探索 SCENE
印尼當局逮捕了一名涉嫌利用交易平台Markets.com存款系統安全漏洞,竊取價值39.8萬美元加密貨幣的當地駭客。
根據當地媒體報導,警方於週六在西爪哇萬隆逮捕了該嫌疑人,僅以HS身份公開,行動緣於Markets.com母公司、倫敦總部Finalto International Limited提出的投訴。
這起案件導致交易平台損失總計39.8萬美元 (Rp 6.67億),HS將依據印尼網路犯罪及反洗錢法遭起訴,最高可面臨15年徒刑及90萬美元 (Rp 15億) 的罰款。
Decrypt 已聯繫Finalto International以取得進一步評論。
網路犯罪副主任Andri Sudarmadi表示,調查人員發現HS疑似利用了Markets.com名目輸入系統中的異常。
據報導,該平台會根據攻擊者所輸入的任意存款金額生成USDT餘額,為不當獲利開啟缺口,且後端未經適當驗證。
警方表示,HS以Hendra、Eko Saldi、Arif Prayoga和Tosin四個名字創建了假帳戶,並透過從公開網站蒐集印尼國民身份證資訊取得真實身份數據。
當局稱,該嫌疑人自2017年起為電腦配件經銷商及加密貨幣交易員,利用其經驗發現並利用了這一系統漏洞。
警方查扣了一台筆電、手機、主機、提款卡、位於萬隆的一處152平方公尺商用店面,以及一個冷錢包,內含266,801枚USDT,價值約420萬美元 (Rp 4.45億)。
資安顧問David Sehyeon Baek向Decrypt表示,遭蒐集的身份證資料顯示,駭客「與更龐大的地下數據生態系有聯繫」,而非單獨行動者。
「許多交易所仍將KYC視為例行核對項目,」他表示,指出不法分子很容易「利用外洩數據與AI工具建立極具說服力的假身份」。
「僅靠傳統KYC已經不再足夠了,」Baek呼籲交易所應採用「持續監控、裝置與網路情報、以及更佳的跨平台合作」,以便及早偵測合成身份。
Baek表示,這起案件符合「非常明確的產業趨勢」。他解釋,攻擊者正從複雜的智能合約駭客行為轉向尋找「Web2系統中更容易的切入點——如業務邏輯漏洞、薄弱的API、破損的存取控制,以及後端驗證不良」。
這類問題可透過「基本的安全編碼實踐、內部代碼審查和例行安全測試」來解決,該專家補充道。
