4,8 mln USD w kryptowalutach skradzione po tym, jak koreański urząd skarbowy ujawnił seed frazę portfela

Wprowadzenie do problemu / definicja luki

W świecie kryptowalut „seed phrase” (fraza odzyskiwania, zwykle 12/24 słowa) to najważniejszy sekret — równoważnik „master key”, który pozwala odtworzyć portfel na dowolnym urządzeniu i przenieść wszystkie środki bez fizycznego dostępu do sprzętowego portfela (np. Ledger) ani znajomości PIN-u. Dlatego ujawnienie seeda nie jest „wyciekiem danych”, tylko praktycznie oddaniem pełnej kontroli nad aktywami.

Dokładnie taki scenariusz wydarzył się w Korei Południowej: w oficjalnych materiałach prasowych opublikowano zdjęcia, na których było widać niezamaskowaną frazę odzyskiwania dla przejętego portfela. Chwilę później aktywa zniknęły z adresu.

W skrócie

• Po publikacji materiałów promujących akcję przeciw dłużnikom podatkowym, ujawniono mnemonic/seed portfela z przejętymi kryptowalutami.
• Z adresu wyprowadzono 4 mln tokenów PRTG (Pre-Retogeum) o wartości ok. 4,8 mln USD (raporty podają też równowartość ok. 6,4 mld KRW).
• Według analizy on-chain napastnik najpierw zasilił portfel niewielką ilością ETH na opłaty gas, a następnie przetransferował tokeny (w relacjach: kilka transakcji).
• Policja wszczęła postępowanie i analizuje przepływ środków.

Kontekst / historia / powiązania

Incydent dotyczy portfela przejętego w ramach działań wobec 124 osób wskazywanych jako „wysokokwotowi / uporczywi” dłużnicy podatkowi. W komunikacji publicznej akcentowano sukces operacji i wartość zabezpieczonych aktywów, ale to właśnie materiały „dowodowe” stały się nośnikiem wycieku kluczowego sekretu.

Co istotne, koreańskie media i policja wskazują, iż nie jest to odosobniony problem „custody” w instytucjach — w przestrzeni publicznej w Korei Południowej pojawiały się w ostatnich miesiącach inne kontrowersje związane z przechowywaniem zabezpieczonych kryptowalut.

Analiza techniczna / szczegóły luki

1) Klasa podatności: „sekret w materiale publicznym”

To nie był atak na kryptografię ani „złamanie” hardware walleta. To klasyczny błąd operacyjny: secret exposure w treści publikowanej publicznie (zdjęcie w wysokiej rozdzielczości, brak redakcji/maskowania).

W praktyce to odpowiednik opublikowania:

• hasła root do serwera w PDF-ie,
• prywatnego klucza API w repozytorium,
• zdjęcia karty z kodami jednorazowymi.

2) Dlaczego seed phrase „omija” hardware wallet

Hardware wallet (Ledger i podobne) chroni klucz prywatny w urządzeniu, ale seed phrase to źródło deterministycznego odtworzenia kluczy (BIP-39/BIP-44 w typowych konfiguracjach). jeżeli ktoś ma seed, może:

• odtworzyć portfel w innym kliencie,
• podpisać transakcje „u siebie”,
• wyprowadzić środki bez kontaktu z oryginalnym urządzeniem.

3) Mechanika kradzieży widoczna on-chain

Relacje wskazują, iż napastnik:

1. dorzucił trochę ETH na adres-ofiarę, aby zapłacić gas,
2. wykonał transfery tokenów PRTG na kontrolowany adres (w mediach: kilka transakcji).

To wzorzec często spotykany przy drenażu tokenów z „pustych” adresów: tokeny są na adresie, ale nie ma ETH na opłaty — atakujący „sponsoruje” gas, bo i tak wychodzi na plus.

Praktyczne konsekwencje / ryzyko

Dla instytucji publicznych i organów ścigania

• Utrata aktywów o wartości milionów USD w sytuacji, w której środki miały zasilić budżet państwa lub służyć jako dowód.
• Ryzyko odpowiedzialności (audyt, kontrola, procedury, a potencjalnie także wątki prawne dot. ochrony informacji i należytej staranności — lokalnie może to podchodzić pod naruszenia przepisów o bezpieczeństwie informacji).
• Erozja zaufania do kompetencji instytucji w obszarze „virtual asset custody”.

Dla organizacji i firm (lekcja uniwersalna)

Ten case pokazuje, iż w bezpieczeństwie kryptowalut najczęściej przegrywa się nie z „hackerem 0-day”, tylko z:

• procesem publikacji treści,
• brakiem klasyfikacji informacji,
• nieprzetestowanym workflow redakcji/maskowania,
• brakiem nadzoru „four-eyes”.

Rekomendacje operacyjne / co zrobić teraz

Jeśli jesteś instytucją, która zabezpiecza kryptowaluty (custody)

1. Zakaz fotografowania seeda / materiałów odzyskiwania w procesach operacyjnych (to powinno być traktowane jak materiał „TOP SECRET”).
2. Procedura redakcji i walidacji publikacji:
   • automatyczne wykrywanie fraz 12/24 słów (DLP + detekcja wzorców),
   • obowiązkowy przegląd przez drugą osobę (4-eyes),
   • publikacja wyłącznie wersji „media-safe” z zaszytą metryką: kto zatwierdził, kiedy, z jakiej checklisty.
3. Model custody klasy enterprise: multi-sig / MPC, rozdział obowiązków, kontrola dostępu, logowanie działań, procedury awaryjne.
4. Runbook „seed exposed”: jeżeli doszło do ujawnienia — natychmiastowa migracja środków na nowe adresy, monitoring i alertowanie, eskalacja do SOC/CSIRT.

Jeśli jesteś użytkownikiem indywidualnym / firmą trzymającą środki na hardware wallet

• Traktuj seed jak „jedyny klucz do sejfu”: nigdy zdjęcie, nigdy chmura, nigdy komunikatory.
• Gdy istnieje podejrzenie ujawnienia seeda: przenieś środki na nowy portfel (z nową frazą) i unieważnij stary adres jako magazyn wartości.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

• Kradzież przez ujawniony seed vs klasyczny malware/phishing: tu nie ma potrzeby infekować komputera ofiary ani kraść PIN-u — seed daje pełnię kontroli „z definicji”.
• Błąd custody w instytucji vs „self-custody” użytkownika: instytucje mają zwykle procedury i audyty, ale gdy traktują krypto jak „zwykły przedmiot dowodowy”, przegrywają na podstawach (klasyfikacja informacji + publikacje PR). Ten przypadek jest wręcz podręcznikowy.

Podsumowanie / najważniejsze wnioski

1. Seed phrase to master key — jej ujawnienie oznacza natychmiastową utratę kontroli nad portfelem.
2. Incydent w Korei Południowej pokazuje, iż realne straty w kryptowalutach często wynikają z błędów proceduralnych, a nie zaawansowanych exploitów.
3. Organizacje przejmujące krypto (zajęcia komornicze, dowody rzeczowe, zabezpieczenia) muszą wdrożyć profesjonalny model custody (multi-sig/MPC) oraz procesy DLP i redakcji publikacji.

Źródła / bibliografia

• BleepingComputer — opis incydentu, kontekst publikacji zdjęć i szczegóły transferów. (BleepingComputer)
• Maeil Business Newspaper (mk.co.kr) — relacja lokalna, opis ujawnienia „mnemonic” w materiałach prasowych oraz komentarze ekspertów. (매일경제)
• Korea JoongAng Daily — informacja o wszczęciu działań policji i wątkach prawnych/śledczych. (Korea Joongang Daily)
• Cointelegraph (via TradingView) — dodatkowe szczegóły i szerszy kontekst problemów custody w Korei Południowej. (TradingView)