印尼拘留與Markets.com加密貨幣失竊案有關的駭客，損失達$398K

簡要說明

• 印尼警方逮捕了一名當地駭客，據報導該駭客利用了Markets.com存款系統的安全漏洞，從該平台竊取了39.8萬美元。
• 嫌疑人涉嫌利用蒐集到的國民身份證資料創建了四個假帳戶，並操縱平台的輸入系統生成虛假的USDT餘額。
• 警方查獲的證物包括一個冷錢包，內含266,801枚USDT，價值約420萬美元，以及位於萬隆的一處商用店面房產。

Decrypt 藝術、時尚與娛樂中心

探索 SCENE

印尼當局逮捕了一名涉嫌利用交易平台Markets.com存款系統安全漏洞，竊取價值39.8萬美元加密貨幣的當地駭客。

根據當地媒體報導，警方於週六在西爪哇萬隆逮捕了該嫌疑人，僅以HS身份公開，行動緣於Markets.com母公司、倫敦總部Finalto International Limited提出的投訴。

這起案件導致交易平台損失總計39.8萬美元 (Rp 6.67億)，HS將依據印尼網路犯罪及反洗錢法遭起訴，最高可面臨15年徒刑及90萬美元 (Rp 15億) 的罰款。

Decrypt 已聯繫Finalto International以取得進一步評論。

網路犯罪副主任Andri Sudarmadi表示，調查人員發現HS疑似利用了Markets.com名目輸入系統中的異常。

據報導，該平台會根據攻擊者所輸入的任意存款金額生成USDT餘額，為不當獲利開啟缺口，且後端未經適當驗證。

警方表示，HS以Hendra、Eko Saldi、Arif Prayoga和Tosin四個名字創建了假帳戶，並透過從公開網站蒐集印尼國民身份證資訊取得真實身份數據。

當局稱，該嫌疑人自2017年起為電腦配件經銷商及加密貨幣交易員，利用其經驗發現並利用了這一系統漏洞。

警方查扣了一台筆電、手機、主機、提款卡、位於萬隆的一處152平方公尺商用店面，以及一個冷錢包，內含266,801枚USDT，價值約420萬美元 (Rp 4.45億)。

KYC「已經不再足夠」

資安顧問David Sehyeon Baek向Decrypt表示，遭蒐集的身份證資料顯示，駭客「與更龐大的地下數據生態系有聯繫」，而非單獨行動者。

「許多交易所仍將KYC視為例行核對項目，」他表示，指出不法分子很容易「利用外洩數據與AI工具建立極具說服力的假身份」。

「僅靠傳統KYC已經不再足夠了，」Baek呼籲交易所應採用「持續監控、裝置與網路情報、以及更佳的跨平台合作」，以便及早偵測合成身份。

Baek表示，這起案件符合「非常明確的產業趨勢」。他解釋，攻擊者正從複雜的智能合約駭客行為轉向尋找「Web2系統中更容易的切入點——如業務邏輯漏洞、薄弱的API、破損的存取控制，以及後端驗證不良」。

這類問題可透過「基本的安全編碼實踐、內部代碼審查和例行安全測試」來解決，該專家補充道。