‘Não foi algo sofisticado e foi a primeira vez que aconteceu’, diz CEO de empresa de segurança do Pix sobre ataque da C&M Software
O ataque hacker aos sistemas da C&M Software lançou dúvidas sobre o sistema de pagamentos mais popular no Brasil, o Pix. Afinal, os criminosos teriam se aproveitado de uma potencial “negligência” da empresa para roubar o dinheiro das contas reservas do Banco Central.
“Não foi algo sofisticado do ponto de vista tecnológico. O hacker se aproveitou da estrutura do Pix como é hoje para fazer o ataque” disse Marco Zanini, CEO da DINAMO Networks, empresa de segurança e responsável pelo desenvolvimento de um módulo de segurança que realiza a assinatura digital das transações Pix.
O carro-chefe da empresa é o Dinamo Pix, que utiliza um sistema chamado Hardware Security Modules (HSM) para armazenar as chaves criptográficas, atendendo aos rigorosos padrões de segurança exigidos pelo Banco Central.
- LEIA MAIS: Em quais ações vale a pena investir? Veja as recomendações do BTG Pactual como cortesia do Money Times
Sistemas de chaves do Pix
De acordo com Zanini, os criminosos possivelmente tiveram acesso às chaves privadas da C&M junto ao BC para realizar as transações. Essas chaves funcionam como um “carimbo” que valida a transferência de dinheiro de uma instituição para outra dentro do Banco Central.
Em outras palavras, as transações — que, de acordo com informações extraoficiais, podem ter roubado até R$ 1 bilhão das contas reservas — passaram despercebidas em um primeiro momento porque tinham o “carimbo” das empresas para acontecer.
“Aparentemente, essas chaves não estavam protegidas em HSM, eram arquivos que estavam em repositório de um servidor” comenta o CEO da DINAMO.
“Nós nunca tivemos um caso que alguém usou uma credencial de assinatura. Essa foi a primeira vez que isso aconteceu”.
Isso porque, pelo sistema HSM, não é possível fazer uma cópia dessas chaves.
Para tal, seria preciso ter acesso a uma série de permissões — que, dentro de uma empresa que precisa atuar com segurança, são bastante limitadas. “Pode ter participação de alguém interno? Não é um caminho óbvio para obter essas informações, então é possível”.
Na visão de Zanini, se o caso aconteceu como ele descreveu, trata-se de uma negligência por parte da C&M. “Ela poderia ter guardado essas chaves em lugares mais seguros”.
Convertendo reais em criptomoedas
Parte do valor pode ter sido convertida em criptomoedas, como bitcoin (BTC) e stablecoins (criptomoedas com lastro em dólar, outras moedas ou commodities) de acordo com informações preliminares. Imediatamente, os dedos foram apontados para plataformas e corretoras de cripto (exchanges).
“Na minha opinião, a rastreabilidade desse dinheiro parou nas exchanges. E algumas delas são reguladas pelo Banco Central, outras não”, diz Zanini.
Sobre isso, Reinaldo Rabelo, CEO do Mercado Bitcoin (MB), quando um usuário usa bitcoin ou stablecoins, sempre é deixado um “rastro”. Isso porque as transações on-chain são semi anônimas — isto é, não guardam completo anonimato.
“Existem corretoras que seguem as normas legais e aquelas que não têm nenhum tipo de responsabilidade com prestação de serviços. Do ponto de vista prático essa crise reforça a necessidade de padronizar as regras de governança e compliance”, comenta Rabelo.
No dia do ataque, o MB chegou a soltar uma nota, que afirmava:
“O Mercado Bitcoin não registrou nenhuma movimentação suspeita na plataforma. A empresa adota mecanismos rigorosos de compliance e antifraude, é auditada, atua em constante diálogo com reguladores nacionais e mantém proativamente altos padrões de conformidade e segurança — mesmo sem uma legislação que os exija. Reforça, ainda, a importância de uma regulação vigente que eleve o nível de responsabilidade para todos os players do setor”.
