Direkt zum Hauptinhalt

Die 4,8 Mio. $ Pressemitteilung: Wie Südkoreas Finanzbehörde eine Seed Phrase veröffentlichte und durch einen illiquiden Token gerettet wurde

· 10 Min. Lesezeit
Dora Noda
Dora Noda
Software Engineer

Am 26. Februar 2026 feierte der südkoreanische National Tax Service (NTS) einen großen Erfolg bei der Strafverfolgung. Bei einer Razzia gegen 124 wohlhabende Steuerhinterzieher wurden digitale Vermögenswerte im Wert von rund 8,1 Milliarden Won (5,6 Millionen $) beschlagnahmt. Die Behörde veröffentlichte stolz eine Pressemitteilung, ergänzt durch hochauflösende Fotos der beschlagnahmten Ledger-Hardware-Wallets.

Es gab nur ein Problem. Eines dieser Fotos zeigte die handschriftliche Recovery-Phrase – völlig ungeschwärzt, pixelgenau und weltweit übertragen.

Innerhalb weniger Stunden wurden 4 Millionen Pre-Retogeum (PRTG) Token – mit einem Nennwert von 4,8 Millionen abgezogen.Etwa20Stundenspa¨terschicktederAngreifersiejedochzuru¨ck.NichtausReue,sondernweildasta¨glicheHandelsvolumendesTokensbei332– abgezogen. Etwa 20 Stunden später schickte der Angreifer sie jedoch zurück. Nicht aus Reue, sondern weil das tägliche Handelsvolumen des Tokens bei 332 lag und ein Verkauf mathematisch unmöglich war. Südkorea wurde durch genau die Illiquidität gerettet, die die Beschlagnahmung von vornherein wirtschaftlich bedeutungslos gemacht hatte.

Der Vorfall ist lustig, peinlich und aufschlussreich zugleich. Er ist aber auch eine Warnung. Da Regierungen zunehmend Milliarden in beschlagnahmten Kryptowährungen halten, war die Kluft zwischen dem Ehrgeiz der Strafverfolgung und der Kompetenz bei der Verwahrung noch nie so groß.

Die Anatomie eines 4,8 Millionen Dollar schweren PR-Desasters

Der NTS wollte einen anschaulichen Beweis für seine Schlagkraft bei der Strafverfolgung liefern. Anstatt die beschlagnahmten Ledger-Geräte zuzuschneiden oder unkenntlich zu machen, veröffentlichte das Personal Originalfotos direkt vom Einsatzort. Ein Bild hielt ein Stück Papier neben einem Ledger Nano fest – die Backup-Phrase, die die Zielperson offenbar handschriftlich notiert und direkt beim Gerät aufbewahrt hatte.

In der späteren Entschuldigung der Behörde wurde das Offensichtliche ausgesprochen: "In dem Bestreben, anschaulichere Informationen bereitzustellen, haben wir nicht bemerkt, dass sensible Informationen enthalten waren, und fahrlässig das Originalfoto zur Verfügung gestellt." Die Übersetzung: Niemand im Presseteam verstand, dass eine 12-Wort-Sequenz neben einem Ledger der Generalschlüssel ist und keine Dekoration.

Innerhalb weniger Stunden nach der Veröffentlichung rekonstruierte ein nicht identifizierter Angreifer die Wallet. Die On-Chain-Forensik zeigt einen klassischen Ablauf:

  1. Gas-Vorbereitung – Der Angreifer zahlte eine winzige Menge Ethereum auf die beschlagnahmte Wallet ein, um die Transaktionsgebühren zu decken.
  2. Extraktion – Er transferierte die 4 Millionen PRTG-Token in drei sorgfältig bemessenen Transaktionen an eine externe Adresse.
  3. Warten – Danach passierte nichts mehr.

Denn es gab nichts, was er mit der Beute anfangen konnte.

Warum die mangelnde Liquidität Korea rettete

PRTG oder Pre-Retogeum ist die Art von Token, von der die meisten Menschen noch nie gehört haben – und das aus gutem Grund. Er wird an genau einer zentralisierten Börse gehandelt – MEXC – und verzeichnet ein **24-Stunden-Volumen von etwa 332 .LautCoinGeckowu¨rdeeinVerkaufsauftragvonnur59**. Laut CoinGecko würde ein Verkaufsauftrag von nur 59 den Preis um 2 % einbrechen lassen.

Die Mathematik hinter dem Versuch, 4,8 Millionen $ gegen diese Liquidität in bar auszuzahlen, ist düster. Selbst wenn der Angreifer die Liquidation über Wochen gestreckt hätte, wäre folgendes passiert:

  • Offensichtliche Diebstahlmuster wären dem Compliance-Team von MEXC aufgefallen
  • Der Preis wäre um über 90 % eingebrochen, bevor ein nennenswertes Volumen abgewickelt worden wäre
  • Es hätte sofortige Aufmerksamkeit der südkoreanischen Behörden erregt, die bereits ermittelten

Etwa 20 Stunden nach dem ursprünglichen Transfer gab der Angreifer auf. Eine Adresse, die mit der Diebes-Wallet „86c12“ verknüpft ist, schickte alle 4 Millionen PRTG-Token an die ursprünglichen Adressen zurück. Die Pressemitteilung hatte den Generalschlüssel zu einem Tresor voller Spielgeld preisgegeben.

Wären die beschlagnahmten Token Bitcoin, Ether oder ein Tier-1-Stablecoin gewesen, wäre das Geld weg. Derselbe OpSec-Fehler bei USDT oder ETH hätte mit einem 10-minütigen Tornado-Cash-Mix und null wiederbringbaren Vermögenswerten geendet. Der schreckliche Markt von PRTG war der zufällige Airbag.

Dies ist nicht das erste Mal

Die südkoreanische Bilanz bei der Krypto-Verwahrung weist Risse auf, die über eine einzelne Pressemitteilung hinausgehen. Im Jahr 2021 verloren Polizeiermittler 22 BTC (nach heutigem Stand Millionen wert) aus einer Cold Wallet, die in einer Asservatenkammer aufbewahrt wurde. Die Ursache war dieselbe: falsch gehandhabte mnemonische Phrasen, keine Multi-Sig-Richtlinien und eine Verwahrungskette, die Krypto wie jeden anderen beschlagnahmten Gegenstand behandelte.

Zwei Vorfälle im Abstand von fünf Jahren in zwei verschiedenen Strafverfolgungsbehörden desselben Landes. Das Muster ist strukturell und nicht nur ein schlechter Tag für die Pressestelle des NTS.

Und Korea steht damit kaum allein da. Strafverfolgungsbehörden weltweit beschlagnahmen mittlerweile routinemäßig Hardware-Wallets bei Razzien – und fast keine von ihnen hat interne Standards veröffentlicht für:

  • Das Fotografieren von Beweismitteln, ohne Recovery-Material freizulegen
  • Den Transfer beschlagnahmter Gelder auf regierungskontrollierte Multi-Sig-Wallets
  • Die Rotation der Verwahrung von der ursprünglichen Hardware auf neue Keys
  • Rollenbasierte Zugriffe zwischen Forensik, Staatsanwaltschaft und Finanzministerium

Die meisten Behörden behandeln einen Ledger wie ein Smartphone. Er wird eingetütet, etikettiert und abgelegt. Das Ergebnis ist ein wachsendes systemisches Risiko, da die nationalen Kryptobestände in die Milliarden gehen.

Die Kluft zwischen Strafverfolgung und Verwahrungskompetenz

Vergleichen Sie den NTS-Vorfall mit der Beschlagnahmung von **15 Milliarden inBitcoindurchdasUSJustizministeriumimNovember2025rund127.271BTCdiemitderPigButcheringOperationderPrinceGroupinVerbindungstanden.DieserFang,dergro¨ßteVerfallinderGeschichtedesDOJ,wurdemitChainalysisgestu¨tzterRu¨ckverfolgung,koordinierteninternationalenHaftbefehlenundsofortigemTransferindievomFinanzministeriumkontrollierteVerwahrungdurchgefu¨hrt.ChainalysisalleinhatHundertevonstaatlichenBeschlagnahmungenunterstu¨tztunddabeigeholfen,u¨bereinJahrzehnthinwegscha¨tzungsweise12,6Milliardenin Bitcoin** durch das US-Justizministerium im November 2025 – rund 127.271 BTC – die mit der „Pig-Butchering“-Operation der Prince Group in Verbindung standen. Dieser Fang, der größte Verfall in der Geschichte des DOJ, wurde mit Chainalysis-gestützter Rückverfolgung, koordinierten internationalen Haftbefehlen und sofortigem Transfer in die vom Finanzministerium kontrollierte Verwahrung durchgeführt. Chainalysis allein hat Hunderte von staatlichen Beschlagnahmungen unterstützt und dabei geholfen, über ein Jahrzehnt hinweg schätzungsweise 12,6 Milliarden an illegalen Kryptogeldern zu sichern.

Die US-Regierung hält nun etwa 198.012 BTC im Rahmen ihres Strategic Bitcoin Reserve Frameworks – rund 18,3 Milliarden $ zu aktuellen Preisen. El Salvador hält .7500 BTC durch Direktkäufe. Bhutan hat durch staatliches Mining ca. 6.000 BTC angehäuft. Regierungen weltweit halten mittlerweile mehr als 2,3 % aller Bitcoins.

Die operative Kluft zwischen den hochentwickelten Tools des DOJ und den ungeschwärzten JPEGs des NTS ist kein Unterschied in der Raffinesse – es ist der Unterschied, ob bereits jemand Standard-Betriebsverfahren (SOPs) niedergeschrieben hat oder nicht. Viele Behörden behandeln die Krypto-Verwahrung immer noch wie eine Improvisationsübung.

Diese Kluft wird existenziell, wenn die staatlichen Bestände wachsen. Ein einziger OpSec-Fehler in der Größenordnung des DOJ – ein ungeschwärzter Transaktions-Hash, eine offengelegte Cold-Storage-Adresse, ein schlecht rotierter Unterzeichner – könnte Milliarden statt Millionen kosten. Und Bitcoin hat kein Sicherheitsnetz durch mangelnde Liquidität.

Wie professionelle Verwahrung tatsächlich aussieht

Die Branche für institutionelle Verwahrung hat die Fragen, über die der NTS gestolpert ist, bereits beantwortet. Moderne Verwahrungs-Stacks für Staaten und Unternehmen setzen auf:

  • Multi-Sig mit MPC — Ein 3-aus-5-Schwellenwert, bei dem jeder Key-Share selbst durch Multi-Party Computation geschützt ist. Kein einzelner Unterzeichner, kein Gerät und kein kompromittierter Mitarbeiter kann Gelder bewegen. Der vollständige private Schlüssel existiert niemals an einem einzigen Ort.
  • Air-Gapped Cold Storage — Beschlagnahmte Vermögenswerte werden sofort auf Wallets übertragen, deren private Schlüssel niemals Kontakt zu einem mit dem Internet verbundenen Gerät hatten. Die ursprüngliche Hardware wird zum Beweismittel, nicht zu einem aktiven Hot-Signer.
  • Rollentrennung — Die Forensik übernimmt die Verwahrung, die Staatsanwaltschaft den Papierkram und eine designierte Treasury-Funktion unterzeichnet Transaktionen. Keine Rolle besitzt gleichzeitig die Schlüssel und die Entscheidungsgewalt über die Darstellung.
  • Beweissichere Dokumentation — Fotos von beschlagnahmten Geräten werden bereits an der Kamera unkenntlich gemacht, nicht erst bei der redaktionellen Prüfung. Standardvorgehensweisen gehen davon aus, dass jedes Bild mit einer Wallet irgendwann geleakt wird.

Nichts davon ist exotisch. Unternehmen wie Anchorage, BitGo, Fireblocks und eine wachsende Liste von MPC-basierten Verwahrern bieten schlüsselfertige Lösungen auf Regierungsniveau an. Die Technologie ist nicht der Flaschenhals. Die institutionelle Disziplin ist es.

Die Lehren, die diese Schlagzeile überdauern werden

Der NTS-Vorfall ist amüsant, weil er gut ausgegangen ist. Aber er enthält vier Lehren, die Regulierungsbehörden, Strafverfolgungsbehörden und krypto-native Institutionen jetzt verinnerlichen sollten, solange es noch um Millionen und nicht um zig Milliarden geht.

1. Standardvorgehensweisen müssen davon ausgehen, dass fotografische Beweismittel geleakt werden. Jedes Bild einer Razzia, das eine Hardware-Wallet enthält, sollte standardmäßig unkenntlich gemacht oder ausgeschlossen werden. Kommunikationsteams sollten nicht die letzte Verteidigungslinie für kryptografische Geheimnisse sein.

2. Beschlagnahmte Kryptowährungen müssen sofort rotiert werden. Sobald Vermögenswerte sichergestellt sind, sollten sie auf eine staatlich kontrollierte Multi-Sig-Wallet mit frischen Schlüsseln übertragen werden. Die ursprüngliche Hardware wird zum Beweismittel — sie sollte niemals ein aktives Verwahrungsgerät bleiben, sobald die Razzia aktenkundig ist.

3. Illiquidität ist keine Sicherheitsstrategie. Korea hatte Glück, weil PRTG nicht abgestoßen werden konnte. Die nächste geleakte Seed-Phrase wird eine Wallet voller ETH, USDC oder SOL offenlegen, und keine noch so große Markttiefe wird diese Gelder zurückholen können.

4. Schulungen zur Krypto-Strafverfolgung benötigen die gleiche Strenge wie Schulungen zum Umgang mit Beweismitteln. Beamte, die ein beschlagnahmtes Fahrzeug fotografieren, geben nicht versehentlich die Fahrgestellnummer und die Zulassungsschlüssel an die Öffentlichkeit weiter. Die entsprechende Disziplin für Hardware-Wallets existiert in den meisten Behörden noch nicht.

Infrastruktur für die Post-Amateur-Ära

Da Regierungen dazu übergehen, Kryptowährungen nicht mehr nur zu beschlagnahmen, sondern als staatliche Reserven zu halten, muss das gesamte Ökosystem — nicht nur die Strafverfolgungsbehörden — ein höheres Niveau erreichen. Finanzbehörden, Gerichtssysteme und Staatskassen benötigen Infrastruktur auf institutionellem Niveau: zuverlässigen Multi-Chain-Datenzugriff zur Überwachung beschlagnahmter Adressen, hochverfügbare Node-Dienste für die Übermittlung von Transaktionen und revisionssichere APIs, die belastbare Chain-of-Custody-Protokolle erstellen.

BlockEden.xyz bietet Blockchain-API-Infrastruktur auf Enterprise-Niveau für über 27 Chains an, die speziell für die Compliance- und Zuverlässigkeitsanforderungen der institutionellen Verwahrung entwickelt wurde. Erkunden Sie unseren API-Marktplatz, wenn Sie Tools entwickeln, die seriösen Verwahrern helfen, nicht zur nächsten mahnenden Schlagzeile zu werden.

Der nächste Vorfall wird schlimmer sein

Der Seed-Phrase-Leak des NTS wird als der amüsante Vorfall in Erinnerung bleiben — der Vorfall, bei dem ein Token, von dem noch niemand gehört hatte, eine Regierung vor ihrem eigenen PR-Team schützte. Der nächste wird diesen Luxus nicht haben.

Während staatliche Bitcoin-Reserven wachsen, tokenisierte Vermögenswerte auf öffentliche Chains migrieren und Beschlagnahmungen durch Strafverfolgungsbehörden eher zu Routineposten als zu karrierebestimmenden Einsätzen werden, wird das kumulative Risiko eines einzigen OpSec-Fehlers enorm. Jeder Fotograf, jeder Praktikant, jeder gutmeinende Pressebeauftragte ist nun ein potenzieller Vektor für einen Abfluss in neunstelliger Höhe.

Die Ironie ist, dass die Kryptografie nicht das Problem ist. Ledger hat seinen Job gemacht. Ethereum hat seinen Job gemacht. Die Blockchain hat den Transfer von 4 Millionen Token an einen Unbekannten getreu ausgeführt, genau wie vom Unterzeichner angewiesen. Das Versagen war rein menschlich — ein Presseteam, das eine 12-Wörter-Phrase als fotografische Dekoration behandelte.

Krypto braucht keine besseren Wallets. Es braucht bessere Gewohnheiten. Und im Jahr 2026, in dem Regierungen 2,3 % aller Bitcoins und Milliarden in anderen digitalen Vermögenswerten halten, schließt sich das Zeitfenster, diese Gewohnheiten in aller Öffentlichkeit zu erlernen, rapide.

Quellen:

Share on Twitter