No fim de junho de 2025, o sistema financeiro brasileiro enfrentou o maior ataque hacker já registrado envolvendo o Pix. Cerca de R$ 800 milhões foram movimentados irregularmente a partir de credenciais comprometidas da C&M Software — uma das principais PSTIs (Prestadoras de Serviços de Tecnologia da Informação) homologadas pelo Banco Central. O ataque abalou a confiança de empresas, bancos e usuários, e trouxe à tona uma questão urgente: estamos confiando demais em intermediários?
No centro desse episódio, a SmartPay teve um papel fundamental. Ao identificar transações incomuns de mais de R$ 6 milhões via Pix para conversão em criptomoedas, nossa estrutura de monitoramento agiu em segundos, barrando operações e devolvendo recursos. Nenhum dos nossos usuários ou parceiros foi prejudicado. Por quê? Porque a arquitetura descentralizada e a filosofia de autocustódia — praticada por nós e pelo app Truther — protege o usuário mesmo em cenários extremos.
É importante esclarecer: o sistema Pix em si não foi hackeado. O que falhou foi a confiança excessiva em intermediários com acesso privilegiado ao sistema financeiro. No caso, a C&M Software. Quando uma credencial de API cai nas mãos erradas, o estrago é devastador — ainda mais se essa credencial permite movimentar milhões de reais sem múltiplas camadas de autenticação.
O resultado? O Banco Central precisou suspender diversas instituições de pagamento e fintechs. Uma medida compreensível do ponto de vista regulatório, mas que causou efeito colateral direto nos clientes finais: bloqueios, atrasos, e incerteza — mesmo para quem não tinha nada a ver com a falha de segurança.
Em crises como essa, criptomoedas costumam ser vistas com desconfiança. Circulam manchetes apontando que “os valores foram convertidos em cripto”, como se isso fosse o motivo do golpe, e não o caminho escolhido pelos criminosos após o vazamento.
Mas neste caso, o que aconteceu foi justamente o oposto. Graças ao monitoramento de blockchain em tempo real, nossa infraestrutura rastreou os fluxos de tentativa de conversão e impediu perdas maiores. A transparência e imutabilidade da blockchain permitiram reverter parte dos danos — algo que dificilmente seria possível no sistema bancário tradicional, com sua fragmentação e falta de interoperabilidade entre instituições.
Mais ainda: a autocustódia — quando o usuário tem controle direto sobre seus ativos, como acontece no Truther — impediu que terceiros fossem expostos. Nenhuma carteira de cliente foi vulnerada. Nenhum fundo em posse própria foi comprometido.
O que aprendemos (e precisamos mudar)
Segurança não é só tecnologia, é arquitetura de confiança. Sistemas com múltiplos intermediários e dependência de APIs frágeis são alvos mais fáceis.
Autocustódia e descentralização oferecem resiliência. Usuários que controlam suas chaves privadas e operam com apps descentralizados são menos vulneráveis.
Cripto não é o vilão — é o alarme. As ferramentas de análise blockchain e rastreio foram cruciais para detectar e conter a fraude.
A punição às instituições de pagamento precisa ser proporcional e focada. Suspender todas as parceiras de uma PSTI compromete a experiência de milhões de usuários inocentes. É preciso aprimorar a forma como as decisões emergenciais são tomadas.
O que o maior ataque hacker ao Pix nos ensinou? Que a segurança real vem da descentralização, da transparência e da autonomia dos usuários — valores centrais do universo cripto. A tecnologia está pronta. O que falta é compreensão institucional de que cripto pode — e deve — ser parte da solução.
Na SmartPay e no Truther, seguimos construindo um ecossistema onde confiança não depende de terceiros. Porque no mundo digital, proteger as pessoas é muito mais do que prevenir ataques — é dar a elas o controle.
*Rocelo Lopes é CEO da SmartPay
