Risco invisível: Caixas eletrônicos de Bitcoin são alvos de hackers

Um ataque cibernético a uma das maiores redes de caixas eletrônicos de Bitcoin do mundo, a americana Bitcoin Depot, resultou na perda de 51 BTC — o equivalente a aproximadamente R$ 30 milhões na cotação atual. O incidente, detectado na última semana, expôs a vulnerabilidade de um segmento ainda pouco regulamentado no ecossistema cripto: os ATMs de criptomoedas.

Segundo o relato da empresa ao Journal du Coin, o ataque ocorreu em um dos terminais da rede, onde os hackers exploraram uma brecha em um dos terminais físicos para desviar os fundos. A Bitcoin Depot, que opera mais de 35 mil ATMs em território americano, ainda não divulgou detalhes técnicos sobre como o ataque foi realizado, mas especialistas suspeitam de falhas em sistemas de autenticação ou de software não atualizado. No Brasil, onde a empresa mantém uma presença crescente, o episódio serve como um alerta para reguladores e investidores.

O Brasil está preparado para regulamentar ATMs de criptomoedas?

O mercado brasileiro de ATMs de Bitcoin é ainda pequeno, mas em expansão — atualmente, há cerca de 200 máquinas espalhadas por shoppings, postos de gasolina e shoppings centers em capitais como São Paulo, Rio de Janeiro e Brasília. No entanto, a ausência de uma regulamentação específica para esses terminais deixa lacunas críticas. Segundo o Banco Central do Brasil (BCB), os ATMs são classificados como “prestadores de serviços de ativos virtuais”, mas não há normas claras sobre segurança cibernética, auditoria ou responsabilidade em casos de fraude.

“A falta de regulação específica para ATMs de cripto é um problema sério”, afirma Fernando Ulrich, especialista em blockchain e diretor da consultoria Brookfield Research. “Esses terminais são pontos de entrada fáceis para iniciantes no mercado cripto, mas sem garantias de segurança, o risco de prejuízos é alto”. Ulrich lembra que, no Brasil, a Instrução Normativa 1.888 da Receita Federal exige que exchanges e corretoras de cripto registrem operações suspeitas, mas não aborda os ATMs de forma detalhada. “É como ter uma porta de banco sem fechadura”, compara.

O episódio da Bitcoin Depot reforça a necessidade de uma regulamentação mais rígida, inclusive para evitar reflexos no mercado local. Em 2023, o Brasil registrou um crescimento de 40% no número de ATMs de cripto, segundo dados da Coin ATM Radar. Com a popularização, cresce também o risco de ataques semelhantes por aqui.

Impacto no mercado: Confiança abalada e busca por soluções

O ataque à Bitcoin Depot não apenas afetou os usuários diretos dos terminais hackeados, como também gerou um efeito dominó no mercado. Empresas brasileiras que operam ATMs, como a BitcoinToYou e a CoinBR, emitiram comunicados reforçando seus protocolos de segurança e destacando que não usam os mesmos sistemas vulneráveis. No entanto, a falta de transparência em relação aos riscos deixa investidores inseguros.

“Investidores institucionais e pessoas físicas que usam ATMs buscam segurança acima de tudo”, explica Thiago Baptistella, CEO da Atlas Quantum, uma das maiores corretoras de cripto do Brasil. “Um incidente como esse pode afastar novos usuários, especialmente aqueles que ainda veem o mercado como arriscado”. Baptistella lembra que, no Brasil, a cultura de investimento em cripto ainda está em formação, e casos de fraude reforçam estereótipos negativos.

Para especialistas, a solução pode vir com a criação de um selo de segurança para ATMs, semelhante ao que já existe para bancos e fintechs. A Associação Brasileira de Criptomoedas e Blockchain (ABCB) já estuda a proposta, mas aguarda definições do Banco Central. “Precisamos de regras claras para evitar que o Brasil se torne um alvo fácil para hackers”, defende Rodrigo Batista, presidente da ABCB.

Outro ponto de atenção é a responsabilidade das empresas. A Bitcoin Depot não divulgou se irá reembolsar os usuários afetados, o que levanta dúvidas sobre como o mercado lidará com casos semelhantes no futuro. No Brasil, a legislação atual não obriga as empresas a indenizar vítimas de fraudes em ATMs, o que pode agravar o problema.

O que o investidor brasileiro precisa saber?

Para os cerca de 3,8 milhões de brasileiros que já possuem criptomoedas, segundo a Chainalysis, o episódio serve como um lembrete de que segurança deve ser prioridade. Especialistas recomendam:

  • Evitar usar ATMs em locais isolados ou com pouca movimentação. Prefira máquinas em shoppings ou estabelecimentos comerciais conhecidos.
  • Verificar a reputação da empresa operadora. Busque informações sobre histórico de segurança e reclamações em órgãos como o Procon.
  • Usar carteiras próprias (non-custodial) para armazenar criptomoedas compradas em ATMs, reduzindo o risco de perda total em caso de fraude.
  • Monitorar transações com frequência. Ferramentas como o Blockchain.com Explorer permitem rastrear endereços de Bitcoin em tempo real.

Além disso, a expectativa é que o Banco Central e a Comissão de Valores Mobiliários (CVM) avancem em regulamentações específicas para ATMs até o final de 2024. A pressão aumenta após casos como o da Bitcoin Depot e o crescimento acelerado do segmento.

Conclusão: Regulamentação tardia, mas necessária

O ataque à Bitcoin Depot é mais um capítulo na discussão sobre segurança e regulamentação no mercado cripto brasileiro. Embora o Brasil tenha avançado com a Lei 14.478/2022 (conhecida como “Marco Legal das Criptomoedas”), que estabelece regras para exchanges, os ATMs ainda operam em um “limbo regulatório”. Sem normas claras sobre segurança cibernética, auditoria e responsabilidade, o setor permanece vulnerável a novos ataques.

Para especialistas, o momento é oportuno para que o Banco Central e o governo federal acelerem a criação de diretrizes específicas. “A regulamentação não é apenas burocracia; é proteção ao investidor”, afirma Baptistella. Enquanto isso, investidores e entusiastas devem ficar atentos e cobrar transparência das empresas operadoras de ATMs.

O mercado cripto no Brasil tem potencial para crescer ainda mais, mas sem segurança, o risco de retrocessos é real. A lição do ataque à Bitcoin Depot é clara: quem não se protege, pode pagar caro.