Era 0h18 de segunda-feira (30) quando o veterano das criptomoedas Rocelo Lopes recebeu o alerta sobre uma transação anômala para os padrões de sua fintech, a Smartpay. Uma conta recém-criada havia depositado R$ 100 milénio via Pix para comprar USDT, uma criptomoeda que usa o dólar porquê âncora de preço.
A movimentação foi a primeira das pistas que levaram Lopes a confirmar, ainda na manhã de segunda, o ataque cibernético à empresa C&M Software, que presta serviços de tecnologia para instituições do setor financeiro. O incidente causou um rombo de murado de R$ 1 bilhão envolvendo oito empresas —R$ 500 milhões pertenciam a um único cliente da C&M.
Além daquela primeira transação suspeita, um número inédito de criações de conta para uma madrugada de segunda chamou a atenção da SmartPay, uma startup fundada por Lopes para integrar o sistema Pix a plataformas de criptomoedas.
O sinal de alerta fez a equipe da Smartpay deslanchar um monitoramento da rede de transferências de bitcoin e das carteiras conhecidas por transacionar criptomoedas no Brasil. Logo ficou evidente que o volume de operações daquela madrugada estava muito supra do normal, avaliou Lopes, que trabalha com bitcoins desde 2013.
Porquê a fintech também tem chegada ao sistema Pix, ele pôde identificar as instituições financeiras das quais o quantia tinha saído e confirmar a fraude. Por sobreaviso, ele já bloqueara o quantia logo que recebera a ordem de compra de R$ 100 milénio milénio em USDT,
O pedido envolvendo altos valores havia feito piscar um aviso na interface escura com letras verdes da medial de comando da Smartpay —a notificação aparece quando um cliente legalizado no dia movimenta mais de R$ 10 milénio. Embora chamasse atenção, a operação seria concluída em uma situação normal.
“O cliente estava em uma geolocalização que permitia aquela transferência, era uma região de poder aquisitivo tá”, disse Lopes. Aliás, havia pretérito por um processo de reconhecimento —chamado de KYC ({sigla} para conheça o seu cliente em inglês)—, que envolve entrega de documentos e reconhecimento facial.
“Ao mesmo tempo, começaram a nascer outras contas, e a gente percebeu que havia um tanto inexacto”, acrescentou o fundador da startup. A SmartPay, ainda na madrugada de segunda, decidiu suspender todas as transações até identificar a raiz do problema.
As suspeitas da equipe da fintech foram redobradas quando uma conta já sob monitoramento por envolvimento em um incidente anterior de lavagem de quantia entrou nos negócios.
“Essa pessoa já tinha um marcador de alerta, a gente estava fazendo validações adicionais para a compra de USDT, e, mesmo assim, ela insistiu em comprar bitcoin —isso tudo depois de um bom tempo sem utilizar nosso serviço”, disse Lopes.
Por volta das 7h daquela segunda, a equipe da SmartPay iniciou uma estudo das movimentações feitas com USDT em carteiras de criptomoedas conhecidas por intermediar negócios vultuosos —grandes investidores, geralmente, evitam as corretoras para expor menos informações sobre seus negócios. Foi nessa verificação que ficou simples que o volume estava muito dissemelhante do usual.
Outro alerta foi que algumas carteiras conhecidas por negociar unicamente com USDT, de quem valor inabalável e fundamentado no dólar facilita a liquidez, passaram a procurar bitcoins.
“Porquê a gente conhece muito o mercado de USDT, é fácil explorar quando houve uma fraude e travar esses ativos”, diz. Dados da Receita Federalista mostram que 62% das operações declaradas de criptomoedas no Brasil são feitas com USDT. A procura por bitcoin no país, por outro lado, é menor.
“Se há um volume muito tá de compra de bitcoin, um tanto está inexacto”, diz o fundador da SmartPay. Ele explica que esse fluxo de transações de criptomoedas pode ser estimado ao seguir os registros na rede da blockchain —o sistema que contabiliza as transferências feitas com a criptomoeda.
Por volta das 10h30, a fintech conseguiu confirmar o incidente cibernético ao se reunir com a equipe da BMP, a instituição financeira mais afetada pelo ataque hacker à C&M Software.
A SmartPay, logo, iniciou uma operação para entregar o quantia bloqueado às contas recém-criadas e suspeitas —unicamente uma fração da zero bilionária desviada. Lopes não divulgou os valores, sob justificativa de preservar as empresas.
Ele afirma que está à disposição das autoridades para relatar as operações de criptoativos que ele acompanhou desde logo.
A C&M Software avisou o Banco Mediano do incidente cibernético na terça-feira (1º), quando o regulador suspendeu os acessos da empresa ao sistema Pix.
Desde logo, secção dos clientes da empresa de tecnologia está sem meios de atuar no Sistema de Pagamentos Brasílico (SPB) e procura alternativas. O pequeno banco credsystem, por exemplo, recomenda que seus clientes recorram a transferências TEDs gratuitas.
BC E POLÍCIAS FEDERAL E CIVIL VÃO INVESTIGAR CIBERCRIME
O incidente agora está sob investigação do Banco Mediano, além das polícias Federalista e Social do estado de São Paulo. O trabalho das autoridades deve identificar quem foi o culpado pela brecha de segurança que permitiu a ação criminosa.
O diretor mercantil da C&M Software, Kamal Zogheib, disse que os criminosos usaram credenciais de clientes (porquê usuário e senha) para tentar acessar os sistemas de forma fraudulenta. Segundo o executivo, todos os sistemas críticos da C&M Software seguem íntegros e operacionais.
A C&M Software atua porquê “provedor de serviços de tecnologia de informação”, na definição do Banco Mediano, e, diferentemente de um banco, não é obrigada a ter um repositório de garantia. A empresa não informa se tem seguro para vedar os prejuízos do ataque.
“Por orientação jurídica e em reverência ao sigilo das apurações, a C&M Software não comentará detalhes do processo”, disse a empresa em nota. “As medidas previstas nos protocolos de segurança foram integralmente executadas”, acrescentou.
A BMP, por outro lado, afirma que o “incidente de segurança comprometeu a infraestrutura de segurança da C&M Software” e permitiu o chegada indevido de oito instituições financeiras. O banco acrescentou que as contas eram mantidas junto ao Banco Mediano.
Um interlocutor ouvido pela Folha sob exigência de anonimato disse que foram acessadas as Contas PI (Pagamentos Instantâneos), mantidas no BC pelos participantes do sistema para dar liquidez às transações via Pix.
O BC, por sua vez, confirmou que o ataque foi à infraestrutura da C&M Software e negou que os valores estivessem sob a sua responsabilidade.
Caso C&M Software ou BC sejam considerados culpados pela lacuna de segurança na Justiça, terão de ressarcir as oito instituições financeiras prejudicadas pelo golpe, diz o legista Victor Solla Jorge, do escritório Jorge Sociedade de Advogados.
