A Bitcoin Depot revela uma importante vulnerabilidade de segurança, hackers roubam 3,6 milhões de dólares em BTC

O operador de ATMs de Bitcoin, Bitcoin Depot, apresentou em 9 de abril um dossier à Comissão de Valores Mobiliários dos Estados Unidos (SEC), divulgando que a empresa sofreu uma falha de segurança grave em 23 de março. Os hackers obtiveram credenciais de acesso da conta de liquidação de ativos digitais após invadirem os sistemas de TI da empresa e transferiram, sem autorização, cerca de 50,9 bitcoins, o que corresponde a uma perda estimada de aproximadamente 3.67M de dólares com base no valor de mercado no momento do roubo.

Análise da via do ataque: como o roubo de credenciais de TI levou à perda de BTC

(Fonte: SEC)

De acordo com o dossier da SEC divulgado pela Bitcoin Depot, este ataque envolveu uma intrusão e uma ligação de transferência completas:

Resumo da via do ataque e das perdas

Invasão dos sistemas de TI: os atacantes conseguiram infiltrar-se nos sistemas de TI internos da empresa e obter credenciais de acesso da conta de liquidação de ativos digitais

Transferência não autorizada de fundos: utilizando as credenciais roubadas, foi possível concluir uma transferência ilegal de ativos criptográficos sem que ninguém desse por isso

Dimensão das perdas: 50,9 bitcoins; a perda estimada com base no valor de mercado no momento do roubo é de 3.67M de dólares

Impacto no cliente: a plataforma de ATMs dirigida a clientes e os dados pessoais dos utilizadores não foram afetados

Data do incidente: a falha ocorreu em 23 de março de 2026

Até ao momento da publicação da notícia, a Bitcoin Depot ainda não tinha feito qualquer declaração pública sobre este caso, além do dossier apresentado à SEC, nem respondeu a pedidos dos meios de comunicação para comentários.

Ações de resposta da empresa e potenciais custos futuros

Após detetar a intrusão, a Bitcoin Depot ativou o mecanismo de resposta a incidentes, contratou especialistas externos de cibersegurança para investigar a via do ataque e localizar os ativos restantes, e também apresentou queixa às autoridades responsáveis pela aplicação da lei, embora não tenha divulgado especificamente quais as entidades envolvidas na investigação.

A empresa estimou inicialmente a perda em 3.67M de dólares, mas o dossier da SEC não divulgou se a empresa tinha um seguro contra roubo de ativos digitais, nem explicou o eventual impacto desta perda na operação de liquidez da rede total de máquinas de ATM para o fluxo de bitcoins. A Bitcoin Depot afirmou de forma clara que os riscos decorrentes deste evento incluem danos reputacionais, custos legais, intervenção regulatória e custos de resposta urgente, os quais poderão criar um encargo financeiro de longo prazo para o negócio da empresa.

Em termos de reação do mercado, as ações de BTM chegaram a disparar 15% durante as operações do próprio dia, fechando a 2,74 dólares, mas depois da divulgação do dossier da SEC registaram-se quedas no período pós-mercado. Importa notar que a ação já tinha acumulado uma queda de 44% nos últimos 30 dias.

Segundo incidente de segurança: desafios de segurança sistémica enfrentados pelos operadores de ATMs

Este é pelo menos o segundo grande incidente de segurança conhecido da Bitcoin Depot — em 2023, a empresa sofreu outro ataque informático, que levou à fuga de dados pessoais de cerca de 58 mil utilizadores. A ocorrência consecutiva dos dois incidentes evidencia a pressão sistémica a que os operadores de ATMs de bitcoin estão sujeitos em termos de proteção de segurança.

Como os operadores de ATMs precisam de manter grandes reservas de criptomoedas para suportar as transações dos clientes, tornam-se um alvo altamente visado por criminosos informáticos. Estas empresas, ao ligarem dinheiro físico às infraestruturas de criptomoeda, também têm de gerir sistemas de custódia digital complexos, criando uma superfície de ataque de interseção única entre segurança física e segurança de rede.

Este incidente ocorre num momento em que a Bitcoin Depot enfrenta um escrutínio regulatório cada vez mais rigoroso — este ano, em fevereiro, sob pressão das autoridades reguladoras, a empresa implementou requisitos de verificação de identidade mais rigorosos para todas as transações de ATMs, com o objetivo de reforçar a capacidade de conformidade contra fraude e contra branqueamento de capitais.

Perguntas frequentes

Qual é o montante da perda sofrida com o ataque à Bitcoin Depot?

De acordo com o dossier apresentado pela Bitcoin Depot à SEC, os hackers roubaram cerca de 50,9 bitcoins, o que corresponde a uma perda estimada de aproximadamente 58k de dólares com base no valor de mercado no momento do roubo. A empresa ainda não divulgou se detém um seguro contra roubo de ativos digitais, nem explicou o eventual impacto da perda nas operações de liquidez dos ATMs.

Os dados pessoais dos clientes foram afetados por este ataque?

A Bitcoin Depot afirmou de forma clara no dossier da SEC que a plataforma de ATMs dirigida a clientes e os dados pessoais dos utilizadores não foram afetados por esta intrusão. Este incidente afetou principalmente a conta de liquidação de ativos digitais no interior da empresa, estando os sistemas do lado do cliente isolados.

Este é o quantosº incidente de segurança da Bitcoin Depot?

Este é o segundo, pelo menos, grande incidente de segurança conhecido da Bitcoin Depot. Em 2023, a empresa sofreu outro ataque informático que levou à fuga de dados pessoais de cerca de 58 mil utilizadores, criando um padrão de repetição preocupante de incidentes de segurança.