Brezilya finansal sisteminde büyük bir güvenlik açığını kullanan siber saldırganlar, pazartesi günü ülke tarihinin en büyük dijital soygununu gerçekleştirerek yaklaşık 1 milyar Brezilya reali (yaklaşık 180 milyon dolar) çaldı. Çalınan fonlar, anında kripto para birimlerine çevrilerek izleri silinmeye çalışıldı.
Brezilya merkezli Brazil Journal’ın haberine göre, saldırının merkezinde finans kurumlarının API bağlantılarını yöneten ve Brezilya Merkez Bankası tarafından yetkilendirilen C&M Software bulunuyor. Saldırganlar, C&M aracılığıyla BMP gibi hizmet bankacılığı sunan birçok kuruluşun rezerv hesaplarına erişim sağladı.
Federal Polis yetkilileri, olayın Brezilya’nın ulusal ödeme sistemine yönelik büyük çaplı bir sızma olduğunu doğrularken, hackerların ele geçirdikleri fonları anında kripto borsalarına ve OTC (tezgah üstü) platformlara yönlendirdiği, burada da Bitcoin ve USDT’ye çevrilerek sistem dışına çıkarıldığı belirtildi.
Saldırı tespit edilir edilmez C&M Software’in sistemle bağlantısı kesildi. Brezilya Merkez Bankası mühendisleri gece boyunca olayı araştırmak için çalışırken, birçok kripto para platformu şüpheli işlemleri engelledi ve saldırıyla bağlantılı hesapları dondurdu.
Yetkililer, saldırının finans sisteminin kritik altyapılarına yönelik tehditleri gözler önüne serdiğini belirtiyor. Olay, kripto paraların yasa dışı işlemlerdeki rolüyle ilgili tartışmaları da yeniden gündeme taşıdı. Soruşturma sürüyor.
Brezilya’da Altyapı Açığı Kripto Ağa Sızmayı Sağladı
Saldırının merkezinde yer alan C&M Software, ülkenin anlık ödeme sistemi PIX’in mesajlaşma geçidi işlevini taşıyan altyapısında ciddi bir güvenlik zafiyetinin kullanıldığını doğruladı.
Valor Econômico’ya konuşan C&M Software yetkilileri, firmanın doğrudan bir siber saldırının hedefi olduğunu ve kötü niyetli kişilerin bazı müşteri kimlik bilgilerini kullanarak sistemlerine yasa dışı erişim sağladığını belirtti. Saldırganlar, PIX aracılığıyla bankalar, fintech’ler ve ödeme kuruluşlarını finansal altyapıya bağlayan transfer protokollerine erişim elde etti.
Hırsızlığın hemen ardından fonlar, PIX ile entegre çalışan kripto hizmet sağlayıcılarına aktarılmaya başlandı. Hackerlar, bu platformlar üzerinden USDT ve Bitcoin alımı yapmak üzere borsa, ödeme geçidi ve OTC (tezgah üstü) kanallarını kullandı.
SmartPay CEO’su Rocelo Lopes, 30 Haziran saat 00:18’de iki platformda yaşanan olağan dışı hareketlilik nedeniyle sistemin otomatik olarak güvenlik filtrelerini devreye aldığını açıkladı. “Büyük meblağlar bloke edildi ve aynı anda ilgili kurumlara iade süreci başlatıldı” diyen Lopes, birçok kripto OTC masasının hackerlar tarafından yapılan kayıt ve işlem taleplerini reddettiğini belirtti.
Sektör kaynaklarına göre, blockchain izleme araçları sayesinde çeşitli kripto şirketlerine yönlendirilen yüklü miktarda işlem tespit edildi. Ancak tam olarak ne kadar fonun kriptoya dönüştüğü hâlâ araştırılıyor.
Saldırının gerçekleştiği hizmet bankacılığı sağlayıcısı BMP, olayla ilgili yaptığı açıklamada hiçbir müşterisinin zarar görmediğini ve fonlarının erişilmediğini vurguladı.
Açıklamada, saldırının yalnızca Merkez Bankası’ndaki rezerv hesabında tutulan fonları etkilediği, ayrıca BMP’nin kaybı karşılamak için yeterli teminata sahip olduğu ifade edildi.
Kripto Altyapısı, Geleneksel Finansal Suçlar İçin Yeni Kaçış Yolu Oldu
Brezilya’da yaşanan 180 milyon dolarlık siber saldırı, dijital varlıkların geleneksel finansal suçlar için “kaçış rampasına” dönüştüğüne dair endişeleri daha da artırdı.
Kripto paralar, hem yüksek likidite hem de nakdin sağlayamadığı ölçekte bir “yarı anonimlik” sunarak suç gelirlerinin aklanmasında önemli bir araç hâline geliyor.
Özellikle stablecoin’ler (sabit fiyatlı kripto paralar), kara para aklayan uluslararası ağlar için cazip hâle gelmiş durumda. Mali Eylem Görev Gücü (FATF), geçtiğimiz aylarda yayımladığı raporla, bu varlıkların düzenleme olmadan yaygınlaşmasının ciddi güvenlik riskleri oluşturduğunu vurgulamıştı.
Brezilya’daki son olay, 2025 boyunca yaşanan kripto bağlantılı dev vurgunlar zincirine eklendi. Bunlar arasında Kuzey Koreli hackerların ByBit borsasından çaldığı 1,46 milyar dolarlık rekor saldırı ve Çin polisinin ortaya çıkardığı 136 milyon dolarlık dijital para aklama ağı da bulunuyor.
Bu tür “hibrit saldırılar”da geleneksel bankacılık sistemlerine sızılıyor, ancak çalınan paralar blockchain tabanlı kripto varlıklarla sistem dışına çıkarılıyor. Bu karma yapı, küresel düzenleyicilerin müdahale kapasitesini zorlaştırıyor.
Son dönemde, kripto borsalarına yönelik cezalar da bu sorunlara ışık tutuyor. Örneğin, OKX’in 505 milyon dolarlık para cezası, kara para aklamayı önlemeye yönelik düzenlemelere uymadığı için kesildi.
Brezilyalı yetkililer, çalınan fonların birçok farklı blokzincir ağı üzerindeki izini sürmeye çalışıyor. Bu süreçte uluslararası iş birlikleriyle varlıkların dondurulması ve faillerin kimliğinin tespiti için çalışmalar hızlandırıldı. Bu olay, ülkenin bugüne kadarki en büyük dijital banka soygunu olarak kayıtlara geçti.
Uzmanlara göre, bu tür saldırılar küresel ölçekte etkili, uyumlu ve hızlı hareket eden bir düzenleyici sistemin yokluğunda artarak devam edebilir.