Badan Pajak Korea Selatan Bocorkan Kunci Master Kripto — dan Dua Kali Kena Bobol

National Tax Service (NTS) Korea Selatan mendapat sorotan tajam setelah terjadi kebocoran kunci keamanan privat. Kesalahan ini menyebabkan pencurian beruntun sebanyak 4 juta token PRTG hasil sitaan (sekitar US$4,8 juta).

Insiden ini memunculkan pertanyaan besar tentang apakah pemerintah Korea benar-benar mampu mengelola aset kripto yang mereka sita dengan aman.

Sebuah Komedi Kesalahan

Kejadian ini bermula pada 26 Februari saat konferensi pers terkait penunggak pajak bernilai besar. NTS membagikan foto-foto USB wallet cold-storage hasil sitaan untuk memamerkan keberhasilan penegakan hukum mereka. Tapi, tanpa sengaja gambar-gambar tersebut memperlihatkan “mnemonic code”, sebuah kode utama 24 kata yang digunakan untuk mengakses aset kripto.

Menurut data blockchain dan laporan polisi, token PRTG dicuri dua kali dalam waktu 24 jam. Pelanggaran pertama terjadi di awal 27 Februari. Seorang individu, yang mengaku sebagai investor biasa, menggunakan kode yang bocor untuk menguras isi wallet.

Secara mengejutkan, “peretas pertama” ini menghubungi polisi dan media pada 28 Februari. Ia membuat pengakuan, menyatakan bahwa ia mengambil token tersebut “seperti memungut kertas bekas” karena terlalu mudah. Ia mengklaim sudah mengembalikan seluruh 4 juta token PRTG ke wallet NTS tidak lama kemudian.

Pemulihan ini tidak bertahan lama. Hanya dua jam setelah token dikembalikan, pihak kedua menyerang wallet yang sama. Pelaku kedua berhasil mentransfer seluruh saldo ke wallet yang ditandai sebagai “akun phishing palsu”.

Kegagalan Sistemik di Manajemen Aset

Pakar keamanan mengkritik NTS karena gagal melindungi dana yang sudah dikembalikan. Mereka tidak memindahkan aset ke wallet baru yang lebih aman setelah pelanggaran pertama. Hal ini membuat pencuri kedua bisa memanfaatkan kode mnemonic yang sama.

NTS menyatakan mereka tidak bisa memberikan detail lebih lanjut karena penyelidikan masih berjalan. Walau begitu, mereka menegaskan tidak terjadi kesalahan administratif lain saat transfer kedua.

Aset yang dicuri, PRTG, pada dasarnya hanya diperdagangkan di satu exchange, yaitu MEXC. Para pakar menegaskan valuasi US$4,8 juta itu hanya bersifat teoritis karena pasar PRTG sangat minim likuiditas. “Nilai aktual yang bisa direalisasikan kemungkinan hanya beberapa ribu dolar,” tutur Profesor Cho Jae-woo dari Hansung University. Setiap upaya untuk menjual dalam jumlah besar akan membuat harga PRTG langsung anjlok.

Pemerintah Meminta Maaf dan Memberikan Tanggapan

NTS mengeluarkan permintaan maaf resmi pada 1 Maret, dan mengakui tanggung jawab sepenuhnya.

“Ini sepenuhnya merupakan kesalahan National Tax Service,” ujar lembaga tersebut. Mereka menyalahkan kebocoran data karena ketidakhati-hatian dalam menyediakan foto asli yang berisi data sensitif kepada media. Lembaga tersebut berjanji akan melakukan audit keamanan eksternal dan memperketat prosedur peninjauan sebelum publikasi dokumen sensitif.

NTS sudah meminta penyelidikan polisi, dan tim Cyber Terror Response dari National Police Agency mulai melakukan investigasi awal. Polisi kini melacak media mana saja yang menerima gambar resolusi tinggi berisi mnemonic dan siapa saja yang memiliki akses terhadapnya.

Dalam beberapa bulan terakhir, jaksa Korea Selatan sempat kehilangan kontrol atas 320 bitcoin hasil sitaan, sementara sebuah kantor polisi menemukan 22 bitcoin hilang dari brankas mereka. Kini semua lembaga penegak hukum dan investigasi utama di Korea sudah mengalami kegagalan besar dalam penyimpanan aset kripto. Para analis menilai lembaga penegak hukum harus segera meningkatkan kemampuan teknis dan kontrol operasional mereka karena pelaku kejahatan makin sering mencuci uang hasil aksi mereka lewat aset kripto.