SCENEを発見
インドネシア当局は、取引プラットフォームMarkets.comの入金システムのセキュリティ上の欠陥を悪用し、約$398,000相当の暗号資産を盗んだ疑いで地元のハッカーを逮捕しました。
警察は、ロンドンに本社を置くMarkets.comの親会社Finalto International Limitedからの訴えを受け、土曜日に西ジャワ州バンドンで容疑者(HSとだけ特定)を拘束したと地元メディアが報じています。
この事件により取引プラットフォームは合計$398,000 (Rp 6.67 billion)の損失を被り、HSはインドネシアのサイバー犯罪及びマネーロンダリング防止法違反で最大15年の禁錮刑および最大$900,000 (Rp 15 billion)の罰金が科される可能性があります。
Decryptは追加コメントを求めてFinalto Internationalに連絡を取っています。
サイバー犯罪副局長のAndri Sudarmadi氏は、捜査官がHSがMarkets.comの名目入力システムの異常をどのように悪用したかを突き止めたと述べました。
報道によると、プラットフォームは攻撃者が入力した任意の入金額に基づきUSDT残高を生成しており、適切なバックエンド検証がなかったために不正利益の抜け道となっていました。
警察によれば、HSはHendra、Eko Saldi、Arif Prayoga、Tosinの名義で4つの偽アカウントを作成し、公開されたウェブサイトからインドネシアの国民ID情報をスクレイピングして実在の身元データを入手していました。
当局によれば、容疑者は2017年からのコンピュータアクセサリ販売業者かつ暗号トレーダーであり、その経験を活かしてシステムの脆弱性を突いたとされています。
警察はノートパソコン、携帯電話、CPUユニット、ATMカード、バンドンの152平方メートルのショップハウス、約266,801 USDT(約$4.2百万 (Rp 4.45 billion)相当)が保管されたコールドウォレットなどを押収しました。
サイバーセキュリティコンサルタントのDavid Sehyeon Baek氏は、Decryptに対し、スクレイピングされたIDデータは「より大規模なアンダーグラウンドデータエコシステムに関与している人物」であり、単独のオペレーターではない可能性が高いと語りました。
「多くの取引所は依然としてKYCを形だけのチェックリストと見なしています」と述べ、悪意のある者が「漏洩データやAIツールを用いて説得力のある偽の身元を簡単に構築できる」ことを指摘しました。
「従来のKYCだけではもはや十分ではありません」とBaek氏は述べ、取引所に対し、「継続的なモニタリング、デバイスやネットワークインテリジェンス、より良いクロスプラットフォーム連携」を採用し、合成アイデンティティを早期に検知するよう促しました。
Baek氏は、この事件が「非常に明確な業界のトレンドに合致している」とし、攻撃者は複雑なスマートコントラクトハックから離れ、「Web2システムのより簡単な侵入口―ビジネスロジックの欠陥、脆弱なAPI、不十分なアクセス制御、バックエンド検証の不備」へと移行していると説明しました。
この種の問題は「基本的なセキュアコーディング習慣、内部コードレビュー、定期的なセキュリティテスト」で対応できると専門家は付け加えました。
71.82K 人気度
60.73K 人気度
62.76K 人気度
15.76K 人気度
14.98K 人気度
インドネシアが$398K の損失後、Markets.comの暗号通貨窃盗に関与したハッカーを拘束
要約
Decryptのアート、ファッション、エンターテインメントハブ。
SCENEを発見
インドネシア当局は、取引プラットフォームMarkets.comの入金システムのセキュリティ上の欠陥を悪用し、約$398,000相当の暗号資産を盗んだ疑いで地元のハッカーを逮捕しました。
警察は、ロンドンに本社を置くMarkets.comの親会社Finalto International Limitedからの訴えを受け、土曜日に西ジャワ州バンドンで容疑者(HSとだけ特定)を拘束したと地元メディアが報じています。
この事件により取引プラットフォームは合計$398,000 (Rp 6.67 billion)の損失を被り、HSはインドネシアのサイバー犯罪及びマネーロンダリング防止法違反で最大15年の禁錮刑および最大$900,000 (Rp 15 billion)の罰金が科される可能性があります。
Decryptは追加コメントを求めてFinalto Internationalに連絡を取っています。
サイバー犯罪副局長のAndri Sudarmadi氏は、捜査官がHSがMarkets.comの名目入力システムの異常をどのように悪用したかを突き止めたと述べました。
報道によると、プラットフォームは攻撃者が入力した任意の入金額に基づきUSDT残高を生成しており、適切なバックエンド検証がなかったために不正利益の抜け道となっていました。
警察によれば、HSはHendra、Eko Saldi、Arif Prayoga、Tosinの名義で4つの偽アカウントを作成し、公開されたウェブサイトからインドネシアの国民ID情報をスクレイピングして実在の身元データを入手していました。
当局によれば、容疑者は2017年からのコンピュータアクセサリ販売業者かつ暗号トレーダーであり、その経験を活かしてシステムの脆弱性を突いたとされています。
警察はノートパソコン、携帯電話、CPUユニット、ATMカード、バンドンの152平方メートルのショップハウス、約266,801 USDT(約$4.2百万 (Rp 4.45 billion)相当)が保管されたコールドウォレットなどを押収しました。
KYC「だけではもう不十分」
サイバーセキュリティコンサルタントのDavid Sehyeon Baek氏は、Decryptに対し、スクレイピングされたIDデータは「より大規模なアンダーグラウンドデータエコシステムに関与している人物」であり、単独のオペレーターではない可能性が高いと語りました。
「多くの取引所は依然としてKYCを形だけのチェックリストと見なしています」と述べ、悪意のある者が「漏洩データやAIツールを用いて説得力のある偽の身元を簡単に構築できる」ことを指摘しました。
「従来のKYCだけではもはや十分ではありません」とBaek氏は述べ、取引所に対し、「継続的なモニタリング、デバイスやネットワークインテリジェンス、より良いクロスプラットフォーム連携」を採用し、合成アイデンティティを早期に検知するよう促しました。
Baek氏は、この事件が「非常に明確な業界のトレンドに合致している」とし、攻撃者は複雑なスマートコントラクトハックから離れ、「Web2システムのより簡単な侵入口―ビジネスロジックの欠陥、脆弱なAPI、不十分なアクセス制御、バックエンド検証の不備」へと移行していると説明しました。
この種の問題は「基本的なセキュアコーディング習慣、内部コードレビュー、定期的なセキュリティテスト」で対応できると専門家は付け加えました。