Seed ifadesi basın fotoğrafında ifşa oldu: Güney Kore vergi kurumu el koyduğu kripto cüzdanından 4 milyon token taşındı

국세청in yayınladığı bir basın bülteninde, el koyduğu kripto varlık cüzdanına ait ‘sihirli sözcükler (seed phrase / kurtarma ifadesi)’ fotoğrafta tamamen görünür şekilde yer alınca, sadece birkaç saat içinde Ethereum(ETH) tabanlı 4 milyon adet token’ın dış bir adrese taşındığı bir olay yaşandı. Varlıklar daha sonra orijinal cüzdana geri dönse de, bu olay devlet kurumlarının ‘operasyonel güvenlik(opsec)’ süreçlerinin ne kadar kolay zafiyete uğrayabileceğini gösteren çarpıcı bir örnek olarak değerlendiriliyor.

Ulusal vergi kurumu, 26 Şubat’ta kronik vergi borçlularından yaklaşık 8,1 milyar won (yaklaşık 5,61 milyon dolar) değerinde varlığa el koyduğunu duyurdu ve el konulan malları gösteren fotoğrafları resmi basın materyali olarak servis etti. Kullanılan kur oranına göre (1 dolar = 1.441,50 won), 5,61 milyon dolar yaklaşık 8,091 milyar won’a denk geliyor. Sorun ise ‘Case 3’ ibaresiyle gösterilen el konulan eşyalar arasında bir Ledger donanım cüzdanının bulunması ve hemen yanında yer alan, 12 kelimelik seed ifadesinin yazılı olduğu kağıdın yüksek çözünürlükle, okunabilir şekilde basınla ve kamuoyuyla paylaşılmış olmasıydı.

‘Seed phrase’ ya da ‘kurtarma ifadesi’, donanım cüzdanını geri yüklemek için kullanılan ‘ana anahtar’ niteliğinde. Bu ifadeyi bilen biri, cihaza fiziksel olarak sahip olmasa bile aynı cüzdanı farklı bir cihazda yeniden oluşturabiliyor. Yani pratikte, bu ifadenin açığa çıkması, özel anahtarın sızdırılmasıyla hemen hemen aynı anlama geliyor. Yerel bir üniversitede görev yapan bir profesör, yapılan hatayı “Birine, cüzdanı boşaltması için kamusal davetiye göndermekten farksız” sözleriyle yorumladı ‘yorum’.

Basın fotoğrafı ‘anahtarı’ sızdırdı, el konulan cüzdandan 4 milyon token taşındı

Zincir üstü(on-chain) verilere göre, fotoğraf yayımlandıktan kısa süre sonra kimliği belirsiz bir aktör, önce söz konusu cüzdana işlem ücreti (gas) ödemek için az miktarda Ethereum(ETH) gönderdi. Ardından, el konulan cüzdandan 4 milyon adet Pre-Retogeum(PRTG) token’ı yeni bir adrese transfer edildi.

İlk haberlerde bu miktarın, teorik olarak 4,8 milyon dolar (yaklaşık 6,92 milyar won) değerinde olduğu ifade edildi. Ancak piyasa likiditesinin neredeyse ‘sıfıra’ yakın olduğu da özellikle vurgulandı. İşlem yapılabilen token paritelerinin hacmi son derece düşük olduğu için, küçük satış emirlerinin bile fiyatı sert biçimde aşağı çekebilecek yapıda olduğu belirtiliyor. Bu nedenle, büyük montanlı nakde çevirme olasılığının neredeyse imkânsız olduğu, token’ın ‘kâğıt üzerindeki değeri’ ile ‘fiilen elde edilebilir değeri’ arasında ciddi bir uçurum bulunduğu yorumları yapılıyor ‘yorum’.

Token’lar daha sonra yine orijinal adrese geri döndü. Bu durumun, olaya müdahil olan kişinin bir tür ‘whitehat (iyi niyetli hacker)’ uyarısı mı vermek istediği, yoksa likidite olmadığını görünce varlıkları iade mi ettiği ise netleşmiş değil.

Donanım cüzdan da böylece boşa çıktı, devletin kripto el koyma ve saklama sistemleri mercek altında

Yaşananlar, ‘kendi kendine saklama(self-custody)’ modelinin temel direği olan seed ifadesi güvenliğinin, tek bir fotoğraf çekimi ve dağıtımıyla tamamen çözülebileceğini gözler önüne serdi. Eski sahibinin donanım cüzdan kullanarak aldığı güvenlik önlemleri teknik olarak doğruydu. Ancak kamu otoritesinin seed ifadesini hiçbir maskeleme yapmadan açığa çıkarması, donanım cüzdanın sağladığı korumayı fiilen hükümsüz bıraktı.

Vergi kurumu henüz olayın ayrıntılı seyrine, sorumluluk zincirine ve tekrarını önlemeye yönelik somut tedbirlere dair kapsamlı bir açıklama yayımlamış değil. Öte yandan, kamu kurumlarının giderek daha fazla kripto varlığa el koyduğu ve bunları yönettiği bir dönemde, teknik bilgi eksikliğinin doğrudan varlık kaybına yol açabileceği gerçeği bu olayla berrak biçimde ortaya çıktı. Bu nedenle, delil niteliğindeki dijital varlık fotoğraflarının nasıl işleneceği, anahtar ve seed ifadelerinin nasıl saklanacağı, el konulan varlıkların hangi altyapıda ve hangi çoklu onay mekanizmalarıyla tutulacağı gibi alanlarda ‘operasyonel güvenlik’ standartlarının kapsamlı şekilde güncellenmesi gerektiği yönündeki çağrılar güçleniyor ‘yorum’.