Południowokoreańska Krajowa Służba Podatkowa (National Tax Service) opublikowała w oficjalnym komunikacie prasowym nieretuszowane zdjęcie sprzętowego portfela Ledger wraz z pełną, odręcznie zapisaną frazą seed. Umożliwiło to nieznanemu sprawcy wyprowadzenie z portfela 4 milionów tokenów Pre-Retogeum (PRTG) w ciągu kilku godzin.
Tokeny zostały returned około 20 godzin później – ale incydent ujawnił poważną lukę w obszarze przechowywania aktywów i to, jak instytucje rządowe obchodzą się z zajętymi cyfrowymi aktywami.
Komunikat prasowy dotyczył kampanii egzekucyjnej przeciwko dłużnikom podatkowym i miał pokazać skuteczność zajęć majątku dokonywanych przez urząd. Żadna część frazy seed nie została na zdjęciu zasłonięta ani rozmazana.
Według danych on-chain przeanalizowanych przez badacza blockchain z Uniwersytetu Hansung, Jaewoo Cho, nieznany sprawca zdeponował niewielką ilość ETH na pokrycie opłat transakcyjnych (gas), a następnie w trzech osobnych transakcjach przeniósł 4 miliony tokenów PRTG.
Nagłówek o 4,8 mln $ kontra faktyczna płynność
Nominalna wycena na poziomie 4,8 miliona dolarów opiera się na notowanej cenie PRTG, ale w dużej mierze ma charakter teoretyczny.
Token jest listed wyłącznie na giełdzie MEXC, w momencie incydentu miał zaledwie 332 dolary wolumenu obrotu w ciągu 24 godzin, nie posiadał żadnych par handlowych na zdecentralizowanych giełdach, a 4 miliony przeniesionych tokenów stanowiły 40% całkowitej podaży.
Sprawca i tak nie byłby w stanie spieniężyć ich choćby zbliżonej do „wartości nominalnej” ilości. Cho zauważył na X, że „rzeczywista szkoda jest na pomijalnym poziomie” i że inne ujawnione mnemoniki z tego samego komunikatu raczej nie spowodują dalszych problemów.
Seria błędów w obszarze przechowywania środków
Ten epizod jest trzecim istotnym przypadkiem zaniedbań w custodii kryptowalut po stronie południowokoreańskich władz w ciągu zaledwie kilku tygodni.
Wcześniej w lutym policja z dzielnicy Gangnam w Seulu potwierdziła, że 22 Bitcoin (BTC) seized w ramach śledztwa dotyczącego ataku hakerskiego z 2021 roku zostały wyprowadzone z chłodnego portfela przechowywanego w policyjnym skarbcu; dwóch podejrzanych aresztowano po ustaleniu, że monety przeniesiono przy użyciu frazy mnemonicznej, nad którą policja nigdy nie miała kontroli.
W odrębnej sprawie giełda Bithumb na krótko przypisała użytkownikom około 620 000 BTC – czyli około 43 miliardy dolarów w nieistniejących saldach – z powodu błędu w wewnętrznym systemie na początku lutego. Południowokoreańska Komisja Usług Finansowych wydłużyła dochodzenie w tej sprawie po krytyce, że regulatorzy nie wykryli wcześniej poważnych słabości w systemie kontroli.
Cho wyraził nadzieję, że incydent z NTS skłoni południowokoreańskie instytucje publiczne do ustanowienia właściwych standardów przechowywania aktywów cyfrowych.