A dél-koreai adóhatóság történetének egyik legkínosabb és legköltségesebb információbiztonsági incidensét szenvedte el a napokban, miután egy hivatalos sajtóközleményben véletlenül nyilvánosságra hozták egy lefoglalt kriptovaluta pénztárca teljes hozzáférési kódját. A banális hiba következtében illetéktelenek szinte azonnal, órákon belül hozzáfértek a digitális eszközökhöz, és mintegy 4,8 millió dollár, azaz nagyjából 1,8 milliárd forint értékű kriptovalutát emeltek le a hatóság által szigorúan felügyelt számláról.
Az eset nem csupán a konkrét anyagi kár miatt jelentős, hanem élesen rávilágít arra az egyre sürgetőbb globális problémára, hogy a hagyományos bűnüldözési és vagyonvisszaszerzési eljárások során az állami hatóságok sok esetben még mindig nem rendelkeznek a megfelelő technológiai felkészültséggel a digitális eszközök professzionális és biztonságos kezeléséhez. A lefoglalt vagyon sorsa és a kiszivárgott adatok körüli botrány azonnali, magas szintű kormányzati vizsgálatot vont maga után Szöulban.
Dél-Korea az elmúlt években rendkívül szigorú és átfogó fellépést hirdetett a kriptovalutákkal trükköző, vagyonukat a blokkláncon rejtegető adókerülők ellen. A helyi Nemzeti Adószolgálat a közelmúltban egy nagyszabású akció keretében 124 kiemelten magas tartozással rendelkező magánszemély és vállalat ellen indított vagyonelkobzási eljárást. Az összehangolt akció során a hatóságok összesen mintegy 8,1 milliárd dél-koreai won, átszámítva nagyjából 5,6 millió dollár értékű vagyont foglaltak le, amelynek nagyon jelentős része különböző decentralizált digitális eszközök formájában volt fellelhető.
Az egyik ilyen helyszíni lefoglalás során az adóellenőrök egy Ledger márkájú fizikai tárolóeszközt, szakzsargonban ismert nevén cold wallet eszközt koboztak el egy magánszemélytől. A hardveres pénztárcák alapvető működési elve, hogy a kriptovalutákhoz hozzáférést biztosító privát kulcsokat teljesen offline környezetben tárolják, így azok elméletileg védve vannak a távoli internetes támadásoktól és hackerektől. Azonban minden ilyen fizikai eszközhöz tartozik egy úgynevezett seed phrase, vagyis egy mnemonikus helyreállítási kifejezés, amely jellemzően 12 vagy 24 véletlenszerűen generált angol szóból áll. Ez a szósorozat funkcionál a rendszer végső mesterkulcsaként: aki ismeri ezeket a pontos sorrendben lévő szavakat, az a fizikai hardver birtoklása nélkül is, a világ bármely pontjáról visszaállíthatja a pénztárcát egy másik szoftverben, és azonnali, teljes ellenőrzést szerezhet a benne tárolt teljes vagyon felett. A dél-koreai hatóságok abban a tévhitben éltek, hogy a hardver fizikai páncélszekrényben történő elzárása önmagában elegendő a vagyon biztosításához, teljesen figyelmen kívül hagyva a papírra felírt helyreállítási szavak kritikus jelentőségét.
Az újdonság és az esemény lényege
A katasztrofális adatszivárgás akkor történt, amikor az adóhivatal egy büszke sajtóközleményt adott ki a sikeres razziasorozatról a szélesebb nyilvánosság számára. A hivatalos dokumentumhoz mellékelt fényképek célja az volt, hogy vizuálisan is demonstrálják az újságíróknak a lefoglalt eszközöket és a nyomozók munkáját. Az egyik nagy felbontású felvételen egy asztalra helyezett hardveres pénztárca volt látható, azonban közvetlenül mellette feküdt egy kézzel írott papírlap, amelyen a pénztárca teljes, kitakarás nélküli mnemonikus helyreállítási kifejezése szerepelt. A fotót a hivatal sajtósai mindennemű cenzúrázás vagy utómunka nélkül publikálták az interneten.
A blokklánc technológia transzparens természetéből fakadóan a nyilvános hálózatokon minden tranzakció azonnal nyomon követhető, így a piaci elemzők percre pontosan rekonstruálni tudták a lopás folyamatát. Cho Jae-woo, a Hansung Egyetem professzorának on-chain elemzése alapján az események a publikálást követően rendkívül gyorsan követték egymást. Miután a nagy felbontású fotó kikerült a világhálóra, egy élelmes, ismeretlen felhasználó azonnal leolvasta a szavakat, és importálta a seed phrase adatokat egy saját szoftveres tárcába. Mivel a tokenek mozgatásához hálózati díjra volt szükség, az illetéktelen behatoló először egy kisebb összegű Ethereum tranzakciót hajtott végre a kompromittálódott címre. Ezzel a minimális befizetéssel fedezte a hálózati tranzakciós díjakat, vagyis a gas fee költségeket. Ezt követően az elkövető három gyors, egymást követő tranzakcióval a pénztárcában található teljes, 4 millió darabot számláló Pre-Retogeum tokenkészletet átutalta egy általa ellenőrzött, lenyomozhatatlan címre.
Hatások
A lopás ténye azonnali felháborodást és döbbenetet váltott ki a dél-koreai és a nemzetközi kriptoközösségben egyaránt, ugyanakkor az eset tényleges pénzügyi következményei meglehetősen sajátosan alakultak a lefoglalt tokenek speciális piaci helyzete miatt. A 4 millió darab Pre-Retogeum token papíron ugyan 4,8 millió dollárt ért a lopás pillanatában, azonban a valóságban ez az elméleti vagyon szinte likviddé tehetetlen.
A tőzsdei adatok egyértelműen rávilágítanak, hogy ez egy rendkívül alacsony forgalmú eszköz, amelynek napi kereskedési volumene globálisan is alig éri el a 300 dollárt, és a token kizárólag a MEXC kriptotőzsdén van listázva. Ha a tolvaj megpróbálná akár csak a töredékét is készpénzre vagy széles körben használt stabilcoinra váltani ennek a hatalmas, a teljes piaci kínálat negyven százalékát kitevő mennyiségnek, a hirtelen eladási nyomás azonnal a nullára döntené a token árfolyamát. Ezt a piaci realitást valószínűleg a tolvaj is felismerte, ugyanis a blokklánc adatok tanúsága szerint a teljes tokenmennyiséget mintegy húsz órával a lopás után visszautalták az eredeti címre. Bár a tokenek végül visszatértek, az eredeti pénztárca biztonsága véglegesen megsemmisült, így a hatóságoknak haladéktalanul egy új, biztonságos és titkosított címre kellett mozgatniuk az állami felügyelet alatt álló eszközöket.
Az incidens hatása túlmutat egyetlen elhibázott fotón, ugyanis rávilágított egy súlyos rendszerszintű problémára. Ez már a harmadik jelentős kriptoeszköz-kezelési baki volt rövid időn belül az ázsiai országban. Nemrégiben a szöuli Gangnam kerületi rendőrségről tűnt el 22 darab, még évekkel ezelőtt lefoglalt Bitcoin egy harmadik fél által biztosított tárolóból, Gwangju városában pedig egy adathalász támadás miatt vesztettek el tízmillió dolláros nagyságrendű lefoglalt eszközt. A sorozatos botrányok mára súlyosan megtépázták az állami szervek hitelességét a digitális vagyonkezelés terén.
Adat-táblázat
| Paraméter | Részletek |
|---|---|
| Érintett hatóság | Dél-koreai Nemzeti Adószolgálat (NTS) |
| Lopott eszköz típusa | Pre-Retogeum (PRTG) token |
| Ellopott mennyiség | 4 000 000 PRTG |
| Névleges érték (USD) | ~4,8 millió dollár |
| Kompromittálódás módja | Sajtófotón publikált seed phrase (mnemonikus kód) |
| Eredeti tárolóeszköz | Ledger cold wallet |
Magyar vonatkozás
Magyarországon a kriptovalutákból származó realizált jövedelem 15 százalékos személyi jövedelemadó alá esik, és a Nemzeti Adó- és Vámhivatal egyre nagyobb kapacitásokat és figyelmet fordít a digitális eszközökből származó, eltitkolt bevételek felkutatására és ellenőrzésére. Amennyiben a hazai hatóságoknak büntetőeljárás, házkutatás vagy adóvégrehajtás során a jövőben kriptovalutákat kell fizikai vagy digitális formában lefoglalniuk, elengedhetetlen a megfelelő digitális vagyonkezelési protokollok előzetes kidolgozása. A szöuli példa tökéletesen és fájdalmasan mutatja meg, hogy a hagyományos, fizikai tárgyi bizonyítékok kezelésére vonatkozó elavult szabályok alkalmazása a blokklánc világában pillanatok alatt katasztrófához vezethet. A hozzáférési jelszavak papíralapú rögzítése, iktatása, és pláne a nyilvános fotókon való óvatlan szerepeltetése olyan alapvető információbiztonsági hiányosság, amelyet szigorú belső oktatásokkal és folyamatosan auditált munkafolyamatokkal kell megelőzni minden hazai nyomozóhatóságnak.
Kilátások
A hatalmas nemzetközi visszhangot kiváltó botrányt követően Koo Yun-cheol, Dél-Korea miniszterelnök-helyettese és gazdasági minisztere azonnali, minden érintett hivatalra kiterjedő vizsgálatot rendelt el a lefoglalt digitális eszközök kezelési és tárolási gyakorlatának felülvizsgálatára. A Pénzügyi Szolgáltatások Bizottsága és a Pénzügyi Felügyeleti Szolgálat közösen fogja átvilágítani az összes olyan állami intézményt és bűnüldöző szervet, amely a munkája során kritikus kriptovalutákkal kerül kapcsolatba.
A Nemzeti Adószolgálat a történtek után hivatalos bocsánatkérést adott ki, őszintén elismerve, hogy a szenzitív adatok felismerése és a kötelező kitakarása elmaradt a sajtóanyag publikálása előtt. A hatóság a jövőben külső kiberbiztonsági szakértők és blokklánc-elemzők bevonásával tervezi teljesen újraírni a digitális eszközök belső kezelési kézikönyvét. A technológiai szakértők szerint az eset jelentősen felgyorsíthatja egy olyan, kifejezetten állami szervek és bíróságok számára kifejlesztett, többszörös kriptográfiai aláírást igénylő multisig letétkezelői rendszer kötelező bevezetését, amely matematikai szinten küszöböli ki az egyetlen emberi hibaponton történő vagyonvesztés kockázatát.
Nyitókép: illusztráció
