韩国税务机关在新闻稿中误发加密钱包助记词,约5百万美元资产被迅速转走,暴露出执法机构在数字资产管理上的严重漏洞。
一次本可以避免的低级失误,让价值约5百万美元的加密资产在几分钟内消失。
韩国国家税务机关在发布一份查扣加密资产的新闻稿时,附上了涉案硬件钱包的照片。问题出在照片细节里。画面中清晰可见那串用于恢复钱包的助记词。对熟悉加密货币的人来说,这相当于把保险柜钥匙贴在公告栏上。
新闻稿被大量转载后,很快就有人行动。资金被转走。韩国国家税务机关目前没有明确嫌疑人,也几乎没有追回资金的现实路径。区块链交易一旦确认,便不可逆转,和银行转账完全不同。
理论上,执法机关唯一的希望,是盗币者尝试通过受监管的交易所变现。只要进入需要实名验证的平台,资金流向就有可能被追踪。但The Block指出,在当前市场环境下,要把这么大一笔加密资产顺利兑换成现金并不容易。规模越大,越显眼。于是,盗币者很可能选择按兵不动,避开主流交易所,慢慢处理。
区块链安全专家Cho直言,这种错误本可以轻松避免。他把公开助记词的行为比作把钱包大开着放在街上。原本持有Ledger硬件钱包的人,其实做法相当规范,只把助记词写在纸上,没有存进网络设备。这正是冷钱包的基本安全逻辑。真正出问题的,是后续拍照和发布流程。只要在公开前仔细检查图片内容,就能发现那串关键字。
这次失误,可能让国库损失数十亿韩元。
事情还有另一种可能。也许盗币者只是清晨浏览国家税务机关的新闻稿,偶然发现了这串助记词。也有可能,一些不法分子正长期关注韩国执法机关关于加密资产的公告。The Block此前就报道过所谓“一系列加密资产保管失误”。这听起来不像孤立事件,更像系统性问题。
今年1月,光州曾发生一起查扣比特币大量丢失的事件。外界普遍认为与针对Coinbase的网络钓鱼攻击有关。那次事件已经让人担忧,执法部门在数字资产保管上是否足够专业。
更令人不安的是,上个月首尔江南区警方也启动内部调查,因为22枚被查扣的比特币不翼而飞。相关报道指出,那次同样涉及冷钱包,而且设备并未离开警方控制范围。这意味着,泄露的可能是敏感信息,而不是硬件本身。换句话说,问题仍然在“人”。
冷钱包的设计初衷,是把私钥隔离在离线环境中。但技术再安全,也抵不过人为疏忽。助记词本质上是一把万能钥匙。谁掌握它,谁就掌握资产控制权。区块链不区分执法机关和普通用户,它只认密码。
在最新声明中,韩国国家税务机关表示,将加强内部管控和岗位培训,防止类似泄露再次发生。至于那笔消失的加密资产,大概率已经成为区块链上又一条无法逆转的记录。
本文译自 Ars Technica,由 BALI 编辑发布。
