Era 0h18 de segunda-feira (30) quando o veterano das criptomoedas Rocelo Lopes recebeu o alerta sobre uma transação anômala para os padrões de sua fintech, a Smartpay. Uma conta recém-criada havia depositado R$ 100 mil via Pix para comprar USDT, uma criptomoeda que usa o dólar como âncora de preço.

A movimentação foi a primeira das pistas que levaram Lopes a confirmar, ainda na manhã de segunda, o ataque cibernético à empresa C&M Software, que presta serviços de tecnologia para instituições do setor financeiro. O incidente causou um rombo de cerca de R$ 1 bilhão envolvendo oito empresas —R$ 500 milhões pertenciam a um único cliente da C&M.

Além daquela primeira transação suspeita, um número inédito de criações de conta para uma madrugada de segunda chamou a atenção da SmartPay, uma startup fundada por Lopes para integrar o sistema Pix a plataformas de criptomoedas.

O sinal de alerta fez a equipe da Smartpay deslanchar um monitoramento da rede de transferências de bitcoin e das carteiras conhecidas por transacionar criptomoedas no Brasil. Logo ficou evidente que o volume de operações daquela madrugada estava muito acima do normal, avaliou Lopes, que trabalha com bitcoins desde 2013.

Como a fintech também tem acesso ao sistema Pix, ele pôde identificar as instituições financeiras das quais o dinheiro tinha saído e confirmar a fraude. Por precaução, ele já bloqueara o dinheiro assim que recebera a ordem de compra de R$ 100 mil mil em USDT,

O pedido envolvendo altos valores havia feito piscar um aviso na interface escura com letras verdes da central de comando da Smartpay —a notificação aparece quando um cliente aprovado no dia movimenta mais de R$ 10 mil. Embora chamasse atenção, a operação seria concluída em uma situação normal.

“O cliente estava em uma geolocalização que permitia aquela transferência, era uma região de poder aquisitivo alto”, disse Lopes. Além disso, havia passado por um processo de reconhecimento —chamado de KYC (sigla para conheça o seu cliente em inglês)—, que envolve entrega de documentos e reconhecimento facial.

“Ao mesmo tempo, começaram a aparecer outras contas, e a gente percebeu que havia algo errado”, acrescentou o fundador da startup. A SmartPay, ainda na madrugada de segunda, decidiu suspender todas as transações até identificar a raiz do problema.

As suspeitas da equipe da fintech foram redobradas quando uma conta já sob monitoramento por envolvimento em um episódio anterior de lavagem de dinheiro entrou nos negócios.

“Essa pessoa já tinha um marcador de alerta, a gente estava fazendo validações adicionais para a compra de USDT, e, mesmo assim, ela insistiu em comprar bitcoin —isso tudo depois de um bom tempo sem utilizar nosso serviço”, disse Lopes.

Por volta das 7h daquela segunda, a equipe da SmartPay iniciou uma análise das movimentações feitas com USDT em carteiras de criptomoedas conhecidas por intermediar negócios vultuosos —grandes investidores, geralmente, evitam as corretoras para expor menos informações sobre seus negócios. Foi nessa comparação que ficou claro que o volume estava muito diferente do usual.

Outro alerta foi que algumas carteiras conhecidas por negociar apenas com USDT, cujo valor estável e baseado no dólar facilita a liquidez, passaram a procurar bitcoins.

“Como a gente conhece bem o mercado de USDT, é fácil analisar quando houve uma fraude e travar esses ativos”, diz. Dados da Receita Federal mostram que 62% das operações declaradas de criptomoedas no Brasil são feitas com USDT. A procura por bitcoin no país, por outro lado, é menor.

“Se há um volume muito alto de compra de bitcoin, algo está errado”, diz o fundador da SmartPay. Ele explica que esse fluxo de transações de criptomoedas pode ser estimado ao acompanhar os registros na rede da blockchain —o sistema que contabiliza as transferências feitas com a criptomoeda.

Por volta das 10h30, a fintech conseguiu confirmar o incidente cibernético ao se reunir com a equipe da BMP, a instituição financeira mais afetada pelo ataque hacker à C&M Software.

A SmartPay, então, iniciou uma operação para devolver o dinheiro bloqueado às contas recém-criadas e suspeitas —apenas uma fração da cifra bilionária desviada. Lopes não divulgou os valores, sob justificativa de preservar as empresas.

Ele afirma que está à disposição das autoridades para relatar as operações de criptoativos que ele acompanhou desde então.

A C&M Software avisou o Banco Central do incidente cibernético na terça-feira (1º), quando o regulador suspendeu os acessos da empresa ao sistema Pix.

Desde então, parte dos clientes da empresa de tecnologia está sem meios de atuar no Sistema de Pagamentos Brasileiro (SPB) e busca alternativas. O pequeno banco credsystem, por exemplo, recomenda que seus clientes recorram a transferências TEDs gratuitas.

BC E POLÍCIAS FEDERAL E CIVIL VÃO INVESTIGAR CIBERCRIME

O episódio agora está sob investigação do Banco Central, além das polícias Federal e Civil do estado de São Paulo. O trabalho das autoridades deve identificar quem foi o culpado pela brecha de segurança que permitiu a ação criminosa.

O diretor comercial da C&M Software, Kamal Zogheib, disse que os criminosos usaram credenciais de clientes (como usuário e senha) para tentar acessar os sistemas de forma fraudulenta. Segundo o executivo, todos os sistemas críticos da C&M Software seguem íntegros e operacionais.

A C&M Software atua como “provedor de serviços de tecnologia de informação”, na definição do Banco Central, e, diferentemente de um banco, não é obrigada a ter um depósito de garantia. A empresa não informa se tem seguro para cobrir os prejuízos do ataque.

“Por orientação jurídica e em respeito ao sigilo das apurações, a C&M Software não comentará detalhes do processo”, disse a empresa em nota. “As medidas previstas nos protocolos de segurança foram integralmente executadas”, acrescentou.

A BMP, por outro lado, afirma que o “incidente de segurança comprometeu a infraestrutura de segurança da C&M Software” e permitiu o acesso indevido de oito instituições financeiras. O banco acrescentou que as contas eram mantidas junto ao Banco Central.

Um interlocutor ouvido pela Folha sob condição de anonimato disse que foram acessadas as Contas PI (Pagamentos Instantâneos), mantidas no BC pelos participantes do sistema para dar liquidez às transações via Pix.

O BC, por sua vez, confirmou que o ataque foi à infraestrutura da C&M Software e negou que os valores estivessem sob a sua responsabilidade.

Caso C&M Software ou BC sejam considerados culpados pela falha de segurança na Justiça, terão de ressarcir as oito instituições financeiras prejudicadas pelo golpe, diz o advogado Victor Solla Jorge, do escritório Jorge Sociedade de Advogados.