Seseorang memanfaatkan peluang untuk mencuri aset kripto senilai $4,4 juta setelah Layanan Pajak Nasional Korea Selatan mengungkap secara publik frasa pemulihan mnemonik dari dompet mata uang kripto yang disita.
Dana tersebut disimpan dalam dompet dingin Ledger yang disita dalam penggerebekan penegakan hukum terhadap 124 penghindar pajak bernilai tinggi yang mengakibatkan penyitaan aset digital senilai 8,1 miliar won (saat ini sekitar $5,6 juta).
Saat mengumumkan keberhasilan operasinya, agensi tersebut merilis foto perangkat Ledger, dompet perangkat keras populer untuk penyimpanan dan pengelolaan kripto.
Namun, gambar tersebut juga menunjukkan catatan tulisan tangan berisi frasa pemulihan dompet, yang berfungsi sebagai kunci utama yang memungkinkan pemulihan aset ke perangkat lain.
Sumber: mk.co.kr
Pihak berwenang gagal menyunting informasi tersebut, sehingga mengizinkan siapa pun untuk mentransfer aset di dompet dingin ke dalam akun mereka.
Dilaporkan, tak lama setelah siaran pers dipublikasikan, 4 juta token Pra-Retogeum (PRTG), senilai sekitar $4.8 juta pada saat itu, ditransfer dari dompet yang disita ke alamat baru.
“Analisis data on-chain (Etherscan) menunjukkan bahwa penyerang pertama-tama menyetor sejumlah kecil Ethereum (ETH) ke dalam dompet untuk membayar biaya transaksi (biaya gas), dan kemudian dengan cermat mentransfer 4 juta token PRTG ke dompet mereka sendiri dalam tiga transaksi terpisah,” lapor media Korea.
Pakar analisis data Blockchain Cho Jae-woo, seorang profesor di Universitas Hansung di Seoul yang mengamati transfer tersebut, mengomentari kesalahan pihak berwenang dengan membandingkannya dengan membiarkan dompet terbuka dan mengiklankannya ke seluruh negara agar orang dapat mengambil uangnya.
Profesor tersebut mengaitkan kesalahan tersebut dengan “kurangnya pemahaman dasar otoritas pajak tentang aset virtual,” yang secara efektif merugikan kas negara sebesar puluhan miliar won yang berhasil disita.
Siaran pers kini telah dihapus dari situs web NTSdan tidak jelas apakah pihak berwenang memulai penyelidikan untuk menentukan ke mana dana yang dicuri itu berakhir.
Kasus ini merupakan pengingat bagi pemilik dompet perangkat keras bahwa frase awal mereka memberikan akses penuh ke dompet mereka tanpa perlindungan tambahan apa pun. Siapa pun yang memilikinya dapat membuat ulang dompet di mana saja tanpa perangkat, PIN, atau izin mereka.
Disarankan untuk menghindari digitalisasi frase awal, menyimpannya dalam catatan elektronik, foto, pesan email, penyimpanan cloud, atau mengirimkannya melalui aplikasi perpesanan. Jika benih terekspos, semua dana harus dipindahkan ke dompet baru sesegera mungkin.
Masa depan infrastruktur TI telah tiba
Infrastruktur TI modern bergerak lebih cepat dibandingkan dengan alur kerja manual.
Dalam panduan Tines baru ini, pelajari bagaimana tim Anda dapat mengurangi penundaan manual yang tersembunyi, meningkatkan keandalan melalui respons otomatis, dan membangun serta menskalakan alur kerja cerdas di atas alat yang sudah Anda gunakan.
