กรมสรรพากรแห่งชาติของเกาหลีใต้ (NTS) กำลังเผชิญกับการตรวจสอบอย่างเข้มข้น หลังจากมีการรั่วไหลของกุญแจความปลอดภัยส่วนตัว ข้อผิดพลาดนี้นำไปสู่การถูกขโมยโทเคน PRTG ที่ยึดมาแล้ว 4 ล้านเหรียญติดต่อกัน (คิดเป็นมูลค่าประมาณ 4.8 ล้าน USD)
เหตุการณ์นี้ก่อให้เกิดข้อสงสัยอย่างจริงจังว่า ทางรัฐบาลเกาหลีใต้สามารถบริหารจัดการสินทรัพย์ดิจิทัลที่ยึดมาได้อย่างปลอดภัยหรือไม่
ความผิดพลาดชวนขำ
เหตุการณ์เริ่มต้นเมื่อวันที่ 26 กุมภาพันธ์ ระหว่างการแถลงข่าวเกี่ยวกับผู้ค้างชำระภาษีรายใหญ่ โดย NTS แจกจ่ายภาพกระเป๋าเงิน USB แบบ cold-storage ที่ยึดมาเพื่อแสดงความสำเร็จของการบังคับใช้กฎหมาย อย่างไรก็ตามภาพเหล่านี้กลับเปิดเผย “รหัสช่วยจำ” หรือ mnemonic code ซึ่งเป็นรหัสลับหลัก 24 คำ ที่ใช้เข้าถึงสินทรัพย์ดิจิทัล
จากข้อมูลบล็อกเชนและรายงานตำรวจ โทเคน PRTG ถูก ขโมยไปถึงสองครั้งภายใน 24 ชั่วโมง การละเมิดครั้งแรกเกิดขึ้นแต่เช้าวันที่ 27 กุมภาพันธ์ มีบุคคลหนึ่งอ้างตัวเป็นนักลงทุนทั่วไป ใช้รหัสที่ถูกเปิดเผยไปดูดเงินจากกระเป๋า
ต่อมาเกิดเหตุการณ์ที่ไม่น่าเชื่อ เมื่อ “แฮกเกอร์รายแรก” ติดต่อกับตำรวจและสื่อในวันที่ 28 กุมภาพันธ์ โดยยื่นคำสารภาพว่าเขาเอา coin ไป “เหมือนเก็บเศษกระดาษ” เพราะมันง่ายเกินไป เขาอ้างว่าได้คืนโทเคน PRTG ทั้ง 4 ล้านเหรียญเข้ากระเป๋า NTS ในเวลาไม่นานหลังจากนั้น
แต่การกู้คืนสินทรัพย์อยู่ได้ไม่นาน เพียงสองชั่วโมงหลังจากนำกลับมาได้ ก็มีบุคคลที่สองเข้าโจมตีกระเป๋าเดียวกันอีกรอบ ซึ่งบุคคลนี้สามารถโอนยอดเงินทั้งหมดไปยังกระเป๋าที่ถูกตั้งค่าสถานะไว้สำหรับกิจกรรม “fake phishing”
ความล้มเหลวเชิงระบบในด้านการจัดการสินทรัพย์
ผู้เชี่ยวชาญด้านความปลอดภัยต่างวิจารณ์ NTS ที่ไม่สามารถรักษาความปลอดภัยของเงินที่ถูกส่งคืนได้ โดยหน่วยงานไม่ได้โอนสินทรัพย์ไปยังกระเป๋าใหม่ที่ปลอดภัยหลังจากถูกละเมิดครั้งแรก ซึ่งทำให้โจรคนที่สองสามารถใช้รหัส mnemonic ที่ถูกเปิดเผยได้อีก
ทาง NTS กล่าวว่าตนเองไม่สามารถให้รายละเอียดเพิ่มเติมได้เนื่องจากอยู่ระหว่างการสอบสวน อย่างไรก็ดี หน่วยงานยืนยันว่าไม่มีข้อผิดพลาดในการบริหารเพิ่มเติมระหว่างการโอนครั้งที่สอง
สินทรัพย์ที่ถูกขโมยคือ PRTG ซึ่งส่วนใหญ่ถูกซื้อขายอยู่บนกระดานแลกเปลี่ยนเดียวคือ MEXC ผู้เชี่ยวชาญระบุว่ามูลค่า 4.8 ล้าน USD นี้เป็นเพียงตัวเลขในทางทฤษฎี เนื่องจากตลาดขาดสภาพคล่อง ศาสตราจารย์ Cho Jae-woo จากมหาวิทยาลัย Hansung กล่าวว่า มูลค่าที่จะนำไปใช้จริงน่าจะมีเพียงไม่กี่พัน USD หากมีการขายจำนวนมาก ราคาของ PRTG จะร่วงลงทันที
รัฐบาลขอโทษและชี้แจง
เมื่อวันที่ 1 มีนาคม NTS ได้ออกแถลงการณ์ขอโทษอย่างเป็นทางการ พร้อมยอมรับความรับผิดชอบเต็มที่
หน่วยงานระบุว่านี่เป็นความผิดของกรมสรรพากรแห่งชาติอย่างชัดเจน โดยโทษว่าเหตุดังกล่าวเกิดจากการมอบภาพต้นฉบับที่มีข้อมูลอ่อนไหวให้สื่ออย่างประมาท ทางหน่วยงานให้คำมั่นจะตรวจสอบความปลอดภัยโดยบุคคลภายนอก และปรับปรุงกระบวนการกลั่นกรองข้อมูลก่อนการเผยแพร่ให้เข้มงวดขึ้น
NTS ได้ร้องขอให้มีการสอบสวนจากตำรวจแล้ว และหน่วยตอบสนองภัยคุกคามทางไซเบอร์ของสำนักงานตำรวจแห่งชาติได้เริ่มต้นสอบสวนเบื้องต้น ตำรวจกำลังตรวจสอบว่าสำนักข่าวใดได้รับภาพความละเอียดสูงที่มี mnemonic และใครสามารถเข้าถึงได้บ้าง
ในช่วงไม่กี่เดือนที่ผ่านมา อัยการของประเทศเกาหลีใต้ได้สูญเสียการควบคุม bitcoin จำนวน 320 coin ชั่วคราว ขณะเดียวกัน สถานีตำรวจแห่งหนึ่งพบว่า bitcoin 22 coin ที่เก็บไว้ในตู้เซฟหายไป ทั้งสามหน่วยงานสำคัญด้านการสืบสวนและบังคับใช้กฎหมายของเกาหลีใต้จึงประสบกับความล้มเหลวที่ได้รับความสนใจสูงเกี่ยวกับการดูแลคริปโต นักวิเคราะห์กล่าวว่า หน่วยงานบังคับใช้กฎหมายต้องเร่งพัฒนาทักษะทางเทคนิคและควบคุมการปฏิบัติงานอย่างเข้มงวดมากขึ้น เพราะอาชญากรลักลอบฟอกเงินที่ได้มาผ่านคริปโตอย่างต่อเนื่อง
