Перейти к основному контенту

Пресс-релиз на $4,8 млн: Как налоговая служба Южной Кореи допустила утечку сид-фразы и была спасена неликвидным токеном

· 11 мин чтения
Dora Noda
Dora Noda
Software Engineer

26 февраля 2026 года Национальная налоговая служба (NTS) Южной Кореи праздновала крупную победу в сфере правоприменения. Она провела обыски у 124 крупных неплательщиков налогов, конфисковав цифровые активы на сумму около 8,1 млрд вон (5,6 млн долларов). Ведомство с гордостью опубликовало пресс-релиз, сопроводив его фотографиями высокого разрешения конфискованных аппаратных кошельков Ledger.

Была лишь одна проблема. На одной из этих фотографий была запечатлена рукописная фраза восстановления — без какой-либо ретуши, в идеальном качестве и транслируемая на весь мир.

В течение нескольких часов 4 миллиона токенов Pre-Retogeum (PRTG) — номинальной стоимостью 4,8 млн долларов — были выведены. Затем, примерно через 20 часов, злоумышленник вернул их. Не из-за угрызений совести, а потому что ежедневный объем торгов токена составлял 332 доллара, и продать его было математически невозможно. Южную Корею выручила та самая неликвидность, которая изначально делала конфискацию экономически бессмысленной.

Этот инцидент одновременно забавный, постыдный и поучительный. А также это предупреждение. Поскольку правительства все чаще хранят миллиарды в конфискованной криптовалюте, разрыв между амбициями правоохранительных органов и компетентностью в вопросах хранения никогда не был таким огромным.

Анатомия PR-катастрофы на 4,8 млн долларов

NTS хотела наглядных доказательств своей эффективности. Вместо того чтобы обрезать или заблюрить устройства Ledger, сотрудники опубликовали оригинальные фото прямо с места обыска. На одном снимке был запечатлен листок бумаги рядом с Ledger Nano — фраза восстановления, которую владелец, судя по всему, записал от руки и хранил вместе с устройством.

Позже ведомство принесло извинения, признав очевидное: "В стремлении предоставить более наглядную информацию мы не осознали, что была включена конфиденциальная информация, и по неосторожности предоставили оригинальное фото". Перевод: никто в пресс-службе не понимал, что 12-словная последовательность рядом с Ledger — это мастер-ключ, а не украшение.

Спустя несколько часов после публикации неизвестный злоумышленник восстановил кошелек. Ончейн-анализ показывает классическую последовательность действий:

  1. Подготовка газа — злоумышленник перевел небольшое количество Ethereum на конфискованный кошелек для оплаты комиссий за транзакции.
  2. Вывод — они перевели 4 миллиона токенов PRTG тремя транзакциями на внешний адрес.
  3. Ожидание — затем ничего не произошло.

Потому что с этой добычей ничего нельзя было сделать.

Почему неликвидность спасла Корею

PRTG, или Pre-Retogeum — это токен, о котором большинство людей никогда не слышало, и на то есть веская причина. Он торгуется ровно на одной централизованной бирже — MEXC — и его суточный объем торгов составляет примерно 332 доллара. Согласно CoinGecko, ордер на продажу всего на 59 долларов обрушил бы цену на 2 %.

Математика попытки обналичить 4,8 млн долларов при такой ликвидности выглядит мрачно. Даже если бы ликвидация растянулась на недели, злоумышленник:

  • Продемонстрировал бы очевидные паттерны кражи команде комплаенса MEXC.
  • Обрушил бы цену более чем на 90 % до того, как был бы реализован значимый объем.
  • Сразу привлек бы внимание властей Южной Кореи, которые уже вели расследование.

Примерно через 20 часов после первоначального перевода злоумышленник сдался. Адрес, связанный с кошельком вора «86c12», отправил все 4 миллиона токенов PRTG обратно на исходные адреса. Пресс-релиз раскрыл мастер-ключ от хранилища, полного «игрушечных денег».

Если бы конфискованными токенами были Bitcoin, Ether или стейблкоин уровня Tier-1, средства бы исчезли. Такой же провал в операционной безопасности (OpSec) с USDT или ETH закончился бы 10-минутным микшированием через Tornado Cash и отсутствием каких-либо возвратных активов. Ужасный рынок PRTG стал случайной подушкой безопасности.

Это не первый случай

В истории хранения криптовалют в Корее есть трещины, выходящие за рамки одного пресс-релиза. В 2021 году следователи полиции потеряли 22 BTC (стоимостью в миллионы по текущим ценам) из холодного кошелька, хранившегося в камере хранения вещдоков. Первопричина была та же: неправильное обращение с мнемоническими фразами, отсутствие политики мультисига (multi-sig) и цепочка хранения, в которой к крипте относились как к любому другому изъятому объекту.

Два инцидента с разницей в пять лет в двух разных правоохранительных ведомствах одной страны. Это системная проблема, а не просто неудачный день для пресс-службы NTS.

И Корея в этом не одинока. Правоохранительные органы по всему миру регулярно изымают аппаратные кошельки во время обысков — и почти ни у кого из них нет опубликованных внутренних стандартов для:

  • Фотографирования улик без раскрытия данных для восстановления.
  • Перевода конфискованных средств на контролируемые государством мультисиг-кошельки.
  • Ротации хранения с оригинального оборудования на новые ключи.
  • Ролевого доступа между криминалистами, прокурорами и казначейством.

Большинство агентств относятся к Ledger как к смартфону. Они упаковывают его в пакет, вешают бирку и подшивают к делу. Результатом является растущий системный риск по мере того, как объемы государственных криптовалютных запасов исчисляются миллиардами.

Разрыв между правоприменением и компетентностью в вопросах хранения

Сравните инцидент с NTS и конфискацию Министерством юстиции США (DOJ) в ноябре 2025 года Bitcoin на сумму 15 миллиардов долларов — примерно 127 271 BTC, — связанных с операцией Prince Group по «забою свиней» (pig-butchering). Этот захват, крупнейший в истории Министерства юстиции, был осуществлен с использованием инструментов отслеживания Chainalysis, скоординированных международных ордеров и немедленного перевода на счета Казначейства, находящиеся под его контролем. Только компания Chainalysis за десятилетие помогла в сотнях государственных конфискаций, обеспечив сохранность незаконной крипты на сумму около 12,6 млрд долларов.

Правительство США сейчас удерживает около 198 012 BTC в рамках своей структуры стратегического резерва Bitcoin — примерно 18,3 млрд долларов по текущим ценам. Сальвадор владеет 7500 BTC, приобретенными напрямую. Бутан накопил около 6000 BTC за счет государственного майнинга. В совокупности правительства по всему миру сейчас владеют более чем 2,3 % всех биткоинов.

Операционный разрыв между сложными инструментами Министерства юстиции США и неразмытыми JPEG-файлами NTS — это не разница в уровне развития, а разница в том, разработал ли кто-то уже стандартные операционные процедуры. Многие ведомства до сих пор относятся к хранению криптовалюты как к упражнению в импровизации.

Этот разрыв становится критическим по мере роста суверенных запасов. Один провал в OpSec на уровне Минюста США — нескрытый хеш транзакции, раскрытый адрес холодного хранилища, плохая ротация подписантов — может привести к потере миллиардов, а не миллионов. А у биткоина нет «подушки безопасности» в виде неликвидности.

Как на самом деле выглядит профессиональное хранение

Индустрия институционального хранения уже нашла ответы на вопросы, которые завели NTS в тупик. Современные стеки хранения для государственных и корпоративных нужд полагаются на:

  • Мультиподпись с MPC — пороговая схема 3-из-5, где каждая доля ключа сама по себе защищена многосторонними вычислениями (MPC). Ни один подписант, устройство или скомпрометированный сотрудник не может переместить средства. Полный приватный ключ никогда не существует в одном месте.
  • Автономное «холодное» хранение (Air-gapped) — изъятые активы немедленно переводятся на кошельки, чьи приватные ключи никогда не касались устройства, подключенного к интернету. Оригинальное оборудование становится уликой, а не активным инструментом подписи.
  • Разделение ролей — технические специалисты занимаются хранением, прокуроры — документами, а назначенная казначейская служба подписывает транзакции. Ни одна роль не контролирует одновременно и ключи, и отчетность.
  • Документация, защищенная от утечки улик — фотографии изъятых устройств редактируются прямо в камере, а не на этапе редакционной проверки. Стандартные операционные процедуры подразумевают, что любое изображение с кошельком в конечном итоге может попасть в сеть.

Ничто из этого не является экзотикой. Компании вроде Anchorage, BitGo, Fireblocks и растущий список кастодианов на базе MPC предлагают готовые решения государственного уровня. Технология не является узким местом. Проблема в институциональной дисциплине.

Уроки, которые переживут этот заголовок

Инцидент с NTS выглядит забавным, потому что он закончился благополучно. Но он содержит четыре урока, которые регуляторы, правоохранительные органы и крипто-институты должны усвоить сейчас, пока ставки все еще измеряются миллионами, а не десятками миллиардов.

1. Стандартные операционные процедуры должны предполагать утечку фотоулик. Любое изображение рейда, содержащее аппаратный кошелек, должно быть отредактировано или исключено по умолчанию. PR-отделы не должны быть последней линией защиты криптографических секретов.

2. Изъятую криптовалюту необходимо немедленно ротировать. Как только активы восстановлены, их следует перевести на контролируемый правительством кошелек с мультиподписью и новыми ключами. Оригинальное оборудование становится уликой — оно никогда не должно оставаться активным устройством хранения после того, как факт рейда зафиксирован.

3. Неликвидность — это не стратегия безопасности. Корее повезло, потому что токены PRTG было невозможно быстро продать. Следующая утечка сид-фразы раскроет кошелек, полный ETH, USDC или SOL, и никакая глубина рынка не поможет вернуть эти средства.

4. Обучение сотрудников правоохранительных органов в сфере криптографии требует такой же строгости, как и обучение работе с вещдоками. Офицеры, фотографирующие изъятый автомобиль, случайно не публикуют VIN и ключи регистрации для широкой публики. Аналогичной дисциплины в отношении аппаратных кошельков в большинстве агентств пока не существует.

Инфраструктура для эпохи «после дилетантов»

По мере того как правительства переходят от изъятия криптовалюты к ее хранению в качестве суверенных резервов, вся экосистема — а не только правоохранительные органы — должна выйти на новый уровень. Налоговым органам, судебным системам и национальным казначействам требуется инфраструктура институционального уровня: надежный мультичейн-доступ к данным для мониторинга изъятых адресов, высокодоступные сервисы нод для отправки транзакций и API аудиторского класса, которые создают неоспоримые записи о цепочке владения (chain-of-custody).

BlockEden.xyz предоставляет инфраструктуру блокчейн-API корпоративного уровня для более чем 27 сетей, созданную специально для требований комплаенса и надежности институционального хранения. Изучите наш маркетплейс API, если вы создаете инструменты, которые помогают серьезным кастодианам не стать героями следующего громкого заголовка.

Следующий раз будет хуже

Утечка сид-фразы NTS запомнится как курьезный случай — инцидент, когда токен, о котором никто не слышал, защитил правительство от его собственной PR-команды. В следующий раз такой удачи не будет.

По мере роста суверенных запасов биткоина, миграции токенизированных активов в публичные чейны и превращения конфискаций в рутинные операции, риски от одной ошибки в операционной безопасности (OpSec) становятся колоссальными. Каждый фотограф, каждый стажер, каждый благонамеренный пресс-секретарь теперь является потенциальным вектором для кражи девятизначных сумм.

Ирония заключается в том, что проблема не в криптографии. Ledger справился со своей задачей. Ethereum справился со своей задачей. Блокчейн добросовестно выполнил перевод 4 миллионов токенов незнакомцу, именно так, как указал подписант. Провал был полностью человеческим — пресс-служба отнеслась к фразе из 12 слов как к элементу фотодекора.

Криптовалюте не нужны лучшие кошельки. Ей нужны лучшие привычки. И в 2026 году, когда правительства будут владеть 2,3 % всех биткоинов и миллиардами в других цифровых активах, окно для освоения этих привычек на глазах у публики стремительно закрывается.

Источники:

Share on Twitter