Tin tặc đánh cắp danh tính để hack vào Markets.com, đánh cắp gần 400.000 đô la

Chính quyền Indonesia đã bắt giữ một tin tặc có trụ sở tại Bandung bị cáo buộc khai thác lỗ hổng nghiêm trọng bên trong nền tảng giao dịch Markets.com—một sự cố nhanh chóng làm sáng tỏ những hạn chế của cơ chế xác minh danh tính khách hàng như một cơ chế phòng thủ chính cho các sàn giao dịch tiền điện tử.

Cuộc tấn công gây thiệt hại 398.000 đô la và cho thấy kẻ xấu có thể dễ dàng vượt qua các cuộc kiểm tra KYC truyền thống bằng cách sử dụng dữ liệu danh tính thực được thu thập từ các nguồn công khai, tạo ra các tài khoản có vẻ hoàn toàn hợp pháp trên giấy tờ trong khi khai thác các lỗ hổng sâu hơn ở phần phụ trợ của nền tảng.

Cảnh sát chỉ xác định được kẻ tấn công là HS, người đã bị bắt giữ sau khi công ty mẹ của Markets.com là Finalto International nộp đơn khiếu nại. Các nhà điều tra cho biết HS phát hiện ra rằng hệ thống gửi tiền của nền tảng này sẽ tự động tạo ra số dư USDT dựa trên bất kỳ số nào anh ta nhập vào trường nhập danh nghĩa—mà không thực hiện xác thực phụ trợ thích hợp.

Lợi dụng lỗ hổng này, nghi phạm được cho là đã tạo nhiều tài khoản, ghi có số dư gian lận vào đó, sau đó rút tiền trước khi nền tảng phát hiện ra sự khác biệt.

Nhà chức trách đã tịch thu một máy tính xách tay, các thiết bị di động, một thẻ ATM, một cửa hàng rộng 152 mét vuông và một ví lạnh chứa 266.801 USDT trị giá hơn 4,2 triệu đô la. HS hiện phải đối mặt với các cáo buộc về tội phạm mạng và chống rửa tiền, với mức án có thể lên tới 15 năm tù.

Danh tính không còn đủ nữa — Các tài khoản KYC “hợp pháp” đang trở thành mục tiêu tấn công như thế nào

Mặc dù thiệt hại tài chính là đáng kể, nhưng phương thức tấn công lại càng gây lo ngại hơn trong ngành công nghiệp tiền điện tử. Theo các nhà điều tra tội phạm mạng Indonesia, HS đã vượt qua các bài kiểm tra KYC của Markets.com bằng cách tạo bốn tài khoản bằng dữ liệu ID quốc gia được thu thập từ các trang web công khai của Indonesia. Vì dữ liệu này là thật và khớp với các trường thông tin nhận dạng chính thức, nên quy trình đăng ký nền tảng không phát hiện bất kỳ điều gì bất thường.

Các chuyên gia an ninh mạng cho biết mô hình này đang ngày càng phổ biến. David Sehyeon Baek, một chuyên gia tư vấn an ninh mạng, đã giải thích cách thức những kẻ tấn công ngày nay đang khai thác các cơ sở dữ liệu ngầm khổng lồ về chứng minh thư nhân dân bị rò rỉ của chính phủ, các vụ vi phạm dữ liệu doanh nghiệp và các tài liệu do AI tạo ra để tạo ra "những danh tính tổng hợp siêu thực" mà các hệ thống KYC tiêu chuẩn gần như không thể phát hiện.

Ông nói thêm rằng sự tinh vi của các bộ công cụ nhận dạng này cho thấy HS đã "tham gia vào một hệ sinh thái dữ liệu ngầm lớn hơn nhiều" thay vì hành động đơn độc. Baek lập luận rằng ngành công nghiệp này đã coi KYC như một tiêu chí kiểm tra quy định, thay vì một rào cản bảo mật có ý nghĩa, ngay cả khi tội phạm hiện nay sử dụng các công cụ AI để tinh chỉnh tài liệu giả mạo và tự động hóa việc tạo danh tính.

Ông cho biết trường hợp này chứng minh cách các sàn giao dịch vẫn tiếp tục dựa vào những giả định lỗi thời - rằng danh tính đồng nghĩa với sự tin cậy - trong khi những kẻ tấn công lợi dụng các lỗ hổng hoàn toàn không liên quan đến việc người dùng mới tham gia.

Điểm yếu thực sự: Cơ sở hạ tầng Web2 đằng sau nền tảng tiền điện tử

Sự cố Markets.com cũng là một ví dụ điển hình cho sự thay đổi lớn hơn trong hành vi của kẻ tấn công. Thay vì cố gắng khai thác các giao thức có độ khó cao hoặc rút cạn hợp đồng thông minh, tin tặc đang chuyển hướng sang nền tảng Web2 mềm hơn nhiều, vốn vẫn đang được sử dụng bởi hầu hết các nền tảng tiền điện tử.

Lỗ hổng của Markets.com—một lỗi logic đơn giản ở hệ thống nhập tiền gửi—cho phép ghi có số tiền USDT tùy ý vào tài khoản chỉ dựa trên số được nhập vào một trường.

Baek cho biết cuộc tấn công này phù hợp với "xu hướng rất rõ ràng của ngành", khi tội phạm ngày càng nhắm mục tiêu vào các lỗi logic nghiệp vụ, kiểm soát truy cập bị phá vỡ, API yếu và xác thực back-end không đầy đủ. Những lỗ hổng này hiếm khi được đưa tin cho đến khi bị khai thác, nhưng vẫn phổ biến ở các sàn giao dịch ưu tiên danh sách kiểm tra tuân thủ hơn là các biện pháp kỹ thuật bảo mật.

Các chuyên gia cảnh báo rằng những lỗ hổng như vậy có thể được giảm thiểu thông qua kiểm tra mã định kỳ, các quy tắc xác thực backend nghiêm ngặt và giám sát hành vi liên tục - những hệ thống có thể phát hiện các mẫu tiền gửi bất thường của HS ngay cả sau khi anh ta đã hoàn tất KYC. Các sàn giao dịch hiện đang được khuyến khích áp dụng dấu vân tay thiết bị, trí tuệ mạng và giám sát đa nền tảng để xác định hoạt động đáng ngờ từ rất lâu trước khi việc rút tiền diễn ra.

Vụ việc Markets.com cho thấy một sự thật khó chấp nhận đối với ngành công nghiệp tiền điện tử: KYC không đồng nghĩa với bảo mật, và việc xác minh danh tính đơn thuần không thể bảo vệ nền tảng khỏi những kẻ tấn công sử dụng dữ liệu thực, công cụ hỗ trợ AI hoặc lỗ hổng backend. Khi số lượng tập dữ liệu danh tính bị đánh cắp ngày càng tăng và kẻ tấn công ngày càng nhắm mục tiêu vào các điểm truy cập Web2, các sàn giao dịch sẽ cần phải thay thế các mô hình bảo mật dựa trên tuân thủ bằng các biện pháp phòng thủ linh hoạt, kỹ thuật và liên tục hơn.

Hiện tại, hậu quả từ vụ tấn công Markets.com có ​​thể sẽ tiếp tục lan rộng khắp khu vực, như một lời cảnh tỉnh không chỉ cho các nền tảng Indonesia mà còn cho các sàn giao dịch toàn cầu vẫn đang dựa vào KYC làm lá chắn chính. Thế hệ mối đe dọa tiền điện tử tiếp theo sẽ không thể bị ngăn chặn chỉ bằng việc xác minh tên và số ID—và các sàn giao dịch không thích ứng có thể sớm thấy mình bị tấn công tương tự.