Dure blunder: Zuid-Koreaanse fiscus lekt private keys van in beslag genomen crypto

Het is de nachtmerrie van iedere crypto-bezitter: je herstelzin (seed phrase) die op straat komt te liggen. Normaal gesproken overkomt dit alleen onoplettende beginners, maar in Zuid-Korea heeft de nationale belastingdienst (NTS) een fout van historisch formaat gemaakt. In een officieel persbericht over een succesvolle vorderingsactie op belastingontduikers, stond per ongeluk een screenshot waarin de 24 woorden van een hardware wallet zichtbaar waren.

De Zuid-Koreaanse overheid is de laatste maanden extreem agressief in het opsporen van onbetaalde belastingen via digitale activa. Gisteren kondigde de NTS trots aan dat er voor ruim 180 miljard won (ongeveer 125 miljoen euro) aan crypto was bevroren. Om de transparantie van hun nieuwe 'tracking systeem' te bewijzen, deelden ze beelden van het proces.

Het ging mis bij de nabewerking. Een medewerker vergat een foto van een fysieke Ledger-notitie te anonimiseren. Binnen enkele minuten na publicatie merkten scherpe on-chain analisten op X (voorheen Twitter) op dat de woordenreeks in het document een actieve wallet ontsloot.

Zodra de fout bekend werd, ontstond er een digitale goudkoorts. De betreffende wallet bevatte naar schatting voor 1,2 miljoen dollar aan Ethereum (ETH) en diverse ERC-20 tokens. Hoewel de belastingdienst het bericht na twintig minuten offline haalde, was het kwaad al geschied.

Blockchain-data laat zien dat er binnen die korte tijdspanne tientallen pogingen werden gedaan om de fondsen te verplaatsen. Opmerkelijk genoeg lijken de tokens uiteindelijk in een "black hole" te zijn beland; een beveiligingsbedrijf dat gespecialiseerd is in white-hat hacking claimt de fondsen te hebben veiliggesteld voordat kwaadwillenden dat konden doen. Het is echter nog maar de vraag of de Koreaanse staat dit geld ooit terugziet zonder juridisch getouwtrek.

Deze fout legt een pijnlijk pijnpunt bloot. Overheden wereldwijd roepen om meer controle en centrale opslag van in beslag genomen activa, maar de menselijke factor blijft de zwakste schakel. Het gaat hierom: als de partij die de regels handhaaft zelf de basisprincipes van opsec (operational security) niet begrijpt, hoe veilig is de burger dan?

De cijfers liegen niet. Sinds de publicatie is het vertrouwen in de digitale opslagmethoden van de NTS tot een dieptepunt gezakt. Lokale media in Seoul eisen inmiddels het aftreden van de verantwoordelijke IT-directeur.

De Zuid-Koreaanse overheid heeft nog geen officiële verklaring gegeven over hoe ze de verloren fondsen denken te compenseren of hoe ze dergelijke fouten in de toekomst gaan voorkomen. Voorlopig is het een les die de boeken ingaat als een van de meest amateuristische fouten in de geschiedenis van staatscrypto.