南韓國家稅務局(National Tax Service,NTS)在一份官方新聞稿中,刊登了一張 Ledger 硬件錢包及其完整手寫助記詞的未打碼照片,令一名身分不明人士可以在數小時內,從該錢包轉走 400 萬枚 Pre-Retogeum(PRTG)代幣。
大約 20 小時後,這批代幣被退回,但這次事件暴露出政府機構在處理被扣押數碼資產時,在託管安排上存在嚴重缺口。
該新聞稿本意是介紹針對拖欠稅款人士的執法行動,展示稅務機關的查封成果。圖像中助記詞的任何部分都沒有被遮蓋或模糊化。
根據韓城大學區塊鏈研究員 Jo Jaewoo(趙在佑)檢視鏈上數據後指出,一名不明身分人士先存入少量 ETH 以支付 Gas 費,然後分三筆交易,將 400 萬枚 PRTG 代幣全部轉走。
480 萬美元的頭條金額 vs. 實際流動性
名義上 480 萬美元的估值是按 PRTG 掛牌價格計算,但這個數字基本上只是帳面數字。
該代幣只在 MEXC掛牌,事發時 24 小時成交量只有 332 美元左右,沒有任何去中心化交易所交易對,而且被轉走的 400 萬枚代幣佔總供應量的 40%。
實際上,行兇者幾乎不可能以接近面值的價格將其套現。趙在佑在 X 上指出,「實際損失處於可忽略的水平」,而同一份新聞稿中其他曝光的助記詞,看起來亦不太可能引發更多問題。
託管失誤的連環模式
這已是南韓當局在短短數星期內,第三次出現重大加密貨幣託管疏漏。
2 月較早時,首爾江南警察局證實,在一宗 2021 年駭客調查中被扣押的 22 枚 Bitcoin(BTC),已從存放於警局保險庫的冷錢包中被轉走;調查人員發現這些比特幣是透過警方從未掌握過的助記詞被移走,其後拘捕了兩名疑犯。seized
另一宗個案中,交易所 Bithumb 在 2 月初因內部系統錯誤,一度錯誤地為用戶入賬約 62 萬枚 BTC——約合 430 億美元的「幽靈資產」餘額。南韓金融服務委員會其後延長對事件的調查,被批評未能及早發現此類嚴重內控漏洞。
趙在佑表示,希望這次國稅廳事件可以促使南韓公共機構,盡快建立起完善的數碼資產託管標準。