Lors d'un audacieux vol informatique le 30 juin, environ 140 millions de dollars (800 millions de reais) ont été volés sur les comptes de réserve de six institutions financières brésiliennes grâce à une cyberattaque sophistiquée ciblant C&M Software, un fournisseur de services clé qui relie les banques à la Banque centrale du Brésil et à son système PIX.
Au moins 30 à 40 millions de dollars des fonds volés ont depuis été blanchis en Bitcoin , Ethereum et USDT de Tether via des bureaux et des plateformes d'échange de gré à gré (OTC) d'Amérique latine, selon l'enquêteur on-chain ZachXBT .
Le braquage de la Banque centrale du Brésil a commencé par un compromis interne
Les pirates auraient versé 15 000 R$ (environ 2 760 $) employé de C&M Software dent . Grâce à ces identifiants, ils ont utilisé des techniques d'ingénierie sociale pour accéder à l'infrastructure de la banque centrale. Ils ont ainsi pu détourner des fonds des comptes de réserve de six institutions, dont Banco BMF, le même jour.
Dès sa découverte, la Banque centrale du Brésil a immédiatement ordonné à C&M de couper ses connexions, isolant ainsi le fournisseur des systèmes bancaires. Cette faille a entraîné la suspension temporaire des services liés à PIX, tandis que les autorités et les équipes internes se mobilisaient pour rétablir la sécurité et prévenir toute propagation.
Ce piratage présente de fortes similitudes avec l' attaque récente contre la plateforme d'échange de cryptomonnaies Coinbase, où des agents du service client ont accepté des pots-de-vin pour divulguer des informations sur les clients. Cela a entraîné le piratage de plus de 69 000 comptes, et Coinbase devrait rembourser jusqu'à 400 millions de dollars à ses clients.
Un enquêteur spécialisé dans le traitement des cryptomonnaies suit la piste du blanchiment d'argent
ZachXBT, une figure de proue de l'analyse forensique de la blockchain, a déclaré collaborer activement avec les forces de l'ordre brésiliennes pour tracles fonds volés et empêcher tout blanchiment d'argent supplémentaire sur la blockchain.
Les déclarations publiques de ZachXBT indiquent qu'il prévoit de publier les adresses liées au vol « lorsqu'il sera possible de les partager », afin d'aider les autorités à geler d'autres actifs cryptographiques.
Les enquêteurs fédéraux brésiliens ont arrêté au moins un suspect : l’employé de C&M dont lesdentont été vendus. Les autorités ont déjà gelé environ 270 millions de réaux, soit environ 55 millions de dollars de fonds compromis.
La Banque centrale du Brésil affirme également avoir renforcé ses systèmes de surveillance afin de mieux détecter les transactions irrégulières liées au PIX.
Les analystes en sécurité avertissent que le chiffre impressionnant de 140 millions de dollarstracl'attention de la menace plus importante que représente l'ingénierie sociale. Cette tactique figure systématiquement en tête de liste des vulnérabilités du secteur financier. Malgré les pare-feu techniques et les systèmes renforcés, des personnes internes disposant d'dentvolés peuvent les rendre inefficaces.
La riposte s'est désormais orientée vers la gestion des dégâts et la réparation de la réputation
Cette attaque reflète les tendances récentes en matière de cybercriminalité et la manière dont les profits issus de crimes qui n'ont pas eu lieu sur la blockchain sont également injectés dans le système crypto.
Au cours du premier semestre 2025 seulement, CertiK, organisme de surveillance du secteur, a estimé les pertes dues aux piratages et aux escroqueries à la somme astronomique de 2,5 milliards de dollars. La plupart desdentse sont produits sur le réseau Ethereum , suivi par Bitcoin. Le rapport a également révélé que le piratage de portefeuilles et l'hameçonnage sont les principaux outils utilisés par les pirates informatiques pour commettre leurs méfaits.
Bien que C&M et la Banque centrale du Brésil aient toutes deux publié des communiqués de presse reconnaissant le piratage et indiquant que des enquêtes sont en cours, ni C&M ni la Banque centrale du Brésil n'ont communiqué publiquement un bilan détaillé des dommages. La Banque centrale du Brésil n'a pas révélé les noms des institutions financières touchées par le piratage.
Cependant, des sources internes révèlent des opérations en cours pour atténuer l'impact sur la réputation et la clientèle, principalement grâce à des garanties de sécurité des comptes clients et à une vérification accrue des transactions.
La priorité immédiate des autorités est de récupérer les avoirs blanchis et d'empêcher de nouvelles conversions de cryptomonnaies.
Les analystes on-chain comme ZachXBT occupent désormais un rôle stratégique dans la cyberdéfense mondiale, offrant une voie d'investigation puissante au sein des réseaux de blanchiment de cryptomonnaies.
