韩国国税厅在一份官方新闻稿中发布了一张 Ledger 硬件钱包及其完整手写助记词的未打码照片,使得一名身份不明的行为人得以在数小时内从该钱包中转走 400 万枚 Pre-Retogeum(PRTG)代币。
约 20 小时后,这些代币被退回,但这一事件暴露了政府机构在如何托管被查扣数字资产方面存在严重的托管漏洞。
这份新闻稿是关于打击欠税者的执法行动,原本旨在展示该机构的查封成果。图片中助记词的任何部分都没有被打码或模糊处理。
据汉城大学区块链研究员 Jaewoo Cho 基于链上数据的分析,一名身份不明的行为人先向该地址充值少量 ETH 以支付 gas 费,随后分三笔转走了 400 万枚 PRTG 代币。
“480 万美元”标题金额 vs 实际流动性
所谓 480 万美元的名义估值是基于 PRTG 的挂牌价格,但这一数字在很大程度上只是账面价值。
该代币只在 MEXC 挂牌,事发时 24 小时成交量仅 332 美元,没有任何去中心化交易所交易对,被转移的 400 万枚代币占总供应量的 40%。
行为人几乎不可能按面值将其变现。Cho 在 X 上指出,“实际损失处于可以忽略的水平”,而同一份新闻稿中曝光的其他助记词似乎也不太可能造成进一步问题。
托管失误的模式
这一事件是近几周来韩国当局在加密资产托管方面出现的第三起重大失误。
今年 2 月早些时候,首尔江南区警方证实,在 2021 年一宗黑客案中被查扣并存放在警局金库冷钱包中的 22 枚 Bitcoin(BTC)已被转走;在调查人员确认这些币是通过警方从未掌控过的助记词被划走后,两名嫌疑人被捕。seized
在另一事件中,交易所 Bithumb 因内部系统错误,在 2 月初一度向用户错误记入约 62 万枚 BTC——约 430 亿美元的“幽灵余额”。在外界批评监管机构未能及早发现严重内控缺陷后,韩国金融服务委员会延长了对该事件的审查。
Cho 表示,希望这起国税厅事件能促使韩国公共机构建立起规范的数字资产托管标准。