巴西央行1.4亿镁储备金被骇！赃款换成比特币、骇客成本仅2,760美元，服务供应商成破口

加密货币链上侦探 ZachXBT 7 月 4 日披露，2025 年 6 月 30 日，巴西央行服务供应商 C&M Software 惨遭骇客攻击，六家银行的央行準备金帐户瞬间被转走约 1.4 亿美元。然而，骇客只付出约 2,760 美元，便从一名员工手中买到登入凭证，轻取金融中枢大门钥匙。
（前情提要：DeFi协议ResupplyFi惨遭骇客攻击损失960万美元，原生稳定币reUSD一度脱锚至0.969美元）
（背景补充：冷钱包Trezor警告：骇客假冒官方信进行钓鱼攻击，切勿分享钱包私钥）

本文目录

• 低成本渗透，高额失血
• 资金流向：从 Pix 跳板到链上
• 应对措施与事件影响
• 后续调查进展

据加密货币链上侦探 ZachXBT 7 月 4 日披露，2025 年 6 月 30 日，巴西央行服务供应商 C&M Software 惨遭骇客攻击，六家银行的央行準备金帐户瞬间被转走约 1.4 亿美元。

然而，骇客只付出约 2,760 美元，便从一名员工手中买到登入凭证，轻取金融中枢大门钥匙。ZachXBT 强调，这是今年「最令人震惊的案件之一」，却在巴西以外鲜少获得关注。

低成本渗透，高额失血

据了解，C&M Software 负责串接银行与巴西央行支付基础设施，包括即时支付系统 Pix。员工帐密外流后，骇客直接操控了平台介面，把资金自六家银行的央行帐户转出，合计 8 亿雷亚尔。具体细节包括：

• 目标帐户：攻击锁定约五至六家小型金融机构在巴西央行的储备帐户，这些帐户专用于银行间结算，直接由央行託管，涉及巨额资金。
• 攻击执行：骇客通过未经授权的访问，操纵 C&M Software 的系统，执行非法转帐。攻击利用了C&M Software 作为第三方服务商的关键角色，直接连通巴西央行与金融机构的资金流。
• 损失金额：部分报导估计损失高达 10 亿雷亚尔（约 1.8 亿美元），但路透社援引匿名官员表示，实际损失可能低于此数额，且未涉及客户直接资金损失。

资金流向：从 Pix 跳板到链上

行动成功后，骇客透过 Pix 将赃款切分，再经拉丁美洲场外交易商与交易所，把约 3,000 万至 4,000 万美元换成比特币、以太币与美元稳定币 USDT。加密资产的高速、跨境与半匿名特性，让追蹤与冻结难度大幅跃升。ZachXBT 表示已锁定相关地址，待时机成熟将公布，以协助执法机关冻结帐户、辨识未标记的 OTC 交易商：

「这是 2025 年最令人震惊的案件之一，但在巴西之外却鲜少被讨论。」

应对措施与事件影响

• 巴西央行：事件发生后，巴西央行于 7 月 2 日确认了攻击，并立即要求 C&M Software 切断所有金融机构对其营运基础设施的访问，以防止进一步损失。经过安全审查，C&M Software 于 7 月 3 日获准恢复营运。
• C&M Software：公司声明其核心系统未受损，且已启动所有安全协议，与巴西央行及圣保罗州警方合作调查。目前，公司强调其服务现已完全恢复正常运作。
• 受影响机构：BMP 等金融机构表示，受影响的储备帐户仅用于银行间结算，未涉及客户资金，且已採取措施确保运行稳定。Bradesco 则明确否认受到此次攻击影响。
• 行业影响：此次攻击暴露了「银行即服务」（BaaS）模式和第三方服务商在安全管理上的漏洞。Pix 即时支付系统作为巴西金融基础设施的核心，其安全性和第三方风险管理受到广泛关注。事件可能促使巴西金融业重新审视对第三方服务商的依赖，并加强网路安全政策。

后续调查进展

巴西联邦警察已介入调查，重点追蹤被盗资金的流向及骇客身份。ZachXBT 推测攻击可能与朝鲜骇客组织 Lazarus 有关，但此说法尚未得到官方证实，需进一步调查。

当地专家建议，巴西金融业应加强对第三方服务商的资安审查，完善 Pix 系统的安全防护措施，并提升对加密货币洗钱的监测能力。同时，监管机构可能需要推动更严格的第三方风险管理规範。随着调查深入，预计将有更多细节浮出水面。