Narodowy Urząd Podatkowy Korei Południowej opublikował w oficjalnym komunikacie prasowym niezamaskowaną fotografię portfela sprzętowego Ledger i pełnej, odręcznie zapisanej frazy seed, co pozwoliło niezidentyfikowanemu sprawcy w ciągu kilku godzin opróżnić portfel z 4 milionów tokenów Pre-Retogeum (PRTG).
Tokeny zostały returned około 20 godzin później – jednak incydent ujawnił poważną lukę w zakresie przechowywania, pokazując, w jaki sposób instytucje rządowe obchodzą się z zajętymi aktywami cyfrowymi.
Komunikat prasowy dotyczył kampanii egzekwowania należności wobec dłużników podatkowych i miał pokazywać skuteczność zajmowania majątku przez urząd. Żaden fragment frazy seed nie został na zdjęciu zamazany ani rozmyty.
Niezidentyfikowany sprawca zdeponował niewielką ilość ETH, aby pokryć opłaty transakcyjne, a następnie przeniósł 4 miliony tokenów PRTG w trzech osobnych transakcjach, zgodnie z danymi on-chain przeanalizowanymi przez badacza blockchain z Uniwersytetu Hansung, Jaewoo Cho.
Nagłówek 4,8 mln dolarów kontra faktyczna płynność
Nominalna wycena na poziomie 4,8 miliona dolarów opiera się na notowanej cenie PRTG, ale kwota ta jest w dużej mierze teoretyczna.
Token jest listed wyłącznie na giełdzie MEXC, w momencie incydentu odnotowywał zaledwie 332 dolary wolumenu obrotu w ciągu 24 godzin, nie miał par handlowych na zdecentralizowanych giełdach, a 4 miliony przeniesionych tokenów stanowiły 40% całkowitej podaży.
Sprawca nie byłby w stanie spieniężyć tej kwoty nawet w przybliżeniu po wartości nominalnej. Cho zaznaczył w serwisie X, że „rzeczywista szkoda jest na znikomym poziomie” oraz że inne ujawnione mnemoniki z tego samego komunikatu prawdopodobnie nie spowodują dalszych problemów.
Przeczytaj również: MoonPay Launches PYUSDx To Let Developers Issue Custom Stablecoins Backed By PayPal's $4B PYUSD Reserve
Seria błędów w przechowywaniu aktywów
Ten epizod jest trzecim poważnym zaniedbaniem w zakresie przechowywania kryptowalut przez władze Korei Południowej w ciągu kilku tygodni.
Na początku lutego policja z dzielnicy Gangnam w Seulu potwierdziła, że 22 Bitcoin (BTC), seized w ramach śledztwa w sprawie włamania z 2021 roku, zostały wyprowadzone z zimnego portfela przechowywanego w policyjnym sejfie; dwóch podejrzanych aresztowano po ustaleniu, że monety zostały przeniesione przy użyciu frazy mnemonic, której policja nigdy nie kontrolowała.
W odrębnej sprawie giełda Bithumb na krótko przypisała użytkownikom około 620 000 BTC – około 43 miliardy dolarów w nieistniejących saldach – z powodu błędu wewnętrznego systemu na początku lutego. Południowokoreańska Komisja Usług Finansowych przedłużyła swoje postępowanie wyjaśniające w tej sprawie po krytyce, że regulatorzy nie wykryli wcześniej poważnych słabości kontrolnych.
Cho powiedział, że ma nadzieję, iż incydent z NTS posłuży jako impuls dla koreańskich instytucji publicznych do ustanowienia właściwych standardów przechowywania aktywów cyfrowych.
Przeczytaj następnie: Barclays Is Hunting For A Blockchain Partner To Build Payments And Stablecoin Infrastructure By April