Il Servizio nazionale delle imposte della Corea del Sud ha pubblicato in un comunicato stampa ufficiale una fotografia non oscurata di un hardware wallet Ledger e dell’intera seed phrase manoscritta, permettendo a un attore non identificato di svuotare il wallet di 4 milioni di token Pre-Retogeum (PRTG) nel giro di poche ore.
I token sono stati returned circa 20 ore dopo, ma l’incidente ha messo in luce un’importante lacuna di custodia nel modo in cui le agenzie governative gestiscono gli asset digitali sequestrati.
Il comunicato riguardava una campagna di enforcement contro i contribuenti morosi ed era pensato per mostrare l’attività di sequestro dell’agenzia. Nessuna parte della seed phrase è stata oscurata o sfocata nell’immagine.
Un attore non identificato ha depositato una piccola quantità di ETH per coprire le gas fee e poi ha spostato 4 milioni di token PRTG in tre transazioni separate, secondo i dati on-chain esaminati dal ricercatore di blockchain della Hansung University Jaewoo Cho.
Il titolo da 4,8 milioni di dollari vs. la liquidità reale
La valutazione nominale di 4,8 milioni di dollari si basa sul prezzo di listino di PRTG, ma la cifra è in gran parte teorica.
Il token è listed solo su MEXC, ha registrato appena 332 dollari di volume di scambio nelle 24 ore al momento dell’incidente, non ha coppie di trading su exchange decentralizzati e i 4 milioni di token spostati rappresentavano il 40% dell’offerta totale.
Il responsabile non sarebbe stato in grado di convertire in fiat un valore neanche lontanamente vicino a quello nominale. Cho ha osservato su X che “il danno reale è a un livello trascurabile” e che altri mnemonic esposti nello stesso comunicato non sembrano destinati a causare ulteriori problemi.
Un modello ricorrente di errori di custodia
Questo episodio è il terzo grave passo falso in materia di custodia di criptovalute da parte delle autorità sudcoreane nel giro di poche settimane.
All’inizio di febbraio, la polizia del distretto di Gangnam, a Seul, ha confermato che 22 Bitcoin (BTC) seized in un’indagine su un attacco informatico del 2021 erano stati sottratti da un cold wallet conservato in un caveau della polizia; due sospettati sono stati arrestati dopo che gli investigatori hanno stabilito che le monete erano state spostate utilizzando un mnemonic che la polizia non aveva mai controllato.
In un altro caso, l’exchange Bithumb ha accreditato per errore agli utenti circa 620.000 BTC – circa 43 miliardi di dollari in saldi inesistenti – a causa di un errore interno di sistema all’inizio di febbraio. La Financial Services Commission sudcoreana ha esteso la propria revisione dell’incidente dopo le critiche secondo cui i regolatori non avevano individuato per tempo gravi debolezze nei controlli.
Cho ha affermato di sperare che l’incidente del NTS serva da stimolo alle istituzioni pubbliche sudcoreane per definire standard adeguati di custodia degli asset digitali.