Güney Kore Ulusal Vergi Servisi (NTS), özel bir güvenlik anahtarının sızdırılması sonrası yoğun eleştiri altında. Bu hata, el konulan 4 milyon PRTG token’ın (yaklaşık 4,8 milyon dolar) art arda çalınmasına yol açtı.
Olay Güney Kore hükümetinin el koyduğu dijital varlıkları güvenli bir şekilde yönetip yönetemeyeceğiyle ilgili ciddi soru işaretleri yarattı.
Bir Hatalar Komedyası
Her şey 26 Şubat’ta, yüksek tutarlı vergi borçluları ile ilgili yapılan bir basın toplantısıyla başladı. NTS, yaptırım başarısını göstermek için el konulan soğuk hava depolu USB cüzdanların fotoğraflarını paylaştı. Ancak bu görsellerde, dijital varlıklara erişim sağlayan 24 kelimelik ‘mnemonic code’ yani ana kurtarma anahtarı da farkında olmadan ifşa edildi.
Blockchain verileri ile polis kayıtlarına göre, PRTG token’lar 24 saat içinde iki kez çalındı. İlk sızma 27 Şubat sabahı gerçekleşti. Kendini sıradan bir yatırımcı olarak tanıtan biri, sızan kodu kullanarak cüzdandaki varlıkları çekti.
İlginç bir şekilde, bu ‘ilk hacker’ 28 Şubat’ta polis ve medya ile iletişime geçti. Bu kişi, bir itiraf mektubu göndererek coin’leri ‘sokağa atılmış kağıt toplayıp almak kadar kolay olduğu’ için çektiğini, kısa süre sonra da tüm 4 milyon PRTG token’ı NTS’nin cüzdanına iade ettiğini belirtti.
Bu ‘kurtarma’ uzun sürmedi. Coin’ler geri döndükten sadece iki saat sonra, başka bir kişi aynı savunmasız cüzdanı hedef aldı. Bu ikinci kişi, tüm bakiyeyi ‘sahte phishing’ faaliyetleriyle ilişkilendirilen bir cüzdana aktardı.
Varlık Yönetiminde Sistematik Hatalar
Güvenlik uzmanları NTS’yi, iade edilen fonları güvenli yeni bir cüzdana taşımadığı için eleştirdi. Ajans, ilk hırsızlıktan sonra varlıkları yeni bir cüzdana çekmek yerine aynı ifşa olmuş mnemonic code’u açık bıraktı ve ikinci kişinin yeniden aynı kodu kullanmasına yol açtı.
NTS, olayla ilgili soruşturma devam ettiğinden ayrıntı veremeyeceklerini açıkladı. Ancak ikinci transfer sırasında idari bir hata yapılmadığını savundu.
Çalınan PRTG token yalnızca bir kripto para borsası olan MEXC’de işlem görüyor. Uzmanlara göre 4,8 milyon dolarlık değer salt teorik çünkü piyasada likidite yok. Hansung Üniversitesi’nden Profesör Cho Jae-woo ‘Gerçekten elde edilebilecek gelir muhtemelen birkaç bin dolar seviyesinde olur’ dedi. Çünkü böyle büyük bir miktarın piyasaya sürülmesi, PRTG fiyatını bir anda çökertir.
Hükümet Özür Diledi ve Yanıt Verdi
NTS 1 Mart’ta yaptığı resmi açıklamada tüm sorumluluğu üstlendi ve kamuoyundan özür diledi.
‘Bu olayın tüm sorumluluğu Ulusal Vergi Servisi’ne aittir’ diyen kurum, hatanın hassas bilgileri içeren orijinal fotoğrafların medya ile özensiz şekilde paylaşılmasından kaynaklandığını açıkladı. NTS, dış kaynaklı bir güvenlik denetimiyle birlikte, yayın öncesi kontrolleri de güçlendirmeyi taahhüt etti.
NTS polis soruşturması başlatılması için başvuruda bulundu ve Ulusal Polis Teşkilatı Siber Terörle Mücadele ekibi ön inceleme açtı. Polis, mnemonic code’u içeren yüksek çözünürlüklü fotoğrafların hangi medya kuruluşlarına ulaştığını ve kimlerin eriştiğini araştırıyor.
Son aylarda ülkenin savcıları geçici olarak 320 bitcoin’in kontrolünü yitirdi ve bir polis karakolunda kasadan 22 bitcoin kayboldu. Böylece Güney Kore’nin üç büyük soruşturma ve denetleme kurumunun hepsi kripto para saklamada yüksek profilli sorunlar yaşadı. Analistler suç gelirinin giderek daha fazla kripto paralar üzerinden aklanmaya başlamasıyla bu kurumların teknik yetkinlik ve operasyonel kontrolünü hızla güçlendirmesi gerektiğini belirtiyor.
