Numa operação que tinha tudo para ser um sucesso, o Serviço Nacional de Impostos da Coreia do Sul acabou por cometer um erro que custou mais de 4 milhões de euros aos cofres do Estado. Após uma série de rusgas a 124 grandes devedores de impostos, as autoridades confiscaram ativos digitais no valor de 8,1 mil milhões de won (cerca de 5,2 milhões de euros), armazenados numa carteira física da marca Ledger.
No entanto, durante o anúncio dos resultados da operação, a agência partilhou fotografias do dispositivo para ilustrar a apreensão. O problema surgiu quando as imagens revelaram também uma nota manuscrita com a frase de recuperação da carteira, conhecida como "seed phrase". Esta frase serve como a chave mestra que permite a qualquer pessoa restaurar e aceder aos fundos num outro dispositivo, e as autoridades falharam em ocultar essa informação sensível.
Um roubo executado com precisão
Com a chave exposta publicamente a todo o país, não demorou muito até que alguém se aproveitasse da situação. Pouco depois da publicação do comunicado de imprensa, um atacante conseguiu transferir 4 milhões de tokens Pre-Retogeum (PRTG) para fora da carteira confiscada. Na altura, estes ativos estavam avaliados em aproximadamente 4,4 milhões de euros.
A análise aos dados da rede Etherscan revelou que o invasor agiu de forma metódica. Primeiro, depositou uma pequena quantia de Ethereum na carteira para conseguir cobrir as taxas de transação, também conhecidas como "gas fees". De seguida, transferiu a totalidade dos tokens PRTG para o seu próprio endereço em três transações separadas, de acordo com as informações avançadas pela imprensa local.
Falta de conhecimento e as suas consequências
O erro crasso foi rapidamente apontado por especialistas em segurança digital. Cho Jae-woo, professor na Universidade de Hansung e especialista em análise de dados na blockchain, acompanhou a transferência e comparou a atitude das autoridades a deixar uma carteira física aberta e anunciar a toda a nação que o dinheiro estava lá para quem o quisesse levar.
O especialista atribuiu esta falha a uma grave falta de compreensão básica sobre o funcionamento dos ativos virtuais por parte das autoridades fiscais. Este desconhecimento técnico acabou por custar ao tesouro nacional grande parte do valor que tinha sido recuperado com sucesso durante a rusga. O comunicado foi, entretanto, removido do site oficial do organismo, não sendo ainda claro se já foi iniciada uma investigação para tentar rastrear o destino final dos fundos roubados.
O perigo da frase de recuperação
Este caso insólito serve como um aviso importante para qualquer utilizador de criptomoedas. A frase de semente dá acesso total e incondicional a uma carteira, sem necessidade de qualquer camada adicional de proteção. Qualquer indivíduo na posse dessa sequência de palavras consegue recriar o acesso em qualquer parte do mundo, ignorando por completo o dispositivo físico original, o respetivo código PIN ou qualquer permissão de acesso.
As boas práticas de segurança ditam que estas chaves mestras nunca devem ser digitalizadas. Guardar a frase de recuperação em notas eletrónicas, fotografias, mensagens de e-mail, serviços de armazenamento na nuvem ou através de aplicações de conversação é um risco enorme. Caso a chave seja exposta de alguma forma, a única medida viável é transferir de imediato todos os fundos para uma nova carteira segura.
Nenhum comentário
Seja o primeiro!