Korejski poreznici "poklonili" milijune u kriptovalutama: objavili lozinku u priopćenju za medije
Porezna uprava Južne Koreje objavila je u službenom priopćenju nezaštićene fotografije sigurnosnih fraza digitalnih novčanika zaplijenjenih od poreznih dužnika, omogućivši tako brzo pražnjenje walleta
Korejska porezne uprava suočava se s oštrim kritikama javnosti i struke nakon što je prije nekolioko dana u službenom priopćenju nenamjerno izložila povjerljive podatke o zaplijenjenim digitalnim novčanicima (walletima). Incident se dogodio prilikom objave rezultata terenskih pretraga usmjerenih protiv 124 kronična porezna dužnika. Među materijalima distribuiranima medijima našla se i fotografija hardverskog novčanika marke Ledger, uz koju je bio priložen papir s jasno vidljivom sigurnosnom frazom – nizom riječi koji služi kao apsolutni ključ za pristup imovini.
Trenutačna krađa
Tako su, umjesto da se pohvale uspješnom zapljenom imovine vrijedne oko 8,2 milijuna dolara, načinili glup propust i pretvorili inače uspješnu akciju u ozbiljan sigurnosni incident. Posljedice ovog previda postale su vidljive gotovo odmah nakon distribucije priopćenja.
Prema podacima koje je za korejske medije iznio Cho Jae-woo, direktor Instituta za istraživanje blockchaina Sveučilišta Hansung, nepoznati su počinitelji iskoristili javno dostupnu frazu i već u ranim jutarnjim satima sljedećeg dana ispraznili kompromitirani novčanik. Analiza blockchaina potvrdila je da je iz novčanika povučeno svih 4 milijuna PRTG tokena, čija se vrijednost procjenjuje na otprilike 4,8 milijuna dolara. Priopćenje s jasno vidljivim ručno napisanim nizom riječi, koji služi kao lozinka za pristup walletu, u međuvremenu je uklonjeno, no učinjeno je to prekasno.
Kritike stručne zajednice
Tijek digitalne pljačke ukazuje na pedantnost napadača. Kako bi mogli izvršiti transakcije povlačenja tokena, počinitelji su prvo uplatili malu količinu ethereuma za pokrivanje troškova mreže (tj. platili su gas fee). Nakon toga, sredstva su u tri faze prebačena na neidentificirane adrese, čime je država izgubila mogućnost naplate poreznog duga iz tih izvora.
Stručnjaci za digitalnu sigurnost ovaj događaj opisuju kao "predvidljivu katastrofu" proizašlu iz potpunog nerazumijevanja osnova upravljanja virtualnom imovinom. Objava cijele sigurnosne fraze u medijima praktički je bila otvoren poziv na krađu, slažu se stručnjaci.
