韓国の国税庁(National Tax Service、NTS)は、公式プレスリリースの中で Ledger製ハードウェアウォレットの写真と、その横に書かれていた手書きの シードフレーズ全文をマスキングなしで公開した。この失策により、正体不明の 第三者が数時間以内にそのウォレットから400万枚のPre-Retogeum(PRTG) トークンを抜き取る事態となった。
その後、およそ20時間後にトークンは returned されたものの、このインシデントは、政府機関が押収したデジタル資産をどのように 保管・管理しているかという点で、大きなカストディ上の欠陥を露呈した。
問題のプレスリリースは、滞納者に対する取締りキャンペーンを説明し、 差し押さえ実績をアピールする目的で作成されたものだった。写真に写る シードフレーズのいかなる部分も、モザイク処理やぼかしなどの加工は施されて いなかった。
その後、正体不明の人物がガス代を賄うために少額の ETH を入金し、韓城大学のブロックチェーン研究者 Jaewoo Cho が確認したオンチェーンデータによれば、 400万枚のPRTGトークンを3回のトランザクションに分けて移動させた。
「480万ドル相当」という見出しと実際の流動性のギャップ
480万ドルという名目評価額はPRTGの上場価格を基準に算出されたものだが、 その多くは実態を反映していない数字だ。
このトークンは listed されている取引所が MEXC に限られ、事件当時の24時間出来高はわずか 332ドル程度、分散型取引所での取引ペアも存在せず、移動された400万枚は トークン総供給量の40%を占めていた。
そのため、犯人が名目価格に近い水準で換金することは事実上不可能だったと 考えられる。ChoはXへの投稿で「実際の被害はごくわずかなレベルにとどまる」 と述べ、同じリリースで露出した他のニーモニックについても、さらなる問題を 招く可能性は低いとの見方を示した。
相次ぐカストディ管理の失敗
今回の一件は、ここ数週間のうちに韓国当局で3度目となる重大な暗号資産 カストディの不手際となった。
2月上旬には、ソウル・江南警察署が、2021年のハッキング捜査で押収し、 金庫内のコールドウォレットで保管していた22枚の Bitcoin( BTC )が外部に流出していたことを認めた。この事件では、警察が一度も管理した ことのないニーモニックを用いてビットコインが移動されていたことが判明し、 その後、2名の容疑者が逮捕されている。
別件では、取引所Bithumbが内部システムのエラーにより、2月初旬に 約62万BTC(およそ430億ドル相当)という実在しない残高をユーザーに一時的に 誤付与する事態が発生した。韓国の金融委員会(FSC)は、深刻な内部統制上の 弱点を早期に察知できなかったとの批判を受け、この事故に関する調査期間を 延長した。
Choは、今回のNTSのインシデントをきっかけに、韓国の公的機関がデジタル資産の 適切なカストディ基準を整備することを期待すると述べた。