韓国の国税庁(National Tax Service、NTS)は、公式プレスリリースの中で Ledgerハードウェアウォレットと、その手書きのシードフレーズ全体が写った マスキング無しの写真を公開した。このミスにより、正体不明の人物が数時間以内に ウォレットから400万枚のPre-Retogeum(PRTG)トークンを抜き取ることが 可能になってしまった。
トークンは約20時間後にreturnedされたが、 この一件は、政府機関が押収したデジタル資産をどのように保管しているかについて、 重大なカストディー上の欠陥を露呈した。
問題のプレスリリースは滞納者に対する徴税執行キャンペーンを扱ったもので、 国税庁の差し押さえ実績を示すことを意図していた。しかし、画像内のシードフレーズは 一切マスクやぼかしが施されていなかった。
身元不明の人物は、オンチェーンデータを調査した漢城大学の ブロックチェーン研究者**チョ・ジェウ(Jaewoo Cho)**によると、 ガス代を賄うために少額のETHを入金したうえで、 400万枚のPRTGトークンを3回のトランザクションに分けて移動させた。
4.8百万ドルという見出しと実際の流動性のギャップ
「4.8百万ドル」という名目評価額はPRTGの上場価格に基づくものだが、 その多くはあくまで帳簿上の数字にすぎない。
このトークンはMEXCにのみlistedされており、 事件発生時点で24時間出来高はわずか332ドル、分散型取引所での取引ペアもなく、 移動された400万枚は総供給量の40%を占めていた。
実行犯は額面に近い価値で売却することは事実上不可能だったとみられる。 チョ氏はX上で「実際の損害はごくわずかなレベルにとどまる」と指摘し、 同じリリースで露出していた他のニーモニックについても、 追加の問題を引き起こす可能性は低いとの見方を示した。
カストディー失敗の連鎖
この件は、数週間のうちに韓国当局で発生した3度目の重大な 暗号資産カストディーの不祥事となった。
2月上旬には、ソウル・江南警察署が2021年のハッキング捜査で押収し、 警察の金庫内のコールドウォレットで保管していた22BTC (BTC)が流出していたことを認めた。 捜査の結果、警察が一度も管理していなかったニーモニックを使って コインが移動されていたことが判明し、2人の容疑者が逮捕された seized。
別件では、取引所Bithumbが2月上旬、内部システムのエラーにより、 実在しない約62万BTC、約430億ドル相当の残高を一時的に ユーザーに誤付与する事態が発生した。韓国の金融委員会 (Financial Services Commission)は、重大な統制上の弱点を 早期に検知できなかったとの批判を受け、このインシデントに対する 調査期間を延長している。
チョ氏は、今回のNTSの事例がきっかけとなり、韓国の公的機関が 適切なデジタル資産カストディー基準を確立する契機になることを期待すると述べた。