Güney Kore Ulusal Vergi Servisi, son dönemde yaşanan güvenlik zafiyetleri nedeniyle dikkatleri üstüne çekti. Kurumun el koyduğu bir dijital varlık cüzdanının anahtarı basına sızdırıldıktan sonra, toplam değeri 4 milyon PRTG token olan kripto varlıklar art arda iki kez çalındı. Söz konusu olay, kamu kurumlarının dijital varlıkların yönetimindeki yeterliliğiyle ilgili tartışmaları yeniden gündeme taşıdı.
PRTG Tokenların Peş Peşe Kaybı
Yaşanan olaylar 26 Şubat’ta başlayan bir basın toplantısıyla ortaya çıktı. Ulusal Vergi Servisi, yüksek tutarlı vergi borçlularına yönelik el koyma operasyonlarını göstermek amacıyla, elinde tuttuğu bir soğuk cüzdanın fotoğraflarını paylaştı. Fakat bu görsellerin içinde, cüzdandaki kripto paralara erişim sağlayan 24 kelimelik ana kurtarma kodu da yer aldı.
Blokzinciri analizleri ve polis tutanaklarına göre, kısa süre içinde bu hassas bilgilere ulaşan bir kişi, 27 Şubat’ta ilgili cüzdandaki tüm PRTG tokenlarını kendi hesabına aktardı. Bu kişi, sıradan bir yatırımcı olduğunu öne sürdü ve sonraki gün basın ile polise başvuru yaparak söz konusu tokenları kolayca aldığını ifade etti.
Hesabını teslim eden kişi, elde ettiği tüm 4 milyon PRTG tokenı yeniden Vergi Servisi’nin cüzdanına gönderdiğini açıkladı. Ancak geri iadenin ardından sadece iki saat içinde başka bir kişi, aynı güvenlik açığını kullanarak tokenları tekrar başka bir hesaba aktardı.
Sistemsel Güvenlik Zaafiyeti
Güvenlik alanında uzmanlar, Vergi Servisi’nin iade edilen varlıkları yeni bir güvenli cüzdana taşımadan bekletmesi nedeniyle eleştirildi. Aynı anahtarın sızdırılmış olması, ikinci bir siber saldırganın da cüzdana erişmesine yol açtı. Vergi Servisi, olayla ilgili detay veremeyeceğini belirtirken, ikinci transfer sırasında ek bir idari hata olmadığının altını çizdi.
Çalınan PRTG tokenları, yalnızca bir platform olan MEXC’de işlem görüyor. Hansung Üniversitesi’nden Profesör Cho Jae-woo, ilgili tokenların piyasa değerinin teorik olduğunu, pratikte bu büyüklükte bir satış yapılması hâlinde varlığın fiyatının hızla düşeceğini belirtti.
Kurumdan Resmî Özür ve Soruşturma
Ulusal Vergi Servisi, 1 Mart’ta yayımladığı açıklamada tüm sorumluluğu kabul etti. Kurum, el konulan fotoğrafların incelenmeden paylaşılmasının doğrudan kendi hatası olduğunu vurguladı. Ayrıca dışarıdan bağımsız bir güvenlik denetimi gerçekleştirileceğini ve ön denetim süreçlerinin güçlendirileceğini açıkladı.
“Bu olay, tamamen Ulusal Vergi Servisi’nin hatasıdır.”
Kurum, polis soruşturması talebinde bulundu ve Siber Terörle Mücadele birimi konuyla ilgili ön inceleme başlattı. Polis, hangi medya kuruluşlarının yüksek çözünürlüklü fotoğraflara eriştiğini ve kimlerin bu anahtarlara ulaştığını araştırıyor.
Öte yandan, son aylarda ülkedeki savcılık makamı geçici olarak el konulan 320 bitcoin’i, bir polis karakolu ise bir kasada saklanan 22 bitcoin’i kaybetti. Böylece, Güney Kore’nin başlıca soruşturma ve uygulama kurumlarının kripto varlık saklama süreçlerinde art arda sorunlar yaşadığı dikkat çekti. Analistler, kripto varlıkların suç gelirlerinin takibinde giderek daha fazla kullanılmasına karşı kurumların teknik ve operasyonel kapasitelerini hızla güçlendirmesi gerektiğini değerlendiriyor.
