Direkt zum Hauptinhalt

Südkoreas 4,8-Mio.-Dollar-OpSec-Katastrophe: Wie der nationale Steuerdienst seine eigene Seed-Phrase fotografierte und innerhalb von 48 Stunden zweimal ausgeraubt wurde

· 12 Min. Lesezeit
Dora Noda
Dora Noda
Software Engineer

Stellen Sie sich vor, Sie stürmen die Wohnung eines Steuerhinterziehers, beschlagnahmen vier Hardware-Wallets und veröffentlichen dann eine triumphale Pressemitteilung mit einem Foto der sichergestellten Beweise — auf dem die Seed-Phrase der Wallet deutlich zu erkennen ist. Stellen Sie sich nun vor, ein Dieb leert die Wallet innerhalb weniger Stunden, gibt die Token als Warnung zurück, und ein zweiter Dieb stiehlt sie erneut, bevor Ihre Behörde reagieren kann.

Dies ist kein Gedankenexperiment von Krypto-Twitter. Genau das ist dem National Tax Service (NTS) in Südkorea Ende Februar 2026 passiert — ein Patzer, der die Regierung rund 4,8 Millionen Dollar an beschlagnahmten Pre-Retogeum (PRTG)-Token kostete und zeigt, wie unvorbereitet die meisten staatlichen Stellen auf die Verwahrung digitaler Vermögenswerte sind, die sie zunehmend konfiszieren.

Das Foto, das 4,8 Millionen Dollar kostete

Die Abfolge der Ereignisse ist fast schon komisch schlecht. Am 26. Februar 2026 durchsuchten NTS-Agenten das Haus eines Steuerzahlers, der unbezahlte Kapitalertragsteuern schuldete. Laut CoinDesk beschlagnahmten die Agenten mindestens vier Hardware-Wallets und einen nicht genannten Betrag an Bargeld. Bis dahin entsprach alles dem Standardverfahren.

Dann kam die Pressemitteilung. Um die Operation öffentlich zu machen, inszenierte der NTS ein Foto der sichergestellten Gegenstände — Ledger Hardware-Wallets, die neben den Backup-Papierkarten mit ihren mnemonischen Wiederherstellungsphrasen angeordnet waren. Das Bild wurde auf den offiziellen Kanälen unzensiert veröffentlicht. Die 12- oder 24-Wort-Mnemotechnik war für jeden mit einem Screenshot-Tool und etwas Geduld lesbar.

Innerhalb weniger Stunden hatte ein Beobachter laut The Block die Seed-Phrase rekonstruiert, die Wallet importiert und mit der Leerung begonnen. Der Angreifer schickte zuerst einen winzigen Betrag an ETH, um die Gas-Gebühren zu decken, und leitete dann 4 Millionen PRTG-Token — damals etwa 4,8 Millionen Dollar wert — in drei Transaktionen an eine neue Adresse weiter.

Wie der Blockchain-Analyst Cho Jae-woo gegenüber der koreanischen Presse erklärte, entsprach der Vorfall dem Umstand, "eine Brieftasche offen liegen zu lassen und dies der gesamten Nation anzukündigen".

Der doppelte Diebstahl, der alles noch schlimmer machte

Die Geschichte endete nicht mit dem ersten Dieb. Es wurde noch seltsamer.

Am 28. Februar kontaktierte der erste Angreifer Berichten zufolge die koreanische Polizei, behauptete, er habe als White Hat gehandelt, und gab das gesamte Guthaben von 4 Millionen PRTG an die ursprüngliche, vom NTS kontrollierte Wallet zurück. Ein gewissenhafter Bürgerdienst — außer, dass der NTS die Seed-Phrase nicht geändert, die exponierten Zugangsdaten nicht widerrufen oder die Wallet nicht verschoben hatte. Der Seed, der 48 Stunden zuvor durchgesickert war, war immer noch der aktive Schlüssel.

Zwei Stunden nach der Rückgabe räumte ein zweiter Angreifer — der offenbar dieselbe exponierte Mnemotechnik beobachtet hatte — die Wallet erneut leer und schob das gesamte Guthaben an eine Adresse, die von Blockchain-Explorern bereits wegen "Fake-Phishing"-Aktivitäten markiert worden war. Dieses Mal gab niemand etwas zurück.

Zwei Diebstähle. Dieselbe Wallet. Dieselbe Seed-Phrase. Verschiedene Angreifer. Weniger als 48 Stunden auseinander.

Die zweite Leerung beseitigte alle verbleibenden Unklarheiten darüber, was schiefgelaufen war: Der NTS hatte eine kompromittierte Wallet so behandelt, als wäre sie noch sicher, weil sein Verwahrungsprotokoll nicht vorsah, was zu tun ist, wenn eine Seed-Phrase öffentlich wird.

Warum dies ein Governance-Problem ist und nicht nur ein Schulungsproblem

Es wäre einfach, dies als peinlichen Fehler einer einzelnen Behörde abzutun — ein Anfängerfehler von Steueragenten, die noch nie eine Hardware-Wallet benutzt hatten. Aber diese Sichtweise übersieht das strukturelle Problem. Regierungen auf der ganzen Welt sitzen auf enormen und wachsenden Beständen an beschlagnahmten Kryptowährungen, und die meisten von ihnen handhaben diese mit der operativen Reife eines Hobbyisten.

Betrachten Sie die Präzedenzfälle:

  • Deutschland verkaufte im Juli 2024 50.000 BTC, die von der Piraterie-Website Movie2K beschlagnahmt wurden, zu einem Durchschnittspreis von 57.600 proCoinGesamterlo¨setwa2,88Milliardenpro Coin — Gesamterlös etwa 2,88 Milliarden. Bitcoin verdoppelte sich anschließend, was bedeutet, dass derselbe Bestand bis Ende des Jahres über 5,5 Milliarden $ wert gewesen wäre. Eine Governance-Entscheidung darüber, wann verkauft werden sollte, führte zu einem Buchverlust, der größer war als viele nationale Krypto-Beschlagnahmungen.
  • Der US Marshals Service konnte dem DOJ Generalinspekteur in einem Audit von 2025 nicht genau sagen, wie viel Krypto er hielt. Inzwischen hat er das Verwahrungsmandat aufgeteilt — Coinbase für Large-Cap-Assets der Klasse 1, CMDSS für die komplexeren Altcoins der Klassen 2–4.
  • Südkorea entwirft das Digital Asset Basic Act, um Unternehmen zu erlauben, bis zu 5 % des Eigenkapitals in die Top-20-Kryptowährungen zu investieren. Dieselbe Regierung kann einen beschlagnahmten Ledger nicht absichern.

Das Muster ist über alle Gerichtsbarkeiten hinweg konsistent: Die Durchsetzungsfähigkeit zur Beschlagnahmung von Krypto hat die institutionelle Fähigkeit zur Verwahrung, Bilanzierung und letztendlichen Verwertung überholt. Koreas Seed-Phrase-Foto ist das anschaulichste Beispiel, aber bei weitem nicht das teuerste.

Der Custody-Stack, den Regierungen bereits verwenden sollten

Nichts davon ist im Privatsektor ungelöst. Die institutionelle Verwahrung digitaler Assets ist eine ausgereifte Produktkategorie mit mehreren robusten Architekturen. Die Tatsache, dass der NTS beschlagnahmte Coins auf einer einfachen Hardware-Wallet aufbewahrte – mit einem Paper-Seed, den jeder in der Asservatenkammer sehen konnte – spiegelt die Entscheidung wider, Krypto wie Bargeld und nicht wie ein Inhaberinstrument zu behandeln, das kryptografische Verwahrung erfordert.

Der Mindest-Stack für von Regierungen gehaltene digitale Assets im Jahr 2026 sieht in etwa so aus:

  1. Multi-Party Computation (MPC) Wallets. Anbieter wie Fireblocks teilen einen privaten Schlüssel in Anteile (Shares) auf, die über mehrere Parteien und Hardware-Module verteilt sind. Kein einzelner Agent hält jemals den vollständigen Schlüssel ; kein einzelnes Foto kann ihn offenlegen. Ein Branchenvergleich von Ridgeway Financial Services erläutert die architektonischen Kompromisse zwischen DFNS, Fireblocks und Anchorage.
  2. Qualifizierte Verwahrer mit Banklizenz. Anchorage Digital besitzt die einzige föderale OCC-Banklizenz im Kryptobereich und bedient bereits BlackRock und PayPal. Für eine Steuerbehörde ist das richtige Modell wahrscheinlich die Beauftragung eines qualifizierten Verwahrers, anstatt die Verwahrung intern aufzubauen – so wie die meisten Regierungen ihr Papiergeld nicht selbst drucken.
  3. HSM-gestützte Cold Storage für langfristige Bestände. Hardware-Sicherheitsmodule, die FIPS 140-2 Level 3 entsprechen, bewahren Schlüssel in manipulationsgeschütztem Silizium auf. Schlüssel können zum Signieren verwendet werden, ohne jemals auf ein für Menschen sichtbares Medium exportiert zu werden.
  4. Software für Chain-of-Custody und Transferrichtlinien. Plattformen auf institutionellem Niveau erzwingen Multi-Signer-Genehmigungen, Auszahlungs-Allowlists und Audit-Logs. Ein Workflow nach der Beschlagnahmung – „Schlüssel rotieren und auf eine neue Verwahradresse übertragen“ – wäre ein obligatorischer erster Schritt, kein nachträglicher Einfall.
  5. Standard Operating Procedures für die öffentliche Kommunikation. Das teuerste Versagen war nicht kryptografischer Natur. Es war die Entscheidung eines Kommunikationsteams, ein ungeprüftes Foto zu veröffentlichen. Jedes reife Verwahrungsregime behandelt Seed-Phrasen als Verschlusssache, gleichzusetzen mit kryptografischen Schlüsseln, die die Regierungskommunikation schützen.

Der NTS hat sich rückwirkend zu all dem verpflichtet. Südkoreas stellvertretender Premierminister und Finanzminister Koo Yun-cheol bestätigte das Leck öffentlich und kündigte eine behördenübergreifende Untersuchung unter Beteiligung der Financial Services Commission und des Financial Supervisory Service an. Die Steuerbehörde gab an, sie werde eine externe Sicherheitsüberprüfung durchführen und ihr Handbuch für den gesamten Lebenszyklus von der Beschlagnahmung bis zum Verkauf umschreiben. Cointelegraph berichtet, dass der NTS aktiv prüft, die Verwahrung beschlagnahmter Kryptowährungen an private Spezialisten zu übergeben.

Das ist die richtige Richtung. Es hätte auch schon vor dem Foto die Richtlinie sein müssen, nicht erst danach.

Der unangenehme Präzedenzfall für regulierte Investoren

Hier gibt es eine Geschichte zweiter Ordnung, die wichtiger sein wird als der Verlust von 4,8 Millionen $ selbst.

Südkoreas Digital Asset Basic Act ist darauf ausgelegt, Unternehmensschatzämter und professionelle Investoren auf regulierte Schienen (Rails) zu bringen. Das Rahmenwerk basiert auf einer einfachen Prämisse : Der Staat ist ein kompetenter Verwalter digitaler Assets und kann die Verwaltung durch andere glaubwürdig beaufsichtigen. Jeder Nachrichtenzyklus, in dem eine Regierungsbehörde demonstriert, dass sie eine Seed-Phrase nicht von einem Pressefoto fernhalten kann, untergräbt diese Prämisse.

Man kann den Widerspruch deutlich erkennen, wenn man den Zeitplan betrachtet. Die FSC und die Bank of Korea haben Monate damit verbracht, darüber zu streiten, ob Stablecoin-Emittenten mehrheitlich im Besitz von Banken sein müssen. Die vorgeschlagene 5 % - Corporate-Allocation-Regel wird im Kontext davon diskutiert, welche Assets sich qualifizieren, welche Verwahrer zugelassen sind und welche Reservequoten gelten. Währenddessen liefert ein anderer Arm derselben Regierung Wallets an das Gericht, bei denen die Kombination außen auf dem Aktenkoffer steht.

Für die institutionellen Investoren, die der Digital Asset Basic Act anzuziehen versucht, ist das Signal klar : Regulierte On-Chain-Infrastrukturen kommen, aber die Regulatoren selbst müssen erst noch die Lektionen zur Selbstverwahrung (Self-Custody) des letzten Jahrzehnts verinnerlichen. Es wird Zeit brauchen, um diese Lücke zu schließen.

Operative Lektionen, die jeder Builder kopieren sollte

Für Protokoll-Teams, Custodial Exchanges und alle anderen, die eines Tages mit der Verwahrung durch Strafverfolgungsbehörden interagieren könnten – sei es zur Wiedererlangung gestohlener Gelder oder zur Reaktion auf eine rechtmäßige Beschlagnahmung –, ist der Vorfall in Korea eine Fallstudie, die man sich merken sollte.

  • Behandeln Sie jeden Schlüssel als potenziell kompromittiert, sobald er Ihre operative Grenze verlässt. Der zweite Verlust des NTS war völlig vermeidbar. Bei der Übernahme einer Hardware-Wallet besteht der richtige Schritt darin, das Guthaben sofort auf eine neu generierte, von der Behörde kontrollierte Adresse zu übertragen (Sweep). Die beschlagnahmte Wallet sollte nie wieder verwendet werden, unabhängig davon, ob ihr Seed offengelegt wurde oder nicht.
  • Gehen Sie davon aus, dass Seed-Phrasen geleakt werden, und planen Sie entsprechend. Passphrase-geschützte „versteckte“ Wallets (oft als 25. Wort bezeichnet) sind kostengünstig zu implementieren und machen eine isolierte Seed-Phrase nutzlos. Duress-Wallets gehen bei physischen Bedrohungsszenarien noch einen Schritt weiter.
  • Trennen Sie die Beweisfotografie von Schlüsselmaterial. Hardware-Wallets können ohne ihre Backup-Karten fotografiert werden. Backup-Karten können über Seriennummern oder Hash-Commitments protokolliert werden, ohne die zugrunde liegenden Wörter zu veröffentlichen. Standard-Beweis-Workflows tun dies bereits für Dinge wie eindeutige Kennzeichnungen auf Schusswaffen – Krypto verdient die gleiche Disziplin.
  • Protokollieren Sie alles in Multi-Party-Systemen. Multi-Sig- oder MPC-Architekturen erzwingen, dass mindestens zwei Personen an einer Auszahlung beteiligt sind, was die Verteidigung mit dem höchsten ROI sowohl gegen Insider-Fehler als auch gegen Single-Point-of-Failure-Fehler darstellt.

BlockEden.xyz betreibt Enterprise-Grade-RPC- und Indizierungs-Infrastruktur über mehr als 20 + Chains hinweg, einschließlich der On-Chain-Datenpipelines, die von Compliance- und Forensik-Teams verwendet werden. Wenn Sie Verwahrungs-, Überwachungs- oder Recovery-Tools für institutionelle oder staatliche Kunden entwickeln, erkunden Sie unseren API-Marktplatz für zuverlässige Multi-Chain-Daten, die Audits standhalten.

Was als Nächstes kommt

Südkoreas Steuerbehörde wird aus dieser Blamage mit einem besseren Leitfaden hervorgehen. Wahrscheinlich gilt das Gleiche für die Kollegen des NTS in anderen Gerichtsbarkeiten, die die Geschichte in Echtzeit verfolgt haben. Erwarten Sie im Laufe des nächsten Jahres diskrete Ausschreibungsankündigungen, wenn nationale Steuerbehörden, Polizeidienste und Staatsanwaltschaften qualifizierte Verwahrer und MPC-Plattformen einbinden, anstatt Hardware-Wallets selbst zu handhaben.

Die tiefere Geschichte ist jedoch, dass die Ära der Regierungen als passive Beobachter von Krypto endet. Sie werden zu aktiven Verwahrern, Auktionshäusern und — zunehmend — Regulierern genau der Infrastruktur, die ihre eigenen Behörden nutzen. Jeder öffentliche Fehler wie die Ledger-Fotografie verringert die Lücke zwischen der operativen Reife des öffentlichen Sektors und den Standards, an denen der Privatsektor seit 2013 arbeitet.

Der PRTG-Verlust in Höhe von 4,8 Millionen US-Dollar wird nicht das letzte Beispiel sein. Er wird, mit etwas Glück, eines der lehrreichsten sein.

Quellen

Share on Twitter