インドネシアでの暗号通貨盗難事件
インドネシア当局は、取引プラットフォームMarkets.comの入金システムのセキュリティの欠陥を悪用し、398,000ドル相当の暗号通貨を盗んだとされる地元のハッカーを逮捕しました。警察は、ロンドンに本社を置くMarkets.comの所有者であるFinalto International Limitedからの苦情を受け、土曜日に西ジャワ州バンドンでHSという名前の容疑者を拘束しました。
事件の詳細と影響
この事件により、取引プラットフォームは合計398,000ドル(約66.7億ルピア)の損失を被り、HSはインドネシアのサイバー犯罪およびマネーロンダリング防止法に基づく告発に直面しており、最大15年の懲役と90万ドル(約1500万ルピア)の罰金が科される可能性があります。
サイバー犯罪対策の副部長であるアンドリ・スダルマディ氏は、HSがどのようにMarkets.comの入金システムの異常を悪用したかを調査員が明らかにしたと述べました。
ハッキング手法とその背景
このプラットフォームは、攻撃者が入力した入金額に基づいてUSDT残高を生成し、適切なバックエンド検証なしに不正な利益を得る機会を生み出しました。警察によると、HSはヘンドラ、エコ・サルディ、アリフ・プラヨガ、トシンという名前の4つの偽のアカウントを作成し、公開されているウェブサイトからインドネシアの国民ID情報をスクレイピングして実際の身元データを取得しました。
容疑者は2017年からコンピュータアクセサリーのディストリビューターおよび暗号通貨トレーダーとして活動しており、その経験を活かしてシステムの脆弱性を特定し、悪用したと当局は述べています。
押収された証拠と専門家の見解
警察は、バンドンにある152平方メートルの商業用住宅、266,801 USDT(約420万ドル、約44.5億ルピア)相当のコールドウォレット、ノートパソコン、携帯電話、CPUユニット、ATMカードを押収しました。
サイバーセキュリティコンサルタントのデビッド・セヒョン・ベク氏は、スクレイピングされたIDデータは、ハッカーが「はるかに大きな地下データエコシステムに接続されている誰か」であることを示しているとDecryptに語りました。
彼は、多くの取引所が依然としてKYCをチェックボックスの演習のように扱っていると述べ、悪意のある行為者が「漏洩したデータやAIツールを使用して説得力のある偽の身元を構築することの容易さ」を指摘しました。ベク氏は、この事件は「非常に明確な業界のトレンド」に合致していると説明しました。
今後の対策と提言
彼は、攻撃者が複雑なスマートコントラクトのハッキングから離れ、「Web2システムにおけるより簡単な侵入ポイント—ビジネスロジックの欠陥、弱いAPI、壊れたアクセス制御、貧弱なバックエンド検証」などを探していると述べました。このような問題は「基本的なセキュアコーディングの実践、内部コードレビュー、定期的なセキュリティテスト」によって対処できると専門家は付け加えました。
