印尼当局逮捕了一名当地黑客,该黑客涉嫌利用交易平台 Markets.com 存款系统的安全漏洞,窃取了价值 39.8 万美元的资金。加密货币.
据当地媒体报道,警方于周六在西爪哇省万隆市拘留了嫌疑人,该嫌疑人仅被确认为HS。此前,总部位于伦敦的Markets.com母公司Finalto International Limited提出了投诉。报告.
此次行动导致该交易平台损失总计 39.8 万美元(66.7 亿印尼盾),HS 面临印尼网络犯罪和反洗钱法的指控,可能面临最高 15 年监禁和最高 90 万美元(150 亿印尼盾)的罚款。
解密已联系 Finalto International 以获取更多评论。
网络犯罪副主管安德里·苏达尔马迪表示,调查人员发现了HS如何涉嫌利用Markets.com名义输入系统中的异常情况。
据报道,该平台产生了美元根据攻击者输入的任何存款金额,余额都会发生变化,从而在没有适当后端验证的情况下,为欺诈性获利创造了机会。
据警方称,HS 创建了四个虚假账户,分别名为 Hendra、Eko Saldi、Arif Prayoga 和 Tosin,通过从公开网站上抓取印尼国民身份证信息来获取真实的身份数据。
当局称,嫌疑人是一名电脑配件分销商,自 2017 年以来一直从事加密货币交易,他利用自己的经验识别并利用了系统漏洞。
警方查获了一台笔记本电脑、一部手机、一台中央处理器、一张ATM卡、位于万隆的一间152平方米的店屋,以及一个装有266,801 USDT的冷钱包,价值约420万美元(44.5亿印尼盾)。
KYC“已经不够用了”
网络安全顾问大卫·世贤白(David Sehyeon Baek)解密抓取到的 ID 数据表明,该黑客是“一个与更大的地下数据生态系统有联系的人”,而不是一个单独的操作者。
“很多交易所仍然把 KYC 当作勾选框一样简单,”他说道,并指出不法分子很容易“利用泄露的数据和人工智能工具构建令人信服的虚假身份”。
“仅靠传统的 KYC 已经不够了,”白说,他敦促交易所采用“持续监控、设备和网络智能以及更好的跨平台协作”来及早发现合成身份。
白克表示,此案符合“非常明显的行业趋势”。他解释说,攻击者正在放弃复杂的攻击手段。智能合约黑客攻击,并寻找“Web2 系统中更容易的入口点——例如业务逻辑缺陷、弱 API、损坏的访问控制和糟糕的后端验证”。
这位专家补充说,这类问题可以通过“基本的安全编码实践、内部代码审查和例行安全测试”来解决。