JAKARTA - Kepolisian Republik Indonesia berhasil mengungkap kasus pencurian aset kripto lintas negara dengan menangkap seorang peretas lokal berinisial HS di Bandung, Jawa Barat.

Penangkapan ini dilakukan menyusul laporan dari Finalto International Limited, perusahaan yang berbasis di London dan merupakan pemilik platform perdagangan Markets.com, terkait kerugian finansial akibat eksploitasi sistem keamanan.

HS diduga memanfaatkan celah validasi pada sistem deposit platform tersebut untuk memanipulasi saldo dan mencuri aset senilai US$ 398.000 atau sekitar Rp 6,67 miliar.

Seperti dilansir dari decrypt.co (21/11), Wakil Direktur Tindak Pidana Siber Bareskrim Polri, Kombes Pol Andri Sudarmadi, menjelaskan modus operandi tersangka yang tergolong canggih namun memanfaatkan kelemahan dasar pada infrastruktur "Web2".

HS mengeksploitasi anomali pada sistem input nominal Markets.com, di mana platform tersebut secara otomatis menghasilkan saldo stablecoin USDT sesuai dengan jumlah deposit yang diinputkan oleh penyerang, tanpa adanya validasi backend yang memadai untuk memverifikasi apakah dana riil benar-benar masuk.

Celah ini memungkinkan HS menciptakan saldo fiktif yang kemudian dikonversi menjadi keuntungan nyata.

Untuk memuluskan aksinya, HS yang diketahui berprofesi sebagai distributor aksesoris komputer dan pedagang kripto sejak 2017 menggunakan empat akun palsu atas nama Hendra, Eko Saldi, Arif Prayoga, dan Tosin. Identitas untuk akun-akun tersebut diperoleh tersangka dengan cara melakukan scraping atau pengambilan data KTP elektronik secara ilegal dari situs-situs web publik yang terbuka.

Konsultan keamanan siber David Sehyeon Baek menilai kasus ini menyoroti kelemahan fatal dalam prosedur Know Your Customer (KYC) yang sering kali hanya diperlakukan sebagai formalitas ("checkbox exercise"), serta tren pergeseran serangan peretas dari kontrak pintar (smart contract) yang rumit ke celah logika bisnis sederhana seperti validasi API yang lemah.

Dalam operasi penangkapan tersebut, polisi menyita sejumlah barang bukti signifikan yang nilainya jauh melampaui kerugian yang dilaporkan dalam kasus ini.

Aset yang diamankan meliputi satu unit rumah toko (ruko) seluas 152 meter persegi di Bandung, perangkat elektronik, serta sebuah dompet dingin (cold wallet) berisi 266.801 USDT.

Total nilai aset kripto yang disita diperkirakan mencapai US$4,2 juta atau sekitar Rp4,45 miliar. HS kini dijerat dengan pasal berlapis undang-undang kejahatan siber dan pencucian uang, dengan ancaman hukuman maksimal 15 tahun penjara dan denda hingga US$900.000. (SF)