Layanan Pajak Nasional Korea Selatan memublikasikan foto tanpa sensor dari sebuah dompet keras Ledger dan seluruh frasa seed tulisan tangannya dalam siaran pers resmi, sehingga memungkinkan seorang aktor yang tidak teridentifikasi menguras dompet tersebut dari 4 juta token Pre-Retogeum (PRTG) hanya dalam hitungan jam.
Token-token tersebut kemudian dikembalikan sekitar 20 jam kemudian - tetapi insiden ini mengungkap celah kustodi yang signifikan dalam cara lembaga pemerintah menangani aset digital yang disita.
Siaran pers tersebut membahas kampanye penegakan terhadap wajib pajak yang menunggak dan dimaksudkan untuk menunjukkan aktivitas penyitaan lembaga tersebut. Tidak ada bagian dari frasa seed yang ditutupi atau diburamkan dalam gambar itu.
Seorang aktor yang tidak teridentifikasi menyetorkan sedikit ETH untuk menutup biaya gas dan kemudian memindahkan 4 juta token PRTG dalam tiga transaksi terpisah, menurut data on-chain yang ditinjau oleh peneliti blockchain Universitas Hansung, Jaewoo Cho.
Judul $4,8 Juta vs. Likuiditas Sebenarnya
Penilaian nominal sebesar $4,8 juta didasarkan pada harga tercatat PRTG, tetapi angka tersebut sebagian besar bersifat notional.
Token tersebut terdaftar hanya di MEXC, hanya mencatat volume perdagangan 24 jam sebesar $332 pada saat insiden, tidak memiliki pasangan perdagangan di bursa terdesentralisasi, dan 4 juta token yang dipindahkan mewakili 40% dari total suplai.
Pelaku tidak akan mampu mengonversi mendekati nilai nominalnya. Cho mencatat di X bahwa “kerugian aktual berada pada tingkat yang dapat diabaikan” dan bahwa mnemonic lain yang ikut terekspos dari rilis yang sama tampaknya tidak mungkin menimbulkan masalah lebih lanjut.
Pola Kegagalan Kustodi
Episode ini adalah kelalaian kustodi kripto signifikan ketiga bagi otoritas Korea Selatan dalam hitungan minggu.
Awal Februari, kepolisian distrik Gangnam, Seoul, mengonfirmasi bahwa 22 Bitcoin (BTC) yang disita dalam penyelidikan peretasan tahun 2021 telah dikuras dari cold wallet yang disimpan di brankas polisi; dua tersangka ditangkap setelah penyelidik menentukan bahwa koin-koin tersebut dipindahkan menggunakan mnemonic yang tidak pernah dikuasai polisi.
Dalam kasus terpisah, bursa Bithumb sempat mengkreditkan pengguna dengan sekitar 620.000 BTC - kira-kira $43 miliar saldo fiktif - karena kesalahan sistem internal pada awal Februari. Komisi Jasa Keuangan Korea Selatan memperpanjang peninjauan atas insiden itu setelah kritik bahwa regulator gagal mendeteksi kelemahan pengendalian yang serius lebih awal.
Cho mengatakan ia berharap insiden NTS ini dapat menjadi pemicu bagi lembaga-lembaga publik Korea Selatan untuk menetapkan standar kustodi aset digital yang tepat.
Baca selanjutnya: Barclays Is Hunting For A Blockchain Partner To Build Payments And Stablecoin Infrastructure By April