Die beschlagnahmten Mittel lagerten in einer Ledger-Cold-Wallet, die im Zuge von Razzien bei 124 vermögenden Steuerhinterziehern sichergestellt worden war. Dabei wurden digitale Vermögenswerte im Wert von 8,1 Milliarden Won – aktuell etwa 5,6 Millionen US-Dollar – konfisziert.
Bei der Bekanntgabe des Erfolgs veröffentlichte der NTS Fotos des Ledger-Geräts. Auf den Aufnahmen war jedoch zugleich ein handschriftlicher Zettel mit der Wiederherstellungsphrase der Wallet zu erkennen. Diese Phrase fungiert als Generalschlüssel, mit dem sich die Vermögenswerte auf einem beliebigen anderen Gerät wiederherstellen lassen. Da die Behörde die Angabe nicht schwärzte, konnte jeder Betrachter die Bestände aus der Cold Wallet auf ein eigenes Konto verschieben.
Nach südkoreanischen Medienberichten wurden kurz nach Erscheinen der Pressemitteilung 4 Millionen PRTG-Token (Pre-Retogeum) im damaligen Wert von rund 4,8 Millionen US-Dollar aus der konfiszierten Wallet an eine neue Adresse transferiert. Die Auswertung der On-Chain-Daten über Etherscan zeige, dass der Angreifer zunächst eine kleine Menge Ethereum (ETH) in die Wallet einzahlte, um die Transaktionsgebühren (Gas Fees) zu decken, und die 4 Millionen Token anschließend in drei separaten Transaktionen auf seine eigene Wallet übertrug.
Der Blockchain-Datenanalyst Cho Jae-woo, Professor an der Hansung University in Seoul, beobachtete den Transfer und verglich das Versäumnis der Behörde damit, eine Geldbörse offen liegen zu lassen und sie der ganzen Nation zur freien Entnahme anzukündigen. Den Fehler führte er auf ein “fehlendes Grundverständnis virtueller Vermögenswerte” bei den Steuerbehörden zurück, das den Staatskassen letztlich erfolgreich konfiszierte Werte in Höhe von zig Milliarden Won gekostet habe.
Die Pressemitteilung wurde inzwischen von der NTS-Website entfernt. Ob die Behörden eine Untersuchung eingeleitet haben, um den Verbleib der gestohlenen Mittel zu klären, ist unklar.
Der Fall verdeutlicht, dass die Seed-Phrase einer Hardware-Wallet vollständigen Zugriff auf die Bestände gewährt – ohne zusätzliche Schutzmechanismen. Wer sie besitzt, kann die Wallet an beliebiger Stelle ohne das ursprüngliche Gerät, die PIN oder eine Freigabe nachbilden. Empfohlen wird, Seed-Phrasen nicht zu digitalisieren, also nicht in elektronischen Notizen, Fotos, E-Mails oder Cloud-Speichern abzulegen und nicht über Messenger-Dienste zu versenden. Ist ein Seed offengelegt, sollten alle Mittel umgehend in eine neue Wallet verschoben werden.
