Kebocoran Perangkat Lunak C&M Mengakibatkan Pencurian $140 Juta Dari Institusi Keuangan Brasil

Hacker mencuri $140 juta dari bank-bank Brasil setelah seorang karyawan C&M memberikan akses kepada penyerang ke sistem bank sentral.

Sekitar $40 juta dana yang dicuri telah dikonversi menjadi crypto dan dipindahkan melalui bursa di seluruh Amerika Latin.

Bank sentral Brasil memutuskan hubungan dengan C&M dan kemudian memulihkan akses setelah mengonfirmasi bahwa sistem inti tidak terpengaruh.

Hacker mencuri sekitar 800 juta real Brasil ($140 juta) dari enam lembaga keuangan pada 30 Juni. Pelanggaran tersebut menargetkan C&M Software, sebuah perusahaan yang menghubungkan bank dengan Bank Sentral Brasil dan sistem pembayaran PIX.

Otoritas mengatakan seorang karyawan C&M memberikan kredensial masuknya kepada penyerang sebagai imbalan atas pembayaran yang totalnya sekitar $4,600. Dia kemudian membuat titik akses kedua yang membantu para hacker mengeluarkan instruksi transfer dana yang tidak sah. Dana yang dicuri dipindahkan dari akun cadangan bank sentral ke akun bank komersial.

Konversi Kripto dan Transfer Lintas Batas

Penyelidik blockchain ZachXBT memperkirakan bahwa $30 hingga $40 juta telah dikonversi menjadi Bitcoin, Ethereum, dan USDT. Para penyerang menggunakan bursa kripto dan platform OTC di Amerika Latin untuk mencuci dana tersebut.

Dana-dana disusun di berbagai bursa di Brasil, Argentina, dan Paraguay dalam beberapa jam setelah pelanggaran awal. Beberapa meja OTC menandai aktivitas tersebut karena jumlah yang tidak biasa tinggi. Pihak berwenang bekerja sama dengan bursa untuk membekukan saldo yang tersisa yang terkait dengan insiden tersebut. Serangan ini terjadi beberapa hari setelah negara tersebut mengakhiri pengecualian pajak kripto dan menetapkan tarif tetap 17,5% untuk keuntungan modal.

Respons Cepat dari Regulator dan Polisi

Setelah serangan, bank sentral Brasil memerintahkan semua institusi untuk segera memutuskan koneksi dari C&M Software. Dua hari kemudian, bank memulihkan koneksi setelah mengonfirmasi bahwa sistem inti tidak terganggu.

Polisi menangkap karyawan C&M yang terlibat dan membekukan sekitar R $270 juta ($55 juta) dalam aset terkait. Penyidik melaporkan bahwa tersangka mengganti ponsel setiap dua minggu untuk menghindari deteksi. Penegak hukum masih melacak sisa dana dan mencari tersangka tambahan.

Jaksa Brasil dan analis on-chain sedang berkoordinasi untuk memblokir dompet dan melacak transaksi digital. Penyidikan tetap di bawah pengawasan federal.

Sistem Terpusat Di Bawah Ancaman yang Meningkat

Para ahli keamanan telah memperingatkan bahwa sistem digital terpusat masih berisiko terhadap ancaman dari dalam dan rekayasa sosial. Pelanggaran ini menunjukkan bagaimana satu login yang terinfeksi dapat menyebabkan pencurian besar-besaran.

Kenaikan kecerdasan buatan juga telah membuat serangan semacam itu lebih mudah dilakukan dan lebih sulit dideteksi. Pada tahun 2024 dan awal 2025, peretasan pada bursa kripto terpusat meningkat secara signifikan.

Kejahatan siber kini menargetkan platform dengan titik kegagalan tunggal untuk memaksimalkan keuntungan. CertiK melaporkan kerugian sebesar $2,5 miliar akibat peretasan dan penipuan terkait kripto pada awal 2025. Sebagian besar insiden ini terjadi di jaringan Ethereum dan Bitcoin.

Otoritas di Brasil kini mungkin akan memperketat aturan akses untuk vendor yang terhubung ke bank sentral. Perubahan pada sistem PIX dan akun cadangan juga sedang dipertimbangkan seiring dengan berlanjutnya penyelidikan.