Markets.com’ta tespit edilen girdi doğrulama açığını kullanarak 398 bin dolar değerinde USDT çaldığı iddia edilen HS, Bandung’da tutuklandı; soğuk cüzdan ve mülk ele geçirildi.
Markets.com ve sahibi Finalto International’ın şikayeti üzerine Endonezya polisi, Bandung’da HS kod adlı şüpheliyi girdi doğrulama açığını kullanarak gerçekleştirdiği iddia edilen USDT hırsızlığı nedeniyle gözaltına aldı. Olayda platformun nominal giriş sisteminde ortaya çıkan boşluk sayesinde saldırganın sahte USDT bakiyeleri ürettiği; şüphelinin dört sahte hesap oluşturduğu ve kamuya açık kimlik verileri kullandığı bildirildi. Decrypt sitesinin aktardığı ayrıntılar polisin elindeki delillerle destekleniyor.
İçindekiler Tablosu
Operasyon ve ele geçirilenler
Yetkililer HS’nin bilgisayar aksesuarları dağıtıcısı ve 2017’den beri kripto trader’ı olduğunu belirtiyor. Polis aramalarında şu eşyalar ele geçirildi:
- Bir dizüstü bilgisayar, cep telefonu ve CPU ünitesi
- ATM kartı ve bir şube dükkanı (152 m²) olarak kaydedilen mülk
- Soğuk cüzdan içinde bildirilen 266.801 USDT bakiyesi (yetkililerin bildirdiği değerlemeye göre)
HS hakkında siber suç ve kara para aklama suçları yönünde soruşturma başlatıldı; iddialar doğrulanırsa uzun hapis cezaları ve yüksek para cezaları gündeme gelebilir.
Nasıl çalıştı: Girdi doğrulama açığı nedir?
Girdi doğrulama açığı (input validation flaw), bir sistemin kullanıcı tarafından girilen verileri yeterince denetlememesi durumunda ortaya çıkar. Bu vakada Markets.com’un depozito veya bakiye giriş alanı, gönderilen nominal değere göre otomatik olarak USDT bakiyesi oluşturacak şekilde çalışıyordu; arka uç doğrulaması eksikti veya hatalıydı. Bu tür açıklar, akıllı sözleşme saldırılarından ziyade Web2 katmanındaki iş mantığı hatalarını kullanır.
Teknik ve operasyonel zafiyetler
- Yetersiz backend doğrulama: Kullanıcı girişleri sunucu tarafında doğrulanmadı.
- Zayıf API kontrolleri: Otomatik bakiye güncelleme mekanizmaları kötü amaçlı kullanıldı.
- Sahte kimlik kullanımı: Kamuya açık milli kimlik verilerinin kazınması (scraped national ID) ile inandırıcı hesaplar oluşturuldu.
Uzman Görüşü ve Sektöre Çıkarımlar
Siber güvenlik danışmanı David Sehyeon Baek vakayı “KYC artık yalnızca kutu işareti olmamalı” sözleriyle değerlendirdi; leaked veri ekosisteminin ve yapay zekâ destekli sahte kimlik üretiminin, geleneksel KYC süreçlerini aşabildiğine dikkat çekti. Uzmanlar platformlara şu önlemleri öneriyor:
- Kesintisiz (continuous) kullanıcı izleme ve cihaz & ağ zekâsı uygulamaları
- İç kod denetimleri ve rutin güvenlik testleri
- Çapraz platform iş birliği ve anomali tespit sistemleri
Sonuç ve güvenlik önerileri
Bu olay, kripto platformlarının sadece blockchain güvenliğine odaklanmayıp Web2 katmanındaki iş mantığı ve kimlik doğrulama süreçlerini güçlendirmesi gerektiğini gösteriyor. Markets.com örneğinde görülen girdi doğrulama açığı, küçük bir yazılım zafiyetinin yüz binlerce dolarlık kayba yol açabileceğini kanıtladı. Kullanıcıların ve borsaların güçlü çok faktörlü doğrulama, düzenli güvenlik denetimleri ve proaktif risk izleme uygulamaları ile benzer tehditlere karşı hazırlıklı olması gerekiyor.