Робота державних органів із криптовалютами поступово стає рутиною: конфіскація віртуальних активів, арешт гаманців, продаж вилучених токенів. Однак інцидент у Національній податковій службі Південної Кореї (National Tax Service, NTS) показав, що одна помилка інформаційної безпеки здатна звести нанівець місяці розслідувань і призвести до багатомільйонних втрат для бюджету.
Як витік seed-фрази призвів до втрати криптовалюти на $4,8 млн
NTS повідомила про успішну операцію проти 124 великих неплатників податків. У межах примусового стягнення було конфісковано майно на суму близько 8,1 млрд вон (орієнтовно 5,6 млн доларів США): готівка, предмети розкоші та криптовалюта, що зберігалася на апаратному гаманці Ledger.
Щоб продемонструвати результати, відомство опублікувало пресреліз із фотографіями вилучених активів. На одному зі знімків опинилися не лише сам апаратний гаманець, а й рукописна записка з повною seed-фразою — набором слів, який є майстер‑ключем до всіх коштів на цьому гаманці.
Фактично податкова служба розмістила в публічному доступі повний доступ до конфіскованих криптоактивів. Уже через кілька годин після публікації невідомий зловмисник вивів з цього гаманця 4 млн токенів Pre-Retogeum (PRTG), які на момент інциденту оцінювалися приблизно в 4,8 млн доларів США.
Сценарій атаки: від поповнення gas fee до повного виведення токенів
Аналіз транзакцій, оприлюднений корейськими ЗМІ, свідчить, що атакувальник добре розумів технічні особливості блокчейна. Спершу на адресу конфіскованого гаманця було переказано невелику суму Ethereum — виключно для оплати gas fee, тобто комісій за транзакції в мережі.
Після забезпечення балансу для комісій зловмисник здійснив три окремі операції з виведення токенів PRTG на підконтрольний йому гаманець. Поділ на кілька транзакцій є типовою практикою для тих, хто прагне знизити ризик блокування окремих операцій і швидко «розмити» слід у мережі.
Чому seed-фраза критичніша за пароль: просте технічне пояснення
Seed-фраза (мнемонічна фраза) — це кореневий криптографічний ключ, з якого детерміновано генеруються всі приватні ключі та адреси гаманця. На відміну від звичайного пароля до сервісу, вона дає повний і остаточний контроль над активами.
Будь-хто, хто отримав seed-фразу, може:
— повністю відновити гаманець на іншому пристрої або в іншому застосунку;
— отримати необмежений доступ до всіх монет і токенів на всіх адресах цього гаманця;
— ініціювати незворотні транзакції, які неможливо скасувати або «відкотити» через підтримку чи банк.
Публікацію seed-фрази можна порівняти з ситуацією, коли сейф із готівкою залишають відчиненим посеред площі та відкрито повідомляють усім, що гроші всередині можна забрати. Недарма блокчейн‑експерти в Південній Кореї відзначили, що дії NTS продемонстрували повне нерозуміння моделі безпеки криптовалют.
Організаційні провали в роботі державних органів із криптоактивами
Цей інцидент не є наслідком вразливості блокчейна чи апаратного гаманця. Він виявляє організаційні слабкі місця та дефіцит базових знань про віртуальні активи в державному секторі.
Типові помилки безпеки при конфіскації віртуальних активів
1. Відсутність регламентів щодо чутливих даних. Seed-фрази, приватні ключі, PIN-коди, QR-коди від гаманців мають розглядатися як інформація найвищого рівня конфіденційності. Будь-яка фото‑ чи відеозйомка таких носіїв без маскування інформації неприпустима.
2. Недостатнє навчання персоналу. Співробітники, які вилучають і зберігають криптовалюту, повинні розуміти принципи роботи апаратних гаманців, блокчейн‑мереж і процедур відновлення доступу. Без цього навіть формально правильні дії можуть мати катастрофічні наслідки.
3. Недооцінка швидкості реагування зловмисників. Кіберзлочинці системно моніторять публічні джерела — пресрелізи, соцмережі, фотозвіти. В умовах публічних блокчейнів час між витоком даних і втратою активів часто вимірюється хвилинами чи годинами, як показав випадок NTS.
Рекомендації з кібербезпеки криптоактивів для держсектору та бізнесу
Помилки, допущені податковою службою Південної Кореї, типові не лише для державних структур. Комерційні компанії, які приймають платежі в криптовалюті або працюють із віртуальними активами клієнтів, стикаються з подібними ризиками.
— Заборонити неконтрольовану зйомку ключової інформації. Не можна фотографувати чи знімати на відео seed-фрази, приватні ключі, recovery-карти, QR-коди від гаманців без попереднього повного приховування чутливих даних.
— Впровадити стандартизовані процедури (SOP). Необхідні чіткі інструкції щодо вилучення, передачі, зберігання та аудиту віртуальних активів. Важливо застосовувати принципи поділу доступу (кілька відповідальних осіб) та мінімально необхідних привілеїв.
— Регулярно навчати персонал. Курси з кібербезпеки криптовалют, практикуми з апаратними гаманцями, ознайомлення з реальними інцидентами допомагають сформувати правильні звички й знизити людський фактор.
— Використовувати спеціалізовані рішення для зберігання конфіскованих активів. Мультипідпис (multisig), сертифіковані кастодіальні сервіси, ізольовані офлайн‑сховища з багатоетапною верифікацією доступу значно підвищують стійкість до компрометації.
З огляду на зростання частки криптовалют у справах про ухилення від податків і фінансові злочини, кібербезпека криптоактивів має стати базовою компетенцією для будь-якої структури, що працює з цифровими фінансами. Інцидент у NTS показує: ігнорування простих правил — від заборони фотографувати seed-фрази до навчання співробітників — може коштувати мільйонів доларів. Саме тому варто вже зараз переглянути внутрішні процедури, інвестувати в освіту персоналу та побудувати такі процеси, які не залишать зловмисникам жодного шансу скористатися людською необережністю.
