C&M Software sofre ataque bilionário; hackers usam USDT e Bitcoin para ocultar dinheiro

O valor exato ainda não foi confirmado por autoridades como o Banco Central ou pela própria C&M, mas estimativas extraoficiais apontam para um ataque “milionário”, possivelmente chegando a impressionantes R$ 1 bilhão — o que o tornaria o maior ataque à infraestrutura financeira brasileira já registrado.

Leia mais:

Demanda por Bitcoin despenca e preço pode recuar nesta semana com alerta vermelho

Como ocorreu o ataque

O alvo: C&M Software, provedor BaaS brasileiro

A C&M Software atua como prestadora de serviços financeiros digitais para bancos, fintechs e demais instituições, oferecendo infraestrutura para gerenciamento de contas, pagamentos (incluindo Pix) e soluções bancárias sob demanda, modelo conhecido como Bank as a Service (BaaS).

Por atuar no ponto de convergência entre tecnologia e pagamentos, a C&M concentra volumes significativos de fundos em contas reservas, utilizadas para liquidação de transações instantâneas. Para os hackers, esse modelo ofereceu uma oportunidade direta de atacar um “cofre virtual” com elevada liquidez.

O modus operandi dos invasores

De acordo com o Cointelegraph, os criminosos:

1. Acessaram de forma não autorizada a infraestrutura da C&M;
2. Conseguiram desviar recursos das contas reserva de pelo menos seis instituições financeiras clientes, incluindo a BMP;
3. Transferiram fundos para serviços de conversão cripto com integração a Pix:
   • Exchanges de criptomoedas;
   • Gateways de pagamento cripto;
   • Plataformas de swap de tokens.

Esse roteiro indica que os hackers usaram triangulações via Pix para entrar nas plataformas de cripto, evitar rastreamento e disfarçar o destino dos recursos.

Valor estimado do ataque: clima de crise no sistema financeiro

As cifras envolvidas ainda são objeto de investigação. Fontes citadas pelo Cointelegraph estimam o prejuízo em centenas de milhões de reais, podendo atingir a marca de R$ 1 bilhão. Embora não exista confirmação oficial, esses valores já colocariam o ataque entre os maiores incidentes financeiros do Brasil, superando casos emblemáticos, como a invasão ao grupo de pagamentos PagSeguro em 2022.

Comparativo com incidentes anteriores no Brasil

Incidente	Ano	Estimativa de prejuízo
Ataque à C&M Software	2025	Até R$ 1 bilhão
Violação de dados do PagSeguro	2022	R$ 50 milhões
Ataque a fintech X (exemplo hipotético)	2023	R$ 100 milhões

Se comprovado, o ataque superaria todos os incidentes anteriores envolvendo infraestrutura crítica bancária digital, trazendo à tona vulnerabilidades tanto em segurança quanto em governança de provedores de infraestrutura financeira.

Criptomoedas no centro da operação

USDT e BTC: liquidez e anonimato

Os hackers optaram por terrafied assets para liquidação dos recursos:

• USDT (Tether): stablecoin atrelada ao dólar, amplamente usada em transações rápidas;
• Bitcoin (BTC): ativo digital consolidado, com forte liquidez global.

Essa escolha oferece vantagens aos invasores: acelerar a conversão e dificultar o rastreamento — especialmente quando os valores são divididos entre múltiplas plataformas e carteiras anônimas.

A integração entre Pix e criptomoedas

O Brasil se destaca pelo uso massivo do Pix, e a presença de gateways cripto que aceitam Pix facilita justamente esse tipo de operação:

• Os hackers usam contas bancárias e Pix para financiar compras de criptomoedas;
• As exchanges transformam o valor em USDT/BTC, transferindo para carteiras onde o acesso é controlado por terceiros;
• Esse processo cria “camadas de dissimulação”, fundamental para dificultar a rastreabilidade.

Instituições impactadas e reação

BMP: entre as afetadas

A BMP, uma das instituições clientes da C&M, confirmou ter sido afetada. Em comunicado, afirmou que:

“O incidente de cibersegurança comprometeu a infraestrutura da C&M e permitiu acesso indevido a contas reserva de seis instituições financeiras, entre elas a BMP.”

A demora no reconhecimento do ataque, entretanto, tem gerado críticas, pois deixa expostos tanto os clientes quanto os usuários finais.

Repercussão entre as demais instituições

Embora a C&M Software ainda não tenha divulgado nota oficial, pelo menos seis bancos e fintechs teriam detectado movimentações irregulares. O cenário sugere que essas instituições agora enfrentam:

• Revisões emergenciais de gestão de segurança;
• Possíveis notificações ao Banco Central;
• Investigações internas e auditorias.

Riscos sistêmicos e resposta regulatória

O ataque acende um alerta sobre o modelo BaaS. A terceirização de serviços bancários facilita a escalabilidade e inovação financeira, mas também concentra riscos operacionais, se a infraestrutura não for defendida com segurança de padrão internacional, incluindo:

• Firewalls de API;
• Segmentação de redes;
• Monitoramento contínuo.

Potenciais ações do Banco Central

O Banco Central do Brasil (BCB), que monitora transações Pix e BaaS, pode adotar diversas medidas:

• Aplicar suspensão cautelar à C&M enquanto investigações ocorrem;
• Exigir reportes emergenciais de segurança por parte da C&M e clientes;
• Multar instituições por falhas, conforme as regras da Resolução BCB 4.946/21, que versa sobre segurança cibernética no sistema financeiro.

Investigação: rastreamento on-chain e cooperação internacional

Embora criptomoedas como o Bitcoin sejam transparentes, o endereçamento pseudônimo complica a investigação. Há estratégias típicas usadas por ONGs de rastreamento blockchain (exchanges, mixers, serviços de obfuscation), mas quando as transações são fragmentadas via diversas exchanges com Pix, a coleta de evidências se torna mais complexa.

Cooperação entre entidades de segurança

É possível que a investigação envolva:

• Polícia Federal, dada a severidade do ataque;
• Agentes internacionais, caso contas estejam hospedadas em exchanges estrangeiras;
• Parcerias com organizações como a Chainalysis ou Elliptic, para mapeamento de movimentações e rastreamento.

Proteção e lições para fintechs e bancos

Fortalecimento da segurança digital

A tragédia serve como alerta. As fintechs e bancos devem reforçar:

• Autenticação multifatorial (MFA);
• Monitoramento em tempo real nas transferências de grandes valores;
• Simulações de hacking (pen tests) com frequência.

Reavaliação de gestão de contas reserva

As fintechs expostas precisam revisar:

• Separação rigorosa entre contas operacionais e reservas;
• Limites diários para movimentações;
• Clareza contratual e responsabilidade sobre a infraestrutura terceirizada.

O que esperar nas próximas semanas

Atualizações oficiais da C&M e BCB

A expectativa é que:

• A C&M Software, pressionada, divulgue um posicionamento;
• O Banco Central emita aviso, pontuando sanções possíveis;
• Clientes afetados anunciem ações judiciais e planos de mitigação.

Reação do mercado e usuários

• Usuários podem experimentar falhas de liquidez em serviços afetados;
• A confiança em BaaS pode diminuir, gerando pressão por autosserviços bancários ou múltiplos provedores;
• Startups e fintechs reforçarão sua comunicação sobre segurança.

Conclusão: um incidente que redefine prioridades

O ataque à C&M Software, com evasão de fundos para criptomoedas, representa um divisor de águas. Além dos prejuízos financeiros, o caso expõe:

• Fragilidade de modelos de terceirização bancária;
• Complexidade de rastreamento de crimes financeiros com criptomoedas;
• Centralidade da infraestrutura como ponto de vulnerabilidade.

Como resposta, o setor deve se mobilizar por:

1. Medidas emergenciais de segurança e transparência;
2. Regulação mais rigorosa do BaaS, com checklist mínimo de segurança;
3. Colaboração entre empresas, segurança pública e órgãos internacionais.

A atenção será aumentada nos próximos dias, especialmente com avanços nas investigações, divulgações do Banco Central e movimentação de criptomoedas por parte dos hackers. Esse episódio bem pode ser um ponto de inflexão no design e vigilância de toda a cadeia de infraestrutura bancária digital no Brasil.