$4,8 Juta Kripto Dicuri Usai Otoritas Pajak Korea Selatan Bocorkan Seed Wallet
Kelalaian serius terjadi setelah otoritas pajak Korea Selatan secara tidak sengaja mempublikasikan frasa pemulihan (seed phrase) dari sebuah dompet kripto yang disita. Insiden tersebut berujung pada pencurian aset digital senilai sekitar 4,8 juta dolar AS.
Dana tersebut disimpan dalam perangkat hardware wallet Ledger yang disita dalam operasi penegakan hukum terhadap 124 wajib pajak bernilai tinggi yang diduga menghindari pajak. Dalam penggerebekan itu, aparat menyita aset kripto senilai 8,1 miliar won atau sekitar 5,6 juta dolar AS.
Foto Rilis Pers Ungkap Seed Phrase
Saat mengumumkan keberhasilan operasi, National Tax Service merilis foto perangkat Ledger yang digunakan untuk menyimpan aset sitaan. Namun, dalam gambar tersebut tampak catatan tulisan tangan berisi mnemonic recovery phrase—kunci utama yang memungkinkan pemulihan dan penguasaan penuh atas dompet kripto.
Informasi tersebut tidak disensor sebelum dipublikasikan. Siapa pun yang melihat frasa tersebut dapat mengimpor dompet ke perangkat lain dan mentransfer seluruh aset tanpa memerlukan perangkat fisik, PIN, atau izin tambahan.
Tak lama setelah rilis pers dipublikasikan, sekitar 4 juta token Pre-Retogeum (PRTG) yang bernilai kurang lebih 4,8 juta dolar AS saat itu dilaporkan dipindahkan dari dompet sitaan ke alamat baru.
Transaksi Dilakukan Secara Sistematis
Berdasarkan analisis data blockchain melalui Etherscan, pelaku terlebih dahulu mengirim sejumlah kecil Ethereum (ETH) ke dompet tersebut untuk membayar biaya transaksi (gas fee). Setelah itu, 4 juta token PRTG dipindahkan dalam tiga transaksi terpisah ke dompet milik pelaku.
Pakar analisis blockchain Cho Jae-woo, profesor di Hansung University, Seoul, menyamakan kesalahan tersebut dengan membiarkan dompet terbuka dan mengumumkannya kepada seluruh negara agar siapa pun bisa mengambil uang di dalamnya.
Ia menilai insiden itu mencerminkan kurangnya pemahaman dasar otoritas pajak mengenai pengelolaan aset virtual. Dampaknya, kas negara kehilangan aset yang sebelumnya telah berhasil disita.
Rilis Pers Dihapus, Nasib Dana Belum Jelas
Rilis pers tersebut kini telah dihapus dari situs resmi otoritas pajak. Hingga saat ini belum diketahui apakah investigasi formal telah dimulai untuk melacak keberadaan dana yang dicuri.
Kasus ini menjadi pengingat penting bagi pemilik hardware wallet bahwa seed phrase memberikan akses penuh terhadap dompet kripto tanpa perlindungan tambahan. Siapa pun yang mengetahui frasa tersebut dapat merekonstruksi dompet di perangkat mana pun.
Praktik keamanan yang direkomendasikan mencakup menghindari digitalisasi seed phrase, tidak menyimpannya dalam bentuk foto, catatan elektronik, email, penyimpanan cloud, maupun aplikasi pesan. Jika seed phrase terlanjur terekspos, seluruh dana sebaiknya segera dipindahkan ke dompet baru dengan frasa pemulihan yang berbeda.
