Національна податкова служба Південної Кореї опублікувала в офіційному пресрелізі неретушовану фотографію апаратного гаманця Ledger та повну власноруч записану seed-фразу, що дало змогу невстановленій особі протягом кількох годин вивести з гаманця 4 мільйони токенів Pre-Retogeum (PRTG).
Токени були returned приблизно через 20 годин, але інцидент продемонстрував серйозну прогалину в кастодіальних практиках державних органів щодо поводження з конфіскованими цифровими активами.
Пресреліз стосувався кампанії з примусового стягнення податків із боржників і мав продемонструвати активність відомства з конфіскації майна. Жодна частина seed-фрази на зображенні не була замаскована чи розмита.
Невстановлена особа переказала невелику кількість ETH для покриття комісій за газ, а потім вивела 4 мільйони токенів PRTG у трьох окремих транзакціях, згідно з ончейн-даними, які проаналізував дослідник блокчейну з Університету Хансунг Jaewoo Cho.
Заголовок на $4,8 млн проти реальної ліквідності
Номінальна оцінка у $4,8 мільйона базується на лістинговій ціні PRTG, але ця цифра переважно є умовною.
Токен listed лише на біржі MEXC, на момент інциденту мав лише $332 добового обсягу торгів, не мав торгових пар на децентралізованих біржах, а 4 мільйони переміщених токенів становили 40% від загальної пропозиції.
Зловмисник фізично не мав змоги конвертувати цю суму навіть близько до номінальної вартості. Cho зазначив у X, що «фактична шкода є на незначному рівні» і що інші розкриті мнемоніки з того ж пресрелізу, схоже, не створюють серйозних ризиків.
Читайте також: MoonPay Launches PYUSDx To Let Developers Issue Custom Stablecoins Backed By PayPal's $4B PYUSD Reserve
Серія провалів кастодіального зберігання
Цей випадок став уже третім суттєвим провалом у сфері зберігання криптоактивів з боку південнокорейських органів лише за кілька тижнів.
На початку лютого поліція сеульського району Каннам підтвердила, що 22 Bitcoin (BTC), seized у межах розслідування хакерської атаки 2021 року, були виведені з холодного гаманця, який зберігався в поліцейському сховищі; двох підозрюваних заарештували після того, як слідчі встановили, що монети були переміщені за допомогою мнемоніку, яким поліція ніколи не володіла.
В іншому інциденті біржа Bithumb на короткий час помилково нарахувала користувачам приблизно 620 000 BTC — близько $43 мільярдів неіснуючих балансів — через внутрішню системну помилку на початку лютого. Комісія з фінансових послуг Південної Кореї продовжила перевірку цього інциденту після критики щодо нездатності регулятора раніше виявити серйозні вади контролю.
Cho висловив сподівання, що інцидент із NTS стане сигналом для південнокорейських державних установ щодо необхідності запровадження належних стандартів кастодіального зберігання цифрових активів.
Читайте далі: Barclays Is Hunting For A Blockchain Partner To Build Payments And Stablecoin Infrastructure By April