Операции государственных органов с криптовалютами всё чаще становятся частью рутинной правоприменительной практики. Однако недавний инцидент в Национальной налоговой службе Южной Кореи (National Tax Service, NTS) показал, что при работе с виртуальными активами одна ошибка информационной безопасности способна обнулить месяцы оперативной работы и привести к многомиллионным потерям.
Как утечка seed-фразы привела к краже криптовалюты на $4,8 млн
NTS отчиталась о масштабной операции против 124 крупных неплательщиков налогов, в ходе которой было изъято имущество на сумму около 8,1 млрд вон (порядка 5,6 млн долларов США). В перечень активов вошли наличные, предметы роскоши и криптовалюта, хранившаяся на аппаратном кошельке Ledger.
Для иллюстрации результатов рейдов ведомство опубликовало пресс-релиз с фотографиями конфискованного имущества. На одном из снимков оказался не только сам аппаратный кошелек Ledger, но и лежащая рядом рукописная заметка с seed-фразой — набором слов, который является мастер-ключом ко всем средствам на данном кошельке.
Фактически налоговая служба выложила в публичный доступ полный доступ к конфискованным виртуальным активам. Уже через несколько часов после публикации неизвестный злоумышленник вывел с этого кошелька 4 млн токенов Pre-Retogeum (PRTG), оценивавшихся примерно в 4,8 млн долларов США на момент кражи.
Сценарий атаки: от оплаты комиссий до вывода токенов
Согласно сообщениям корейских СМИ, анализ транзакций показал, что атакующий действовал последовательно и понимал технические детали работы блокчейна. Сначала на адрес конфискованного кошелька был переведен небольшой объем Ethereum — исключительно для оплаты gas fee, то есть транзакционных комиссий.
После этого злоумышленник осуществил три отдельных транзакции по выводу токенов PRTG на контролируемый им адрес. Подобная схема характерна для тех, кто знаком с механизмами работы блокчейн-сетей и стремится минимизировать риски блокировки отдельных операций.
Почему публикация seed-фразы опаснее утечки пароля
В отличие от обычного пароля, seed-фраза (мнемоническая фраза) — это корневой ключ, из которого детерминированно генерируются все приватные ключи и адреса кошелька. Обладая этой фразой, любой человек может:
— полностью восстановить кошелек на другом устройстве;
— получить полный контроль над всеми хранящимися на нем активами;
— совершать необратимые транзакции без возможности отмены или отзыва средств.
По сути, публикация seed-фразы эквивалентна передаче физического сейфа вместе с ключом и публичным объявлением его местоположения. Не случайно блокчейн-аналитик и профессор Сеульского университета Хансон Чо Чже У сравнил действия налоговой службы с тем, как если бы кошелек с наличными оставили открытым и публично заявили, что деньги можно забрать.
Организационные сбои и дефицит компетенций в работе с виртуальными активами
Инцидент демонстрирует не столько техническую уязвимость, сколько организационный провал и нехватку базовых знаний о виртуальных активах в государственном секторе. Ключевые проблемы в данном случае:
1. Отсутствие процедур по защите чувствительных данных. Seed-фразы, приватные ключи и PIN-коды должны рассматриваться как данные повышенного уровня конфиденциальности и никогда не попадать на фото- и видеоматериалы.
2. Недостаток обучения сотрудников. Чиновники, взаимодействующие с криптоактивами, должны понимать принципы работы аппаратных кошельков, блокчейна и механизмов восстановления доступа, иначе даже добросовестные действия могут привести к фатальным ошибкам.
3. Недооценка скорости реакции атакующих. Для злоумышленников мониторинг публичных источников — пресс-релизов, соцсетей, фотоотчетов — давно стал стандартной практикой. В условиях открытых блокчейн-сетей время между утечкой и кражей часто измеряется минутами и часами.
Реакция налоговой службы и возможные последствия
После обнаружения инцидента проблемный пресс-релиз был удален с сайта NTS. Представители ведомства принесли публичные извинения, подчеркнув, что публикация фотографий была направлена на то, чтобы «предоставить обществу более наглядную информацию» о результатах операции.
NTS обратилась в Национальное полицейское агентство с просьбой установить личность лица, опустошившего кошелек. Параллельно налоговая служба заявила о намерении пересмотреть регламенты по изъятию, хранению и обращению с виртуальными активами, а также провести дополнительное обучение сотрудников по вопросам кибербезопасности и цифровой гигиены.
Рекомендации по кибербезопасности криптоактивов для госорганов и бизнеса
Инцидент в Южной Корее иллюстрирует типичные ошибки, которые могут допустить не только государственные структуры, но и коммерческие организации. Для минимизации рисков при работе с криптовалютами и виртуальными активами целесообразно:
— Запретить фото- и видеосъемку любых носителей ключевой информации (seed-фразы, приватные ключи, QR-коды от кошельков) без жесткого контроля и анонимизации.
— Внедрить стандартизированные процедуры (SOP) по изъятию, хранению и аудиту виртуальных активов, включая разделение ролей и принцип «минимально необходимого доступа».
— Проводить регулярное обучение персонала по основам работы с криптовалютами, угрозам блокчейн-среды и практикам безопасного обращения с hardware-кошельками.
— Использовать специализированные решения для хранения конфискованных активов, такие как мультиподпись, «кастодиальные» сервисы с сертифицированной инфраструктурой или офлайн-хранилища с многоуровневым контролем доступа.
С ростом доли криптовалют в делах о финансовых нарушениях и уклонении от налогов ошибки в обращении с виртуальными активами становятся не просто имиджевой проблемой, а прямым финансовым ущербом для государства и налогоплательщиков. Случай NTS показывает: кибербезопасность криптовалют — это не узкоспециализированная область, а обязательная часть компетенций для любых структур, работающих с цифровыми финансами. Чем раньше будут выстроены грамотные процессы и обучение, тем меньше шансов, что следующий «урок» обойдется бюджету в миллионы долларов.
