韓國 National Tax Service(NTS,國稅廳)2月26日發布打擊逃稅新聞稿,竟在相片中意外公開加密貨幣冷錢包完整助記詞,令價值 69 億韓元(約港幣 4,026 萬元)虛擬資產在數小時內遭竊。更荒謬的是,第一名竊賊其後主動自首並歸還資產,但 NTS 在 2.5 小時內毫無任何應急措施,令第二名黑客利用同一組助記詞再度盜空錢包,令韓國政府顏面盡失。
NTS 發布新聞稿原意展示打擊 124 名惡意欠稅者成果,查扣物品總值達 81 億韓元(約港幣 4,725 萬元),並附上查扣物品相片。然而相片清晰拍到被查扣 Ledger 硬件冷錢包,以及寫有完整助記詞手寫紙條,當局未有遮蔽任何敏感資料。助記詞(Seed Phrase)由 12 至 24 個英文單字組成私鑰,任何人持有後均可在任何裝置上還原並完全操控該加密貨幣錢包,毋須原有裝置或密碼。
新聞稿公開後數小時,黑客隨即出手。根據韓媒報導及區塊鏈數據,黑客先向錢包匯入少量以太坊(ETH)作交易手續費(Gas Fee),再分三次將錢包內約 4,000,000 枚 Pre-Retogeum(PRTG)代幣悉數轉走,涉及金額約 69 億韓元(約港幣 4,026 萬元)。漢城大學教授趙在宇(Cho Jae-woo)批評,此舉無異於把錢包敞開並向全國廣告,形容稅務機關對加密貨幣運作方式缺乏基本認識。
第一名竊賊事後主動向警方自首,自稱是 40 多歲普通投資者,聲稱因好奇心作祟,行竊猶如「撿廢紙」般容易,並將 4,000,000 枚 PRTG 代幣全數歸還原錢包。然而 NTS 在資產歸還後完全未採取任何應急措施,沒有更換金鑰或將資產轉移至新錢包,令第二名黑客在短短 2.5 小時內,再次利用同一組已公開助記詞將全部資產盜走。警方於 3 月 1 日正式拘捕第一名竊賊,目前仍在追緝第二名嫌犯,惟由於 PRTG 代幣交投流通量有限,相關追查工作面臨一定困難。
NTS 其後正式道歉表示:「為提供更生動資訊,我們未察覺相片中包含敏感資料便輕率公開原圖,此事完全是 NTS 責任,毫無推卸餘地。」同時 NTS 表示已全面修訂虛擬資產從扣押至出售操作手冊,並將安排員工接受相關培訓,以防同類事件重演。
這已是韓國政府機關近 3 個月內第 3 宗虛擬資產管理失當事件。今年 1 月,光州檢察廳一名職員誤點釣魚網站,導致 320 枚 Bitcoin 蒸發;2 月,首爾江南警察署查扣 22 枚 Bitcoin 亦離奇失蹤;如今 NTS 再親手公開助記詞釀成大禍,令外界對韓國公共機關管理數碼資產能力強烈質疑。
資料來源:Bleeping Computer、The Register、The Chosun Ilbo