Aparat Pamer Barang Sitaan, Kripto Rp 81 Miliar Ludes Disedot

Otoritas pajak Korea Selatan, National Tax Service (NTS), secara tak sengaja membocorkan kata sandi dompet kripto (crypto wallet) sitaan bernilai jutaan dollar AS ke publik pada akhir pekan lalu.

Akibat keteledoran tersebut, aset kripto senilai 4,8 juta dollar AS (sekitar Rp 81 miliar) milik seorang pengemplang pajak ludes digondol hacker tak dikenal.

Insiden ini disebut-sebut sebagai salah satu blunder penyimpanan aset kripto paling fatal dan memalukan yang pernah terjadi di lembaga pemerintah di negara tersebut.

Kejadian ini bermula ketika NTS mendistribusikan siaran pers resmi yang mengumumkan keberhasilan mereka menyita aset dari 124 pengemplang pajak kelas kakap.

Untuk memamerkan hasil sitaan tersebut, NTS melampirkan sejumlah foto barang bukti beresolusi tinggi. Salah satu foto menampilkan perangkat cold wallet (dompet fisik kripto) berlabel Ledger milik seorang tersangka yang diidentifikasi sebagai "Tuan C".

Nahasnya, tepat di sebelah dompet fisik tersebut, terdapat secarik kertas bertuliskan deretan frasa pemulihan (mnemonic seed phrase). Pihak NTS rupanya lupa menyensor atau memburamkan tulisan tersebut sebelum menyebarkannya ke berbagai media.

Sebagai informasi, seed phrase adalah deretan kata sandi yang berfungsi sebagai "kunci master". Siapa pun yang memiliki frasa ini bisa mengakses dan menguras seluruh isi dompet kripto dari jarak jauh, terlepas dari di mana perangkat cold wallet fisik itu disimpan.

Kertas yang berisi mnemonic seed phrase (frasa pemulihan), kunci utama untuk pencairan aset kritp, ditampilkan tanpa sensor.

Dihimpun KompasTekno dari Ars Technica, foto tak bersensor tersebut langsung menjadi incaran empuk bagi pihak tak bertanggung jawab.

Hanya dalam hitungan jam setelah siaran pers tayang, seorang individu anonim menggunakan seed phrase yang bocor itu untuk mengambil alih dompet.

Pelaku awalnya mengirimkan sedikit koin Ethereum (ETH) ke dompet tersebut untuk membayar biaya transaksi jaringan (gas fee). Setelah itu, ia langsung mengeksekusi tiga kali pemindahan untuk menyedot sekitar 4 juta token Pre-Retogeum (PRTG) ke dompet pribadinya.

Riwayat transaksi dompet yang diduga diretas tercatat di Etherscan. Peretas pertama-tama menyetor Ethereum untuk menutupi biaya transaksi, kemudian mencuri 4 juta token PRTG hanya dalam tiga kali transfer.

Langkah penyelidikan

Profesor dari Departemen Keamanan Informasi Soonchunhyang University, Yeom Heung-yeol, melontarkan kritik tajam atas insiden ini.

Ia menilai pihak otoritas sama sekali tidak memiliki pemahaman dasar terkait aset virtual, mengingat mereka tidak melakukan tindakan pencegahan wajib seperti memindahkan dana sitaan ke dompet aman milik pemerintah terlebih dahulu.

Menyusul kejadian ini, pihak NTS dilaporkan telah meminta maaf secara publik dan berjanji akan merombak total prosedur operasi standar (SOP) mereka terkait penyitaan dan penyimpanan aset digital.

Saat ini, NTS telah menggandeng Badan Kepolisian Nasional Korea Selatan untuk melacak jejak peretas melalui aliran dana di dalam blockchain.

Meski demikian, mengingat sifat transaksi mata uang kripto yang tidak memiliki otoritas terpusat, upaya pemulihan dana miliaran rupiah tersebut diprediksi akan memakan waktu dan sangat sulit dilakukan.

KOMPAS.com berkomitmen memberikan fakta jernih, tepercaya, dan berimbang. Dukung keberlanjutan jurnalisme jernih dan nikmati kenyamanan baca tanpa iklan melalui Membership. Gabung KOMPAS.com Plus sekarang