Il Servizio nazionale delle imposte della Corea del Sud ha pubblicato in un comunicato stampa ufficiale una fotografia non oscurata di un hardware wallet Ledger e della relativa seed phrase manoscritta completa, permettendo a un soggetto non identificato di svuotare dal wallet 4 milioni di token Pre-Retogeum (PRTG) nel giro di poche ore.
I token sono stati returned circa 20 ore dopo, ma l’incidente ha messo in luce una significativa lacuna di custodia su come le agenzie governative gestiscono gli asset digitali sequestrati.
Il comunicato stampa riguardava una campagna di contrasto contro i contribuenti morosi ed era pensato per mostrare l’attività di sequestro dell’agenzia. Nessuna parte della seed phrase era coperta o sfocata nell’immagine.
Un soggetto non identificato ha depositato una piccola quantità di ETH per coprire le commissioni di rete e poi ha spostato 4 milioni di token PRTG in tre transazioni separate, secondo i dati on-chain esaminati da Jaewoo Cho, ricercatore della Hansung University specializzato in blockchain.
Il titolo da 4,8 milioni di dollari vs. la liquidità reale
La valutazione nominale di 4,8 milioni di dollari si basa sul prezzo di listino di PRTG, ma la cifra è in gran parte teorica.
Il token è listed solo su MEXC, ha registrato appena 332 dollari di volume di scambi nelle 24 ore al momento dell’incidente, non ha coppie di scambio su exchange decentralizzati e i 4 milioni di token spostati rappresentavano il 40% dell’offerta totale.
L’autore del prelievo non sarebbe stato in grado di convertire in fiat un valore anche lontanamente vicino a quello nominale. Cho ha osservato su X che “il danno reale è a un livello trascurabile” e che altri mnemonic esposti nello stesso comunicato non sembravano destinati a causare ulteriori problemi.
Un modello ricorrente di errori di custodia
L’episodio è il terzo grave errore di custodia di criptovalute da parte delle autorità sudcoreane nel giro di poche settimane.
All’inizio di febbraio, la polizia del distretto di Gangnam, a Seul, ha confermato che 22 Bitcoin (BTC) seized in un’indagine su un hacking del 2021 erano stati svuotati da un cold wallet conservato in un caveau della polizia; due sospetti sono stati arrestati dopo che gli investigatori hanno stabilito che le monete erano state spostate usando un mnemonic che la polizia non aveva mai controllato.
In un altro caso, l’exchange Bithumb ha accreditato per errore agli utenti circa 620.000 BTC – circa 43 miliardi di dollari in saldi inesistenti – a causa di un errore interno di sistema all’inizio di febbraio. La Financial Services Commission sudcoreana ha esteso la revisione dell’incidente dopo le critiche secondo cui i regolatori non avevano individuato prima gravi debolezze nei controlli.
Cho ha affermato di sperare che l’incidente che ha coinvolto il NTS serva da stimolo alle istituzioni pubbliche sudcoreane per definire standard adeguati di custodia degli asset digitali.