes de forma indevida para acessar seus sistemas e serviços de forma fraudulenta. Senhas são um exemplo de credencial.
Após o ataque vir a público, na última quarta-feira (2), o BC determinou o desligamento do acesso de instituições financeiras afetadas às infraestruturas da C&M.
Na quinta, a medida foi substituída por uma suspensão parcial, permitindo transferências em dias úteis entre 6h30 e 18h30.
A Polícia Federal abriu um inquérito para apurar o ocorrido. E a Polícia Civil de São Paulo também iniciou uma investigação, com objetivo de "identificar os responsáveis pelo crime, bem como rastrear os valores subtraídos".
