Güney Kore’de vergi otoritelerinin yaptığı ciddi bir güvenlik hatası, milyonlarca dolarlık kripto paranın kaybına yol açtı.
Yerel basında yer alan haberlere göre, Kore Ulusal Vergi Servisi (NTS), el konulan bir kripto cüzdanına ait kurtarma anahtarını (seed phrase) basın bülteni fotoğrafında yanlışlıkla kamuoyuyla paylaştı. Kısa süre sonra yaklaşık 4,8 milyon dolar (yaklaşık 6,4 milyar won) değerindeki tokenlerin bilinmeyen bir cüzdana aktarıldığı ortaya çıktı.
Olay, NTS’nin yayımladığı ve 124 yüksek tutarlı ve mükerrer vergi borçlusuna yönelik saha operasyonunun sonuçlarını duyurduğu basın açıklamasıyla başladı. Açıklamada, toplam 8,1 milyar won (yaklaşık 8,2 milyon dolar) değerinde varlığa el konulduğu duyuruldu. “Vaka 3” olarak tanıtılan olayda, vergi borçlusu C’nin adresinde yapılan aramada kripto varlık cüzdanlarını saklamak için kullanılan dört adet USB bellek ele geçirildiği belirtildi.
Ancak asıl sorun, başarıyı göstermek amacıyla paylaşılan fotoğraflarda ortaya çıktı. Görsellerde, popüler bir donanım cüzdanı olan Ledger cihazı ve yanında cüzdanı kurtarmaya yarayan İngilizce kelimelerden oluşan “mnemonic” kodunun hiçbir sansür uygulanmadan açık şekilde yer aldığı görüldü. Kripto para dünyasında mnemonic ifadeler, bir banka hesabının şifresi ve güvenlik kartının birleşimi kadar kritik öneme sahip. Fiziksel cihaza sahip olmadan dahi bu kelime dizisini bilen kişiler, dünyanın herhangi bir yerinden cüzdanı yeniden oluşturup varlıkları transfer edebiliyor.
Nitekim bu açık kısa sürede kötüye kullanıldı. Hansung University Blockchain Research Institute Direktörü Prof. Cho Jae-woo’nun 27’sinde yaptığı açıklamaya göre, mnemonic’in sızdırılmasının hemen ardından cüzdandaki 4 milyon adet PRTG (Pre-Retogeum) tokeni bilinmeyen bir adrese aktarıldı. Toplam zararın yaklaşık 4,8 milyon dolar olduğu tahmin ediliyor.
Blockchain verilerinin Etherscan üzerinden yapılan analizine göre saldırgan, önce işlem ücretlerini karşılamak için cüzdana küçük miktarda Ethereum (ETH) gönderdi. Ardından 4 milyon PRTG tokenini üç ayrı işlemle kendi cüzdanına transfer etti. Bu durum, saldırının bilinçli ve teknik olarak planlı şekilde gerçekleştirildiğini gösteriyor.
*Yatırım tavsiyesi değildir.
