韓国経済紙・毎日経済(MK)は27日、韓国国税庁が高額・常習滞納者124名に対する現場捜索の成果を発表したプレスリリースに、差し押さえた暗号資産ウォレットの復元フレーズ「シードフレーズ(ニーモニック)」をモザイク処理なしで公開するセキュリティ事故が発生したと報じた。漢城大学ブロックチェーン研究所(所長:チョ・ジェウ教授)の分析により、すでに資産が流出した疑いがあることも明らかになった。
プレスリリース公開から数時間後、PRTG全額が不審アドレスへ
同研究所の分析によると、プレスリリース配布翌日の27日未明、問題のウォレットに保管されていたPRTG(Pre-Retogeum)トークン400万枚が身元不明のウォレットへ全額転送されたことがオンチェーンデータで確認された。PRTGは電力のP2P取引を目的としたブロックチェーンプロジェクト「Retogeum」のイーサリアム上トークンである。
攻撃者はガス代として使用するETHをまず対象ウォレットへ少量入金した後、わずか3回の送金操作でPRTG全量を引き出すという周到な手口を用いた。イーサスキャンの取引履歴で確認されており、被害は27日未明に完了している。被害総額は約480万ドル(約7.4億円)に達すると推計される。なおPRTGは流動性が極めて低いマイナートークンであり、被害総額の推計額約480万ドルは評価額ベースの数値で、実際の換金価値はそれを下回る可能性が高い。
シードフレーズは英単語12〜24個で構成されるウォレット復元フレーズである。ハードウォレット(コールドウォレット)の実物がなくても、このコードさえあれば世界中どこからでもウォレットを復元し、内部の資産を全額引き出せる。銀行に例えれば、口座番号・暗証番号・認証カードをすべて合わせた権限に相当する。
今回、国税庁のプレスリリースには差し押さえたレジャー製ハードウォレットとともに、シードフレーズが記された紙が写り込んでいた。国税庁が捜索成果を誇示しようとした写真が、そのまま「鍵の公開」となった格好だ。
関連:米SEC、仮想通貨保管ガイド発行──「秘密鍵紛失で永久に資産失う」
チョ・ジェウ・漢城大学教授は「シードフレーズを全国民が見るプレスリリースに公開したことは、財布を開けたまま盗みに来いと広告したも同然だ。課税当局の暗号資産に対する基本的な理解の欠如が、数十億ウォンの国庫回収機会を無駄にした」と強く批判した。
ファン・ソクジン・東国大学教授も「シードフレーズを写真に撮ってウェブ上に公開することは、過去の銀行の保安カードをインターネットに上げるのと全く同じ行為。シードフレーズは必ず紙や金属プレートなど物理的な媒体にオフラインで保管しなければならない」と指摘した。
暗号資産を巡る物理的リスクは国内外で増加しており、秘密鍵・シードフレーズの適切な管理の重要性があらためて浮き彫りとなった形だ。
