Noong Linggo, Marso 22, 2026, ang mga hacker ay nag-divert ng humigit-kumulang R$ 100 milyon mula sa BTG Pactual (Brazilian investment bank) sa pamamagitan ng sistema ng Pix (instant payment system ng Brazil). Ang Banco Central ay nakakita ng mga atypical na kilusan mula alas-6 ng umaga. Ang BTG ay nagsuspinde ng mga operasyon ng Pix nang preventive. Noong Lunes, Marso 23, nagsimulang i-restore ang serbisyo. Ang R$ 73 milyon ay na-recover. Ang pagitan ng R$ 20 milyon at R$ 40 milyon ay nananatiling nawawala.
Ang ninakaw na pera ay hindi nanggaling sa mga account ng customer. Ito ay mga mapagkukunan ng BTG mismo, na naka-imbak sa Banco Central para sa settlement ng mga transaksyon sa pamamagitan ng Pix. Walang personal na datos ang na-expose. Walang account ng investor ang na-access. Ang pagkabigo ay panloob.
Ngunit ang episode ay nagtatanong ng isang lehitimong tanong: ligtas ba ang Pix?
Cronolohiya ng pag-atake sa BTG Pactual
Sinamantala ng pag-atake ang oras ng pinakamababang surveillance: isang Linggo sa madaling araw. Ang mga hacker ay nag-access ng settlement account na pinapanatili ng BTG sa Banco Central at nag-execute ng isang serye ng mga transfer sa pamamagitan ng Pix sa mga account sa iba't ibang institusyon: Banco Inter, Banco do Brasil, Bradesco, Caixa Econômica Federal, PicPay, Itaú at Mercado Pago.
Ang Polícia Federal at CyberGaeco ay pinagana. Ang imbestigasyon ay nag-iimbestiga sa posibleng paggamit ng isang lumang kredensyal, na naka-link sa isang banking technology company na dati nang nagbigay ng mga serbisyo sa BTG. Hindi naibubukod ang pakikilahok ng mga empleyado na may access sa mga kredensyal ng reserve account.
Pagkatapos ng pagkakalat sa maraming account, ang bahagi ng mga halaga ay na-convert sa mga cryptocurrency para mapahirap ang pagsubaybay. Ang taktika na ito ay hindi bago: ito ang pattern ng tatlong pinakamalaking pag-atake sa Brazilian financial system mula 2025.
| Kaganapan | Petsa | Halaga |
|---|---|---|
| Pagtuklas ng Banco Central | Linggo, 22/03, 6h | ~R$ 100 milyon ang na-divert |
| Pagsuspinde ng Pix ng BTG | Linggo, 22/03 | Preventive |
| Simula ng pagpapanumbalik | Lunes, 23/03 | R$ 73 milyon ang na-recover |
| Mga halaga na hindi na-recover | Sa imbestigasyon | R$ 20-40 milyon |
Ang pattern ng mga pag-atake: mula R$ 800 milyon hanggang R$ 100 milyon
Ang pag-atake sa BTG ay hindi nangyari sa vacuum. Mula 2025, ang Brazilian financial system ay humarap sa hindi bababa sa tatlong malalaking insidente na kinasasangkutan ng Pix, na ang mga pagkalugi ay kabuuang higit sa R$ 1.5 bilyon.
Hulyo 2025: C&M Software (R$ 800 milyon). Ang mga hacker ay sumugal sa C&M Software, isang technology company na nagbibigay ng mga serbisyo sa mahigit 8 na financial institution. Ang pag-atake ay nagresulta sa pag-divert ng humigit-kumulang R$ 800 milyon, ang pinakamalaking insidente sa serye.
Setyembre 2025: Sinqia (R$ 710 milyon). Ang technology provider na Sinqia ay naging target ng isang pag-atake na nag-divert ng R$ 710 milyon: R$ 669 milyon na nauugnay sa HSBC at R$ 41 milyon sa credit company na Artta. Malaking bahagi ng mga halaga ay na-block ng Banco Central.
Enero 2026: Banco do Nordeste. Ang bangko ay nagsuspinde ng Pix pagkatapos ng pagsugal ng isang third-party provider. Ito ang unang insidente na kinasasangkutan ng institusyon mula nang malikha ang sistema.
Ang pattern ay malinaw: ang mga pag-atake ay hindi nagtutumbok sa Pix mismo, kundi sa mga panloob na sistema ng mga institusyon at, pangunahin, sa kanilang mga technology provider. Ang mga lumang kredensyal, third-party na access at mga pagkabigo sa internal governance ay ang mga entry vector.
Babala
Mula 2025, ang mga pag-atake sa mga banking technology provider ay nagresulta sa mga pagkalugi na higit sa R$ 1.5 bilyon. Ang pinakamahina na link ay hindi ang Pix: ito ang mga intermediate na sistema ng mga institusyon.
Ang Pix mismo ay hindi nakompromiso
Ito ang pinaka-mahalagang pagkakaiba: ang infrastructure ng Pix, na pinapatakbo ng Banco Central, ay nananatiling buo.
Ang Pix ay gumaganap bilang isang daan. Ang mga transfer ay dumadaan sa daang iyon nang ligtas, na may end-to-end na encryption, multilayer na authentication at real-time na pagsubaybay ng Banco Central. Ang nakompromiso sa lahat ng pag-atake ng 2025 at 2026 ay ang mga "sasakyan" na nagdadaan sa daang iyon: ang mga panloob na sistema ng mga bangko at kanilang mga provider.
Sa kaso ng BTG, ang mga hacker ay hindi nasira ang anumang protocol ng Pix. Na-access nila ang mga kredensyal na ginagamit ng bangko para mag-operate sa loob ng sistema. Parang nagpa-clone ang isang tao ng susi ng kotse, hindi sinugatan ang daan kung saan ito dumadaan.
Pinalalakas ng Banco Central sa isang komunikasyon na ang Sistema de Pagamentos Instantâneos (SPI) ay hindi nilabag. Ang nabigo ay ang pamamahala ng kredensyal ng isang kalahok na institusyon.
Impormasyon
Sinusubaybayan ng Banco Central ang lahat ng transaksyon sa pamamagitan ng Pix sa real time. Ito ang pagsubaybay na iyon ang nakakita sa mga atypical na kilusan ng BTG alas-6 ng Linggo, na nagpapahintulot ng mabilis na aksyon.
Crypto bilang ruta ng pagtakas
Sa lahat ng malalaking pag-atake mula 2025, ang huling destinasyon ng mga na-divert na halaga ay sumunod sa parehong script: pagkakalat sa maraming bank account, na sinundan ng conversion sa mga cryptocurrency.
Ang lohika ay diretso. Ang mga bank transfer ay matatrace: ang bawat transaksyon ng Pix ay may CPF o CNPJ ng pinagmulan at destinasyon. Ang mga cryptocurrency, bagama't naka-record sa blockchain, ay nagpapahintulot ng mga paggalaw sa pagitan ng mga pseudonymous na wallet na makabuluhang nagpapahirap sa pagkilala ng mga final beneficiary.
Sa pag-atake sa BTG, ang mga halaga ay nakakalat sa hindi bababa sa 7 iba't ibang institusyon bago bahagi ay na-convert sa crypto. Nakakuha ang Polícia Federal ng R$ 73 milyon, ngunit ang bahagi na na-convert sa mga digital asset ang kinakatawan ng pinakamalaking hamon ng imbestigasyon.
Ang pattern na ito ay nagpapatibay ng isang talakayan na nagkakakuha ng pagpapahamak sa Brazil: ang regulasyon ng cryptocurrency market. Ang traceability ng mga crypto operation at ang pagkilala ng mga final beneficiary ay mga sentral na punto para ang mga awtoridad ay makapag-tugon nang epektibo sa ganitong uri ng krimen.
Paano protektahan ang iyong pera
Ang mga pag-atake ng 2025 at 2026 ay hindi nakompromiso ang mga indibidwal na account. Sila ay nagtutumbok sa mga institutional infrastructure. Ngunit hindi ito nangangahulugang hindi ka dapat mag-adopt ng mga hakbang ng proteksyon para sa pang-araw-araw na paggamit ng Pix.
I-configure ang mga limitasyon ng transfer. Ang bawat bangko ay nagbibigay-daan sa pag-aayos ng Pix limit bawat transaksyon at bawat panahon. Bawasan ang gabi-gabing limitasyon (sa pagitan ng 8pm at 6am) sa mga mababang halaga o zero. Karamihan sa mga pag-atake sa mga indibidwal ay nangyayari sa pamamagitan ng pamimilit, at ang mga mababang limitasyon ay nagbabawas ng pinsala.
I-activate ang two-step authentication (2FA). Biometric, token o confirmation ng pangalawang device. Ang bawat karagdagang authentication layer ay nagpapahirap sa unauthorized access.
Gumamit ng mga random key. Mas gusto ang mga random na Pix key kaysa sa CPF, email o telepono. Ang mga key na naka-link sa personal na datos ay nagpapadali ng mga pagtatangkang social engineering.
Iwasan ang mga pampublikong Wi-Fi network para sa mga financial transaction. Ang mga bukas na network ay kilalang mga vector ng interception. Gamitin ang iyong mobile network o isang mapagkakatiwalaang VPN.
Alamin ang MED (Mecanismo Especial de Devolução). Kung ikaw ay biktima ng pandaraya sa pamamagitan ng Pix, mayroon kang hanggang 80 araw para hilingin sa iyong bangko ang pagbabalik ng mga halaga sa pamamagitan ng MED. Ang bangko ay dapat makipag-ugnayan sa receiving institution sa loob ng 30 minuto para i-block ang mga mapagkukunan sa destination account. Mas mabilis ang pakikipag-ugnayan, mas malaki ang pagkakataon ng recovery.
Tip
I-configure na ngayon ang gabi-gabing limitasyon ng iyong Pix. Nagbibigay-daan ang karamihang bangko na bawasan ito sa R$ 0 sa pagitan ng 8pm at 6am, na may mga pagbabago na naka-program na pumasok sa bisa sa loob ng 24 hanggang 48 oras para sa seguridad.
Ano ang ibig sabihin nito para sa mga namumuhunan
Ang seguridad ng financial system ay isang paksa na direktang interesante sa sinumang mamumuhunan. Ang mga pag-atake ng 2025 at 2026 ay hindi nakaapekto sa Pix bilang infrastructure, ngunit inilantad ang pangangailangan para sa mga financial institution na patuloy na mag-invest sa cybersecurity, credential governance at pag-audit ng third-party provider.
Para sa indibidwal na mamumuhunan, ang aral ay duplado: maunawaan na ang sentral na sistema ay matibay, ngunit ang personal na seguridad ay nakasalalay sa mabuting gawi ng gumagamit mismo. Ang mga configured na limitasyon, reinforced na authentication at pansin sa mga pagtatangkang social engineering ay nananatiling pinakamahusay na depensa.
Sa Royal Binary, ang seguridad ng mga mapagkukunan ng mga mamumuhunan ay tinatrato bilang operational priority. Na may mga operasyong naka-record sa sariling kapaligiran, pinamahalaan ng pangkat ni Sidnei Oliveira na may mahigit 6 na taon ng karanasan sa financial market, at may ganap na operational transparency (CNPJ 64.020.950/0001-60, Avenida Paulista, 807, São Paulo), hinahangad ng aming modelo na mabawasan ang mga panganib sa bawat hakbang ng proseso.
Ang mga kita sa financial market ay variable income. Ang mga nakaraang resulta ay hindi ginagarantiyahan ang mga resulta sa hinaharap.
Tip
Gusto mong maunawaan kung paano gumagana ang managed operation ng Royal Binary? Alamin ang aming mga plan at kasaysayan ng mga operasyon sa app.royalbinary.io.