Cơ quan thuế Hàn Quốc làm lộ khóa chủ crypto — và bị lấy cắp hai lần

Cục Thuế Quốc gia Hàn Quốc (NTS) đang bị dư luận chỉ trích gay gắt sau khi để lộ khóa bảo mật riêng tư, dẫn đến việc 4 triệu PRTG token bị đánh cắp liên tiếp (ước tính khoảng 4.8 triệu USD) sau khi đã bị tịch thu.

Sự việc này đặt ra câu hỏi nghiêm túc về việc liệu chính phủ Hàn Quốc có đủ khả năng để bảo vệ an toàn tài sản kỹ thuật số mà cơ quan này đã thu giữ hay không.

Một loạt sai lầm hài hước

Vụ việc bắt đầu vào ngày 26/02/2024 tại một buổi họp báo về các trường hợp trốn thuế có giá trị lớn. Cục Thuế Quốc gia đã cung cấp hình ảnh của các ví lạnh USB đã tịch thu được để chứng minh thành quả của họ. Tuy nhiên, các bức ảnh này lại vô tình tiết lộ “mnemonic code” – chuỗi 24 từ khóa bảo mật quan trọng để truy cập tài sản kỹ thuật số.

Theo dữ liệu trên blockchain và báo cáo của cảnh sát, số PRTG token bị đánh cắp hai lần trong vòng 24 giờ. Lần mất đầu tiên xảy ra vào sáng ngày 27/02/2024 khi một người, tự nhận là nhà đầu tư nhỏ lẻ, đã sử dụng đoạn mã bị lộ để rút hết tiền trong ví.

Điều bất ngờ là chỉ một ngày sau, cá nhân này đã tự liên hệ với cảnh sát và báo chí vào ngày 28/02/2024 để thú nhận rằng mình đã lấy số token này “giống như nhặt giấy vụn” vì mọi thứ quá dễ dàng. Anh này cho biết đã hoàn trả đủ 4 triệu PRTG token vào lại ví của NTS ngay sau đó.

Tuy vậy, việc khôi phục tài sản chỉ kéo dài trong thời gian ngắn. Chỉ hai tiếng sau khi số token được trả lại, một cá nhân khác đã tiếp tục khai thác lỗ hổng từ đoạn mã đã bị lộ và chuyển toàn bộ số token sang một ví bị đánh dấu là dùng cho mục đích “giả mạo phishing”.

Những thất bại mang tính hệ thống trong quản lý tài sản

Các chuyên gia bảo mật đã lên tiếng phê bình NTS vì không di chuyển số tiền được hoàn trả vào một ví an toàn mới sau sự cố đầu tiên. Việc này tạo điều kiện cho lần mất cắp thứ hai khi hacker chỉ cần sử dụng lại đoạn mnemonic code đã bị rò rỉ.

Phía NTS cho biết họ chưa thể cung cấp thông tin chi tiết vì quá trình điều tra đang diễn ra. Tuy nhiên, đơn vị này khẳng định không có thêm sai sót hành chính nào trong lần chuyển khoản thứ hai.

Tài sản bị đánh cắp là PRTG, hiện phần lớn chỉ được giao dịch trên sàn MEXC. Theo các chuyên gia, mức định giá 4.8 triệu USD chỉ mang tính lý thuyết vì thị trường PRTG rất khó thanh khoản. Giáo sư Cho Jae-woo thuộc Đại học Hansung cho biết: “Giá trị thực sự có thể chuyển đổi ra tiền mặt chỉ vào khoảng vài nghìn USD, vì nếu bán ra lượng lớn cùng lúc thì giá PRTG sẽ sụt giảm ngay lập tức”.

Chính phủ xin lỗi và phản hồi

Ngày 01/03/2024, NTS đã ra thông báo chính thức nhận hoàn toàn trách nhiệm về vụ việc.

“Đây hoàn toàn là lỗi của Cục Thuế Quốc gia”, đại diện cơ quan này nói. Họ nhận lỗi vì đã sơ suất đưa ảnh gốc chứa thông tin nhạy cảm cho truyền thông. NTS cam kết sẽ tiến hành kiểm tra bảo mật độc lập và thiết lập quy trình thẩm tra nghiêm ngặt hơn trước khi công bố bất kỳ hình ảnh nào ra bên ngoài.

NTS đã yêu cầu cảnh sát vào cuộc điều tra. Hiện đơn vị phản ứng phòng chống tội phạm mạng của Cơ quan Cảnh sát Quốc gia cũng đã mở cuộc điều tra sơ bộ. Cảnh sát đang truy vết các cơ quan truyền thông nào đã nhận được ảnh có chất lượng cao chứa mnemonic code và những ai đã tiếp cận các hình ảnh này.

Chỉ trong vài tháng gần đây, các cơ quan của Hàn Quốc liên tục gặp sự cố bảo mật với tài sản số: công tố viên bị mất tạm thời 320 bitcoin, một đồn cảnh sát cũng phát hiện 22 bitcoin bị mất khỏi kho lưu trữ. Ba cơ quan lớn nhất phụ trách điều tra, cưỡng chế của Hàn Quốc đều đã dính sự cố mất tài sản số ở quy mô lớn. Các chuyên gia cho rằng lực lượng thực thi pháp luật cần sớm nâng cao kỹ năng công nghệ và siết chặt quy trình vận hành, vì tội phạm ngày càng gia tăng hoạt động rửa tiền qua crypto.