El Servicio Nacional de Impuestos de Corea del Sur publicó una fotografía sin redactar de una billetera de hardware Ledger y su frase semilla manuscrita completa en un comunicado de prensa oficial, lo que permitió que un actor no identificado drenara la billetera de 4 millones de tokens Pre-Retogeum (PRTG) en cuestión de horas.
Los tokens fueron returned aproximadamente 20 horas después, pero el incidente dejó al descubierto una importante brecha de custodia en la forma en que los organismos gubernamentales manejan los activos digitales incautados.
El comunicado de prensa cubría una campaña de cumplimiento contra morosos de impuestos y estaba destinado a demostrar la actividad de incautación de la agencia. Ninguna parte de la frase semilla fue enmascarada o difuminada en la imagen.
Un actor no identificado depositó una pequeña cantidad de ETH para cubrir las comisiones de gas y luego movió 4 millones de tokens PRTG en tres transacciones separadas, según datos on-chain revisados por el investigador de blockchain de la Universidad Hansung, Jaewoo Cho.
El titular de 4,8 millones de dólares frente a la liquidez real
La valoración nominal de 4,8 millones de dólares se basa en el precio listado de PRTG, pero la cifra es en gran medida teórica.
El token está listed solo en MEXC, registró apenas 332 dólares de volumen de negociación en 24 horas en el momento del incidente, no tiene pares de trading en exchanges descentralizados y los 4 millones de tokens movidos representaban el 40% del suministro total.
El perpetrador no habría podido convertirlos a un valor ni remotamente cercano al nominal. Cho señaló en X que «el daño real es de un nivel insignificante» y que otras mnemotécnicas expuestas en el mismo comunicado no parecían susceptibles de causar más problemas.
Leer también: MoonPay Launches PYUSDx To Let Developers Issue Custom Stablecoins Backed By PayPal's $4B PYUSD Reserve
Un patrón de fallos de custodia
El episodio es la tercera falla significativa de custodia de criptomonedas para las autoridades surcoreanas en cuestión de semanas.
A principios de febrero, la policía del distrito de Gangnam, en Seúl, confirmó que 22 Bitcoin (BTC) seized en una investigación de hacking de 2021 habían sido drenados de una billetera fría almacenada en una bóveda policial; dos sospechosos fueron arrestados después de que los investigadores determinaran que las monedas se movieron utilizando una mnemotecnia que la policía nunca controló.
En un asunto separado, el exchange Bithumb acreditó brevemente a los usuarios con aproximadamente 620.000 BTC, alrededor de 43.000 millones de dólares en saldos inexistentes, debido a un error interno del sistema a principios de febrero. La Comisión de Servicios Financieros de Corea del Sur amplió su revisión de ese incidente tras las críticas de que los reguladores no detectaron antes graves debilidades de control.
Cho dijo que esperaba que el incidente del NTS sirviera como un incentivo para que las instituciones públicas surcoreanas establezcan normas adecuadas de custodia de activos digitales.
Leer a continuación: Barclays Is Hunting For A Blockchain Partner To Build Payments And Stablecoin Infrastructure By April