Национальная налоговая служба Южной Кореи опубликовала неотредактированную фотографию аппаратного кошелька Ledger и полностью прописанную от руки seed-фразу в официальном пресс-релизе, что позволило неустановленному лицу в течение нескольких часов вывести с кошелька 4 миллиона токенов Pre-Retogeum (PRTG).
Токены были returned примерно через 20 часов, но инцидент выявил существенный пробел в системе хранения: государственные органы не имеют выстроенных процедур обращения с изъятыми цифровыми активами.
Пресс-релиз был посвящён кампании по принудительному взысканию налоговых долгов и должен был продемонстрировать активность ведомства по изъятию активов. Ни одна часть seed-фразы на изображении не была скрыта или размыта.
Неустановленное лицо завело на адрес небольшое количество ETH для оплаты комиссий за газ, а затем вывело 4 миллиона токенов PRTG в трёх отдельных транзакциях, согласно ончейн-данным, которые проанализировал исследователь блокчейна из университета Хансон Джэу Чо (Jaewoo Cho).
Заголовок про $4,8 млн против реальной ликвидности
Номинальная оценка в $4,8 миллиона основана на заявленной цене PRTG, однако эта цифра в значительной степени носит условный характер.
Токен listed только на бирже MEXC, где на момент инцидента суточный объём торгов составлял всего $332, не имеет торговых пар на децентрализованных биржах, а выведенные 4 миллиона токенов представляли собой 40% от общей эмиссии.
Злоумышленник не смог бы конвертировать такую позицию даже близко к номинальной стоимости. Чо отметил в X, что «фактический ущерб находится на пренебрежимо малом уровне» и что другие скомпрометированные мнемоники из того же релиза, по его оценке, вряд ли приведут к дополнительным проблемам.
Читайте также: MoonPay Launches PYUSDx To Let Developers Issue Custom Stablecoins Backed By PayPal's $4B PYUSD Reserve
Серия провалов в сфере кастодиального хранения
Этот эпизод стал уже третьим серьёзным сбоем в сфере хранения криптоактивов у южнокорейских властей всего за несколько недель.
В начале февраля полицейское управление района Каннам в Сеуле подтвердило, что 22 Bitcoin (BTC), seized в ходе расследования взлома 2021 года, были выведены с холодного кошелька, хранившегося в полицейском сейфе; двое подозреваемых были арестованы после того, как следствие установило, что монеты перевели, используя мнемоническую фразу, которой полиция никогда не владела.
В отдельном инциденте биржа Bithumb на короткое время ошибочно начислила пользователям примерно 620 000 BTC — около $43 миллиардов несуществующих балансов — из‑за внутренней системной ошибки в начале февраля. Комиссия по финансовым услугам Южной Кореи продлила проверку этого инцидента после критики в свой адрес за неспособность своевременно выявить серьёзные проблемы во внутреннем контроле.
Чо выразил надежду, что инцидент в Налоговой службе (NTS) подтолкнёт государственные учреждения Южной Кореи к разработке и внедрению корректных стандартов кастодиального хранения цифровых активов.
Читайте далее: Barclays Is Hunting For A Blockchain Partner To Build Payments And Stablecoin Infrastructure By April