韩国国税厅在一份官方新闻稿中发布了 Ledger 硬件钱包及其手写完整助记词的未打码照片,使得一名身份不明的行为人得以在数小时内,从该钱包中转走 400 万枚 Pre-Retogeum(PRTG)代币。
约 20 小时后,这些代币被归还,但这一事件暴露出政府机构在处理被查扣数字资产时,存在严重的托管漏洞。
这份新闻稿原本是介绍针对欠税人的执法行动,旨在展示该机构的查封成果。图片中助记词的任何部分都未被遮挡或打码。
据汉城大学区块链研究员 Jaewoo Cho 审阅的链上数据,一名身份不明的行为人先存入少量 ETH 以支付 gas 费用,随后通过三笔交易将 400 万枚 PRTG 代币转出。
“480 万美元”头条数字 vs 实际流动性
所谓 480 万美元的名义估值是基于 PRTG 的挂牌价格,但这一数字在很大程度上只是账面价值。
该代币仅在 MEXC 单一交易所挂牌,事件发生时 24 小时成交量仅 332 美元,没有任何去中心化交易所交易对,而被转移的 400 万枚代币占到总供应量的 40%。
行为人几乎不可能按面值附近的价格完成套现。Cho 在 X 上指出,“实际损失处在可以忽略的水平”,而同一份新闻稿中暴露的其他助记词看起来也不太可能引发进一步问题。
托管失败的连环案例
这起事件是数周内韩国当局第三次出现重大加密货币托管失误。
今年 2 月早些时候,首尔江南区警方确认,在一起 2021 年黑客案调查中被查扣并存放于警方金库冷钱包中的 22 枚 Bitcoin(BTC)已被转空;调查人员发现,这些比特币是通过警方从未掌控过的助记词被转走的,随后两名嫌疑人被逮捕。相关报道指出了这一点。
在另一件独立事件中,交易所 Bithumb 因内部系统错误,在 2 月初一度给用户错误记入约 62 万枚 BTC——折合约 430 亿美元的“幽灵余额”。在外界批评监管机构未能及早发现其严重内控缺陷后,韩国金融服务委员会延长了对此事件的审查。
Cho 表示,他希望这起国税厅事件能够促使韩国公共机构尽快建立起规范的数字资产托管标准。