Una grave falla de seguridad por parte de las autoridades fiscales de Corea del Sur ha provocado la pérdida de millones de dólares en criptomonedas.
Según informes de medios locales, el Servicio Nacional de Impuestos (NTS) de Corea compartió accidentalmente una clave de recuperación (frase semilla) de una billetera de criptomonedas incautada en una foto de un comunicado de prensa. Pronto se descubrió que tokens por un valor aproximado de 4,8 millones de dólares (unos 6.400 millones de wones) se habían transferido a una billetera desconocida.
El incidente comenzó con un comunicado de prensa emitido por el Servicio Nacional de Impuestos (NTS) que anunciaba los resultados de una operación de campo dirigida a 124 deudores con altos niveles de endeudamiento y deudas duplicadas. El comunicado anunció la incautación de activos por un valor total de 8.100 millones de wones (aproximadamente 8,2 millones de dólares). En el caso 3, se indicó que se incautaron cuatro memorias USB utilizadas para almacenar monederos de criptomonedas durante un registro del domicilio del deudor C.
Sin embargo, el verdadero problema surgió en las fotos compartidas para demostrar el éxito. Las imágenes mostraban un dispositivo Ledger, una popular billetera de hardware, y el código “mnemónico” (una secuencia de palabras en inglés utilizada para recuperar la billetera) claramente visible sin censura. En el mundo de las criptomonedas, las frases mnemotécnicas son tan cruciales como la combinación de la contraseña de una cuenta bancaria y una tarjeta de seguridad. Incluso sin poseer el dispositivo físico, quienes conocen esta secuencia de palabras pueden recrear la billetera y transferir activos desde cualquier parte del mundo.
De hecho, esta vulnerabilidad fue rápidamente explotada. Según una declaración del profesor Cho Jae-woo, director del Instituto de Investigación Blockchain de la Universidad de Hansung, realizada el 27, inmediatamente después de la filtración de la clave, 4 millones de tokens PRTG (Pre-Retogeum) de la billetera se transfirieron a una dirección desconocida. La pérdida total se estima en aproximadamente 4,8 millones de dólares.
Según un análisis de datos de blockchain realizado mediante Etherscan, el atacante primero envió una pequeña cantidad de Ethereum (ETH) a la billetera para cubrir las comisiones de transacción. Posteriormente, transfirió 4 millones de tokens PRTG a su propia billetera en tres transacciones separadas. Esto indica que el ataque fue deliberado y técnicamente planificado.
*Esto no constituye un consejo de inversión.
